JAVAEE细细看 框架23 - Spring Security集成

最新推荐文章于 2022-02-10 23:58:27 发布
最新推荐文章于 2022-02-10 23:58:27 发布
阅读量364 收藏
点赞数
分类专栏: java 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZMW_IOS/article/details/105888255
版权

Spring Security

01 - 扫描包

修改工程中的springmvc.xml文件,修改dubbo批量扫描的包
路径

<!‐‐批量扫描‐‐>
<dubbo:annotation package="com.ittest" />

02 - 引入配置文件

在springmvc.xml中添加

 <import resource="spring-security.xml"></import>

在工程中提供spring-security.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置哪些资源匿名可以访问(不登录也可以访问)-->
    <!--<security:http security="none" pattern="/pages/a.html"></security:http>
    <security:http security="none" pattern="/pages/b.html"></security:http>-->
    <!--<security:http security="none" pattern="/pages/**"></security:http>-->
    <security:http security="none" pattern="/login.html"></security:http>
    <security:http security="none" pattern="/css/**"></security:http>
    <security:http security="none" pattern="/img/**"></security:http>
    <security:http security="none" pattern="/js/**"></security:http>
    <security:http security="none" pattern="/plugins/**"></security:http>
    <!--
        auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
        use-expressions:是否使用spring security提供的表达式来描述权限
    -->
    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问
								DENY:浏览器拒绝当前页面加载任何Frame页面
    						SAMEORIGIN:frame页面的地址只能为同源域名下的页面
    						ALLOW-FROM:origin为允许frame加载的页面地址。
						-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则,/** 表示拦截所有请求-->
        <!--
            pattern:描述拦截规则
            asscess:指定所需的访问角色或者访问权限
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />
        
        <!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
        <!--
            login-page:指定登录页面访问URL
        -->
        <security:form-login
                login-page="/login.html"
                username-parameter="username"
                password-parameter="password"
                login-processing-url="/login.do"
                default-target-url="/pages/main.html"
                authentication-failure-url="/login.html"></security:form-login>

        <!--
          csrf:对应CsrfFilter过滤器
          disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
        -->
        <security:csrf disabled="true"></security:csrf>

        <!--
          logout:退出登录
          logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--
                    配置一个具体的用户,后期需要从数据库查询用户
            <security:user-service>
                <security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
            </security:user-service>
            -->
            <!--指定度密码进行加密的对象-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />
</beans>

以下资源需要放行:

	<security:http security="none" pattern="/login.html"></security:http>
   <security:http security="none" pattern="/css/**"></security:http>
   <security:http security="none" pattern="/img/**"></security:http>
   <security:http security="none" pattern="/js/**"></security:http>
   <security:http security="none" pattern="/plugins/**"></security:http>

所有页面认证通过就能访问,细粒度的权限控制在接口层controller中通过注解方式做:

		 <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />

登录完之后的首页更改为:

/pages/main.html

认证管理器就不需要注入bean了,只需要进行应用,名称为类名首字母小写

 <security:authentication-provider user-service-ref="springSecurityUserService">

03 - iframe放行

数据库中的密码有误,admin密码应该为:

admin/admin

$2a 10 10 10QjWSVpt35GMwq9sPSb6beu2Ctp5o5iQyZ/kbpHJlgkA.rpkEqtfLS

在<security:http auto-config=“true” use-expressions=“true”>中添加

<security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>

由于页面框架右边是使用iframe进行内嵌页面展示,需要添加策略,默认为DENY

DENY:浏览器拒绝当前页面加载任何Frame页面

SAMEORIGIN:frame页面的地址只能为同源域名下的页面

ALLOW-FROM:origin为允许frame加载的页面地址。必须配置strategy属性和value属性。否则项目启动报错。

关闭策略:

<security:frame-options disabled=“true”/>

04 - 测试用 html

处理登录的异常,给用户提示:

