使用SpringSecurity

最新推荐文章于 2024-02-29 09:04:35 发布
最新推荐文章于 2024-02-29 09:04:35 发布
阅读量217 收藏
点赞数
文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bluemoon_0/article/details/129117188
版权

前几天写了一个SpringBoot对拦截器的使用,在实际项目中,对一些情况需要做一些安全验证,比如在没有登录的情况下访问特定的页面应该解释的拦截处理。这一篇介绍使用SpringSecurity来做简单的安全控制,由于SpringSecurity比较复杂,如果有不对的地方可以大家一起学习。

新建项目,前端页面使用thymeleaf,加入security依赖,pom文件如下:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>com.dalaoyang</groupId><artifactId>springboot_security</artifactId><version>0.0.1-SNAPSHOT</version><packaging>jar</packaging><name>springboot_security</name><description>springboot_security</description><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>1.5.9.RELEASE</version><relativePath/> <!-- lookup parent from repository --></parent><properties><project.build.sourceEncoding>UTF-8</project.build.sourceEncoding><project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding><java.version>1.8</java.version></properties><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-devtools</artifactId><scope>runtime</scope></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency><dependency><groupId>net.sourceforge.nekohtml</groupId><artifactId>nekohtml</artifactId><version>1.9.15</version></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency></dependencies><build><plugins><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId></plugin></plugins></build>

</project>

配置文件本文就是将之前整合thymeleaf的配置拿了过来,代码如下:

##端口号
server.port=8888

##去除thymeleaf的html严格校验
spring.thymeleaf.mode=LEGACYHTML5

#设定thymeleaf文件路径 默认为src/main/resources/templates
spring.freemarker.template-loader-path=classpath:/templates
#设定静态文件路径,js,css等
spring.mvc.static-path-pattern=/static/**
# 是否开启模板缓存,默认true
# 建议在开发时关闭缓存,不然没法看到实时页面
spring.thymeleaf.cache=false
# 模板编码
spring.freemarker.charset=UTF-8

接下来是这篇文章重要的地方,新建一个SecurityConfig类,继承WebSecurityConfigurerAdapter类,重写configure(HttpSecurity httpSecurity)方法,其中/css/**和/index的资源不需要验证,直接可以请求,/user/**的资源需要验证,权限是USER,/admin/**的资源需要验证,权限是ADMIN,登录地址是/login,登录失败地址是/login_error,异常重定向到 /401,注销跳转到/logout。 注入AuthenticationManagerBuilder,在内存中创建一个用户dalaoyang,密码123的用户,权限是USER,代码如下:

package com.dalaoyang.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author dalaoyang
 * @Description
 * @project springboot_learn
 * @package com.dalaoyang.config
 * @email yangyang@dalaoyang.cn
 * @date 2018/4/28
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {// /css/**和/index的资源不需要验证,直接可以请求// /user/**的资源需要验证,权限是USER /admin/**的资源需要验证,权限是ADMIN// 登录地址是/login 登录失败地址是 /login_error// 异常重定向到 /401// 注销跳转到 /logout@Overrideprotected void configure(HttpSecurity httpSecurity) throws Exception{httpSecurity.authorizeRequests().antMatchers("/css/**","/index").permitAll().antMatchers("/user/**").hasRole("USER").antMatchers("/admin/**").hasRole("ADMIN").and().formLogin().loginPage("/login").failureUrl("/login_error").and().exceptionHandling().accessDeniedPage("/401");httpSecurity.logout().logoutSuccessUrl("/logout");}//内存中创建用户,用户名为dalaoyang,密码123,权限是USER@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("dalaoyang").password("123").roles("USER");}
}

创建一个TestController负责跳转,代码如下:

package com.dalaoyang.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * @author dalaoyang
 * @Description
 * @project springboot_learn
 * @package com.dalaoyang.controller
 * @email yangyang@dalaoyang.cn
 * @date 2018/4/28
 */
@Controller
public class TestController {@RequestMapping("/")public String index(){return "index";}@RequestMapping("/index")public String index2(){return "index";}@RequestMapping("/user")public String user(){return "user/index";}@RequestMapping("/admin")public String admin(){return "admin/index";}@RequestMapping("/login")public String login(){return "login";}@RequestMapping("/login_error")public String login_error(Model model){model.addAttribute("login_error", "用户名或密码错误");return "login";}@RequestMapping("/logout")public String logout(Model model){model.addAttribute("login_error", "注销成功");return "login";}@RequestMapping("/401")public String error(){return "401";}
}

创建一个user/index.html,用于校验USER权限,没有登录的话不能直接访问,代码如下:

