【springboot3.1.5,security配置】

已于 2023-11-20 17:02:09 修改
阅读量333 收藏
点赞数
文章标签: java spring boot
于 2023-11-20 16:29:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZR116118/article/details/134511461
版权

springboot3.1.5,security配置

配置

ruoyi
springboot 3.1.5
jdk17

升级前代码

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.logout.LogoutFilter;
import org.springframework.web.filter.CorsFilter;
import com.ruoyi.framework.config.properties.PermitAllUrlProperties;
import com.ruoyi.framework.security.filter.JwtAuthenticationTokenFilter;
import com.ruoyi.framework.security.handle.AuthenticationEntryPointImpl;
import com.ruoyi.framework.security.handle.LogoutSuccessHandlerImpl;

/**
 * spring security配置
 * 
 * @author ruoyi
 */
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter
{
    /**
     * 自定义用户认证逻辑
     */
    @Autowired
    private UserDetailsService userDetailsService;
    
    /**
     * 认证失败处理类
     */
    @Autowired
    private AuthenticationEntryPointImpl unauthorizedHandler;

    /**
     * 退出处理类
     */
    @Autowired
    private LogoutSuccessHandlerImpl logoutSuccessHandler;

    /**
     * token认证过滤器
     */
    @Autowired
    private JwtAuthenticationTokenFilter authenticationTokenFilter;
    
    /**
     * 跨域过滤器
     */
    @Autowired
    private CorsFilter corsFilter;

    /**
     * 允许匿名访问的地址
     */
    @Autowired
    private PermitAllUrlProperties permitAllUrl;

    /**
     * 解决 无法直接注入 AuthenticationManager
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception
    {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception
    {
        // 注解标记允许匿名访问的url
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = httpSecurity.authorizeRequests();
        permitAllUrl.getUrls().forEach(url -> registry.antMatchers(url).permitAll());

        httpSecurity
                // CSRF禁用,因为不使用session
                .csrf().disable()
                // 禁用HTTP响应标头
                .headers().cacheControl().disable().and()
                // 认证失败处理类
                .exceptionHandling().authenticationEntryPoint(unauthorizedHandler).and()
                // 基于token,所以不需要session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
                // 过滤请求
                .authorizeRequests()
                // 对于登录login 注册register 验证码captchaImage 允许匿名访问
                .antMatchers("/login", "/register", "/captchaImage").permitAll()
                // 静态资源,可匿名访问
                .antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll()
                .antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated()
                .and()
                .headers().frameOptions().disable();
        // 添加Logout filter
        httpSecurity.logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler);
        // 添加JWT filter
        httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        // 添加CORS filter
        httpSecurity.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
        httpSecurity.addFilterBefore(corsFilter, LogoutFilter.class);
    }

    /**
     * 强散列哈希加密实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder()
    {
        return new BCryptPasswordEncoder();
    }

    /**
     * 身份认证接口
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception
    {
        auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder());
    }
}

升级后代码

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.ProviderManager;
import org.springframework.security.authentication.dao.DaoAuthenticationProvider;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.annotation.web.configurers.HeadersConfigurer.CacheControlConfig;
import org.springframework.security.config.annotation.web.configurers.HeadersConfigurer.FrameOptionsConfig;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.logout.LogoutFilter;
import org.springframework.security.web.servlet.util.matcher.MvcRequestMatcher;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.web.filter.CorsFilter;
import org.springframework.web.servlet.handler.HandlerMappingIntrospector;

import com.ruoyi.framework.config.properties.PermitAllUrlProperties;
import com.ruoyi.framework.security.filter.JwtAuthenticationTokenFilter;
import com.ruoyi.framework.security.handle.AuthenticationEntryPointImpl;
import com.ruoyi.framework.security.handle.LogoutSuccessHandlerImpl;

import jakarta.annotation.Resource;
import java.util.ArrayList;
import java.util.List;

/**
 * spring security配置
 *
 * @author zhaorui
 */
@Configuration
@EnableWebSecurity
public class SecurityConfig {

  /**
   * 自定义用户认证逻辑
   */
  @Resource
  private UserDetailsService userDetailsService;

  /**
   * 认证失败处理类
   */
  @Resource
  private AuthenticationEntryPointImpl unauthorizedHandler;

  /**
   * 退出处理类
   */
  @Resource
  private LogoutSuccessHandlerImpl logoutSuccessHandler;

  /**
   * token认证过滤器
   */
  @Resource
  private JwtAuthenticationTokenFilter authenticationTokenFilter;

