Spring Security之web权限方案

最新推荐文章于 2024-04-11 15:01:07 发布
最新推荐文章于 2024-04-11 15:01:07 发布
阅读量378 收藏 1
点赞数
分类专栏: Spring Security + Shiro SpringBoot 文章标签: web权限方案 springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yearingforthefuture/article/details/117233713
版权

1. 认证

1.1 方式一

通过配置文件进行设置认证
application.properties

spring.security.user.name=root
spring.security.user.password=123456

1.2 方式二

通过配置类进行设置认证
在config文件夹下创建一个securityConfig.java
SecurityConfig.java

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123456");
        auth.inMemoryAuthentication().withUser("admin").password(password).roles("admin");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

1.3 方式三

通过自定义编写实现类进行设置认证
第一步创建配置类,设置使用哪个userDetailsService实现类
SecurityConfig2.java

@Configuration
public class SecurityConfig2 extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

第二步编写实现类,返回User对象,User对象有用户名密码和操作权限

@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<GrantedAuthority> roles = AuthorityUtils.commaSeparatedStringToAuthorityList("roles");
        return new User("qwe123",new BCryptPasswordEncoder().encode("123456"),roles);

    }
}

authorities不允许为Null
在这里插入图片描述

1.4 实现数据库来认证用户登录

1.4.1 准备数据库

CREATE TABLE users(
	id BIGINT PRIMARY KEY AUTO_INCREMENT,
	username VARCHAR(20) UNIQUE NOT NULL,
	PASSWORD VARCHAR(100)
);

INSERT INTO users VALUES(1,'张san','123');
INSERT INTO users VALUES(2,'李si','456');

1.4.2 搭建项目

在这里插入图片描述

1.4.3 导入依赖

pom.xml

<dependencies>
   <dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-web</artifactId>
   </dependency>
   <!--mybatis-plus-->
   <dependency>
       <groupId>com.baomidou</groupId>
       <artifactId>mybatis-plus-boot-starter</artifactId>
       <version>3.2.0</version>
   </dependency>
   <!--spring security-->
   <dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-security</artifactId>
   </dependency>
   <!--mysql驱动-->
   <dependency>
       <groupId>mysql</groupId>
       <artifactId>mysql-connector-java</artifactId>
   </dependency>
   <!--lombok-->
   <dependency>
       <groupId>org.projectlombok</groupId>
       <artifactId>lombok</artifactId>
   </dependency>
   <dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-test</artifactId>
       <scope>test</scope>
   </dependency>
   <dependency>
       <groupId>org.springframework.security</groupId>
       <artifactId>spring-security-test</artifactId>
       <scope>test</scope>
   </dependency>
</dependencies>

<build>
   <plugins>
       <plugin>
           <groupId>org.springframework.boot</groupId>
           <artifactId>spring-boot-maven-plugin</artifactId>
       </plugin>
   </plugins>
</build>

1.4.4 编写实体类

User.java

@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    private int id;
    private String name;
    private String pwd;
}

1.4.5 编写Mapper文件

UsersMapper.java

@Repository
public interface UsersMapper extends BaseMapper<Users> {
}

1.4.6 编写配置文件

application.properties

# 配置数据源
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/springsecurity?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8
spring.datasource.username=root
spring.datasource.password=123456

1.4.7 开启Mapper扫描

Springboot05SpringSecurityApplication.java

@SpringBootApplication
@MapperScan("com.test.mapper")
public class Springboot05SpringSecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(Springboot05SpringSecurityApplication.class, args);
    }

}

1.4.8 编写security配置文件

SecurityConfig.java

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

1.4.9 编写实现类

UserDetailServiceImpl.java

@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("username",username);
        Users user = usersMapper.selectOne(wrapper);
        if (user == null) {
            throw new UsernameNotFoundException("认证失败!");
        }
        List<GrantedAuthority> roles = AuthorityUtils.commaSeparatedStringToAuthorityList("roles");
        return new User(user.getUsername(),new BCryptPasswordEncoder().encode(user.getPassword()),roles);
    }
}

1.4.10 编写controller层

TestController.java

@RestController
public class TestController {

    @RequestMapping("/test")
    public String test() {
        return "ok";
    }
}

1.4.11 启动启动类进行测试

在浏览器输入:http://localhost:8080/test

  1. 输入错误的账号和密码
    在这里插入图片描述
  2. 输入正确的账号和密码
    在这里插入图片描述

1.5 自定义登录页面

1.5.1 导入依赖

<!--thymeleaf-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>

1.5.2 自定义页面配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //自定义登录页面
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()//自定义登录页面
            .loginPage("/login.html")//登录页面设置
            .loginProcessingUrl("/user/login")//登录页面的访问路径
            .defaultSuccessUrl("/test").permitAll()//登录成功的访问路径
            .and().authorizeRequests()
                  .antMatchers("/","/test","/user/login").permitAll()
            .anyRequest().authenticated()
            .and().csrf().disable();//关闭csrf防护
    }
}

