spring security

最新推荐文章于 2021-02-24 01:02:08 发布
最新推荐文章于 2021-02-24 01:02:08 发布
阅读量110 收藏
点赞数
分类专栏: spring boot 文章标签: spring security session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccnn_yanan/article/details/103136391
版权

spring security 简单做一下 

第一步

引个包

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-security</artifactId>
</dependency>

只要引入个包 只要你访问接口 他自动回跳转到登录页面

默认用户名是user 密码会打印到控制台里

但我们显然不会用这种方式 一般都是用数据库

那好了 接下来

第二步

package com.example.demo;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.annotation.Resource;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

@Configuration
//优先级是第一位的
public class SecurityConfig extends WebSecurityConfigurerAdapter {
     //这个service是自己写的 但是UserDetailsService这个接口确实框架自己的 只不过需要实现它
    @Resource(name = "ss")
    private UserDetailsService userDetailService;

    //这个必须要 因为比如说下面这个 他会选择不把登录填的密码加密与实际密码比对 如果是其他方式会加密
    //密码比对是有这个框架自动做的 (至少我现在写的这种方式是)
    @Bean
    PasswordEncoder passwordEncoder(){
        return  NoOpPasswordEncoder.getInstance();
    }
    //尤其注意这个 AuthenticationManagerBuilder  因为父类重构了好几个configure方法认准这个就是做认证的
    //就是下面这个.anyRequest().authenticated() 会来这里认证
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
     auth.userDetailsService(userDetailService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http
                .authorizeRequests()
                //这个很明显除了这个url不需要认证 其他都需要
                .antMatchers("/uua/fegin/**").permitAll()
               //需要加这个ROLE这个前缀因为他自动有
                .antMatchers("/uua/fegin1/**").hasRole("admin")
                .anyRequest().authenticated()               //所有其他的URL都需要用户进行验证
                .and()
                //表单认证 这个就是一开始咱们只引包默认的那个登录页面 不写这个 那就没有这个页面 只会返回403
                .formLogin()
                //登录成功怎样 当然也有登录失败怎样
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        Map map = new HashMap();
                        map.put("msg","登录成功");
                        ObjectMapper om = new ObjectMapper();
                        PrintWriter writer = httpServletResponse.getWriter();
                        writer.write("登录成功");
                        writer.flush();
                        writer.close();
                    }
                })
                .and().csrf().disable();
        //这个先注释掉是因为默认他的登录信息是保存在session里 我们不想用的会就得有下面这两句 比如保存在redis里了或这个JWTtoken
//                .sessionManagement()
//                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //这个他的默认登录信息是保存在session里
    }


}

第三步

就是我刚才写的userDetailService的实现类 还有User也必须实现UserDetail

package com.example.demo;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

public class User  implements UserDetails {
    private  String username;
    private  String password;
    private  Boolean enabled;
    private  Boolean locked;
    private  List<Role> roles;
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        roles = new ArrayList<>();
        Role role1 = new Role();
        //需要加ROLE这个前缀 因为自动加有
        role1.setName("ROLE_ADMIN");
        roles.add(role1);
        for(Role role : roles){
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public Boolean getEnabled() {
        return enabled;
    }

    public void setEnabled(Boolean enabled) {
        this.enabled = enabled;
    }

    public Boolean getLocked() {
        return locked;
    }

    public void setLocked(Boolean locked) {
        this.locked = locked;
    }

    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }
}

完毕 接下来大概说一下原理

首先访问 一个受限的资源

http://10.0.75.1:8083/uua/fegin1/test

 

 

spring security 默认情况下是会把他的登录信息 保存在session 每次去 请求需要授权的资源都会去session里取 清除浏览器的session 登录信息会失效

关键代码 

首选就去session 取看有没有保存登录信息

HttpSessionSecurityContextRepository.class  
 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
           
          //其他部分省略
         SecurityContext contextBeforeChainExecution = this.repo.loadContext(holder);
           

        }
    }
HttpSessionSecurityContextRepository.class方法里
  private SecurityContext readSecurityContextFromSession(HttpSession httpSession) {
        boolean debug = this.logger.isDebugEnabled();
        if (httpSession == null) {
            if (debug) {
                this.logger.debug("No HttpSession currently exists");
            }

            return null;
        } else {
            Object contextFromSession = httpSession.getAttribute(this.springSecurityContextKey);
            if (contextFromSession == null) {
                if (debug) {
                    this.logger.debug("HttpSession returned null object for SPRING_SECURITY_CONTEXT");
                }

                return null;
            } else if (!(contextFromSession instanceof SecurityContext)) {
                if (this.logger.isWarnEnabled()) {
                    this.logger.warn(this.springSecurityContextKey + " did not contain a SecurityContext but contained: '" + contextFromSession + "'; are you improperly modifying the HttpSession directly (you should always use SecurityContextHolder) or using the HttpSession attribute reserved for this class?");
                }

                return null;
            } else {
                if (debug) {
                    this.logger.debug("Obtained a valid SecurityContext from " + this.springSecurityContextKey + ": '" + contextFromSession + "'");
                }

                return (SecurityContext)contextFromSession;
            }
        }
    }

2.如果有session保存有登录信息 就把登录信息保存到 

 
SecurityContextHolder.class
 public static void setContext(SecurityContext context) {
        strategy.setContext(context);
    }