  /**
   * 跨域过滤器
   */
  @Resource
  private CorsFilter corsFilter;

  /**
   * 允许匿名访问的地址
   */
  @Resource
  private PermitAllUrlProperties permitAllUrl;

  @Resource
  private HandlerMappingIntrospector introspector;

  @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        // CSRF禁用,因为不使用session
        .csrf(AbstractHttpConfigurer::disable)
        // 禁用HTTP响应标头
        .headers(
            // 控制响应头禁用缓存
            (headers) -> headers.cacheControl(CacheControlConfig::disable)
                // 处理X-Frame-Options响应头
                .frameOptions(FrameOptionsConfig::disable))
        // 认证失败处理类
        .exceptionHandling(
            exceptionHandler -> exceptionHandler.authenticationEntryPoint(unauthorizedHandler))
        // 基于token,所以不需要session
        .sessionManagement(sessionManagement -> sessionManagement.sessionCreationPolicy(
            SessionCreationPolicy.STATELESS))
        .authorizeHttpRequests(authorizeReq -> authorizeReq

            .requestMatchers(createMvcReqMatcher()).permitAll()

            .requestMatchers(createAntPathReqMatcher()).permitAll()

            // 除上面外的所有请求全部需要鉴权认证
            .anyRequest().authenticated())

        // 添加Logout filter
        .logout(logoutHandler -> logoutHandler.logoutUrl("/logout")
            .logoutSuccessHandler(logoutSuccessHandler));

    // 添加JWT filter
    http.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
    // 添加CORS filter
    http.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class);
    http.addFilterBefore(corsFilter, LogoutFilter.class);

    return http.build();
  }

  /**
   * mvc请求,即controller中的请求
   *
   * @return mvc请求(发送到controller的请求)
   */
  private MvcRequestMatcher[] createMvcReqMatcher() {
    List<MvcRequestMatcher> mvcRequestMatchers = new ArrayList<>();

    // 对于登录login 注册register 验证码captchaImage 允许匿名访问
    mvcRequestMatchers.add(new MvcRequestMatcher(introspector, "/login"));
    mvcRequestMatchers.add(new MvcRequestMatcher(introspector, "/register"));
    mvcRequestMatchers.add(new MvcRequestMatcher(introspector, "/captchaImage"));

    // 注解标记允许匿名访问的url
    for (String url : permitAllUrl.getUrls()) {
      mvcRequestMatchers.add(new MvcRequestMatcher(introspector, url));
    }

    return mvcRequestMatchers.toArray(MvcRequestMatcher[]::new);
  }

  /**
   * 可匿名访问的静态资源 非Spring MVC端点请求, 需要特别指明,否则springboot无法启动
   *
   * @return 非Spring MVC端点请求集合
   */
  private AntPathRequestMatcher[] createAntPathReqMatcher() {
    return new AntPathRequestMatcher[]{
        AntPathRequestMatcher.antMatcher(HttpMethod.GET, "/"),
        AntPathRequestMatcher.antMatcher(HttpMethod.GET, "/*.html"),
        AntPathRequestMatcher.antMatcher(HttpMethod.GET, "/**/*.html"),
        AntPathRequestMatcher.antMatcher(HttpMethod.GET, "/**/*.css"),
        AntPathRequestMatcher.antMatcher(HttpMethod.GET, "/**/*.js"),
        AntPathRequestMatcher.antMatcher(HttpMethod.GET, "/profile/**"),

        AntPathRequestMatcher.antMatcher("/swagger-ui.html"),
        AntPathRequestMatcher.antMatcher("/swagger-resources/**"),
        AntPathRequestMatcher.antMatcher("/webjars/**"),
        AntPathRequestMatcher.antMatcher("/*/api-docs"),
        AntPathRequestMatcher.antMatcher("/druid/**")
    };
  }

  /**
   * 强散列哈希加密实现
   */
  @Bean
  public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
  }

  /**
   * 获取AuthenticationManager(认证管理器),登录时认证使用
   *
   * @return 认证结果
   */
  @Bean
  public AuthenticationManager authenticationManager() {
    // 身份认证接口
    DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
    authenticationProvider.setUserDetailsService(userDetailsService);
    authenticationProvider.setPasswordEncoder(passwordEncoder());

