SpringSecurity简单配置教程

最新推荐文章于 2024-06-25 03:00:11 发布
最新推荐文章于 2024-06-25 03:00:11 发布
阅读量396 收藏 1
点赞数
分类专栏: 笔记 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lazy_G/article/details/117292191
版权

SpringSecurity

web开发中,安全第一位,过滤器,拦截器,安全应该在设计之初考虑.

shiro,SpringSecurity:很像

简介

是针对Spring项目的安全框架,也是Springboot底层安全模块默认的技术选型, 他可以实行强大的web安全控制,对于安全控制我们只需要引入spring-boot-stater-security模块,进行少量的配置,即可实现欠打的安全管理

  • WebSecurityConfigurerAdapter:自定义Secruity策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

“认证” (Authentication)

“授权” (Authoriztion)

依赖
<!--secruity-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--thymeleaf security整合-->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>
不使用数据库配置
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页可以访问,功能页只有有对应权限的人才可以访问
        http.authorizeRequests()
            .antMatchers("/").permitAll()
            .antMatchers("/level1/**").hasRole("vip1")
            .antMatchers("/level2/**").hasRole("vip2")
            .antMatchers("/level3/**").hasRole("vip3");
        //没有权限默认返回登录页面
        //定制登录页 passwordParameter前端的与后面对照  loginProcessingUrl提交表单的action对照
        http.formLogin().loginPage("/toLogin").passwordParameter("pwd").loginProcessingUrl("/login");
        //防止网站工具
        http.csrf().disable();//关闭cerf功能,登录失败肯定存在的原因
        //注销 注销成功返回首页
        http.logout().logoutSuccessUrl("/");
        //开启记住我功能 cookie,默认保存两周
        http.rememberMe();
    }
    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("lazy").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2")
            .and()
            .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
            .and()
            .withUser("guset").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }
}
连接数据库配置

**关键:**实现UserDetailsService

@Component
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    UserService userService;
    @Autowired
    PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //根据登录的用户名 查询出用户信息对象
        UserInfo userInfo = userService.queryByName(s);
        //判断用户信息对象是否为空
        if (userInfo == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        //获取角色
        String roles = userInfo.getRole();
        //角色集合
        List<GrantedAuthority> authorities = new ArrayList<>();
        //多角色处理,根据数据库存储的情况进行分割
        for (String role : roles.split(",")) {
            //角色这里角色必须以ROLE_开头,比如数据库中,前端中不需要.
            authorities.add(new SimpleGrantedAuthority("ROLE_" + role));
        }
        //因为数据库中密码是明文所以需要加密一下.如果不是则可直接根据配置的加密类型填写密文
        return new User(userInfo.getName(), passwordEncoder.encode(userInfo.getPassword()), authorities);
    }
}

配置类

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    CustomUserDetailsService customUserDetailsService;

    @Bean
    public PasswordEncoder getPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //从数据库读取的信息
        auth.userDetailsService(customUserDetailsService)
            .passwordEncoder(getPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页可以访问,功能页面需要权限才可以
        http.authorizeRequests()
            .antMatchers("/").permitAll()
            .antMatchers("/level1/**").hasRole("vip1")
            .antMatchers("/level2/**").hasRole("vip2")
            .antMatchers("/level3/**").hasRole("vip3");

        //没有权限默认返回登录页面
        //定制登录页 passwordParameter前端的与后面对照  loginProcessingUrl提交表单的action对照
        http.formLogin()
            .loginPage("/toLogin")
            .passwordParameter("pwd")
            .loginProcessingUrl("/login");

        //关闭cerf功能,登录失败肯定存在的原因
        http.csrf().disable();

        //注销 注销成功返回首页
        http.logout().logoutSuccessUrl("/");