1.5.3 编写login.html页面

login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
    <form action="/user/login" method="post">
        用户名:<input type="text" name="username"><br/>
        密码: <input type="text" name="password"><br/>
        <input type="submit" value="login">
    </form>
</body>
</html>

注意:页面提交方式必须为 post 请求,所以上面的页面不能使用,用户名,密码必须为username,password
原因:
在执行登录的时候会走一个过滤器 UsernamePasswordAuthenticationFilter
在这里插入图片描述
如果修改配置可以调用 usernameParameter()和 passwordParameter()方法。

<form action="/login"method="post">
	用户名:<input type="text"name="loginAcct"/><br/>
	密码:<input type="password"name="userPswd"/><br/>
	<input type="submit"value="提交"/>
</form>

在这里插入图片描述

1.5.4 启动启动类进行测试

在浏览器输入:http://localhost:8080/index
在这里插入图片描述

在这里插入图片描述

2. 授权

2.1 基于权限进行访问控制

2.1.2 hasAuthority 方法

如果当前的主体具有指定的权限,则返回 true,否则返回 false

  • 修改配置类
    在这里插入图片描述
  • 测试:
    在这里插入图片描述
  • 在UserDetailService中的将限修改为admins
    在这里插入图片描述
  • 测试:
    在这里插入图片描述
  • 缺点:对多个权限不能设置同一个路径

2.1.2 hasAnyAuthority 方法

如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回true.

  • 修改配置类
    在这里插入图片描述
  • 在UserDetailService中的将限修改为admins或两个都可以,只要其中一个权限就可以访问
    在这里插入图片描述
  • 测试:
    在这里插入图片描述

2.2 基于角色进行访问控制

2.2.1 hasRole 方法

如果用户具备给定角色就允许访问,否则出现 403。
如果当前主体具有指定的角色,则返回 true

底层源码:
在这里插入图片描述

  • 修改配置
    在这里插入图片描述
    查看源码可知,我们给用户赋角色时记得在前面加ROLE_
    在这里插入图片描述
  • 测试:
    在这里插入图片描述

2.2.2 hasAnyRole方法

表示用户具备任何一个条件都可以访问。

  • 修改配置类
    在这里插入图片描述
  • 给用户添加角色:只要其中一个角色就可以访问
    在这里插入图片描述

2.3 自定义403页面

默认403页面
在这里插入图片描述

  • 修改配置类

在这里插入图片描述

  • 添加控制器
@RequestMapping("/to403")
public String to403() {
    return "view/403";
}
  • 添加403.html
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>403</title>
</head>
<body>
    <h1>403页面</h1>
</body>
</html>
  • 测试
    在这里插入图片描述

2.4 注解使用

2.4.1 @Secured

判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。

  1. 使用注解先要开启注解功能!
@SpringBootApplication
@MapperScan("com.test.mapper")
@EnableGlobalMethodSecurity(securedEnabled = true)
public class Springboot05SpringSecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(Springboot05SpringSecurityApplication.class, args);
    }

}
  1. 在控制器方法上添加注解
@RequestMapping("/update")
    @ResponseBody
    @Secured({"ROLE_user","ROLE_menu"})
    public String update() {
        return "hello update";
    }
  1. 添加用户角色
@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("username",username);
        Users user = usersMapper.selectOne(wrapper);
        if (user == null) {
            throw new UsernameNotFoundException("认证失败!");
        }
        List<GrantedAuthority> roles = AuthorityUtils.
                commaSeparatedStringToAuthorityList("admins,manager,ROLE_user,ROLE_menu");
        return new User(user.getUsername(),new BCryptPasswordEncoder().encode(user.getPassword()),roles);
    }
}
  1. 测试
    在这里插入图片描述

2.4.2 @PreAuthorize

@PreAuthorize:注解适合进入方法前的权限验证, @PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中。

  1. 先开启注解功能:
@SpringBootApplication
@MapperScan("com.test.mapper")
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class Springboot05SpringSecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(Springboot05SpringSecurityApplication.class, args);
    }

