SpringSecurity--基本使用--1

最新推荐文章于 2024-05-23 17:02:14 发布
最新推荐文章于 2024-05-23 17:02:14 发布
阅读量226 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/T_Ghost/article/details/108378746
版权

1、简介

应用程序的安全性通常体现在两个方面:认证和授权。
认证是确认某主体在某系统中是否合法、可用的过程。这里的主体既可以是登录系统的用户,也 可以是接入的设备或者其他系统。
授权是指当主体通过认证之后,是否允许其执行某项操作的过程。 这些概念并非Spring Security独有,而是应用安全的基本关注点。Spring Security可以帮助我们更便 捷地完成认证和授权。

2、基本使用

1、依赖引入

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>com.my.test.security</groupId>
  <artifactId>SpringSecurityTest</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  
  <parent>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-parent</artifactId>
	<version>2.1.4.RELEASE</version>
  </parent>
  
  <dependencies>
  	<!-- SpringBoot依赖 -->
  	<dependency>
	    <groupId>org.springframework.boot</groupId>
	    <artifactId>spring-boot-starter-web</artifactId>
	</dependency>
  
	<!-- SpringSecurity -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    
    <!-- jdbc -->
    <dependency>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-jdbc</artifactId>
	</dependency>
	
	<!-- mysql -->	
	<dependency>
		<groupId>mysql</groupId>
		<artifactId>mysql-connector-java</artifactId>
	</dependency>
    <!-- lombok依赖 -->
	<dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
    </dependency>
    <!--  -->
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-context</artifactId>
    </dependency>
  </dependencies>
</project>

2、controller及启动类

@SpringBootApplication
@RestController
public class SecurityApp {
	
	@GetMapping("/")
	public String hello() {
		return "Welcome to hello page";
	}

	public static void main(String[] args) {
		SpringApplication.run(SecurityApp.class, args);
	}
}

3、配置文件配置

server:
  port: 8888
spring:
  security:
    user:
      name: root
      password: Admin123
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/my_test?useUnicode=true&characterEncoding=utf8&useSSL=false&serverTimezone=GMT%2B8
    username: root
    password: 666666

4、测试
访问:localhost:8888时,会进行验证,输入配置好的用户名密码便可进入访问的controller

3、WebSecurityConfigurerAdapter实现路由及身份权限验证

1、依赖
同2中依赖

2、配置类-继承WebSecurityConfigurerAdapter并进行设置

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		 /**
		   * session管理策略
		   * 	ALWAYS---总是创建HttpSession
			 	IF_REQUIRED---Spring Security只会在需要时创建一个HttpSession
			 	NEVER---Spring Security不会创建HttpSession,但如果它已经存在,将可以使用HttpSession
			 	STATELESS---Spring Security永远不会创建HttpSession,它不会使用HttpSession来获取SecurityContext
		   */
		http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);
		http.authorizeRequests()
		/**
		 * 设置用户及角色认证,控制controller的访问权限
		 */
		.antMatchers("/user/**").hasRole("USER")
		.antMatchers("/manager").hasRole("MANAGER")
		//登出跳转
		.antMatchers("/logoutSuccess").permitAll()
		.antMatchers("/").permitAll()
		.and()
		.formLogin() //基于表单登录
		.permitAll() //允许访问登录
		
		/* 指定登录页 */
		//.loginPage("/login") 
		
		/* 指定登录时访问的URL */
		//.loginProcessingUrl("/security/login") 
		
		.and()
		.logout()
		/*退出时访问的url*/
		.logoutUrl("/logout")
		/**
		 * 注意logoutSuccessUrl不要与logoutSuccessHandler一起使用,否则logoutSuccessHandler将失效。
		 */
		
		/*退出成功后要做的操作(如记录日志),和logoutSuccessUrl互斥*/
		//.logoutSuccessHandler(new CoreqiLogoutSuccessHandler())
		
		/*退出成功后跳转的页面--需配置权限,否则会转向登录页*/
		.logoutSuccessUrl("/logoutSuccess")
		
