Spring Security学习笔记二

最新推荐文章于 2022-09-30 14:21:36 发布
最新推荐文章于 2022-09-30 14:21:36 发布
阅读量157 收藏
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CodeTom/article/details/117087627
版权

对于spring Security要有一个主要的配置类。
其配置都放在下面了(完整版)
`package com.cun.security3.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
public class SpringSecurityConf extends WebSecurityConfigurerAdapter {

@Autowired
AjaxAuthenticationEntryPoint authenticationEntryPoint;  //  未登陆时返回 JSON 格式的数据给前端(否则为 html)

@Autowired
AjaxAuthenticationSuccessHandler authenticationSuccessHandler;  // 登录成功返回的 JSON 格式数据给前端(否则为 html)

@Autowired
AjaxAuthenticationFailureHandler authenticationFailureHandler;  //  登录失败返回的 JSON 格式数据给前端(否则为 html)

@Autowired
AjaxLogoutSuccessHandler  logoutSuccessHandler;  // 注销成功返回的 JSON 格式数据给前端(否则为 登录时的 html)

@Autowired
AjaxAccessDeniedHandler accessDeniedHandler;    // 无权访问返回的 JSON 格式数据给前端(否则为 403 html 页面)

@Autowired
SelfUserDetailsService userDetailsService; // 自定义user

@Autowired
JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter; // JWT 拦截器

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {

    // 加入自定义的安全认证
    auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
}

@Override
protected void configure(HttpSecurity http) throws Exception {

    // 去掉 CSRF
    http.csrf().disable()
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 使用 JWT,关闭token
            .and()

            .httpBasic().authenticationEntryPoint(authenticationEntryPoint)

            .and()
            .authorizeRequests()

            .anyRequest()
            .access("@rbacauthorityservice.hasPermission(request,authentication)") // RBAC 动态 url 认证

            .and()
            .formLogin()  //开启登录
            /**
            可以在这里修改登录接口.loginProcessUrl()
            **/
            .successHandler(authenticationSuccessHandler) // 登录成功
            .failureHandler(authenticationFailureHandler) // 登录失败
            .permitAll()

            .and()
            .logout()
            .logoutSuccessHandler(logoutSuccessHandler)
            .permitAll();

    // 记住我
    http.rememberMe().rememberMeParameter("remember-me")
            .userDetailsService(userDetailsService).tokenValiditySeconds(300);

    http.exceptionHandling().accessDeniedHandler(accessDeniedHandler); // 无权访问 JSON 格式的数据
    http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); // JWT Filter

}

}

`
当然主配置类有了也需要其他的东西,由于一条条列出来比较麻烦逻辑混乱,我就直接按照登录流程来配置文件。
--------------------当你登录的时候就会从loginProcessUrl(“你自己定义的login接口”)或者默认的/login,进入程序。说到底,spring security本质上就是一条过滤链。你要做的就是把它提供给你的interface接口实现了,重写里面的方法来实现过滤功能。所以第一个实现的就是UserDetialService,它里面有个方法叫做loadUserByUserName(String username)
你可以在这个方法里面查询数据库通过username(这个就是你登录时候传过来的username),来判断登录操作。值得注意的是,你的数据库里面的password如果是加密的话,这里可以不做处理,如果是明文的话(不推荐,会有风险)就需要在这里进行加密,因为spring Security要求登录的时候你传过来的password加密,所以你密码传上去的时候是与加密后的密码对比。
最后返回类型是UserDetial,你可以写一个自己的类继承它然后返回。当然也可以用spring security自带的User,User可以传三个构造或者全部。三个的分别是用户名,密码,权限Set。

package com.cun.security3.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;

import java.util.HashSet;
import java.util.Set;

@Component
public class SelfUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //构建用户信息的逻辑(取数据库/LDAP等用户信息)

        SelfUserDetails userInfo = new SelfUserDetails();
        userInfo.setUsername(username);
        userInfo.setPassword(new BCryptPasswordEncoder().encode("123"));

        Set authoritiesSet = new HashSet();
        GrantedAuthority authority = new SimpleGrantedAuthority("ROLE_ADMIN");
        authoritiesSet.add(authority);
        userInfo.setAuthorities(authoritiesSet);

        return userInfo;
    }
}



package com.cun.security3.config;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;
import java.util.Collection;
import java.util.Set;

/**
 *  ① 定义 user 对象
 */
public class SelfUserDetails implements UserDetails, Serializable {
    private String username;
    private String password;
    private Set<? extends GrantedAuthority> authorities;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    public void setAuthorities(Set<? extends GrantedAuthority> authorities) {
        this.authorities = authorities;
    }

    @Override
    public String getPassword() { // 最重点Ⅰ
        return this.password;
    }