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head><meta charset="UTF-8"><title>user/index</title>
</head>
<body>
user/index

<form th:action="@{/logout}" method="post"><input type="submit" value="注销"/>
</form>
</body>
</html>

创建一个admin/index.html,只允许ADMIN权限访问,代码如下:

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>admin</title>
</head>
<body>
admin/index
</body>
</html>

401页面,用于没有权限跳转:

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>401</title>
</head>
<body>
401
</body>
</html>

index页面,任何权限都能访问

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head><meta charset="UTF-8"><title>index</title>
</head>
<body>
index
</body>
</html>

login页面,用于登录

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head><meta charset="UTF-8"><title>login</title>
</head>
<body>
<h1>login</h1>
<form th:action="@{/login}" method="post"><span th:text="${login_error}"></span>
<br/><input type="text" name="username">用户名<br/>
<input type="password" name="password">密码<br/><input type="submit" value="登录">
</form>
</body>
</html>

到这里就全部创建完成了,启动项目,访问http://localhost:8888/,如图,可以直接访问。

访问http://localhost:8888/user被拦截到http://localhost:8888/login,如图

先输入错误的密码,如图

然后输入用户名dalaoyang密码123,点击登录结果如图

访问http://localhost:8888/admin,如图,没有权限

我们在回到http://localhost:8888/user点击注销,如图

网络安全基础入门需要学习哪些知识?

网络安全学习路线

这是一份网络安全从零基础到进阶的学习路线大纲全览,小伙伴们记得点个收藏!

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5RAY4wpY-1676829950293)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]编辑

阶段一:基础入门

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5P7TSRkp-1676829950294)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

网络安全导论

渗透测试基础

网络基础

操作系统基础

Web安全基础

数据库基础

编程基础

CTF基础

该阶段学完即可年薪15w+

阶段二:技术进阶(到了这一步你才算入门)

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-yiKuUr8h-1676829950295)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

弱口令与口令爆破

XSS漏洞

CSRF漏洞

SSRF漏洞

XXE漏洞

SQL注入

任意文件操作漏洞

业务逻辑漏洞

该阶段学完年薪25w+

阶段三:高阶提升

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ILcVKGql-1676829950295)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

反序列化漏洞

RCE

综合靶场实操项目

内网渗透

流量分析

日志分析

恶意代码分析

应急响应

实战训练

该阶段学完即可年薪30w+

阶段四:蓝队课程

img[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nxRUoAuU-1676829950295)(data:image/gif;base64,R0lGODlhAQABAPABAP///wAAACH5BAEKAAAALAAAAAABAAEAAAICRAEAOw==)]