    ProviderManager providerManager = new ProviderManager(authenticationProvider);
    providerManager.setEraseCredentialsAfterAuthentication(false);

    return providerManager;
  }
}

重点更改

  1. Javax --> jakarta
  2. 一些方法的弃用,参考api来写[1]
  3. 当用tomcat来启动时,springboot启动失败[2][3]

参考链接:
[1]: https://docs.spring.io/spring-security/site/docs/current/api/
[2]: https://www.qinglite.cn/doc/540264c47d6bbacc6
[3]:https://blog.csdn.net/wangshuai6707/article/details/132898994

ZR116118
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security配置权限:应用限制
冲出仁川,走出马德里,故事还会再继续
02-21 1052
Spring Security配置权限:应用限制1、匹配器说明2、使用匹配器方法选择端点2.1 控制器类的定义2.2 配置类的定义2.3 测试2.4 补充:让所有经过身份验证的用户都可以访问其他请求3、三种匹配器3.1 使用MVC匹配器选择用于授权的请求3.1.1 为其配置授权的4个端点的定义3.1.2 UserDetailsService定义3.1.3 用于第一个场景/a的授权配置3.1.4 调用测试3.1.5 其他配置3.2 使用Ant匹配器选择用于授权的请求3.2.1 控制器类种/hello端点的定义
springboot-集成swagger
没啥简介
01-03 1587
springboot-集成swagger1.依赖swagger2.配置SwaggerConfig3.Controller上配置swagger4.Model模型类上配置swagger5.swagger页面中文配置6.效果 本文所贴代码,实现了springboot集成swagger的常用配置和功能,可直接复制粘贴使用。 环境: springboot 2.1.4.RELEASE java 1.8 swagger常用注解: @Api:修饰整个类,描述Controller的作用 @ApiOperation:描述一
【9】Spring Boot 3 集成组件 : 基于spring security的认证权限开发【认证】
寓教于乐。教己助人
12-07 1279
:book: 本文核心知识点: - [x] 认证和权限流程 - [x] 认证和权限控制说明 - [x] 认证流程在spring security中的相关理论知识 - [x] JWT认证 - [x] 用户名认证 - [x] session认证 - [x] 认证流程Sepring Security配置
Spring Security3.1 最新配置实例
12-13 1460
这几天学习了一下Spring Security3.1,从官网下载了Spring Security3.1版本进行练习,经过多次尝试才摸清了其中的一些原理。本人不才,希望能帮助大家。还有,这次我第二次写博客啊,文体不是很行。希望能让观看者不产生疲惫的感觉,我已经心满意足了。 一、数据库结构      先来看一下数据库结构,采用的是基于角色-资源-用户的权限管理设计。(MySql数据库)
Spring boot 3 (3.1.5) Spring Security 设置一
HOOLOO的专栏
10-30 782
api/welcome 直接就能看到内容, /api/admin 则返回401。创建两个路由 /api/welcome 和 /api/admin。JWTFilter.java代码见下期,还没整明白。JsonResult代码。
Spring Security自定义配置登录
最新发布
2401_84048621的博客
04-04 678
在面试前我整理归纳了一些面试学习资料,文中结合我的朋友同学面试美团滴滴这类大厂的资料及案例由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!大家看完有什么不懂的可以在下方留言讨论也可以关注。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!细化的内容!**大家看完有什么不懂的可以在下方留言讨论也可以关注。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》
Spring Security3.1 最新配置实例(spring权限管理)
ilovejava_2010的专栏
11-11 1127
这几天学习了一下Spring Security3.1,从官网下载了Spring Security3.1版本进行练习,经过多次尝试才摸清了其中的一些原理。本人不才,希望能帮助大家。还有,这次我第二次写博客啊,文体不是很行。希望能让观看者不产生疲惫的感觉,我已经心满意足了。 一、数据库结构 先来看一下数据库结构,采用的是基于角色-资源-用户的权限管理设计。(MySql数据库)     为了节省篇
Springboot +spring security,实现session并发控制及实现原理分析
weixin_40991408的博客
05-25 1769
Springboot +spring security,实现session并发控制及实现原理分析
SpringBoot详解
热门推荐
qq_34124252的博客
08-09 2万+
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。......
SpringBoot | 查看默认版本配置