		/*退出时要删除的Cookies的名字*/
		//.deleteCookies("JSESSIONID")    
		.and()
		//csrf是Spring Security提供的跨站请求伪造防护功能
		.csrf().disable();
		super.configure(http);
	}

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		
		/**
		 * 普通用户权限设置
		 */
		auth.inMemoryAuthentication()
		.passwordEncoder(new BCryptPasswordEncoder())
		.withUser("user") 
		/*密码需进行编码存储,否则匹配时,会自动进行解码操作*/
		.password(new BCryptPasswordEncoder().encode("user123")).roles("USER");
		
		/**
		 * 管理员权限设置
		 */
		auth.inMemoryAuthentication()
		.passwordEncoder(new BCryptPasswordEncoder()).withUser("manager") 
		.password(new BCryptPasswordEncoder().encode("manager123")).roles("MANAGER");
	}
}

3、controller层代码

@SpringBootApplication
@RestController
public class SecurityApp {
	
	@GetMapping("/")
	public String hello() {
		return "Welcome to hello page";
	}
	
	@GetMapping("/user")
	public String userPage() {
		return "user page";
	}
	
	@GetMapping("/manager")
	public String managerPage() {
		return "manager page";
	}
	
	@GetMapping("/logoutSuccess")
	public String logoutPage() {
		return "logout success!";
	}
	
	public static void main(String[] args) {
		SpringApplication.run(SecurityApp.class, args);
	}
}

4、使用SpringSecurity结合SpringDataJpa实现RBAC模式权限管理

1、使用登录成功/失败后置处理–Handler
成功Handler

@Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler{
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {
		response.setContentType("application/json; charset=utf-8");
		response.sendRedirect("/user");
	}
}

失败Handler

@Component
public class LoginFailureHandler implements AuthenticationFailureHandler {
	@Override
	public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) throws IOException, ServletException {
		System.out.println("登录失败!");
		response.sendRedirect("/logoutFailure");
	}
}

2、实体类继承UserDetails并实现authorities的list以及dao接口
实体类

@Entity
@Table(name = "security_user")
@Data
public class SecurityUser implements UserDetails{
	
	private static final long serialVersionUID = 1L;

	@Id
	@GeneratedValue(strategy = GenerationType.IDENTITY)
	@Column(name = "id")
	private Integer id;
	
	@Column(name = "username")
	private String username;
	
	@Column(name = "password")
	private String password;
	
	/*GrantedAuthority接口的默认实现SimpleGrantedAuthority*/
	@ElementCollection(targetClass = GrantedAuthority.class) 
	private List<GrantedAuthority> authorities;

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		return this.authorities;
	}

	@Override
	public boolean isAccountNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean isEnabled() {
		// TODO Auto-generated method stub
		return true;
	}
}

dao接口

public interface UserDao extends JpaRepository<SecurityUser, Integer>, JpaSpecificationExecutor<SecurityUser> {
	@Query(value = "select * from security_user as u where u.username = ?1",nativeQuery = true)
	SecurityUser getUserByUsername(String username);
}

3、实现UserDetailsService并配置user

@Service
public class UserDetailServiceImp implements UserDetailsService {
	
	@Autowired
	private UserDao userDao;
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {	
		
		PasswordEncoder encoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();
		SecurityUser user = userDao.getUserByUsername(username);
		user.setUsername(username);
		user.setPassword(encoder.encode(user.getPassword()));
		//user.setPassword(user.getPassword());
		
		List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
		GrantedAuthority authority = new SimpleGrantedAuthority("ROLE_USER");
		authorities.add(authority);
		user.setAuthorities(authorities);
		
		return user;
	}
}

4、WebSecurityConfig注入UserDetailsService实现类及其他配置

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private LoginSuccessHandler successHandler;

	@Autowired
	private LoginFailureHandler failureHandler;

	@Autowired
	private UserDetailsService userDetailServiceImp;

