springBoot(七)整合之整合spring Security理解

最新推荐文章于 2024-04-10 02:33:39 发布
最新推荐文章于 2024-04-10 02:33:39 发布
阅读量659 收藏 1
点赞数 1
分类专栏: springBoot 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CoffeeAndIce/article/details/78693057
版权

   权限部分是一个后台系统必备的部分,之前spring的操作,我基本是利用shiro配置整合,也有尝试其他的权限框架,自己也写过自己的权限部分,主要是利用拦截器和http的组合操作达成权限控制的效果。那么话不多说,现在是讲讲springBoot的部分,最近用到了springboot整合权限框架部分的内容.

             这边单纯利用jsp,不使用模板类型,主要是便于理解,网上的模板类通常都是一半代码,一半靠猜,精彩部分就脱身而去。怪坑的、屁话不说,代码解析一波

参考链接:https://www.cnblogs.com/davidwang456/p/4549344.html?utm_source=tuicool


简单例子与介绍

spring security3 这本书简介了整个过程

主要来说,整个过程都是基于过滤器拦截并将请求封装 成为一个验证信息,给验证管理者验证,通过后为此请求认证并通过访问。否则抛出认证异常。

AbstractAuthenticationProcessingFilter这个过滤器是符合springSecurity的一个过滤器,内部包含了一堆对请求的处理方法


AuthenticationManager 这个接口显然是验证管理者,旗下仅有个ProviderManager方法
这里有个权限验证列表,显然这是用来管理谁来管理权限的,这个才是真正的认证决策的方法

内部包含获取权限,详情,是否验证等一系列方法
Object getPrincipal()                                                   返回安全实体的唯一标识(如,一个用户名)
Object getCredentials()                                               返回安全实体的凭证信息 
List<GrantedAuthority> getAuthorities()                        得到安全实体的权限集合,根据认证信息的存储决定的。
Object getDetails()                                                      返回一个跟认证提供者相关的安全实体细节信息 
boolean isAuthenticated ()                                            是否认证成功
void setAuthenticated(boolean paramBoolean)  throws IllegalArgumentException;      设置认证状态
然后最基本的一个方法就实现了
/**
	* @ClassName: AuthenticationExample
	* @Description: 简单例子
	* @author linge
	* @date 2017年12月4日 上午10:28:18
	*
	*/
	public class AuthenticationExample {  
		//设置简单的认证管理,继承了AuthenticationManager
		  private static AuthenticationManager am = new SampleAuthenticationManager();  
		  public static void main(String[] args) throws Exception {  
			  //相当于无限获取验证信息
		    BufferedReader in = new BufferedReader(new InputStreamReader(System.in));  
		    while(true) {  
		      System.out.println("Please enter your username:");  
		      String name = in.readLine();  
		      System.out.println("Please enter your password:");  
		      String password = in.readLine();  
		      try {  
		    	  //模拟请求,执行登录的过滤器
		        Authentication request = new UsernamePasswordAuthenticationToken(name, password);  
		        Authentication result = am.authenticate(request);  
		        //用于保存到全局中就像我们做登陆时候用的session一样,用来存储当前登陆的用户信息,
				/* 个请求一个的话,如何保证下一个请求,还能保留住上次的session,其实这个过滤器在清除SecurityContextHolder之前,
				        先把SecurityContext拷贝出来放到session中,使用session的名称是HttpSessionSecurityContextRepository.
				   SPRING_SECURITY_CONTEXT_KEY(“SPRING_SECURITY_CONTEXT”)。
				   下次请求来的时候,会先读session中这个值,如果没有的话才会创建新的,否则就使用session中的。
				*/   
		        SecurityContextHolder.getContext().setAuthentication(result);  
		        break;  
		      } catch(AuthenticationException e) {  
		        System.out.println("Authentication failed: " + e.getMessage());  
		      }  
		    }  
		    System.out.println("Successfully authenticated. Security context contains: " +  
		              SecurityContextHolder.getContext().getAuthentication());  
		  }  
		}  
		//验证管理器
		class SampleAuthenticationManager implements AuthenticationManager {  
			//设置认证状态,赋予权限
		  static final List<GrantedAuthority> AUTHORITIES = new ArrayList<GrantedAuthority>();  
		  static {  
		    AUTHORITIES.add(new SimpleGrantedAuthority("ROLE_USER"));  
		  }  
		  public Authentication authenticate(Authentication auth) throws AuthenticationException {  
		    if (auth.getName().equals(auth.getCredentials())) {  //验证信息
		    	//赋予权限与认证
		      return new UsernamePasswordAuthenticationToken(auth.getName(),  
		        auth.getCredentials(), AUTHORITIES);  //这里直接获取权限
		      }  
		      throw new BadCredentialsException("Bad Credentials");  
		  }  
		}


