springboot2 安全配置

最新推荐文章于 2023-02-02 11:18:43 发布
最新推荐文章于 2023-02-02 11:18:43 发布
阅读量488 收藏 1
点赞数 1
分类专栏: Java SpringBoot/Cloud 开发 文章标签: java security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/YKenan/article/details/99696796
版权

springboot2 安全配置

1. 结构

在这里插入图片描述

1.1 导包

版本对应: thymeleaf3 - - - layout2 - - - security3
springboot2 默认 thymeleaf-extras-springsecurity5 是 3 版本

<properties>
    <java.version>1.8</java.version>
    <!-- thymeleaf3 版本 对应 layout2 版本 -->
    <thymeleaf.version>3.0.11.RELEASE</thymeleaf.version>
    <thymeleaf-layout-dialect.version>2.4.1</thymeleaf-layout-dialect.version>
</properties>

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.thymeleaf.extras</groupId>
        <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

1.2 前台页面

只显示 index.html 和 userLogin.html 其它页简单

1.2.1 index.html
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta name="keywords" content="maven, index"/>
    <title>index</title>
    <link rel="stylesheet" type="text/css" th:href="@{/css/bootstrap.min.css}"/>
</head>
<body>
<div class="container">
    <h1>首页</h1>
    <br/>
    <div sec:authorize="!isAuthenticated()">
        <h4>游客你好! <a th:href="@{/user_login}">登录</a></h4>
    </div>
    <div sec:authorize="isAuthenticated()">
        <h4>
            <span sec:authentication="name"></span> 您好! 您的角色有: <span sec:authentication="principal.authorities"></span>
        </h4>
        <form th:action="@{/logout}" method="post">
            <input class="btn" type="submit" value="LOGOUT">
        </form>
    </div>
    <br/>

    <h2>0</h2>
    <a th:href="@{/vip_0/1}">Ordinary users1</a><br/>
    <a th:href="@{/vip_0/2}">Ordinary users2</a><br/>
    <a th:href="@{/vip_0/3}">Ordinary users3</a><br/>

    <div sec:authorize="hasRole('VIP')">
        <h2>VIP</h2>
        <a th:href="@{/vip_1/1}">VIP user1</a><br/>
        <a th:href="@{/vip_1/2}">VIP user2</a><br/>
        <a th:href="@{/vip_1/3}">VIP user3</a><br/>
    </div>

    <div sec:authorize="hasRole('mVip')">
        <h2>MVIP</h2>
        <a th:href="@{/mVip/1}">MVIP user1</a><br/>
        <a th:href="@{/mVip/2}">MVIP user2</a><br/>
        <a th:href="@{/mVip/3}">MVIP user3</a><br/>
    </div>

</div>
<script th:src="@{/js/jquery-3.3.1.min.js}" type="text/javascript" charset="utf-8"></script>

</body>
</html>
1.2.2 userLogin.html

定制登入页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
    <meta name="keywords" content="maven, index"/>
    <title>index</title>
    <link rel="stylesheet" type="text/css" th:href="@{/css/bootstrap.min.css}"/>
</head>
<body>


<div class="container">
    <div class="text-center">
        <h1>欢迎来到这里查看安全权力</h1>
    </div>
    <hr/>
    <div class="row">
        <div class="col-4"></div>
        <div class="col-4">
            <form method="post" th:action="@{/user_login}">
                <p>
                    <label for="user"> Username
                        <input type="text" id="user" name="user" class="form-control" placeholder="Username">
                    </label>
                </p>
                <p>
                    <label for="password"> Password
                        <input type="password" id="password" name="password" class="form-control" placeholder="Password">
                    </label>
                </p>
                <p>
                    <label for="remember">
                        <input id="remember" type="checkbox" name="remember"> Remember me on this computer.
                    </label>
                </p>
                <button class="btn btn-lg btn-primary btn-block" type="submit">Sign in</button>
            </form>
        </div>
        <div class="col-4"></div>
    </div>

</div>

</body>
</html>

1.3 controller 层

IndexController.java

package com.ykenan.ykenan.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class IndexController {

    @GetMapping("/index")
    public String index() {
        return "index";
    }

    @GetMapping("/user_login")
    public String user_login() {
        return "userLogin";
    }

    @GetMapping("/mVip/1")
    public String mVip1() {
        return "mVip1";
    }

    @GetMapping("/mVip/2")
    public String mVip2() {
        return "mVip2";
    }

    @GetMapping("/mVip/3")
    public String mVip3() {
        return "mVip3";
    }

    @GetMapping("/vip_0/1")
    public String vip01() {
        return "vip01";
    }