    @Override
    public String getUsername() { // 最重点Ⅱ
        return this.username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
鱼见千寻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
权限篇:初探权限系统基本模型及 Spring Security 权限控制方案
小奇学编程的博客
11-09 1125
初探 Spring Security 四种权限控制方案及权限系统基本模型 Spring Security 主要的功能是 认证和 授权,认证系列篇基本完结,接下来将进入 Spring Security 的授权系列篇。 本文主要介绍 常规权限系统的基本设计模型以及 Spring Security 的权限控制方案,话不多说,Let’s Go !!! 常规权限系统设计模型 系统应用不做权限管控,就犹如在大街上裸奔一般。 至今为止最普及的权限模型是 RBAC模型,基于角色的访问控制(Role Based Access
springboot+security 整合activiti7,请求中调用TaskRuntime、ProcessRuntime...新特性时不允许访问问题
zhangyongbink的博客
06-18 2657
项目springboot+security+vue前后端分离,业务需要整合activit7流程引擎在查询已办任务时,发现请求被限制无访问权限,给需要的用户加上这个权限即可
Spring Security(三)
ningmeng666_c的博客
09-12 373
一、RBAC RBAC:用户是属于角色的,角色拥有权限的集合。用户数据某个角色,他就具有角色对应的权限。 权限:能对资源的操作,比如增加,修改,删除,查看等等。 角色:自定义的,表示权限的集合。一个角色可以有多个权限。 RBAC设计中的表: 1.用户表:用户认证(登录用到的表) 用户名,密码,是否启用,是否锁定等信息 2.角色表:定义角色信息 角色名称,角色的描述 3.用户和角色的关系表:用户和角色是多对多的关系 一个用户可以有多个角色,一个角色可以有多个用户 4.权限表,角色和权限的关系表 角色可以有哪
Cannot construct instance of org.springframework.security.core.GrantedAuthority的错误解决
机智的爆爆哥
02-03 5004
错误描述 com.fasterxml.jackson.databind.exc.InvalidDefinitionException: Cannot construct instance of org.springframework.security.core.GrantedAuthority (no Creators, like default constructor, exist): abstract types either need to be mapped to concrete types, h
小结springsecurity配合数据库
qq_45407628的博客
04-09 198
1.用户及权限验证 用户实体类实现UserDetails 重写 @Override public Collection<? extends GrantedAuthority> getAuthorities() { return authorities; } @Override public String getPassword() { return password; } @Override publ
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security笔记.rar
05-07
Spring Security 是一个强大的且高度可定制的框架,用于为Java应用程序提供身份验证和授权服务。它主要用于保护基于Spring的...通过学习笔记,你可以逐步掌握Spring Security的基础知识,并将其运用到实际项目中。
Spring Security教程(6)---- 使用数据库管理用户及权限
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-16 2万+
上一章已经把表结构上传了,今天这部分主要用到的表是 SYS_USERS 用户管理表SYS_ROLES 角色管理表SYS_AUTHORITIES 权限管理表SYS_USERS_ROLES 用户角色表SYS_ROLES_AUTHORITIES 角色权限表 要实现使用数据库管理用户,需要自定义用户登录功能,而Spring已经为我们提供了接口UserDetailsServic
SpringSecurity ,oAuth2.0 从入门到源码精通 之 (三)spring security 从数据库中读取用户信息
llk15884975173的博客
11-05 1645
经过前面两篇文章的学习 spring security 简单入门 和 自定义登录界面、登录验证、登录成功处理、登录失败处理 的学习,我相信大家一定对 Spring Security 有了很很深刻的认识,但是也肯定不满足于前面的基于内存的方式存储用户信息。所以,本篇文章,我们就专门来讨论一下从数据库获取用户并进行用户的身份验证如何实现。 本文主要介绍如何让 Spring Security 与我们的数据库中的用户产生联系,对于用户的权限部分,我只采用很简单的方式,将权限直接放在用户表中。在后面的文章中,我将详
Spring Security(五)--管理用户
学习不止境的博客
09-30 1385
UserDetailsManager接口扩展UserDetailsService接口是体现接口分离原则的一个很好的例子,分离接口可以提供更好的灵活性,因为框架不会强迫我们在应用程序不需要的时候实现行为,如果应用程序只需要验证用户,那么实现UserDetailsService契约就足以覆盖所需功能。而如果需要真正管理用户,我们就可以在其基础上自己扩展管理用户的功能亦或者直接实现UserDetailsManager的接口。
Spring Security入门(二)基于自定义数据库查询的认证实战
heshengfu1211的博客
11-08 418
0 引言 在笔者的上一篇文章中Spring Security入门(二):基于内存的认证一文中有提到过Spring Security实现自定义数据库查询需要你实现UserDetailsService接口,并实现loadUserByUsername(String username)抽象方法。我们可以在UserDetailsService接口的实现类中注入数据库访问对象Dao,从而实现自定义数据库查询认证用户信息。下面在笔者的boot-demo实战项目中我们结合spring data jpa作为持久层技术来一步一
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(二)
weixin_34248487的博客
01-10 6918
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上...
Spring security (一)架构框架-Component、Service、Filter分析
山有山的高度,海有海的胸怀。
12-02 137
“致"高级"工程师(BUG工程师) 一颗折腾的心???? 原创不易,点个赞????,支持支持  想要深入spring security的authentication (身份验证)和access-control(访问权限控制)工作流程,必须清楚spring security的主要技术点包括关键接口、类以及抽象类如何协同工作进行authentication 和access-control的实...
Spring Boot中整合Spring Security并自定义验证代码
热门推荐
嗡汤圆的博客
02-25 5万+
最终效果 1、实现页面访问权限限制 2、用户角色区分,并按照角色区分页面权限 3、实现在数据库中存储用户信息以及角色信息 4、自定义验证代码
权限管理和配置服务
白长生的小窝
04-30 1585
01-整合Spring Security 一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括 用户认证 (Authentication)和用户授权( Authorization)两个部分。 (1)...
springsecurity笔记
最新发布
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值