}
  1. 在控制器方法上添加注解
@RequestMapping("/update")
	@ResponseBody
	//@Secured({"ROLE_user","ROLE_menu"})
	@PreAuthorize("hasAnyAuthority('admins')")
	public String update() {
	    return "hello update";
}
  1. 添加用户角色
@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("username",username);
        Users user = usersMapper.selectOne(wrapper);
        if (user == null) {
            throw new UsernameNotFoundException("认证失败!");
        }
        List<GrantedAuthority> roles = AuthorityUtils.
                commaSeparatedStringToAuthorityList("admins,manager,ROLE_user,ROLE_menu");
        return new User(user.getUsername(),new BCryptPasswordEncoder().encode(user.getPassword()),roles);
    }
}
  1. 测试
    在这里插入图片描述

2.4.3 @PostAuthorize

@PostAuthorize 注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值的权限.

  1. 先开启注解功能
@SpringBootApplication
@MapperScan("com.test.mapper")
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class Springboot05SpringSecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(Springboot05SpringSecurityApplication.class, args);
    }

}
  1. 在控制器方法上添加注解
@RequestMapping("/update")
@ResponseBody
//@Secured({"ROLE_user","ROLE_menu"})
//@PreAuthorize("hasAnyAuthority('admins')")
@PostAuthorize("hasAnyAuthority('admins')")
public String update() {
    return "hello update";
}
  1. 添加用户角色
@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("username",username);
        Users user = usersMapper.selectOne(wrapper);
        if (user == null) {
            throw new UsernameNotFoundException("认证失败!");
        }
        List<GrantedAuthority> roles = AuthorityUtils.
                commaSeparatedStringToAuthorityList("admins,manager,ROLE_user,ROLE_menu");
        return new User(user.getUsername(),new BCryptPasswordEncoder().encode(user.getPassword()),roles);
    }
}
  1. 测试
    在这里插入图片描述

2.4.4 @PostFilter

@PostFilter :权限验证之后对数据进行过滤
留下用户名是 admin1 的数据表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

  1. 在控制器方法上添加注解
@RequestMapping("getAll")
@PostAuthorize("hasAnyAuthority('admins')")
@PostFilter("filterObject.username == 'admin1'")
@ResponseBody
public List<Users> getAllUser(){
    ArrayList<Users> list = new ArrayList<>();
    list.add(new Users(1,"admin1","6666"));
    list.add(new Users(2,"admin2","888"));
    return list;
}
  1. 添加用户角色
@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("username",username);
        Users user = usersMapper.selectOne(wrapper);
        if (user == null) {
            throw new UsernameNotFoundException("认证失败!");
        }
        List<GrantedAuthority> roles = AuthorityUtils.
                commaSeparatedStringToAuthorityList("admins,manager,ROLE_user,ROLE_menu");
        return new User(user.getUsername(),new BCryptPasswordEncoder().encode(user.getPassword()),roles);
    }
}
  1. 测试

在这里插入图片描述

2.4.5 @PreFilter

@PreFilter: 进入控制器之前对数据(传入的参数)进行过滤

  1. 在控制器方法上添加注解
 @RequestMapping("getTestPreFilter")
    @PostAuthorize("hasAnyAuthority('admins')")
    @PreFilter(value = "filterObject.id%2==0")
    @ResponseBody
    public List<Users> getTestPreFilter(@RequestBody List<Users>
                                                   list){
        list.forEach(t-> {
            System.out.println(t.getId()+"\t"+t.getUsername());
        });
        return list;
    }
  1. 添加用户角色
@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper wrapper = new QueryWrapper();
        wrapper.eq("username",username);
        Users user = usersMapper.selectOne(wrapper);
        if (user == null) {
            throw new UsernameNotFoundException("认证失败!");
        }
        List<GrantedAuthority> roles = AuthorityUtils.
                commaSeparatedStringToAuthorityList("admins,manager,ROLE_user,ROLE_menu");
        return new User(user.getUsername(),new BCryptPasswordEncoder().encode(user.getPassword()),roles);
    }
}
  1. 测试
    在这里插入图片描述
    在这里插入图片描述
    测试的 Json 数据:
[{
"id": "1",
"username": "admin",
"password": "666"
},{
"id": "2",
"username": "admins",
"password": "888"
},{
"id": "3",
"username": "admins11",
"password": "11888"
},{
"id": "4",
"username": "admins22",
"password": "22888"
}]

