2021-07-12

最新推荐文章于 2024-11-11 21:19:25 发布
最新推荐文章于 2024-11-11 21:19:25 发布
阅读量78 收藏
点赞数
分类专栏: security 文章标签: java spring 后端 shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JqloveJH/article/details/118677751
版权

SpringSecurity的入门使用

SpringSecurity简介

secruity的最核心内容:
认证 (你是谁)
授权 (你能干什么)
攻击防护 (防止伪造身份)

SpringSecurity入门配置

首先新建SpringBoot项目,在其中导入依赖:

下面展示一些 内联代码片

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>

导入后,我们需要小小的配置一下:
新建包:config
config包下新建SecurityConfig类,继承WebSecurityConfigurerAdapter类:
如上所示
在该类中写入下列内容:

    @Bean
    public PasswordEncoder getPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

如此,Security的入门配置就好了,这样配置后,我们输入自己的ip及端口,我们能进入Security的内置登陆页面以及登陆逻辑:
localhost:8080
登录名是user
密码在控制台中生成

SpringSecurity配置自定义登陆页面

首先写好登陆页面:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/login" method="post">
        <input type="text" placeholder="用户名" name="username"><br>
        <input type="text" placeholder="密码" name="password"><br>
        <input type="submit" value="Login">
    </form>
</body>
</html>

记住,登陆方式必须选post,不能选get
之后,在config类中重写config方法:

        http.formLogin()
                //选择静态资源html登陆界面
                .loginPage("/login.html")
                //与表单的请求接口一样
                .loginProcessingUrl("/login")
                //post请求
                //.successForwardUrl("/loginSuccess")
                //登陆成功重定向到百度
                .successHandler(new MyAnthenticationSuccessHandler("http://www.baidu.com"))
                //.failureForwardUrl("/loginFail");
                //登陆失败重定向到youtube
                .failureHandler(new MyAnthenticationSuccessHandler("https://www.youtube.com"));

各个方法的用处我已经写在了注释上。
注意!!!
我现在使用重定向方法是能够使得程序在登陆成功或者失败后能去访问其他web资源,而不是只能访问自己项目中的静态页面。
如果要访问自己的静态页面可以使用//.successForwardUrl("/loginSuccess")这个方法。
除此以外,在自定义登陆界面后我们其实并不能访问到我们的自己写的html页面,因为我们没有“放行”,因为Security是只能使用它自己的登陆逻辑,登陆页面,我们自定义登陆页面的话,必须配置,使security放行。
即,在config类中写入以下代码:

        http.authorizeRequests()
                //放行login
                .antMatchers("/login.html")
                    .permitAll()
                .antMatchers("/loginerror.html")
                    .permitAll()
                //所有请求必须验证
                .antMatchers("/image/**")
                    .permitAll()
                //拒绝所有请求
                .anyRequest().authenticated();

注意逻辑,.anyRequest().authenticated();是指拒绝所有请求,所以必须放在最下面,如果放在上面,那么所有请求都会被拒绝!!!!
还有注意一点,必须还要再config类中加上这一句话:

        //关闭csrf
        http.csrf().disable();

类似于关闭防火墙,不关闭的话,我们还是没法儿访问。
终于,搞完了这些,我们终于能够访问自己的登陆界面了:
输入localhost:8080
这就是我们自己的登陆界面
此时,输入用户名和密码即可登陆。注意,上文说的重定向先暂时别用,把它注释掉,用.successForwardUrl("/loginSuccess"),这个/loginSuccess是你自己定义的接口url。

SpringSecurity配置自登录逻辑

经历了刚刚的自定义页面,我们现在需要自定义逻辑,刚刚上文这样只是自定义了界面,但是内在逻辑还是框架自带的,密码,用户名也是框架给你定的,我们这时候需要使用自己从数据库中的用户名密码,就要自定义逻辑。
在service层新建一个类,实现UserDetailsService接口。
重写loadUserByUsername方法:

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if(!"admin".equals(username)){
            throw new UsernameNotFoundException("用户不存在");
        }
        String password = passwordEncoder.encode("1234");
        return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal"));
    }

注意,这里的username是用户提交的,admin是我们从数据库查出来的,因为这里不讲mybatis等框架,所以就简单点。
password这个变量,是从数据库查出来的,这里encode就是对其进行编码,
String password = passwordEncoder.encode(“1234”);
这句话需要理解,其中“1234”是我们从数据库中的密码,但是一般来说,数据库中密码一般都是密文,所以查出来时它一般是加密的,所以,我们需要对其加密。
所以这一句代码的意思是:我们根据用户名username查询到了password,password的明文是“1234”,密文是对其进行encode。
之后我们把username和password以及权限都给User类,即可完成自定义登陆逻辑。
注意 User类是指:
import org.springframework.security.core.userdetails.User;
这个User类。
不是你自己定义的User类。
这里可能有人会问,你的判断逻辑呢?
用户输入的密码,是如何与你查询出来的password密文比较的呢?
这个你就不用管了,User中自己会判断。