实例介绍

使用官方 WebSecurityConfigurerAdapter  修改


1、数据库结构



2、sql

    

CREATE TABLE `sys_role` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(30) DEFAULT NULL,
  `detail` varchar(30) DEFAULT NULL COMMENT '详情',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=8 DEFAULT CHARSET=utf8

CREATE TABLE `sys_role_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `Sys_User_id` int(11) DEFAULT NULL,
  `Sys_Role_id` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `Sys_User_id` (`Sys_User_id`,`Sys_Role_id`)
) ENGINE=InnoDB AUTO_INCREMENT=38 DEFAULT CHARSET=utf8


CREATE TABLE `sys_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `username` varchar(20) DEFAULT NULL COMMENT '用户名',
  `password` varchar(20) DEFAULT NULL COMMENT '密码',
  `mark` varchar(20) DEFAULT NULL COMMENT '备注',
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=27 DEFAULT CHARSET=utf8


表数据根据自己喜好填写


3、pom.xml

	        <!--springSecurity-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>


4、取代默认访问页面

/**
* @ClassName: WebMvcConfig
* @Description: 用于配置默认登录界面
* @author linge
* @date 2017年10月10日 上午9:15:21
*
*/
@Configuration

public class WebMvcConfig extends WebMvcConfigurerAdapter{
//	springMVC 配置,注册访问 /login 转向 login.html 页面
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login").setViewName("login");
    }
}

5、取代默认登入,如果是默认情况,在启动项目的时后会在下方显示出密码。

/**
* @ClassName: WebSecurityConfig
* @Description: 校验
* @author linge
* @date 2017年10月10日 上午9:15:10
*
*/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled= true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	
    @Bean
    UserDetailsService customUserService(){ //注册UserDetailsService 的bean
        return new CustomUserService();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService()); //user Details Service验证

    }
    /*忽略的请求*/
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/photo/**","/js/**","/include/**","/images/**","/assets/**","/upload/**");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    	 http.csrf().disable().authorizeRequests()//这个不加进不去,登录验证的时候是post请求
                .anyRequest().authenticated() //任何请求,登录后可以访问
                .and()
                .formLogin()
                .loginPage("/login")
                .successForwardUrl("/")
                .failureUrl("/login?error")
                .permitAll() //登录页面用户任意访问
                .and()
                .headers().frameOptions().disable()//开启允许iframe
                .and()
                .logout().permitAll(); //注销行为任意访问
    }
}


注册认证服务的类

/**
* @ClassName: CustomUserService
* @Description: TODO(这里用一句话描述这个类的作用)
* @author linge
* @date 2017年9月30日 下午12:17:52
*
*/
@Service
@Transactional
public class CustomUserService implements UserDetailsService { //自定义UserDetailsService 接口

    @Autowired
    UserDao userDao;	

    @Override
    public UserDetails loadUserByUsername(String username) { //重写loadUserByUsername 方法获得 userdetails 类型用户

        SysUser user = userDao.findByUserName(username);
        if(user == null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        //用于添加用户的权限。只要把用户权限添加到authorities 就万事大吉。
        for(SysRole role:user.getRoles())
        {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
            System.out.println(role.getName());
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(),
                user.getPassword(),
                true,//是否可用
                true,//是否过期
                true,//证书不过期为true
                true,//账户未锁定为true;这4个参数可省略
                authorities);
    }