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		/**
		 * session管理策略 ALWAYS---总是创建HttpSession IF_REQUIRED---Spring
		 * Security只会在需要时创建一个HttpSession NEVER---Spring
		 * Security不会创建HttpSession,但如果它已经存在,将可以使用HttpSession STATELESS---Spring
		 * Security永远不会创建HttpSession,它不会使用HttpSession来获取SecurityContext
		 */
		http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);
		http.authorizeRequests()
				/**
				 * 设置用户及角色认证,控制controller的访问权限
				 */
				.antMatchers("/user/**").hasRole("USER")
				.antMatchers("/manager").hasRole("MANAGER")
				// 登出跳转
				.antMatchers("/logoutSuccess").permitAll()
				.antMatchers("/").permitAll().and().formLogin() // 基于表单登录
				.permitAll() // 允许访问登录
				.successHandler(successHandler).failureHandler(failureHandler)
				/* 指定登录页 */
				// .loginPage("/login")

				/* 指定登录时访问的URL */
				// .loginProcessingUrl("/security/login")

				.and().logout()
				/* 退出时访问的url */
				.logoutUrl("/logout")
				/**
				 * 注意logoutSuccessUrl不要与logoutSuccessHandler一起使用,否则logoutSuccessHandler将失效。
				 */

				/* 退出成功后要做的操作(如记录日志),和logoutSuccessUrl互斥 */
				// .logoutSuccessHandler(new CoreqiLogoutSuccessHandler())

				/* 退出成功后跳转的页面--需配置权限,否则会转向登录页 */
				.logoutSuccessUrl("/logoutSuccess")

				/* 退出时要删除的Cookies的名字 */
				// .deleteCookies("JSESSIONID")

				.and()
				// csrf是Spring Security提供的跨站请求伪造防护功能
				.csrf().disable();
		super.configure(http);
	}

