SecurityConfig配置

于 2024-05-28 11:28:22 发布
阅读量813 收藏 11
点赞数 7
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZYH_CKA/article/details/136345341
版权

文章目录

一、SecurityConfig

import com.example.anyimenchuang.common.handler.AccessDeniedHandlerImpl;
import com.example.anyimenchuang.common.handler.AuthenticationEntryPointImpl;
import com.example.anyimenchuang.handler.SecurityLogoutSuccessHandler;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.annotation.Resource;

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启权限注解功能
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Resource
    private AccessDeniedHandlerImpl accessDeniedHandler;

    @Resource
    private AuthenticationEntryPointImpl authenticationEntryPoint;
    @Resource
    private SecurityLogoutSuccessHandler securityLogoutSuccessHandler;

    //创建BCryptPasswordEncoder 注入容器 加密方式
    @Bean
    public PasswordEncoder passwordEncoder() {
        //当你将此对象注入容器时,就会自动将密码进行bc的比对校验。
        //如果输入的明文密码与数据库中的加密密码不匹配则报错。
        //切数据库中必须存储为bc加密的密码
        return new BCryptPasswordEncoder();
    }


    @Override   //配置登录的路径 及需要认证的路径
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()//关闭csrf
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 允许匿名访问
                .antMatchers("/user/add", "/user/login").anonymous()
                //放行swagger
                .antMatchers(
                        "/swagger-ui.html",
                        "/swagger-ui/index.html",
                        "/swagger-resources/**",
                        "/webjars/**",
                        "/swagger-ui/**",
                        "/v3/**",
                        "/api/**",
                        "/swagger-ui.html/**"
                ).permitAll()
//                .antMatchers("/hello").permitAll() //允许登录或者未登录都可访问
//                .antMatchers("/testCors").hasAuthority("system:dept:list222")
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        http.logout()
                .logoutUrl("/user/logout")
                .logoutSuccessHandler(securityLogoutSuccessHandler)
                .deleteCookies("JSESSIONID");
        //添加过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        //配置异常处理器
        http.exceptionHandling()
                //配置认证失败及授权失败处理器
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);
        //设置跨越
        http.cors();

    }


    @Bean
    @Override  //需要通过AuthenticationManager的authenticate方法进行用户认证,所有需要在此将其注入容器
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}

二、其他配置

1.JwtAuthenticationTokenFilter

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.LoginUser;
import com.example.anyimenchuang.common.utils.sys.JwtUtils;
import io.jsonwebtoken.Claims;
import org.apache.commons.lang3.StringUtils;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.annotation.Resource;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;


/**
 * @Description : jwt认证过滤器  定义好后需要进行配置指定的位置 在SecurityConfig中进行配置
 * 当调用其他接口时需要携带token,此处进行token验证,验证通过则放行
 */
@Component //token校验过滤器
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        // 获取token
        String token = request.getHeader("token");
        if (StringUtils.isBlank(token)) {//如果为空
            //放行  因为后面还有其他的过滤器会进行判断并提示
            filterChain.doFilter(request, response);
            return;
        }
        // 解析token
        String userId;
        try {
            Claims claims = JwtUtils.parseJWT(token);
            userId = claims.getSubject();

        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }

        // 从redis中获取用户信息
        String redisKey = "user:" + userId;

        String value = redisTemplate.opsForValue().get(redisKey);
        LoginUser loginUser = JSON.parseObject(value, LoginUser.class);//会根据类型自动转换
        if (Objects.isNull(loginUser)) {
            throw new RuntimeException("用户未登录");
        }
        // 存入SecurityContextHolder
        // 获取权限信息封装到Authentication中  第三个为获取权限loginUser.getAuthorities()
        UsernamePasswordAuthenticationToken userToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(userToken);
        // 放行
        filterChain.doFilter(request, response);
    }
}

2.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.SysResult;
import com.example.anyimenchuang.common.utils.sys.WebUtils;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Description : 授权失败处理器
 */
@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) {

        SysResult result = new SysResult().setCode(403).setMsg("您的权限不足");

        String json = JSON.toJSONString(result);
        //处理异常
        WebUtils.renderString(response, json);
    }
}

3.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.SysResult;
import com.example.anyimenchuang.common.utils.sys.WebUtils;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Description : 自定义认证失败异常处理器
 */
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) {
        SysResult result = new SysResult().setCode(401).setMsg("用户认证失败请查询登录");
        String json = JSON.toJSONString(result);
        //处理异常
        WebUtils.renderString(response, json);
    }
}

4.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.JSONResult;
import com.example.anyimenchuang.common.utils.sys.JwtUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


@Component
public class SecurityLogoutSuccessHandler implements LogoutSuccessHandler {
    private final Logger logger = LoggerFactory.getLogger(getClass());
    @Resource
    private RedisTemplate<String, String> redisTemplate = new RedisTemplate<>();

    public SecurityLogoutSuccessHandler() {
    }

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException {

        String token = request.getHeader("token");
        int userId = Integer.parseInt(JwtUtils.parseJWT(token).getSubject());
        redisTemplate.delete("user:" + userId);

        logger.info("退出成功");

