HttpSecurity的配置以及登录表单的详细配置和注销登录的配置

最新推荐文章于 2024-06-12 09:40:39 发布
最新推荐文章于 2024-06-12 09:40:39 发布
阅读量1.4k 收藏 4
点赞数 1
分类专栏: security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Suame_ya/article/details/112131009
版权 
/**
 * @Author fei
 * @Date 2021/1/2 3:43 下午
 *
 * @Configuration用于定义配置类,定义的配置类可以替换xml文件,一般和@Bean注解联合使用。
 * @Configuration注解主要标注在某个类上,相当于xml配置文件中的<beans>
 * @Bean注解主要标注在某个方法上,相当于xml配置文件中的<bean>
 */

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 必须要有这个实例  NoOpPasswordEncoder.getInstance()  这是一个过期的方法。
     * @return
     */
    @Bean
    PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();//获取这个不加密的实例  为了下面的用户名对应的密码不加密   直接123就可以登录
    }

    /**
     * 设置用户和密码 以及角色
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //在内存中配置密码
        auth.inMemoryAuthentication()
                .withUser("ppf").password("123").roles("admin")
                .and()
                .withUser("ask").password("123").roles("user");
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests() //开启授权方法
                .antMatchers("/admin/**").hasRole("admin")  //匹配器,在/admin/**这个地址要进行权限配置,赋予一个角色 admin
                //.antMatchers("user/**").hasAnyRole("admin","user")  //hasAnyRole  表示具备这两个角色其中一个就可以
                .antMatchers("/user/**").access("hasAnyRole('user','admin')")  //这个和上面的一个意思
                .anyRequest().authenticated()  //anyRequest 表示其他没有需要授权的地址,登录之后就能访问。 authenticated  已验证的 登录之后能访问
                .and()
                .formLogin()  //上面配完之后呢,下面还需要配置表单登录
                .loginProcessingUrl("/doLogin")  //表示处理登录请求的url  这个配不配都可以,主要是方便用postman 来测试接口时用
                .loginPage("/login") //这个表示需要登录,则跳转到/login这个url  一般前后端分离 不需要配置这个
                .usernameParameter("uname") //这个表示 讲username这个属性名字改成uname,密码也是同理
                .passwordParameter("passwd") //所以接口就应该这样写  http://localhost:8080/doLogin?uname=ppf&passwd=123  一般来说这个没有必要配置
                //successHandler 表示前后端分离的项目,登录成功后,需要跳转的页面,这时候,后端只要返回json给前端(登录成功的一个处理器)
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override            //参数 authentication   是保存了登录成功的用户信息
                    public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;chartset=utf-8");  //设置要返回的json格式
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status",200);
                        map.put("msg",authentication.getPrincipal()); //authentication.getPrincipal()  就是登录成功的用户信息
                        out.write(new ObjectMapper().writeValueAsString(map)); //这是写出去的 转成json串
                        out.flush();
                        out.close();
                    }
                })
                //这个是登录失败的一个处理器,与上面类似。比如登录失败,服务端要跳到哪个页面去
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override   //这边只有异常,异常可以锁定出错的问题
                    public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp, AuthenticationException e) throws IOException, ServletException {
                        resp.setContentType("application/json;chartset=utf-8");  //设置要返回的json格式
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status",401);
                        if(e instanceof LockedException){ //nstanceof 运算符是用来在运行时指出对象是否是特定类的一个实例
                            map.put("msg","账户被锁定,登录失败!");
                        }else if (e instanceof BadCredentialsException){
                            map.put("msg","用户名或密码错误,登录失败!");
                        }else if (e instanceof DisabledException){
                            map.put("msg","账户被禁用,登录失败!");
                        }else if (e instanceof AccountExpiredException){
                            map.put("msg","账户过期,登录失败!");
                        }else if (e instanceof CredentialsExpiredException){
                            map.put("msg","密码过期,登录失败!");
                        }else {
                            map.put("msg","登录失败!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(map)); //这是写出去的 转成json串
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()  //这个表示和登录相关的接口 直接就可以访问。   permit 英文是 许可的意思
                .and()
                //这边配置注销登录配置
                .logout()
                .logoutUrl("/logout") //这是注销登录的url
                //这是注销登录成功的一个处理方法,返回前台json数据
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;chartset=utf-8");  //设置要返回的json格式
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status",200);
                        map.put("msg","注销登录成功"); //authentication.getPrincipal()  就是登录成功的用户信息
                        out.write(new ObjectMapper().writeValueAsString(map)); //这是写出去的 转成json串
                        out.flush();
                        out.close();
                    }
                })
                .and()
                .csrf().disable(); //这边表示  关闭 csrf攻击(跨站请求伪造)  为了防止测试时报错