<!DOCTYPE html>
<html>
    <head>
        <!-- 页面meta -->
        <meta charset="utf-8">
        <meta http-equiv="X-UA-Compatible" content="IE=edge">
        <title></title>
        <meta name="description" content="">
        <meta name="keywords" content="">
        <meta content="width=device-width,initial-scale=1,maximum-scale=1,user-scalable=no" name="viewport">
        <!-- 引入样式 -->
        <link rel="stylesheet" href="plugins/elementui/index.css">
        <link rel="stylesheet" href="css/login.css">
        <!-- 引入组件库 -->
        <script src="js/vue.js"></script>
        <script src="plugins/elementui/index.js"></script>
        <script src="js/axios-0.18.0.js"></script>
        <script>
            function getUrlParam(paraName) {
                var url = document.location.toString();
                //alert(url);
                var arrObj = url.split("?");
                if (arrObj.length > 1) {
                    var arrPara = arrObj[1].split("&");
                    var arr;
                    for (var i = 0; i < arrPara.length; i++) {
                        arr = arrPara[i].split("=");
                        if (arr != null && arr[0] == paraName) {
                            return arr[1];
                        }
                    }
                    return "";
                }
                else {
                    return "";
                }
            }
            var param = getUrlParam('error')
            if(param){
                axios.get("/user/loginerror.do").then(res => {
                    alert(res.data)
                })
            }
        </script>
    </head>
    <body class="hold-transition skin-purple sidebar-mini">
        <div id="app">
            <div class="login-container">
                <div class="loginBox">
                  <form method="post" class="login-form" action="/login.do" label-position="left">
                      <div class="title-container">
                        <div class="logoInfo clearfix">
                          <em class="logo"></em>
                        </div>
                      </div>
                      <div>
                        <span class="svg-container svg-container_login">
                          <span class="user"></span>
                        </span>
                        <input type="text" name="username" placeholder="请输入用户名" />
                      </div>
                      <div>
                        <span class="svg-container">
                          <span class="username"></span>
                        </span>
                        <input type="password" name="password" placeholder="请输入密码"/>
                      </div>
                      <input type="submit" style="width:100%;margin-bottom:30px;" value="登录"></input>
                </form>
                </div>
              </div>
        </div>
    </body>

</html>

service:

package com.ittest.service;

import com.alibaba.dubbo.config.annotation.Reference;
import com.ittest.backend.pojo.UserEnhancher;
import com.ittest.exception.MyUsernameNotFoundException;
import com.ittest.pojo.Permission;
import com.ittest.pojo.Role;
import com.ittest.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;
import java.util.Set;

@Component
public class SpringSecurityUserService implements UserDetailsService {
    //使用dubbo通过网络远程调用服务提供方获取数据库中的用户信息
    @Reference
    private UserService userService;

    //根据用户名查询数据库获取用户信息
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.findByUsername(username);
        if(user == null){
            //用户名不存在;
            throw new MyUsernameNotFoundException("用户名不存在");
        }

        List<GrantedAuthority> list = new ArrayList<>();

        //动态为当前用户授权 [1[4,5,6],2[7,8,9],3[10]]
        Set<Role> roles = user.getRoles();
        for (Role role : roles) {
            //遍历角色集合,为用户授予角色ROLE_XXX
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            Set<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                //遍历权限集合,为用户授权 CHECKITEM_ADD
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        //org.springframework.security.core.userdetails.User
        User securityUser = new User(username,user.getPassword(),list);
        return securityUser;
    }

    public static void main(String[] args) {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        System.out.println(encoder.encode("admin"));
    }
}

异常:

package com.ittest.exception;

import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

public class MyUsernameNotFoundException extends AuthenticationException {
    private static final long serialVersionUID = 1L;

    public MyUsernameNotFoundException(String msg) {
        super(msg);
    }

    public MyUsernameNotFoundException(String msg, Throwable t) {
        super(msg, t);
    }
}

controller:

package com.ittest.controller;

import com.ittest.backend.pojo.UserEnhancher;
import com.ittest.constant.MessageConstant;
import com.ittest.entity.Result;
import com.ittest.exception.MyUsernameNotFoundException;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

/**
 * 用户操作
 */
@RestController
@RequestMapping("/user")
public class UserController {
    //获得当前登录用户的用户名
    @RequestMapping("/getUsername")
    public Result getUsername(HttpServletRequest request){
        //当Spring security完成认证后,会将当前用户信息保存到框架提供的上下文对象
        request.getHeader("AuthToken");
        UserEnhancher user = (UserEnhancher) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        System.out.println(user);
        if(user != null){
            String username = user.getRealname();
            return new Result(true, MessageConstant.GET_USERNAME_SUCCESS,username);
        }

        return new Result(false, MessageConstant.GET_USERNAME_FAIL);
    }

    //获得错误信息
    @RequestMapping("/loginerror")
    public String loginerror(HttpServletRequest request, HttpServletResponse response){
        HttpSession session = request.getSession();
        AuthenticationException spring_security_last_exception = (AuthenticationException)session.getAttribute("SPRING_SECURITY_LAST_EXCEPTION");

        /**
         * 用户名不存在:UsernameNotFoundException;
         * 密码错误:BadCredentialException;
         * 帐户被锁:LockedException;
         * 帐户未启动:DisabledException;
         * 密码过期:CredentialExpiredException;
         */
        if(spring_security_last_exception instanceof BadCredentialsException){
            return "密码错误";
        }

        return spring_security_last_exception.getMessage();
    }
}

05 - 接口权限控制

在CheckItemController中更改代码:

    //删除检查项
    @PreAuthorize("hasAuthority('CHECKITEM_DELETE')")//权限校验
    @RequestMapping("/delete")
    public Result delete(Integer id){
        try{
            checkItemService.deleteById(id);
        }catch (Exception e){
            e.printStackTrace();
            //服务调用失败
            return new Result(false, MessageConstant.DELETE_CHECKITEM_FAIL);
        }
        return  new Result(true, MessageConstant.DELETE_CHECKITEM_SUCCESS);
    }

在数据库中将t_role_permission表中role_id是2,permission_id是2的数据删除

使用admin/admin登录之后,删除检查项时不会报没有权限的提示

使用xiaoming/1234登录,删除检查项会没有提示,因为我们还没有把没有权限的错误返回到前端进行展示

06 - html 设置

返回非200的返回码时,需要进行catch处理

             // 删除
                handleDelete(row) {//row其实是一个json对象,json对象的结构为{"age":"0-100","attention":"无","code":"0011","id":38,"name":"白细胞计数","price":10.0,"remark":"白细胞计数","sex":"0","type":"2"}
                    //alert(row.id);
                    this.$confirm("你确定要删除当前数据吗?","提示",{//确认框
                        type:'warning'
                    }).then(()=>{
                        //用户点击确定按钮,发送ajax请求,将检查项ID提交到Controller进行处理
                        axios.get("/checkitem/delete.do?id=" + row.id).then((res) => {
                            if(res.data.flag){
                                //执行成功
                                //弹出成功提示信息
                                this.$message({
                                    type:'success',
                                    message:res.data.message
                                });
                                //重新进行分页查询
                                this.findPage();
                            }else{
                                //执行失败
                                this.$message.error(res.data.message);
                            }
                        }).catch((r)=>{
                            this.showMessage(r);
                        });
                    }).catch(()=>{
                        this.$message({
                            type:'info',
                            message:'操作已取消'
                        });
                    });
                }

我们可以封装一个showMessage方法进行复用

 				showMessage(r){
                    if(r == 'Error: Request failed with status code 403'){
                        //权限不足
                        this.$message.error('无访问权限');
                        return;
                    }else{
                        this.$message.error('未知错误');
                        return;
                    }
                },

备注:其实这种方式不是特别规范,如果将来spring security框架返回的信息变化了,就无法触发无访问权限。

			showMessage(r){
                    if(r.response.status == 403){
                        //权限不足
                        this.$message.error('无访问权限');
                        return;
                    }else{
                        this.$message.error('未知错误');
                        return;
                    }
                },