蓝队基础

蓝队进阶

该部分主攻蓝队的防御,即更容易被大家理解的网络安全工程师。

攻防兼备,年薪收入可以达到40w+

阶段五:面试指南&阶段六:升级内容

img

需要上述路线图对应的网络安全配套视频、源码以及更多网络安全相关书籍&面试题等内容

网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

网络安全敢敢
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用SpringSecurity.md
09-12
适合初学SpringSecurity人群
Spring Boot2.0使用Spring Security的示例代码
08-27
主要介绍了Spring Boot2.0使用Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.3.9.RELEASE.pom; 包含翻译后的API文档:spring-security-core-5.3.9.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-core:5.3.9.RELEASE; 标签:springframework、securityspring、core、中文文档、jar包、java使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用
securityjava springboot项目中使用springSecurity安全框架
m0_66998390的博客
08-23 1923
java springboot项目中使用springSecurity安全框架
Spring Security的基本概念和用法
最新发布
m0_51431003的博客
02-29 1177
Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是为Java应用程序提供全面的安全解决方案,包括身份验证、授权、防止跨站请求伪造(CSRF)等。Spring Security基于Spring框架,可以轻松地与Spring BootSpring MVC等其他Spring项目集成。
Spring Security框架配置及使用
m0_72106802的博客
09-08 585
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。Spring Security框架是目前认证和授权的主流应用框架,用以划分用户管理员权限,自身也提供BCrypt算法用于密码的加密处理,并且这种算法更加安全。
SpringSecurity
weixin_43732943的博客
05-19 318
3、访问任意controller会跳转到login页面,使用如上密码登录,就可以访问controller资源。在控制台中出现默认密码,这就是我们没有实现自定义密码,SpringSecurity帮我们自动生成的密码。5、出现下面的页面说明我们已经登录成功了(因为我没有写任何东西,所以页面会出现404异常)。1、在SpringBoot项目中的pom.xml文件中添加SpringSecurity依赖。4、如果直接访问login页面,输入用户名密码之后会显示404。2、启动SpringBoot项目中的启动类。
Spring Security 基础使用
奇妙的代码
11-23 730
Spring Security 是基于 Spring 应用的框架,具有功能强大且高度可定制的身份验证和访问控制的特点。
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
springsecurity使用demo
03-03
springsecurity使用demo
使用Spring Security控制会话的方法
08-26
在本文中,我们将说明Spring Security如何允许我们控制HTTP会话。这篇文章主要介绍了使用Spring Security控制会话 ,需要的朋友可以参考下
SpringSecurity认证添加pom.xml依赖,实现MP代码生成,创建配置Controller,自定义MD5加密,BCryptPasswordEncoder密码编码器,以及CSRF防御
qq_73126462的博客
01-22 1061
创建自定义MD5加密类并实现@Override//对密码进行 md5 加密​@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5加密密码保存到数据库表中。CSRF,跨站请求伪造)是一种利用用户已登录的身份在用户不知情的情况下发送恶意请求的攻击方式。
SpringSecurity使用详细讲解,附源码详细每一步的引导
m0_53464000的博客
08-23 347
权限认证的思路其实非常简单,我在登录的时候根据用户查询到权限信息,然后交给SpringSecurity框架,并且存到reids中就可以。截止到这一步,简单的登录校验就做好了,sucrity会根据返回的user自己比较密码,注意密码存储数据库时一定要加密,否则比对不成功。截至这里我们测试,登录成功之后,拿到返回的token,将token放在请求头中,成功访问,如果没有token就说明请求非法。前面我们说到了,当用户登录成功之后,我们会把生成的jwt返回给前端,然后前端在每次请求的时候都要带上这个token,
SpringSecurity入门
qq_56113699的博客
08-31 157
1.SpringSecurity简介 1.安全框架概述 什么是安全框架概述?解决系统安全问题的框架,如果没有安全框架,我们需要说动的处理每个资源的访问控制,非常的烦恼,使用安全框架我们可以通过配置的方式实现对资源的访问控制 2.常用的安全框架 SpringSecurity:Spring家族的一员,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架他提供了一组可以在Spring应用上下文中配置的Bean,**充分利用了Spring IOC (控制反转)DI(依赖注入)和AO
Spring Security 5.7 的简单搭建流程
qq_43670559的博客
04-17 1397
Spring Security 5.7 的简单搭建流程 1 环境搭建 1.1 pom 文件中依赖的引入 该流程搭建的是一个前后端分离的项目,环境搭建使用 Spring boot 2.7.10 和 Spring Security 5.7,数据库使用 MySQL8、druid、 MyBatis-Plus 具体pom文件的引入为: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/
spring Security的笔记与简单使用
qq_61267719的博客
05-07 405
spring Security的笔记与简单使用
spring security 3.2 pom配置
极客on之路
11-18 3061
3.2.0.RELEASE org.springframework.security spring-security-web ${org.springframework.security.version} org.springframework.security spring-security-config ${org.spring
SpringSecurity学习总结-1 第二章 项目基础模块搭建
Mr_XiMu的博客
02-15 370
SpringSecurity学习总结-1 第二章 项目基础模块搭建
SpringSecurity框架
Mr_Jin的博客
06-20 4775
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
基于proteus的51单片机设计与仿真6.1.7电子钟的设计汇编语言
10-23
基于Proteus的51单片机设计与仿真6.1.7电子钟的设计汇编语言是一种基于8051系列单片机的电子钟设计。Proteus是一款常用于电子设备设计和仿真的软件,51单片机是一种广泛应用于嵌入式系统开发的微控制器。 在电子钟的设计中,我们使用汇编语言编写程序,并通过Proteus进行仿真。首先,我们需要设计电子钟的硬件电路,包括单片机的连线和外围元件的连接。然后,我们使用汇编语言编写程序,将时钟显示在七段数码管上。 汇编语言是一种低级语言,与硬件直接交互,能够对单片机的寄存器和端口进行操作。在电子钟的设计中,我们可以使用计时器/计数器来实现精确的时间显示。通过设置定时中断,我们可以以适当的频率触发中断,然后进行相应的显示操作。 利用Proteus的仿真功能,我们可以在虚拟环境中测试程序的正确性,并调试错误。这样可以节省硬件成本和时间。通过仿真,我们可以验证程序的正确性,并进行性能优化。 总之,基于Proteus的51单片机设计与仿真6.1.7电子钟的设计汇编语言是一种利用汇编语言编写程序,并借助Proteus进行仿真的电子钟设计方法。这种方法可以有效地提高设计效率和准确性,并降低成本和风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值