    }
}
Suame、飞飞
关注
专栏目录
Spring Security 6.x 系列(12)—— Form表单认证登录注销自定义配置
gmHappy
12-23 5570
在本系列文章中介绍了 `Form` 表单认证和注销流程,对部分源码也进行详细分析。 本章主要学习 `Spring Security` 中表单认证登录注销的相关自定义配置
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8062
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
微人事第十天:HttpSecurity配置
qq_41998938的博客
02-01 677
Spring Security可以针对不同的访问路径,来根据登陆的用户判断该用户是否可以访问。实现这个功能就需要HttpSecurity配置来解决。 1.配置类 以下配置类可以看出,这里提供了两个登陆的用户,用户javaboy具有admin权限,用户江南一点雨既有admin又有user权限。 接下来配置类中根据不同的访问权限来设定该用户是否能访问。 例如以下代码就表示以admin开头的路径只能ad...
多个HttpSecurity配置(局部AuthenticationManager)
weixin_43861630的博客
07-25 1357
1. 多端httpSecurity 2. 局部Authentication及Authorization 3. 多个token/多端token隔理 4. 多个httpSecurity配置
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 8880
Spring Security 学习之配置 HttpSecurity
3、HttpSecurity配置
tqq的博客
07-25 1463
注意: 登录的时候是一个POST的请求 1、在配置类中在重写一个方法,在方法中进行配置 代码: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //路径规则符合这样的要有什么样的角色,还有hasAnyRole() .antMatchers("/admin/**").has.
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1385
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
基于spring security实现登录注销功能过程解析
08-25
在该方法中,我们可以使用http.formLogin()方法配置表单登录方式,指定登录页面和登录处理URL。同时,我们可以使用authorizeRequests()方法配置请求授权,指定哪些URL需要身份认证。 3. 自定义登录成功和失败处理器...
Spring Security 表单登录功能的实现方法
08-25
在这个方法中,我们可以配置表单登录的行为。例如,我们可以自定义登录页面、登录处理 URL 和默认成功 URL: ```java .formLogin() .loginPage("/login.html") .loginProcessingUrl("/perform_login") ....
Spring Security XML配置模板.docx
最新发布
07-05
`<security:form-login>` 用于配置表单登录行为: - **login-page**: 登录页面的 URL。 - **authentication-failure-url**: 当登录失败时重定向的 URL。 - **default-target-url**: 成功登录后的默认目标 URL。 - *...
HTTP 安全响应头(Security Response header)配置
qq_42445433的博客
08-11 3745
HTTP 安全响应头(Security Response header)配置
SpringSecurity------HttpSecurityConfiguration配置
豢龙先生
12-27 2121
SpringSecurity------HttpSecurityConfiguration配置类一、WebSecurityConfiguration是怎样被加载的二、WebSecurityConfiguration主要做了什么三、WebSecurityConfiguration的源码分析1、属性字段2、核心方法3、使用@Autowired注入了一些Bean4、使用@Bean初始化一些Bean 一、WebSecurityConfiguration是怎样被加载的 二、WebSecurityConfigurati
spring security----HttpSecurity常用配置
小汤圆
08-10 1461
HttpSecurity常用配置
HttpSecurity配置清单
小汤圆
07-27 290
待写。。。
SpringBoot-配置多个HttpSecurity
azto的博客
04-07 514
package org.akk.security.config; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Confi...
Spring Security Config : HttpSecurity安全配置器 CorsConfigurer
Details Inside Spring
06-08 2885
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,CorsConfigurer的配置任务如下 : 配置如下安全过滤器Filter CorsFilter 如果CorsConfigurer上设置了属性configurationSource,则基于它创建一个CorsFilter并使用; 否则如果名称为corsFilter的bean存在,则使用该CorsFilt...
Spring Security Config : HttpSecurity安全配置器 FormLoginConfigurer
Details Inside Spring
06-09 2181
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,FormLoginConfigurer的配置任务如下 : 配置如下安全过滤器Filter UsernamePasswordAuthenticationFilter 创建的共享对象 AuthenticationEntryPoint FormLoginConfigurer使用到的共享对象有 : ...
Springboot Security 认证鉴权——使用JSON格式参数登录
HD243608836的博客
05-09 3025
在 中,默认的登陆方式是以表单形式进行提交参数的。可以参考前面的几篇文章,但是在前后端分离的项目,前后端都是以 JSON 形式交互的。一般不会使用表单形式提交参数。所以,在 中如果要使用 JSON 格式登录,需要自己来实现。那本文介绍两种方式使用 JSON 登录。1. 通过源码分析可以知道(打断点,往前捋),登录参数的提取在 过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。 的源代码如下:重写其中的attemptAuthentication方法,默认表单认证,需要修改为兼
HttpSecurity
weixin_45822542的博客
06-12 1171
防御CSRF攻击的方法包括使用CSRF token , Referer验证 ,双重提交Cookie和设置SameSite Cookie;Spring Security 提供了内置的CSRF保护机制 ,通过简单配置启用和定制这个功能,以确保应用程序的安全性;这是Spring Security提供的配置类, 用户保护基于HTTP的请求 ,通过。,通过诱导用户在不知情的情况下执行恶意操作;
Spring-Security配置多个登录页面与不同注销界面
例如,我们可以为前台用户定义一个`http`元素,并配置其访问路径、登录页面URL和登录失败处理URL: ```xml <http pattern="/frontend/" security="none" /> <http use-expressions="true"> <!-- 其他安全配置....
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值