PyTorch 最新安装教程(2021-07-27)
风口IT猪的成长录
07-27 22万+
PyTorch 最新安装教程(2021-07-27)前言1. 安装 Anaconda2. 检查显卡,更新驱动3. 创建PyTorch环境4. 配置清华TUNA镜像源5. 安装 PyTorch6. 测试 前言 万事开头难! 这句话又一次被我验证。 记得前不久刚陷入Tensorflow2.0的安装困境,这一次又被PyTorch 搞哭辽。 孩子太难了o(╥﹏╥)o,不过还好最终成功安装,感谢全网资源,感谢大佬们的博客!被我一次一次试了出来。 1. 安装 Anaconda Anaconda 是一个用于科学计算的 P
CVE-2021-22205——Gitlab 远程命令执行漏洞复现
LiBai'S BLOG
11-10 9378
CVE-2021-22205Vuln Impact影响版本环境Fofa语法漏洞利用脚本反弹ShellEXP Vuln Impact An issue has been discovered in GitLab CE/EE affecting all versions starting from 11.9. GitLab was not properly validating image files that were passed to a file parser which resulted in a .
2021-06-07~2021-06-11总结(MySQL)
weixin_43160903的博客
06-13 1551
2021-06-07~2021-06-11工作总结工作内容技术探索1.浅谈MySQL1.1 MySQL的引擎1.1.1 InnoDBInnoDB行锁模式及加锁方式:1.1.2 MyisamMyISAM只有表锁,且没有事务。1.1.3 MySQL的锁机制1.1.4 MySQL 的 B+Tree1.2 数据类型:1.2.1 数值类型:1.2.2 字符串类型:1.2.3 时间日期类型:总结 工作总结 工作内容 本周的工作内容主要是对之前所实现功能的bug进行修改,主要的问题为三个平台之间流程、权限。这就要求在最初
2021-07-12安装Polygon报错的解决方法
weixin_45567535的博客
07-12 9153
安装Polygon报错的解决方法 在安装时会出现下面的问题 `(tfenv) C:\Users\dell>pip install Polygon==3.0.9 ERROR: Could not find a version that satisfies the requirement Polygon==3.0.9 (from versions: none) ERROR: No matching distribution found for Polygon==3.0.9 (tfenv) C:\Us
2021-04-26
sandrew0916的博客
04-26 766
导语 explicit防止隐式转换 拷贝构造 拷贝赋值
2021-03-15
weixin_44902539的博客
03-15 1314
好网站 https://blog.csdn.net/u013317445/article/details/88196373?utm_medium=distribute.pc_relevant.none-task-blog-OPENSEARCH-6.control&dist_request_id=1328641.48931.16157665162059593&depth_1-utm_source=distribute.pc_relevant.none-task-blog-OPENSEARCH-
2021-07-09
u011385544的博客
07-09 2577
标题 doris FE安装部署后启动报错wait catalog to be ready. FE type: UNKNOWN. is ready: false 2021-07-09 11:41:53,586 INFO (main|1) [Catalog.loadImage():1468] image does not exist: /data/lib/doris/doris-meta/image/image.0 2021-07-09 11:41:54,055 INFO (UNKNOWN 172.17.0.1
2021-01-18
weixin_54641072的博客
01-18 1898
找程序猿哥哥!!!!编制App或者小程序
2021-07-20
热门推荐
bananaAppen的博客
07-20 1万+
Markdown学习 标题: 二级标题 三级标题 字体 hello world! hello world! hello world! hello world! 引用 当一个牛逼的大佬 分割线 图片 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0QBYDjzR-1626793548647)(C:\Users\Public\Pictures\Sample Pictures\de1d0155b209eb8677402e5bb7c217f31c21675b.png@880
spine-unity-3.8-2021-07-12.unitypackage
10-28
spine-unity-3.8-2021-07-12.unitypackage
testando-ui-cypress-2021-07-12
08-03
使用 Cypress.io 测试您的 UI 需要使用用户视图测试您的流程并且总是花费太长时间? 花点时间自动化这个过程怎么样,这样你就不会再头疼了? 以下是如何在界面中自动化端到端测试以摆脱手动测试!...
log-aggregated-2021-07-28-080657.ips
07-28
log-aggregated-2021-07-28-080657.ips
农村农业物联网解决方案[2021-07-12](36页).pdf
05-21
农村农业物联网解决方案[2021-07-12](36页).pdf
日常bug记录,easyexcel导入报错convert data ... to class java.math.BigDecimal error
mm
11-11 190
排查发现实体类中有BigDecimal属性,然而数据中这个属性为null,进行转换时报错。在实体类上加上自定义转换器。解决方法:自定义转换器类。
SpringBoot 实现图片加水印
最新发布
心猿意码
11-11 295
通过上述步骤,我们可以在SpringBoot项目中实现一个简单的图片加水印功能。当然,实际应用中可能需要更复杂的水印处理,比如水印图片、调整水印位置等,可以根据需求进行相应的扩展和优化。
刷题---顺序表算法题
weixin_63997543的博客
11-11 286
顺序算法题----力扣刷题
JAVA-01-变量
LJH_laura_li的博客
11-08 473
在方法、构造函数或块内部定义的变量。
2024年华为OD机试真题-查找充电设备-C++-OD统一考试(E卷)
面试高手的博客
11-08 300
某个充电站,可提供n个充电设备只,每个充电设备均有对应的输出功率任意个充电设备组合的输出功率总和,均构成功率集合P的1个元素功率集合P的最优元素,表示最接近充电站最大输出功率pmax 的元素。每一题都含有详细的解题思路和代码注释,精编c++、JAVA、Python三种语言解法。当充电设备输出功率50、20、20组合时,其输出功率总和为90,最接近充电站最大充电输出功率,因此最优元素为90。所有充电设备的输出功率组合,均大于充电站最大充电输出功率30,此时最优元素值为0。第 2 行为每个充电设备的输出功率。
could not convert string to float: '2021-07-12 17:30:55',怎么用代码改
05-20
date_str = '2021-07-12 17:30:55' date_format = '%Y-%m-%d %H:%M:%S' date_obj = datetime.datetime.strptime(date_str, date_format) ``` 这段代码将 `date_str` 字符串解析为一个 `datetime.datetime` 对象,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值