3. 用户注销

3.1在配置类中配置

//自定义登录页面
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.logout().logoutUrl("/loginOut").logoutSuccessUrl("/login").permitAll();
    //自定义403
    http.exceptionHandling().accessDeniedPage("/to403");
    http.formLogin()//自定义登录页面
        .loginPage("/login")//登录页面设置
        .loginProcessingUrl("/user/login")//登录页面的访问路径
        .defaultSuccessUrl("/success").permitAll()//登录成功的访问路径
        .and().authorizeRequests()
              .antMatchers("/","/test","/user/login","/login").permitAll()
            //当前登录用户带有admins权限
            //.antMatchers("/index").hasAuthority("admins")
            //.antMatchers("/index").hasAnyAuthority("admins,manager")
            //.antMatchers("/index").hasRole("user")
            //.antMatchers("/index").hasAnyRole("user,menu")
            .anyRequest().authenticated()
        .and().csrf().disable();//关闭csrf防护
}

3.2 编写controller

@RequestMapping("/success")
	public String success() {
	    return "view/success";
}

3.3 编写success.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    登录成功 <a href="/loginOut">注销</a>
</body>
</html>

4. 自动登录

4.1 自动登录实现的方式有

  1. cookie技术
  2. 安全框架机制实现

4.2 原理分析

在这里插入图片描述

4.3 功能实现

4.3.1 编写配置文件

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private DataSource dataSource;

    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        JdbcTokenRepositoryImpl tokenRepository = new JdbcTokenRepositoryImpl();
        tokenRepository.setDataSource(dataSource);
        //tokenRepository.setCreateTableOnStartup(true);//系统内部为我们创建表,第一次执行会创建,以后要执行就要删除掉!
        return tokenRepository;
    }
    @Autowired
    private UserDetailsService userDetailsService;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //记住我
        http.rememberMe().tokenRepository(persistentTokenRepository())
            .tokenValiditySeconds(60)//设置有效时长,单位为秒
            .userDetailsService(userDetailsService);
    }
}

4.3.2 编写前端

name为固定值:remember-me
在这里插入图片描述

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
    <form action="/user/login" method="post">
        用户名:<input type="text" name="username"><br/>
        密码: <input type="text" name="password"><br/>
        <input type="checkbox" name="remember-me"/>自动登录 <br/>
        <input type="submit" value="login">
    </form>
</body>
</html>

4.3.3 测试

登录后按F12可以看到存储remember-me这个cookie
在这里插入图片描述
数据库自动存储数据
在这里插入图片描述

5. CSRF

5.1 什么是CSRF

CSRF:跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。

这利用了 web 中用户身份验证的一个漏洞:简单的身份验证只能保证请求发自某个用户的浏览器,却不能保证请求本身是用户自愿发出的

从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,Spring Security CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。

5.2 了解原理

  1. 生成 csrfToken 保存到 HttpSession 或者 Cookie 中。
    在这里插入图片描述
    在这里插入图片描述
  2. SaveOnAccessCsrfToken 类有个接口 CsrfTokenRepository
    在这里插入图片描述
    在这里插入图片描述
  3. 当前接口实现类:HttpSessionCsrfTokenRepository,CookieCsrfTokenRepository
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
  4. 请求到来时,从请求中提取 csrfToken和保存的 csrfToken 做比较,进而判断当前请求是否合法。主要通过 CsrfFilter 过滤器来完成。

5.3 简单案例

5.3.1导入依赖

<dependency>
  <groupId>org.thymeleaf.extras</groupId>
  <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

5.3.2 编写配置文件

这句代码是关闭安全配置 csrf,因为默认是开启的,所以测试是需要注释掉,开启。

//http.csrf().disable();//关闭csrf防护

5.3. 3 在登录页面添加隐藏域

没加这句代码即使登录成功也会跳转到失败的页面

<input type="hidden"th:if="${_csrf}!=null"th:value="${_csrf.token}"name="_csrf"/>

内容参考:https://www.bilibili.com/video/BV15a411A7kP
仅用于学习!