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(userDetailServiceImp);
	}
}
SpringSecurity-springsecurity
09-14
SpringSecurity是一套功能强大且高度可定制的身份验证和访问...而给定的压缩包文件则可能是一个基于SpringSecurity的项目文件结构,其中包含了项目的基本配置和源代码,为理解和使用SpringSecurity提供了必要的基础。
spring-boot spring-security-oauth2 完整demo
11-22
在这个完整的demo中,开发者已经构建了一个使用Spring Boot、Spring Security和OAuth2的系统。关键在于如何配置OAuth2以实现微信式授权。微信授权流程通常包括以下步骤: 1. 用户访问应用,应用重定向至微信授权...
SpringSecurity 基本使用
CLismy的博客
03-23 186
一:导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二:添加配置文件 在配置文件上添加@EnableWebSecurity 注解,并使得该类继承 WebSecur
SpringSecurity1-基本使用
growing_duck的博客
06-21 222
SringSecurity基本使用
springSecurity基本使用
jiemaio的博客
07-04 181
引入坐标 <!-- security得依赖使用 坐标 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> &l...
SpringSecurity WebSecurityConfigurerAdapter类使用
slj821的博客
03-19 4872
SpringSecurity WebSecurityConfigurerAdapter类使用目录一.通过全注解写SQL程序说明程序说明 目录 WebSecurityConfigurerAdapter 类是个适配器, 在配置SecurityConfig时需要我们自己写个配置类去继承这个适配器,根据需求重写适配器的方法. 一.通过全注解写SQL @Configuration @EnableWebSec...
SPRING SECURITY JAVA配置:Web Security
飞鸟
03-02 2218
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。 Hello Web Security 在这个部分,我们对一个基于web的security作一些基本的配置。可以分成四个部分: 更新依赖 – 我们已经在前一篇文章中用Mav
spring-security-oauth2文档
03-26
为了使用该库中的自动配置功能,需要添加`spring-security-oauth2`依赖项,该依赖项包含了OAuth 2.0的基本组件;还需要添加`spring-security-oauth2-autoconfigure`依赖项。需要注意的是,由于`spring-security-...
springsecurity-collection:springsecurity安全框架的一些使用
04-28
安全框架SpringSecurity基本应用 test-ss-11 集成spring security 自定义认证成功和认证失败的handler 自定义访问拒绝的handler(权限不足) 自定义退出登录成功的handler MockUserList是模拟用户列表 authorize...
01-SpringSecurity-Demo.zip
09-18
此外,配合博主的Spring全家桶之SpringSecurity的博文阅读,可以更系统地学习SpringSecurity的配置、使用和最佳实践,从而提升你在安全领域的专业技能。记住,实践是检验理论的最好方式,动手操作这些示例代码,将是...
spring mvc+security所有的jar包
04-19
org.springframework.aop-sources-3.0.2.RELEASE.jar org.springframework.web.servlet-sources-3.0.2.RELEASE.jar org.springframework.web.struts-sources-3.0.2.RELEASE.jar org.springframework.web-sources-3.0.2.RELEASE.jar org.springframework.jdbc-sources-3.0.2.RELEASE.jar
SpringSecurity使用
LD_HH的博客
09-02 1250
①、解决默认进入login页面的方法 当我们在创建springboot的时候选择了springsecurity maven就会发现一直跳转在springsecurity自带的login页面 1、直接将maven去除 2、加上(exclude = {SecurityAutoConfiguration.class}) //取消登录验证 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 3、可以设置login的账号和
12.SpringSecurity-web权限方案-用户授权(基于权限访问控制)
自能生羽翼,何必仰云梯
04-11 365
hasAuthority方法   如果当前的主体具有指定的权限,则返回 true,否则返回 false;   1.在WebSecurityConfig.configure(HttpSecurity http)方法中,增加如下配置: //当前登录用户,只有具备admins权限才可以访问这个路径 .antMatchers("/test/index").hasAuthority("admins")   2.在UserDetailsService的实现类中赋予admins权限 //权限 List<Grant
Spring Security学习(一)UserDetailsService接口讲解、PassWordEncoder接口讲解、设置登录系统的账号,密码
qq_43644273的博客
12-11 4155
目录
java安全认证_SpringBoot安全认证Security的实现方法
weixin_39859220的博客
02-12 430
一、基本环境搭建父pom依赖org.springframework.bootspring-boot-starter-parent2.0.3.RELEASE1. 添加pom依赖:org.springframework.bootspring-boot-starter-security2. 创建测试用Controller@RestControllerpublic class TestController...
WebSecurityConfig 设置忽略拦截
nayi_224的博客
08-17 4093
这是官方文档给出的基本配置,默认会拦截所有路径 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.co
【SpringBoot】之Security进阶使用
weixin_74352229的博客
12-22 1310
上一期的博客中我们一起了解了什么是Security,以及在SpringBoot中集成Security使用,以及一些的基础用法和一些案例演示。今天的这期博客基于上期博客进一步完善使用,请仔细阅读。
Spring Security 基础使用教程
最新发布
qq_44286009的博客
05-23 1063
实际的项目开发中,我们往往会自定义一个登录的页面,而不会使用spring security提供的默认登录页面进行登录。所以下面将介绍如何自定义这些配置。引入thymeleaf依赖创建templates文件夹,创建登录页面,登录成功页面,登录失败页面和index页面,放入templates中。其中登录页面的代码如下:新建配置类新建一个controller访问http://localhost:8080/index.html进入我们自定义的登录界面。
(四)Spring Security基于数据库的用户认证
惜阳
07-10 1981
目录一:核心组件值之UserDetails二:核心组件值之UserDetailsService三:WebSecurityConfig配置userDetailsService项目地址 我们接着上一章(三)Spring Security增加验证码验证,进行开发 一:核心组件值之UserDetails UserDetails => Spring Security基础接口,包含某个用户的账号,密码,...
下载spring-security-3.0.8.RELEASE官方压缩包
用户下载后可以解压该压缩文件以开始使用Spring Security框架。 标签“security-3.0”是与标题中提到的版本号相对应的,表示这是一个标记,用于标识和检索与Spring Security 3.0相关的资源或文档。 在文件名称列表...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值