        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(new JSONResult<>(200, "success")));
    }
}
ZYH_CKA
关注
  • 7
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Android网络安全配置network-security-config区分正式服和测试服
xiangzhihong8的专栏
12-07 2495
在Android开发中,为了帮助测试人员进行抓包,一般都会在Android的AndroidManifest.xml文件中配置network_security_config。不过,这也带来了一些安全性的问题,所以我们通常的策略是:线上的版本不支持抓包,测试版本支持抓包即可。为此,我们需要单独为正式服和测试服单独的进行配置。通常,network_security_config.xml 文件配置如下: 然后,在AndroidManifest.xml里的标签中添加代码。 为了实现在测试、开发阶段可以抓包,但正式发布
Spring Security --SecurityConfig的详细配置
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
spring security 配置类——SecurityConfigration
qq_45947664的博客
10-12 568
/权限注解,访问服务需要的权限@PrePostEnabled("hasAuthority('admin')")//创建BCryptPasswordEncoder注入容器@Bean}//// @Bean//// throw new RuntimeException("手机号或者密码错误");//// }//// //查用户权限//// //把数据封装成UserDetails返回// };// }
spring security 配置说明
shining的专栏
12-17 519
以下为若依框架中SecurityConfig对于spring security配置的说明: /** * anyRequest | 匹配所有请求路径 * access | SpringEl表达式结果为true时可以访问 * anonymous | 匿名可以访问 * denyAll ...
SecurityConfig
喝可乐的鱼哟
12-21 906
package com.yc.config; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
springsecurity的常规配置SecurityConfig
please93的博客
02-16 1021
SecurityConfig
Spring SecurityConfig模块详解(TODO)
热门推荐
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring SecurityConfig模块的架构,来理清这个关系。Spring Security ConfigurerSpri
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8057
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
详解spring security 配置多个AuthenticationProvider
08-30
我们可以创建一个自定义的 SecurityConfig 类,继承自 Spring Security 的 WebSecurityConfigurerAdapter,然后在其中注册我们的自定义 AuthenticationProvider。 ```java @Configuration @EnableWebSecurity public...
0330记 SpringSecurity相关配置SpringSecurityConfig
momo_mo520的博客
03-31 3150
1、SpringSecurity配置spring为我们提供了一个抽象类WebSecurityConfigurerAdapter和一个注解@EnableWebMvcSecurity,达到同样减少bean配置的目的 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapt...
Spring cloud config 配置文件加密方式
08-27
Spring Cloud Config 配置文件加密方式 Spring Cloud Config 是一个基于云计算的配置中心,它提供了对应用程序配置的集中管理和加密。配置文件加密是 Spring Cloud Config 的一个重要特性,它可以保护敏感数据不被...
SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生
m0_68935893的博客
08-02 442
【代码】SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生。
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1313
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
Spring Security配置Configuration)
最新发布
深圳市多克创新科技有限公司
10-27 547
Spring Security配置Configuration)
Spring Security Config : 概念模型接口 SecurityConfigurer
Details Inside Spring
05-06 2154
源代码版本 : Spring Security Config 5.1.4.RELEASE SecurityConfigurer是Spring Security Config对安全配置器的概念建模接口,该接口约定了Spring Security Config的各种安全配置器实现类的统一行为: 调用方法#init初始化安全构建器; 调用方法#configure配置安全构建器; 这是一个泛型接口...
Spring Security Config : WebSecurityConfiguration Web 安全配置
Details Inside Spring
09-02 4737
package org.springframework.security.config.annotation.web.configuration; // 忽略 import 行 /** * Spring Security配置类 : * 1. 使用一个 WebSecurity 对象创建执行 Spring Security 基于web的安全任务的 FilterChainProxy 对象。...
security配置
asscwf的博客
05-16 165
【代码】security配置
SpringSecurity配置
你今天真好看呀
07-26 453
文章目录1. SpringSecurity1.1 导包1.2 自定义账号和密码1.3 实现UserDetailsService1.4 HomeController1.5 SecurityConfig 1. SpringSecurity 1.1 导包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security&l
Spring Security Java Config 浅析
carl.zhao的专栏
03-08 1107
在之前的项目中使用接触过 xml 配置使用 Spring Security。但是最近比较流行 java config。并且对它的 builder 模式比较感兴趣,就会查看了它的源码实现。下面就把自己的分析结果记录下来,希望对阅读这篇博客的你也有帮助。在 Spring Security 里面有两个非常重要的概念认证与授权。 - 认证:是确认某主体在某系统中是否合法、可用的过程。这里的主体既可以是登陆系统的用户也可以是接入 的设备或者其他系统 - 授权:是指当前主体通过认证之后,是否允许其执行某项操作的过程
securityconfig配置解析
05-25
Spring Security 中,SecurityConfig 是一个 Java 类,用于配置安全相关的信息,例如认证方式、授权方式、登录页面等。它继承了 WebSecurityConfigurerAdapter 类,通过重写 configure 方法来进行配置。 具体来...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值