使用http返回码进行判断,如果是403就代表无访问权限

ZMW_iOS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JavaEE主流开源框架-Spring部分rmvb格式.zip
05-23
JavaEE主流开源框架-Spring部分rmvb格式。 JavaEE主流开源框架-Spring部分rmvb格式。 JavaEE主流开源框架-Spring部分rmvb格式。 JavaEE主流开源框架-Spring部分rmvb格式。 JavaEE主流开源框架-Spring部分rmvb格式。 ...
Spring Security基本认知使用
Eternal_Summer
04-22 247
Spring Security 1. 导入jar包 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency&gt
Spring Security 快速入门(2)
qq_56769991的博客
02-10 298
本文章将介绍Spring Security更多基本用法,不断迭代成为实际项目中可用的技术。文章目前针对于spring,与spring boot整合将在以后出文章。 友情链接:Spring Security 快速入门(1) 一.创键一个页面,设置为可以匿名访问 匿名访问:即不管该用户是否有没有认证或授权,都可以访问 a.html <!doctype html> <html lang="en"> <head> <meta charset="UTF-8"&gt.
SpringSecurity的配置使用
weixin_40942790的博客
07-27 709
SpringSecurity 授权:授予当前用户角色所拥有的权限 完整的认证和授权需要7张表 配置web.xml 配置整合SpringSecurity的代理过滤器 配置前端控制器 DispatcherServlet <!-- 配置整合SpringSecurity的代理过滤器 1.要整合SpringSecurity,必须要配置这个过滤器DelegatingFilterProxy 2. 名字还不能乱写,一定...
Spring Security 入门(1-4-2)Spring Security - 认证过程之AuthenticationProvider的扩展补充说明...
weixin_34146410的博客
06-16 270
1、用户信息从数据库获取 通常我们的用户信息都不会向第一节示例中那样简单的写在配置文件中,而是从其它存储位置获取,比如数据库。根据之前的介绍我们知道用户信息是通过 UserDetailsService 获取的,要从数据库获取用户信息,我们就需要实现自己的 UserDetailsService。幸运的是像这种常用的方式 Spring Security 已经为我们做了实现了。 使用 jdbc-user...
SpringSecurity(认证和授权)&权限控制
weixin_61300833的博客
10-14 1279
认证和授权: 用户登录系统---认证: 系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录,其实就是在进行认证 用户登录后拥有不同的权限操作---授权: 用户认证成功后需要为用户授权,就是指定当前用户能够操作那些功能 权限模块数据模型: 要实现最终的权限控制,需要有一套表结构支撑: 用户表t_user、权限表t_permission、角色表...
JavaEE源代码 struts2-spring-plugin-2.0.11
07-09
JavaEE源代码 struts2-spring-plugin-2.0.11JavaEE源代码 struts2-spring-plugin-2.0.11JavaEE源代码 struts2-spring-plugin-2.0.11JavaEE源代码 struts2-spring-plugin-2.0.11JavaEE源代码 struts2-spring-plugin-...
JavaEE示例-mybatis-spring-springMVC
12-16
Spring框架是Java企业级应用开发的核心,它提供了一个全面的编程和配置模型,用于简化企业级应用的开发。Spring的核心特性包括依赖注入(DI)和面向切面编程(AOP)。在这个示例中,Spring负责管理各个组件之间的...
javaee-api-8.0-javadoc.jar
10-12
javaee-api-8.0-javadoc.jar,这是javaee1.8api的jar包,解压后可用javadoc2chm制作成chm帮助文档。
JavaEE主流开源框架-Struts部分rmvb格式.zip
05-23
JavaEE主流开源框架-Struts部分rmvb格式. JavaEE主流开源框架-Struts部分rmvb格式. JavaEE主流开源框架-Struts部分rmvb格式. JavaEE主流开源框架-Struts部分rmvb格式. JavaEE主流开源框架-Struts部分rmvb格式. ...
spring security
dulin211314的博客
08-19 133
spring security 权限 功能 登录 认证 鉴权 ​ 要实现 UserDetailsService 接口 ​ GrantedAuthority List<GrantedAuthority>list=new ArrayList<>();让框架知道这个集合 list.add(new SimpleGrantedAuthority(role.getKeyword())); 1.1 导入Spring Security环境 第一步:在healt
一文搞懂SpringSecurityspring-security配置文件详解,史上最全
zeng的博客
10-14 4664
一、认证和授权概念 1.、在生产环境下我们如果不登录系统是否能对业务进行操作? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 2、是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 二、Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spr
用java实现etcd分布式锁_etcd实现分布式锁
weixin_34391934的博客
02-28 270
分布式锁在后台应用广泛,抢票系统,秒杀系统都能看到它的身影,实现分布式锁的方式有很多,比如zookeeper,redis,以及etcd。下面用一个简单的用例来说明etcd的实现。package mainimport ("context""fmt""github.com/coreos/etcd/clientv3""github.com/coreos/etcd/clientv3/concurrency...
详解Spring Security进阶身份认证之UserDetailsService(附源码)
weixin_33738555的博客
01-29 4517
    在上一篇Spring Security身份认证博文中,我们采用了配置文件的方式从数据库中读取用户进行登录。虽然该方式的灵活性相较于静态账号密码的方式灵活了许多,但是将数据库的结构暴露在明显的位置上,绝对不是一个明智的做法。本文通过Java代码实现UserDetailsService接口来实现身份认证。    1.1 UserDetailsService在身份认证中的作用    Spring...
Spring security 用户验证 与授权
wahaha
10-04 178
配置文件 登录验证 用户授权(注册). @Insert("insert into users_role(userId,RoleId) values(#{userId},#{RoleId})") void addRoleUser(@Param("userId") String userid, @Param("RoleId")Stri...
spring-security 常见错误 及简单配置
hi_你好
07-19 4938
几个简单的常见security错误,及spring-security配置步骤 error-1:项目加进spring-security后,项目启动后,任何页面都是空白,404... error-2:security.authentication.BadCredentialsException: Bad credentials error-3:“拒绝访问”security AccessDeniedException: Access is denied 下面是spring-security配置步骤...
spring-security 4.1 设置允许嵌套页面上的iframe
feng_tai_jun的专栏
10-21 883
[code="java"] …… …… [/code]
JAVAEE细细框架26 - Itext、JasperReports生成PDF文件
ZMW_IOS的博客
05-05 756
1. Itext生成PDF文件 iText是著名的开放源码的站点sourceforge一个项目,是用于生成PDF文档的一个java类库。通过iText 不仅可以生成PDF或rtf的文档,而且可以将XML、Html文件转化为PDF文件。 iText的安装非常方便, 下载iText.jar文件后,只需要在系统的CLASSPATH中加入iText.jar的路径,在程序中就可以使用iText类 库了。 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值