springsecurity踩坑记录

最新推荐文章于 2023-08-27 18:05:20 发布
最新推荐文章于 2023-08-27 18:05:20 发布
阅读量465 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bill_wjn/article/details/103916165
版权

1.搭建简单的springsecurity项目

参考文献:https://www.cnblogs.com/demingblog/p/10874753.html

第一步:引入security,jwt,fastjson的pom坐标

<!--springsecurity-->
<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<!--jwt-->
<dependency>
      <groupId>io.jsonwebtoken</groupId>
      <artifactId>jjwt</artifactId>
      <version>0.9.0</version>
</dependency>
<!--fastjson-->
<dependency>
      <groupId>com.alibaba</groupId>
      <artifactId>fastjson</artifactId>
      <version>1.2.56</version>
</dependency>

第二步:创建一个controller

第三步:配置文件中配置用户名密码(不配置会有默认的用户名密码,默认的用户名是 user,密码则是一串 UUID 字符串,输出到了控制台日志里)

#springsecurity
spring.security.user.name=root
spring.security.user.password=root

第四步:启动项目,浏览器访问controller,会弹出登录框,用刚刚设置的用户名密码登录成功后会跳转到相应的controller,这种是HTTP Basic 认证的方式,接下来还有表单认证的方式。

2.自定义表单方式登陆

第一步:新建SecurityConfig类继承WebSecurityConfigurerAdapter,这个类主要是自定义安全方法,比如登陆方式,加密类型等

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //注入自定义的三个对象,下面附上该类代码
    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private AuthenticationSuccessHandler successHandler;

    @Autowired
    private AuthenticationFailHandler failHandler;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http
                .authorizeRequests();

        registry.and()
        //表单登录方式
                .formLogin()
                .permitAll()
        //成功处理类
                .successHandler(successHandler)
        //失败
                .failureHandler(failHandler)
                .and()
                .logout()
                .permitAll()
                .and()
                .authorizeRequests()
        //任何请求
                .anyRequest()
        //需要身份认证
                .authenticated()
                .and()
        //关闭跨站请求防护
                .csrf().disable()
        //前后端分离采用JWT 不需要session
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }
    //自定义使用自己定义的userDetailsService,连接数据库,设置加密类型
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
    //设置加密类型
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

第二步:新建CustomUserDetailsService类继承UserDetailsService,自定义登陆规则。

@Component("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //这个方法里可以调用通过username查询数据库的方法
        //User userFromDatabase = userRepository.findOneByLogin(login);
        //if (userFromDatabase == null) {
            //log.warn("User: {} not found", login);
            //throw new UsernameNotFoundException("User " + login + " was not found in db");
            //这里找不到必须抛异常
        //}
        //设置角色
        Collection<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        //用加密方法给密码加密,注册的时候用
        //BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        //String encode = bCryptPasswordEncoder.encode("root");
        //这个密码是root加密后的密文,明文是root
        return new User("root",new BCryptPasswordEncoder().encode("root"),grantedAuthorities);
    }
}

第三步:新建AuthenticationSuccessHandler,登陆成功进入该方法

package com.wjn.security.handler;

import com.alibaba.fastjson.JSONObject;
import lombok.extern.slf4j.Slf4j;
import org.apache.tomcat.util.http.ResponseUtil;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.*;

@Slf4j
@Component
public class AuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {

        String username = ((UserDetails)authentication.getPrincipal()).getUsername();
        Collection<? extends GrantedAuthority> authorities = ((UserDetails) authentication.getPrincipal()).getAuthorities();
        List<String> list = new ArrayList<>();
        for(GrantedAuthority g : authorities){
            list.add(g.getAuthority());
        }
        //登陆成功生成token
        String  token = UUID.randomUUID().toString().replace("-", "");
        //token 需要保存至服务器一份,实现方式:redis or jwt输出到浏览器
        Map<Object, Object> map = new HashMap<>();
        map.put("code",200);
        map.put("msg","登陆成功");
        map.put("username",username);
        map.put("token",token);
        PrintWriter out = response.getWriter();
        response.setContentType("application/json; charset=utf-8");
        response.setCharacterEncoding("UTF-8");
        Object o = JSONObject.toJSON(map);
        System.out.println(o);
        out.print(o.toString());
    }
}