        //开启记住我功能 cookie,默认保存两周
        http.rememberMe();
    }
}
Lazy_G
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 2850
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
SpringBoot 学习笔记(十)Spring Security 安全框架_springboot之security学习
最新发布
2401_84240129的博客
06-25 801
需新建配置类注册一个指定的加密方式Bean,或在下一步Security配置类中注册指定。* 如果用户的账户有效(即未过期),则返回true,如果不在有效就返回false。* 指示用户的凭证(密码)是否已过期。无法对锁定的用户进行身份验证。* 如果用户未被锁定,则返回true,否则返回false。* 如果启用了用户,则返回true,否则返回false。* 指示用户的账户是否已过期。无法验证过期的账户。* 如果用户的凭证有效(即未过期),则返回true。* 如果不在有效(即过期),则返回false。
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
超强、超详细Spring Security入门教程
weixin_55801899的博客
02-22 1914
shiro与SpringSecurity:很像Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,SpringSecurity的真实的强大之处在于可以轻松地扩展它以满足自定义需求。特征:身份认证:授权:防御常见攻击:官方代码实例:Github-spring-projects/spring-securtiy-samples
Spring Security教程
qq_28248897的博客
08-31 4065
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
Spring Security 基础使用教程
qq_44286009的博客
05-23 885
实际的项目开发中,我们往往会自定义一个登录的页面,而不会使用spring security提供的默认登录页面进行登录。所以下面将介绍如何自定义这些配置。引入thymeleaf依赖创建templates文件夹,创建登录页面,登录成功页面,登录失败页面和index页面,放入templates中。其中登录页面的代码如下:新建配置类新建一个controller访问http://localhost:8080/index.html进入我们自定义的登录界面。
SpringBoot3】Spring Security 常用配置总结
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 2287
1、记住我 rememberMe 2、退出处理 3、持久化登录令牌 4、并发登录控制,后登录踢掉前面登录 5、主动踢人下线 6、允许跨域处理 7、跨域攻击防护
菜鸟的spring security学习教程
最强菜鸟
05-31 1万+
菜鸟的spring security学习教程说明一、Spring Security简介二、 说明 近期要用到spring security这个框架,由于spring security是之前学的,而且当时也没有深入的学习,对于该框架的用法有点陌生了,现重新学习spring security并在此做好笔记,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、Spring Security简介 Spring SecuritySpring 家族中的一个安全管理框架,主要用于 Spring
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 教程(Spring Security Tutorial)1
08-04
- 学习 Spring Security 的第一步通常是创建一个简单的 "Hello World" 应用,这通常涉及添加必要的依赖和配置,以便启动基础的安全功能。 3. **单元测试**: - 在安全相关的开发中,单元测试是必不可少的,因为它...
SpringSecurity 中文文档+简单视频教程
04-08
这个资源包包含了一个中文文档和简单的视频教程,帮助开发者深入理解并快速上手SpringSecurity。 首先,中文文档可能涵盖以下内容: 1. **SpringSecurity架构**:SpringSecurity基于过滤器链的设计,包括了多个...
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
springSecurity.zip
06-23
教程将带你简单入门Spring Security,了解其核心概念和基本配置。 一、Spring Security 概述 Spring Security的核心目标是为应用程序提供“认证”(Authentication)和“授权”(Authorization)。认证是指确认...
Spring Security认证提供程序示例详解
08-26
这个教程将深入讲解如何在Spring Security配置和使用自定义的认证提供程序。 1. **认证提供程序的基本概念** 认证提供程序是Spring Security框架中执行用户身份验证的核心组件。当用户尝试访问受保护的资源时,...
a标签单击事件跳转
Lazy_G的博客
04-12 1473
<a id="updateCount" class="layui-btn layui-btn-radius layui-btn-normal" href="javascript:void(0)" onclick="updateItem(${item.value.id},${item.value.count})">修改</a> a标签单击事件后跳转 href要先设置无跳转 再用 location.href 重写href跳转 function updateItem(itemId,c
Idea 配置与问题
Lazy_G的博客
03-07 1002
打开下方 添加-Drecreate.x11.input.method=true
jsr303常用注解
Lazy_G的博客
05-26 885
JSR303 简介 JSR是Java Specification Requests的缩写,意思是Java 规范提案。是指向JCP(Java Community Process)提出新增一个标准化技术规范的正式请求。任何人都可以提交JSR,以向Java平台增添新的API和服务。JSR已成为Java界的一个重要标准。 JSR-303 是JAVA EE 6 中的一项子规范,叫做Bean Validation,Hibernate Validator 是 Bean Validation 的参考实现 . Hiberna
Spring Security 3.0.5配置实战指南
"SPRINGSECURITY3.0.5安全配置实用手册" Spring Security是一个强大的安全框架,用于保护基于Spring的应用程序。在3.0.5版本中,它提供了两种配置方式:传统的Acegi风格配置和自2.0版本引入的命名空间配置。尽管...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值