BraveHeart
05-13 5957
<parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.1.0.RELEASE</version>...
SpringBoot篇——SpringSecurity安全控制深入讲解
我热爱学习,也乐于分享。无论是科技前沿的洞见,还是生活中的小技巧,我都会在这里与你分享。我相信,知识就是力量,而分享则能让这份力量得到更好的传递。
11-28 619
他的底层原理就是当我们成功登录,点击注销,下次登陆的时候rememberMe会向浏览器发送一个Cookie,里面存有登录信息的value。为了我们在写th:标签的时候,可以给我们展示出提示信息,但是我们需要知道的是,不加这个命名空间也不影响代码正常运行。至此,关于安全控制的技术点你已经掌握,这个地方比较难懂,希望你可以认真反复的学习,后续还会持续更新,敬请期待!死代码,主要是通过链式编程,给不同的页面增加一些请求授权的规则,如果符合条件才能访问某个页面。四、配置认证,需要给密码加密,调用如下的方法。
Springboot +spring security,登录表单进阶配置及原理分析
weixin_40991408的博客
05-20 606
Springboot +spring security,登录表单进阶配置及原理分析
Springboot +spring security,基于多种方式配置登录用户:memory、jdbc、MyBatis
weixin_40991408的博客
05-21 637
Springboot +spring security,基于多种方式配置登录用户:memory、jdbc、MyBatis
【个人版】SpringBootSpring-Security核心概念解读【二】
src1025的博客
12-13 1049
Spring-Security核心类HttpSecurity个人解读
Spring Security认证与授权框架
赵广陆
01-20 2412
目录1 Spring Security介绍1.1 框架介绍1.2 认证与授权实现思路2 第一个 Spring Security 项目2.1 导入依赖2.2 访问页面3 UserDetailsService 详解3.1 返回值3.2 方法参数3.3 异常4 创建spring security核心配置类5 创建认证授权相关的工具类6 创建认证授权实体类7 创建认证和授权的filter 1 Spring Security介绍 1.1 框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。S
清晰搞懂Spring Security的登录认证
陈宝子的博客
07-18 8654
在简单学习完成Redis之后,又进行了SpringSecurity的学习,这里学习的资源为三更草堂的SpringSecurity框架教程,讲得感觉还不错,推荐😁。这里主要是对学习过程进行一个记录和总结,参考的仍然是三更草堂的笔记,但中间加上了自己的一些理解和看法以及一些遇到的问题总结,如果哪里有问题还请各位指点指点😻。
Springboot 3 + Spring Security 6 + OAuth2 入门级最佳实践
m0_64469199的博客
05-03 1万+
当我的项目基于 SpringBoot 3 而我想使用Spring Security,最终不幸得到WebSecurityConfigurerAdapter被废弃的消息。本文档就是在这样的情况下产生的。
Springboot +spring security,自定义认证和授权异常处理器
weixin_40991408的博客
05-26 1909
Springboot +spring security,自定义认证和授权异常处理器
关于Spring Boot 2.7后WebSecurityConfigurerAdapter的过期问题,SpringSecurity的最新最全配置
m0_61346425的博客
11-29 2442
进入springboot 2.7 后,一个重要的类WebSecurityConfigurerAdapter过期了。
hdp3.1.5 ubuntu ambari 2.7.5
01-24
HDP 3.1.5是Hortonworks Data Platform(Hortonworks数据平台)的一个版本,Ubuntu是一个流行的开源操作系统,而Ambari 2.7.5是一个用于管理Hadoop集群的开源工具。 HDP 3.1.5是Hortonworks为大数据分析和处理提供的软件套件。它包括了一系列的开源组件,如Hadoop、Hive、HBase、Spark和Kafka等,可以用于存储和分析大规模数据。HDP 3.1.5版本带来了许多新功能和改进,提高了数据处理性能、安全性和可靠性。 Ubuntu是一个流行的开源操作系统,特点是易用性和稳定性。它支持HDP 3.1.5,并提供了包管理工具,方便用户安装和管理HDP的软件包。 Ambari 2.7.5是一个开源的集群管理工具,用于配置、监控和管理Hadoop集群。它提供了一个直观的Web界面,方便用户进行集群的配置和管理。Ambari 2.7.5版本为用户带来了更加稳定和高效的集群管理功能,并修复了一些bug。 结合使用HDP 3.1.5、Ubuntu和Ambari 2.7.5,用户可以方便地部署、配置和管理Hadoop集群。通过Ambari的直观界面,用户可以轻松监控集群的状态,并进行必要的配置和调整。Ubuntu作为操作系统,为HDP和Ambari提供了高度稳定和可靠的平台,确保集群正常运行。 总而言之,HDP 3.1.5提供了丰富的大数据处理工具,Ubuntu作为操作系统提供了稳定的平台,而Ambari 2.7.5则提供了集群管理的功能,使用户能够更方便地部署、配置和管理Hadoop集群。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值