第四步:新建AuthenticationFailHandler,登陆失败进入该方法

package com.wjn.security.handler;

import com.alibaba.fastjson.JSONObject;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.DisabledException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

@Component
public class AuthenticationFailHandler extends SimpleUrlAuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException {

        // 默认情况下,不管你是用户名不存在,密码错误,SS 都会报出 Bad credentials 异常信息
        Map<Object, Object> map = new HashMap<>();
        if (e instanceof UsernameNotFoundException || e instanceof BadCredentialsException) {
            map.put("code",500);
            map.put("msg","用户名或密码错误");
        } else if (e instanceof DisabledException) {
            map.put("code",500);
            map.put("msg","账户被禁用,请联系管理员");
        } else {
            map.put("code",500);
            map.put("msg","登录失败,其他内部错误");
        }
        PrintWriter out = response.getWriter();
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        Object o = JSONObject.toJSON(map);
        out.print(o.toString());
    }

}

第五步:随便访问一个路径,进入登陆页面,然后输入正确的用户名密码或者错误的用户名密码会返回不同的json。

bill_wjn
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security一些避指南
Software As Business
04-02 453
Spring Security一些避指南关于登录验证流程的Security 登录验证流程(不需要传入密码)Security 登录成功获取用户信息(密码为NULL)Security 通过Json 返回数据 最近开始在项目上使用Security, 之前只是修改别人写好的,很多原理不明白。这次有幸自己搭建框架。期间是一言难尽。下面会说说一些常见的 关于登录验证流程的 Security 登录验证流程(不需要传入密码) 此处是一个流程理解问题,在security的登录过程中是采取以用户名为查询条件,重写Use
spring security
成都彭于晏
01-27 1414
security配置文件里面增加放行域名的时候要注意 security底层是根据字符串对比来判断两个域名是否为同一域名的 所以localhost和127.0.0.1不一样 不一样 不一样 不一样 嘤嘤嘤~
SSM+vue之旅
kongzyu的博客
01-07 479
SSM+vue之旅 前端Vue vue项目代码地址 一、axios axios 用的 axios 与 vue-axios import axios from './plugins/axios.js' import VueAxios from 'vue-axios' createApp(home) .use(VueAxios, axios) 1、刚开始关于请求 content-type 的三种常用数据格式都迷了半天 请求头 说明 推荐后端接收方式 application/json
Spring Security文章梳理
技术摸索和实践者
03-26 216
为了提高项目组生产效率和适应市场人才技术线,项目其中一个模块决定摒弃公司传统的Spring+Struts框架(技术老旧,工程体量庞大),采用SpringBoot新搭建一个工程。登录认证、权限管理这些系统基础功能自然少不了。项目还达不到微服务架构的地步,SpringCloudAuth2的方案太重,先只打算用Spring Security。本文章记录一下搜寻的各有关Spring Security的文章,不断的更新中。。。
如何解决ClassNotFoundException、NoClassDefFoundError和ExceptionInitializerError
最新发布
咔咔学长
08-27 3710
ClassNotFoundException是一个检查异常。当应用程序试图通过其字符串名称加载类,但是在classpath中找不到具有指定名称的类时抛出。一般发生于NoClassDefFoundError异常,看命名后缀是一个Error,无需用户去catch处理,与ClassNotFoundException相比有明显的区别。本项目直接编写的类,一般不会发生这个异常。这个异常通常发生在,本项目依赖的某个jar中的某个类。fill:#333;color:#333;color:#333;
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 记录用户登录时间功能实现 Spring Security 框架提供了强大的身份验证和授权功能,然而在实际应用中,我们还需要记录用户的登录时间,以便于日后进行登录记录的追踪和分析。在本文中,我们将详细...
Spring cloud记录之使用feignclient远程调用服务404的方法
08-26
