Springboot 结合Spring security实战

最新推荐文章于 2024-05-06 09:25:44 发布
最新推荐文章于 2024-05-06 09:25:44 发布
阅读量493 收藏 1
点赞数
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ademing/article/details/85244664
版权

项目中用到了权限,控制每个访问路径,实施具体权限,以防没有权限登陆后直接可以输入网址访问

数据库:role(权限表)

注:这个有个坑就是关于“ROLE_”这个的Spring security默认好像是自己添加了“ROLE_”Z,这个前缀的,后面会遇到

Spring security核心类

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;

import javax.annotation.Resource;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;

/**
 * @time: 2018/12/24 11:02
 * @description:
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private UserDao userDao;
    @Resource
    private RoleDao roleDao;

    @Autowired
    private AuthenticationSuccessHandler authenticationSuccessHandler;
    @Autowired
    private AuthenticationFailureHandler authenticationFailureHandler;
    /**
     * @description:注册UserDetailsService的bean
     * 以role角色作为角色判断,
     **/
    @Bean
    UserDetailsService customUserService() {
        return username -> {
            Map temp = userDao.get(username);
            if (null != temp) {
                Integer userId = Integer.parseInt(String.valueOf(temp.get("userId")));
                String userPassword = String.valueOf(temp.get("userPassword"));
                List<Map<String, Object>> roles = roleDao.findByUserId(userId);
                List<GrantedAuthority> grantedAuthorities = new ArrayList<>();
                if (null != roles) {
                    roles.forEach(role -> {
                        if (null != role) {
                            String roleName = String.valueOf(role.get("roleName"));
                            if (null != roleName) {
                                SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(roleName);
                                grantedAuthorities.add(grantedAuthority);
                            }
                        }
                    });

                }
                return new org.springframework.security.core.userdetails.User(username, userPassword, grantedAuthorities);
            } else {
                throw new UsernameNotFoundException(username + " do not exist!");
            }
        };
    }

    /**
     * @description: user details service 验证
     **/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        try {
            auth.userDetailsService(customUserService())
                    // 验证密码MD5加密
                    .passwordEncoder(new PasswordEncoder() {

                        @Override
                        public String encode(CharSequence rawPassword) {
                            return Md5.getMd5(String.valueOf(rawPassword));
                        }

                        @Override
                        public boolean matches(CharSequence rawPassword, String encodedPassword) {
                            return encodedPassword.equals(Md5.getMd5(String.valueOf(rawPassword)));
                        }
                    });
        } catch (Exception e) {
            e.printStackTrace();
            throw new IllegalParamException("用户名密码错误!");
        }
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.authorizeRequests()
                // 默认不拦截的url
                .antMatchers("/").permitAll()
                // 静态默认不拦截
                .antMatchers("/image/**","/static/**","/templates/**").permitAll()
                // 赋予权限 此处坑没有ROLE_
                .antMatchers("/admin/**").hasAnyRole("ADMIN", "SYS")
                .antMatchers("/sku/**", "/sort/**").hasAnyRole("USER", "ADMIN", "SYS")
                .and()
                .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/index")
                // 登陆失败的处理
                .failureHandler(authenticationFailureHandler)
                //.failureForwardUrl("/")
                .permitAll()
                .and()
                .logout()
                .permitAll();

    }
}

配置网页进入跳转页面

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * @time: 2018/12/24 12:20
 * @description:
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("test");
        registry.addViewController("/index").setViewName("index");
    }
}

登陆失败处理,这里是本来标准返回的就是json所以直接使用json返回格式

import com.fasterxml.jackson.databind.ObjectMapper;
import com.jl.products.bean.Resp;
import com.jl.products.exception.UnauthorizedException;
import com.jl.products.util.ReturnCode;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.HttpStatus;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @time: 2018/12/25 9:19
 * @description:
 */
@Component("authenticationFailureHandler")
public class AuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {

        response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        response.setContentType("application/json;charset=UTF-8");
        System.out.println(new Resp<>(ReturnCode.USER_UNAUTHORIZED, exception.getMessage(), null));
        response.getWriter().write(objectMapper.writeValueAsString(new Resp<>(ReturnCode.USER_UNAUTHORIZED, exception.getMessage(), null)));
        //super.onAuthenticationFailure(request, response, exception);
    }
}

登陆成功处理,本项目为用上

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @time: 2018/12/25 9:12
 * @description:
 */
@Component("authenticationSuccessHandler")
public class AuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws ServletException, IOException {
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().write(objectMapper.writeValueAsString(authentication));
        //request.getSession().setAttribute("user", authentication.);
        //super.onAuthenticationSuccess(request, response, authentication);
    }
}