页面放置



application.properties

spring.mvc.view.prefix=/WEB-INF/jsp/
spring.mvc.view.suffix=.jsp


如果有不理解和不正确的地方,请麻烦指出一下,大家共同进步,剩下的,结合之前的springBoot基础搭建的内容就能跑通了

CoffeeAndIce
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security使用iframe拒绝访问
hzyao的博客
02-17 1336
在拦截资源配置类下加如下代码: //iframe http.headers().frameOptions().disable();
Spring Security6自定义放行不生效踩坑笔记@EnableWebSecurity
sosozha的博客
02-01 2610
spring6体验
SpringBoot】16、整合Spring Security【狂神篇,重磅分享
最新发布
2401_84103216的博客
04-10 542
阿里伤透我心,疯狂复习刷题,终于喜提offer 哈哈~好啦,不闲扯了1、JAVA面试核心知识整理(PDF):包含JVMJAVA集合JAVA多线程并发,JAVA基础,Spring原理微服务,Netty与RPC,网络,日志,ZookeeperKafkaRabbitMQ,Hbase,MongoDB设计模式负载均衡数据库一致性哈希JAVA算法数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算共30个章节。2、Redis学习笔记及学习思维脑图。
Spring-Security对HTTP相应头的安全支持
盲目的拾荒者的博客
04-05 1万+
Spring Security支持在响应中添加各种安全头,默认相应安全头: Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Content-Type-Options: nosniff Strict-Transport-Security: max-age=...
springBoot springSecurty: x-frame-options deny禁止iframe调用
tonysh_zds的博客
11-30 1739
springBoot springSecurty: x-frame-options deny禁止iframe调用 https://blog.csdn.net/whiteforever/article/details/73201586 项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错 x-frame-options deny 原因是因为springSecurty使用X-Frame-Options防止网页被Frame 1 .headers().frameOption
SpringSecurity安全退出跳转指定请求地址和iframesecurity兼容性问题
小马同学
11-10 6119
SpringSecurity是一个能够基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了SpringIOC(控制反转)和AOP(面向切面编程)功能,为应用系统提供安全访问控制功能,减少了为系统安全控制编写大量重复代码的工作。但使用SpringSecurity时也有很多坑,比如最近写项目时,页面部分加载过来用的是iframe...
SpringBoot整合权限控制SpringSecurity.docx
12-10
SpringBoot整合权限控制SpringSecurity
SpringBoot整合Spring Security的详细教程
08-18
主要介绍了SpringBoot整合Spring Security的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringBoot2.6整合SpringSecurity+JWT
01-11
SpringBoot2.6整合SpringSecurity+JWT相关代码
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
主要介绍了详解SpringBoot+SpringSecurity+jwt整合及初体验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springBoot springSecurty x-frame-options deny (frame不能显示)
qq_35232663的博客
01-09 1784
项目中用到iframe嵌入网页,然后用到springsecurity就被拦截了 浏览器报错  x-frame-options deny 原因是因为springSecurty使用X-Frame-Options防止网页被Frame 解决办法把x-frame-options disable即可       protected void configure(HttpSecurity http) t...
SpringSecurity登录验证和鉴权粗解
javaFrom0To100的博客
09-13 810
SpringSecuritySpring家族中的一个安全管理框架,它的底层是一系列的拦截器和拦截规则,相当于一个拦截器链。
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 7734
SpringSecurity整合基础
Springboot整合SpringSecurity
weixin_59015876的博客
12-08 1647
Springboot,SpringSecurity
spring boot 项目集成security
zoro_soro的博客
04-22 2664
springboot集成security需要三步: 一、引入依赖 <!--集成安全框架--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depen
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2612
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
狂神说SpringBoot18:集成SpringSecurity
热门推荐
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
SpringBoot2.6整合SpringSecurity
09-03
Spring Boot 2.6与Spring Security整合的步骤如下: 1. 在pom.xml文件中添加Spring Security的依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ``` 2. 创建一个配置...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值