    @GetMapping("/vip_0/2")
    public String vip02() {
        return "vip02";
    }

    @GetMapping("/vip_0/3")
    public String vip03() {
        return "vip03";
    }

    @GetMapping("/vip_1/1")
    public String vip11() {
        return "vip11";
    }

    @GetMapping("/vip_1/2")
    public String vip12() {
        return "vip12";
    }

    @GetMapping("/vip_1/3")
    public String vip13() {
        return "vip13";
    }

}

1.4 安全配置

认证, 授权, 权限控制, 注销, 网页记住

在这里插入图片描述

package com.ykenan.ykenan.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.factory.PasswordEncoderFactories;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * EnableWebSecurity: Introducing Security Configuration Permissions.
 */
@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * Define authorization rules.
     * @param http http
     * @throws Exception Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        /* Setting Path Access Permissions. */
        http.authorizeRequests().mvcMatchers("/index", "/vip_0/**")
                .permitAll()
                .mvcMatchers("/vip_1/**").hasAnyRole("VIP")
                .mvcMatchers("/mVip/**").hasAnyRole("mVip");
        /* Turn on automatic configuration function. */
        http.formLogin().usernameParameter("user").passwordParameter("password").loginPage("/user_login");
        /* Turn on remember me function. */
        http.rememberMe().rememberMeParameter("remember");
        /* Turn on logout function. */
        http.logout().logoutSuccessUrl("/");
    }

    /**
     * Define authorization rules.
     * @param auth auth
     * @throws Exception Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //super.configure(auth);
        auth.inMemoryAuthentication().passwordEncoder(passwordEncoder())
                .withUser("user_VIP").password(passwordEncoder().encode("123456")).roles("VIP")
                .and()
                .withUser("user_MVIP").password(passwordEncoder().encode("456789")).roles("VIP", "mVip");
    }


    /**
     * Support multiple encoding, distinguish encoding methods by prefix of password.
     * @return PasswordEncoder
     */
    @Bean
    PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }

}

2. 添加(option)

若项目中用到了 druid, 会对其进行 csrf 校验, 报 403 错误.