配置文件


        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

 

shudj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Spring Security
qq_42500503的博客
10-19 329
一、简介 Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: 1.WebSecurityConfigurerAdapter: 自定义Security策略 2.AuthenticationManagerBuilder: 自定义认证策略 3.@EnableWebSecu
SpringBootSpringSecurity(安全)
热门推荐
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
Springboot+SpringSecurity一篇看会
普通人一枚
03-06 8678
SpringSecurity总结
Spring Security基础教程:从入门到实战
最新发布
Yaml4的博客
05-06 1204
无论你选择以何种方式进行身份验证--是使用 Spring Security 提供的机制和提供商,还是与容器或其他非 Spring Security 身份验证机构集成--你都会发现授权服务可以以一致而简单的方式在你的应用程序中使用。在上面的示例中,都是基于配置文件进行用户的配置角色的设置,都是静态的信息,而实际工作中,都是需要从数据库中进行查询的。当环境中引入上面的依赖后,默认情况会对所有的请求都进行拦截,同时启动服务时会输出随机密码,而用户则默认是"user"。推荐订阅精彩专栏 👇🏻 避免错过下次更新。
Spring Boot 与 Spring Security
暗星涌动
06-05 2676
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的安全解决方案,包括认证、授权、攻击防护等功能,可以轻松地集成到Spring应用程序中,保护应用程序的安全性。Spring Security的主要作用是保护Web应用程序的安全性,包括用户身份验证、授权、防止跨站请求伪造(CSRF)、防止会话固定攻击等。在使用Spring Security时,我们可以配置安全策略、用户角色、访问控制等,从而实现对Web应用程序的安全保护。
SpringSecurity实战解析
Shawn的个人博客
04-07 952
提供了两种认证方式:HttpBasic 认证和 HttpForm 表单认证。HttpBasic 认证不需要我们编写登录页面,当浏览器请求 URL 需要认证才能访问时,页面会自动弹出一个登录窗口,要求用户输入用户名和密码进行认证。大多数情况下,我们还是通过编写登录页面进行 HttpForm 表单认证(现在默认是这个模式)一般认证成功后的用户信息是通过 Session 在多个请求之间共享,实现将已认证的用户信息对象 Authentication 与 Session 绑定要开启Spring方法级安全,在添加了。
Spring Security 手把手带你入门到精通
用针戳左手中指指头的博客
06-18 1939
本文作为第一篇,会用实例来说明SpringSecurity在生产中的用法,扩展它的功能,每个方案都会有一个完整的实例代码,代码仓库于文末贴出。该篇所涉及理论较少,以实例为主。这个版本在数据库版本上呢,升级了登录的自定义功能,可以根据项目设置自己的登录页、首页、登录处理的api,和登录成功与失败的回调处理;题外话:前后不分离的方式好处就是快速开发,方便部署,但其缺点也是显而易见的,随着迭代项目也会越来越大,主流还是分布式的,单体项目现在也很少见了。
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
03-02
**基于SpringBoot+SpringSecurity+JWT的权限管理系统详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其在企业级应用中更是如此。本篇文章将深入探讨如何使用SpringBootSpringSecurity以及JSON Web...
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip
12-20
基于SpringBoot+SpringSecurity的RBAC管理系统源码+数据库+项目说明.zip 这是一款基于SpringBoot+SpringSecurity的RBAC权限管理系统。原本只想着做成基于SpringSecurity的权限管理系统,但随着功能的增加感觉有些刹...
SpringSecurity实战代码
11-04
通过这个实战项目,你可以加深对SpringSecurity工作原理的理解,同时掌握如何在SpringBoot应用中有效地实施安全控制。实践中遇到问题时,可以查阅SpringSecurity官方文档、相关教程或者在线社区寻找答案。祝你学习...
SpringSecurity 测试实战
08-25
SpringSecurity 测试实战 标题:SpringSecurity 测试实战 描述:SpringSecurity 测试实战主要介绍了SpringSecurity 测试实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值。 ...
基于SpringBootSpring Security,Vue Element 的前后端分离权限管理系统
04-08
《基于SpringBootSpring Security,Vue Element的前后端分离权限管理系统》 本项目是一个完整的、...通过研究和运行这个项目,可以深入理解SpringBootSpring Security以及Vue.js等技术的实战应用,提升开发技能。
Springboot + SpringSecurity(一)
qq_50833522的博客
06-03 3757
基于springboot的脚手架已经搭建完成的基础,用Springbot+SpringSecurity来进行的用户登录认证与权限控制(认证与授权)。
[SpringBoot]Spring Security框架
YJH000_的博客
06-11 8418
在使用Spring Security框架时,可以自定义组件类,实现接口,则Spring Security就会基于此类的对象来处理认证!则在项目的根包下创建,在类上添加@Service注解使其成为组件类,实现@Slf4j@Service@Override(通过loadUserByUsername(String s)这个方法的名字可以理解为通过用户名加载用户,参数s就是username用户名,返回UserDetails用户详情)在项目中存在。
【工作记录】springsecurity从入门到实战(一)
泽济天下的专栏
05-17 335
本文介绍了springsecurity的认证流程以及简单demo搭建和验证的过程。
Spring Security】 入门实战
m0_46638350的博客
04-17 395
这是因为,你在pom.xml中导入了依赖包,等于告诉maven要导入Spring Security依赖,但是不等于已经导入了Spring Securtiy,因为maven可能还没来得及导入,你就已经启动项目了。但是有时候导入依赖之后访问页面,也没有跳转到指定验证页面,这就是Spring Security没有生效。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2799
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
SpringBoot讲义.pdf
02-01
开发者篇则是面向已经有一定SpringBoot基础的学员,可能涵盖更高级的主题,如自定义配置、Spring Boot与其他高级服务的集成(如微服务、Cloud组件)、安全控制(Spring Security)以及性能调优。这部分内容旨在提升...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值