Spring Cloud中,FeignClient是一个声明式的Web服务客户端,它使得编写Web服务客户端变得简单。Feign的设计理念是让微服务之间的通信更加简洁、直观,就像调用本地方法一样调用远程服务。然而,在实际使用过程中,...
SpringSecurity.pdf
05-24
Spring Security是一个功能强大、高度定制的安全框架,它专门用于为基于Spring的应用程序提供安全性解决方案。Spring Security架构的设计初衷是为了解决认证和授权的需求,确保应用程序的安全性。它提供了全面的安全...
详解Spring的StringUtils记录
08-25
Spring StringUtils记录详解 Spring框架的StringUtils工具类是Java开发中常用的工具之一,但是如果不正确地使用StringUtils,可能会导致一些意外的问题。在本文中,我们将通过一个实践案例,详解Spring的...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security 参考手册_Spring Security中文版
01-02
Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。 Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的,我们试图为你提供一个有用的并且高度可配置的安全系统。
java里的ClassNotFoundException
topdeveloperr的博客
06-19 3328
1.Caused by: java.lang.ClassNotFoundException: org.springframework.security.oauth2.common.util.RandomValueStringGenerator ClassNotFoundException是一个非运行时异常,且常常出现在项目启动时。它的意思简单明了,就是指项目启动时,或者执行某一个功能时,需要的C...
SpringSecurity权限管理框架系列(四)-Spring Security结合MySQL数据库实现自定义权限认证
最爱嫣夜来
03-22 3324
1、自定义权限认证的实现思路 自定义一个实体类LoginUser用来保存SygUser用户信息以及权限信息Set<String> permissions 让这个LoginUser实体类实现Userdetails接口 自定义的MyUserDetailsServiceImpl类的loadUserByUsername()方法中实现用户信息查询及该用户的权限信息查询 自定义的MyUserDetailsServiceImpl类的loadUserByUsername()方法返回LoginUs
[SpringMVC]错误问题集合之ClassNotFoundException: org.springframework.web.context.ContextLoaderListener
中年油腻男人的转型之路
06-09 355
在Intellij Idea中将工程的依赖从Spring 4.3.18升级到5.0.9之后,一直提示如下错误: 09-Jun-2019 22:26:47.001 严重 [localhost-startStop-1] org.apache.catalina.core.StandardContext.listenerStart Error configuring application listen...
java.lang.ClassNotFoundException异常问题原因总结
热门推荐
u011017880的专栏
03-28 5万+
常会遇到报找不到类的问题,有时是没有引入相关类,但很多时候明明是有的,现把原因简单总结如下: 1、java.lang.ClassNotFoundException: com.alibaba.nacos.client.logging.NacosLogging 调试spring cloud alibaba总报这个错,查到对应包nacos-client-2.0.3有此类,双击无法打开,果断判断是包下载问题,去仓库删除下载包,maven重新下载,搞定! 2、还有一种常见的报错原因是引入了不同版本的包,两个包都
idea配置springmvc出现java.lang.ClassNotFoundException: org.springframework.web.servlet.DispatcherServlet
weixin_44780082的博客
03-19 814
项目场景: spring配置web和 mvc出现的classnotfound错误 问题描述: 使用springweb和springmvc出现的ClassNotFound问题 监听器DispatcherServletClassNotFound java.lang.ClassNotFoundException: org.springframework.web.servlet.DispatcherServlet at org.apache.catalina.loader.WebappClassLoaderBa
SpringBoot中的异常处理
m0_67394002的博客
08-02 336
开发方式有两种毫无疑问,前后端分离开发实现了前端和后端的解耦,相较于传统的开发方式前后端分离开发还有许许多多大的好处,可以想象的是以后一定是前后端分离开发的天下。本篇的SpringBoot中的异常处理机制也会基于传统方式开发和前后端分离开发两种类型进行说明。...
关于Spring Security的一些(持续更新)
长门有一
06-11 2140
问题一 使用springboot,权限管理使用spring security,使用内存用户验证,但无响应报错:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 这个问题极其爹. 究其原因是因为我看的springboot的视频版本太老了导致的: 原先的代码: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值