需要加上下面这个

/* Checking CSRF of Druid with security ignored. */
http.csrf().ignoringAntMatchers("/druid/*");
YKenan
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot 安全管理
weixin_68651384的博客
06-14 912
针对项⽬的安全管理,Spring家族提供了安全框架Spring Security,它是⼀个基于Spring⽣态圈的,⽤于提供安全 访问控制解决⽅案的框架。为了⽅便Spring Boot项⽬的安全管理,Spring Boot对Spring Security安全框架进⾏了 整合⽀持,并提供了通⽤的⾃动化配置,从⽽实现了Spring Security安全框架包含的多数安全管理功能,下⾯针 对常⻅的安全管理功能进⾏介绍,具体如下。
Spring Boot如何优雅提高接口数据安全
weixin_41821642的博客
05-08 381
如果插入的新值小于已存在的主键,这时候处理很简单,这时候只需要将这行数据放入当前索引最后一行数据所在数据页,假如数据页已满,就新增一个数据页即可,但是插入新值得顺序在间的话就比较麻烦了,根据 B+ 树的算法,这时候需要申请一个新的数据页,然后挪动部分数据过去。优化器选择索引的目的,是找到一个最优的执行方案,并用最小的代价去执行语句。基于非主键索引的查询需要多扫描一棵索引树,因为非主键索引的叶子节点内容存的是主键的值,我们需要根据非主键索引找到对应的主键值,再根据主键去主键索引树查找一遍,这个过程叫做。
SpringBoot——安全
长不大的大灰狼
01-22 1053
SpringBoot——安全一、Spring Security1、基本概念2、引入依赖3、编写Security配置类 一、Spring Security 1、基本概念 两个安全框架:shiro、Spring Security Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。 We
SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
m0_71777195的博客
02-02 1194
因为一次正常的HTTP请求,从发出到达服务器一般都不会超过60s,所以服务器收到HTTP请求之后,首先判断时间戳参数与当前时间比较,是否超过了60s,如果超过了则认为是非法请求。这种方案nonce和timestamp参数都作为签名的一部分传到后端,基于timestamp方案可以让黑客只能在60s内进行重放攻击,加上nonce随机数以后可以保证接口只能被调用一次,可以很好的解决重放攻击问题。我们知道http 是一种无状态的协议,服务端并不知道客户端发送的请求是否合法,也并不知道请求的参数是否正确。
SpringBoot配置属性之Security
CODE男孩的博客
11-25 1万+
序 spring securityspringboot支持的权限控制系统。 security.basic.authorize-mode要使用权限控制模式. security.basic.enabled是否开启基本的鉴权,默认为true security.basic.path需要鉴权的path,多个的话以逗号分隔,默认为[/**] security.basic.r
springboot安全管理系统.zip
08-18
总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。最后对系统进行功能测试,并对测试结果...
springboot安全管理系统毕业设计.zip
08-20
总体设计主要包括系统功能设计、系统总体结构设计、系统数据结构设计和系统安全设计等;详细设计主要包括系统数据库访问的实现,主要功能模块的具体实现,模块实现关键代码等。最后对系统进行功能测试,并对测试结果...
springboot配置https访问的方法
08-26
主要介绍了springboot配置https访问的方法,需要的朋友可以参考下
基于SpringBoot的公交安全管理系统设计源码
04-04
文件类型包括133个XML配置文件、46个Java源代码文件、12个JavaScript脚本文件、11个PNG图片文件、8个JSP页面文件、7个HTML页面文件、6个CSS样式文件、3个GIF图片文件、2个Idea项目文件和2个TXT文本文件。该项目是一...
MagicErp是使用java语言开发,基于SpringBoot2.X架构体系构建的一套erp系统
最新发布
04-09
MagicErp是使用java语言开发,基于SpringBoot2.X架构体系构建的一套erp系统,主要包含采购管理、仓库管理、销售管理、商品管理、库存报表、基础配置和系统配置等功能,细节上包含采购入库、订单销售、出库发货、库存...
SpringBoot】最通俗易懂的安全管理机制(Spring Security
weixin_47418550的博客
04-23 967
通俗易懂的SpringBootSecurity安全机制入门学习
springboot 2.2 整合Security
一叶知秋Plus
01-03 2778
一、项目结构: 二、pom.xml文件 ... <properties> <java.version>1.8</java.version> <thymeleaf.version>3.0.11.RELEASE</thymeleaf.version> <thymeleaf...
关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有用
邹浩阳的专栏
08-25 7万+
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用:@PreAuthorize("hasRole('ROLE_ADMIN')")注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果
SpringBoot - 安全入门与SpringSecurity
小小默:进无止境
07-09 3659
市面上有两种常见的安全框架,Shiro和SpringSecurity。功能都很强大,用户数量也都很多。SpringSecurity优势在于能和Spring无缝衔接。 Shiro系列教程:https://blog.csdn.net/j080624/article/category/7006814 Shiro官网地址:https://shiro.apache.org/ Spring Securi...
springboot 2.4 随手笔记
tianyadaoke2020的博客
08-30 4021
2.1 Using the “default” Package 最好避免用default 包 2.2 main函数主类加@SpringBootApplication,如果不用的话,可以用@EnableAutoConfiguration和@ComponentScan代替 2.3 配置类 @Configuration 最好用配置类,不要用xml 3.1 增加配置类 不需要把配置类都写在一个类,可以用@Import导入其他配置类, 或者用ComponentScan 自动装配spring组件,包括@Config
学习在IDEA使用SpringBoot(十三)Spring Boot 与安全
qq_41884677的博客
08-03 184
一. 概念 二. web&安全 三. 代码实现 引入依赖 config配置类 @EnableWebSecurity public class MySecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurit...
springboot2整合安全
spelling_的博客
07-06 93
springboot2整合安全1、整合springSecurity2、整合shiro 1、整合springSecurity 2、整合shiro 计划任务 完成任务
SpringBoot安全管理 ——模块2:Spring Security 基于数据库的认证
永远年轻
02-26 337
Spring Security 基于数据库的认证 上一篇所介绍的认证数据都是直接定义在内存,而在真实项目,用户的信息肯定都是存放在数据库,因此如何从数据库获取数据进行认证,本篇将介绍如何基于数据库做认证 1.设计数据库 首先需要设计一个数据库,里面有三张表,分别是用户表,角色表,用户角色关联表 user 表字段如下: role 表字段如下: user_role 表字段如下: 2.创建...
SpringBoot安全线程锁工具类
热门推荐
Good Luck
09-01 8万+
这几日对接物联网项目,前端请求数据,后端接口发起TCP请求,由另一个线程来接收数据,这时候需要阻塞前端发起的请求,直到TCP接收数据完毕,再返回数据给前端。特此写了一个工具类 import java.util.concurrent.ConcurrentHashMap; import java.util.concurrent.locks.LockSupport; public class LockSupportUtil { //存放线程引用的全局容器 public static fina
springboot OAuth2安全配置
06-10
在Spring Boot配置OAuth2安全性需要进行以下步骤: 1. 添加Spring Security和OAuth2依赖 在pom.xml文件添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值