Java追求者
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring security 权限管理jar包
12-07
security框架所需jar包 spring-security-config-3.1.0.RC2.jar spring-security-core-3.1.0.RC2.jar spring-security-taglibs-3.1.0.RC2.jar spring-security-web-3.1.0.RC2.jar
springsecuritySpring安全学习总结
01-29
在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 生成jwt 解析jwt 根据1,2实现对访问路径的权限拦截 使用 spring security 学习...
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3332
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
如何关闭SpringSecurity权限认证
weixin_43756775的博客
11-19 1万+
关键字:security ,shiro ,权限 ,放行 ,绕过 ,认证 不论是哪个授权方式都是基于拦截器做的处理,基于这一个原理,我们就可以通过放开拦截器来关闭掉权限框架的token校验 1.权限中都会有一个 xxx.java 类 继承 WebMvcConfigurer 类 如下 // 此处省略注解 public class MyMvcConfig implements WebMvcConfigurer { // 重写 【登陆拦截/拦截放行】 @Override public void addInte
Spring Security Web安全性解决方案
最新发布
HideonHacker的博客
04-11 637
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
Java Server理解与实践 —— 集成Spring Web Security
Mr_SeaTurtle_的博客
04-14 1086
本文介绍了如何集成Spring Web Security
WebSecurityConfig 设置忽略拦截
nayi_224的博客
08-17 3636
这是官方文档给出的基本配置,默认会拦截所有路径 import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.co
spring-security(一)java config加载机制-WebSecurityConfiguration
高枫的博客
01-26 2341
前言: spring security给我们提供了功能非常强大的安全保护机制,在使用时的配置也极其简单,在和spring boot工程集成的时候,简单到只需要我们用一个注解@EnableWebSecurity就可以把需要的过滤器都配置好,可是这一切是怎么发生的呢?在本系列文章的第一篇就让我们结合源码来一探究竟。 环境: spring boot 版本:1.5.4.RELEASE ...
全套Spring Security入门到项目实战课程
03-21
Spring Security安全性解决方案 Spring Security权限控制实现 Spring SecurityWeb应用安全 Spring Security用户认证流程 Spring Security用户授权管理 Spring SecuritySpring集成 Spring Security最佳实践 ...
spring security 参考手册中文版
02-01
Web - spring-security-web.jar 25 配置 - spring-security-config.jar 26 LDAP - spring-security-ldap.jar 26 ACL - spring-security-acl.jar 26 CAS - spring-security-cas.jar 26 OpenID - spring-security-...
SpringSecurity-从入门到精通 demo源码
06-21
​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证和授权。 ​ 认证:验证当前访问系统的...
java security 详解_SpringSecurity基础功能详解
weixin_39737831的博客
02-16 710
本篇目录:一、默认情况二、自定义用户认证三、自定义用户登录页面四、自定义登录成功、失败处理五、图形验证码六、记住我功能七、Session管理八、退出操作首先说明本文所用的SpringSecurity版本是2.0.4.RELEASE。下面逐个功能介绍。一、默认情况1、构建与配置1)pom.xmlorg.springframework.bootspring-boot-starter-security2...
java取消 验证_使用Spring Security Java配置时禁用基本身份验证
weixin_29577845的博客
02-25 1280
我正在尝试使用Spring Security Java配置保护Web应用程序的安全。这是配置的样子:@Configuration@EnableWebMvcSecuritypublic class SecurityConfiguration extends WebSecurityConfigurerAdapter {private String googleClientSecret;@Autowir...
Java权限管理|基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
qq_38200425的博客
12-09 3429
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证 1. 项目说明 主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限; 2.
security java的配置_SPRING SECURITY JAVA配置:Web Security
weixin_39626211的博客
02-22 199
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。Hello Web Security在这个部分,我们对一个基于websecurity作一些基本的配置。可以分成四个部分:更新依赖 – 我们已经在前一篇文章中用Maven进行了示范进行Spr...
SPRING SECURITY JAVA配置:Web Security
飞鸟
03-02 2126
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。 Hello Web Security 在这个部分,我们对一个基于websecurity作一些基本的配置。可以分成四个部分: 更新依赖 – 我们已经在前一篇文章中用Mav
javaConfig方式配置spring security
neweastsun的专栏
01-10 4565
javaConfig方式配置spring security 本文介绍javaConfig方式配置spring security,通过阅读可以了解无需xml配置且较容易地配置使用spring security。 从spring framework3.1开始并支持javaConfig方式,spring security3.2中扩展了该功能,通过使用@Configuration注解方式配置
关于WebSecurityConfig 继承 WebSecurityConfigurerAdapter
zaohaoding6760的博客
08-10 1万+
https://www.cnblogs.com/hyl8218/p/6212603.html
Spring Security Config : 注解 EnableWebSecurity 启用Web安全
热门推荐
Details Inside Spring
05-09 2万+
@EnableWebSecuritySpring Security用于启用Web安全的注解。通常将该注解用在某个Web安全配置类上(实现了接口WebSecurityConfigurer或者继承自WebSecurityConfigurerAdapter)。典型的使用例子如下 : @Configuration @EnableWebSecurity public class MyWebSecur...
spring security 6 自定义权限过滤器
11-11
Spring Security 6中自定义权限过滤器的步骤如下: 1.创建一个类并实现`org.springframework.web.filter.OncePerRequestFilter`接口。 2.覆盖`doFilterInternal`方法,该方法接收`HttpServletRequest`和`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值