现在就是没有登录

实际保存到了

ThreadLocalSecurityContextHolderStrategy.class 
private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal();就这里

下面就是重头戏 主要就是

AbstractSecurityInterceptor.class
beforeInvocation 这个方法
  protected InterceptorStatusToken beforeInvocation(Object object) {
        Assert.notNull(object, "Object was null");
        boolean debug = this.logger.isDebugEnabled();
        if (!this.getSecureObjectClass().isAssignableFrom(object.getClass())) {
            throw new IllegalArgumentException("Security invocation attempted for object " + object.getClass().getName() + " but AbstractSecurityInterceptor only configured to support secure objects of type: " + this.getSecureObjectClass());
        } else {

//这个就是我当前访问的链接应该需要什么角色才能访问
            Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);
            if (attributes != null && !attributes.isEmpty()) {
                if (debug) {
                    this.logger.debug("Secure object: " + object + "; Attributes: " + attributes);
                }

                if (SecurityContextHolder.getContext().getAuthentication() == null) {
                    this.credentialsNotFound(this.messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound", "An Authentication object was not found in the SecurityContext"), object, attributes);
                }
               //这个就会把刚才往session取得信息去出来 没有也没关系他会自动创建个匿名用户
                Authentication authenticated = this.authenticateIfRequired();

                try {
//校验权限
                    this.accessDecisionManager.decide(authenticated, object, attributes);
                } catch (AccessDeniedException var7) {
                    this.publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated, var7));
                    throw var7;
                }

                if (debug) {
                    this.logger.debug("Authorization successful");
                }

                if (this.publishAuthorizationSuccess) {
                    this.publishEvent(new AuthorizedEvent(object, attributes, authenticated));
                }

                Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attributes);
                if (runAs == null) {
                    if (debug) {
                        this.logger.debug("RunAsManager did not change Authentication object");
                    }

                    return new InterceptorStatusToken(SecurityContextHolder.getContext(), false, attributes, object);
                } else {
                    if (debug) {
                        this.logger.debug("Switching to RunAs Authentication: " + runAs);
                    }

                    SecurityContext origCtx = SecurityContextHolder.getContext();
                    SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
                    SecurityContextHolder.getContext().setAuthentication(runAs);
                    return new InterceptorStatusToken(origCtx, true, attributes, object);
                }
            } else if (this.rejectPublicInvocations) {
                throw new IllegalArgumentException("Secure object invocation " + object + " was denied as public invocations are not allowed via this interceptor. This indicates a configuration error because the rejectPublicInvocations property is set to 'true'");
            } else {
                if (debug) {
                    this.logger.debug("Public object - authentication not attempted");
                }

                this.publishEvent(new PublicInvocationEvent(object));
                return null;
            }
        }
    }

 

ccnn_yanan
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot+Spring Security:前后端分离之JWT介绍- 第33篇
悟纤学院
05-22 2万+
一、跨域认证的问题 互联网服务离不开用户认证。一般流程是下面这样。 (1)、用户向服务器发送用户名和密码。 (2)、服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色、登录时间等等。 (3)、服务器向用户返回一个 session_id,写入用户的 Cookie。 (4)、用户随后的每一次请求,都会通过 Cookie,将 session_id 传回服务器。 (5)、服务器收到 session_id,找到前期保存的数据,由此得知用户的身份。 这种模式的问题在于,扩展性(s
spring security 4 filter SecurityContextPersistenceFilter(三)
it帝国的博客-辉
03-13 1701
今天我们讲的filter是SecurityContextPersistenceFilter,通过其名字,就能大概猜出来这个过滤器的作用,就是用来持久化SecurityContext实例用的,也是spring security filter 核心的过滤器之一。 接下去我们将根据其源码分析一下其作用,先看看doFilter这个方法 public void doFilter(Servl...
springsecurity认证(2)
qq_17432551的博客
05-20 272
认证信息的存储和会话跟踪 UsernamePasswordAuthenticationFilter认证只会拦截登录请求,上下文的创建和销毁是由SecurityContextPersistenceFilter来完成的。request请求经过SecurityContextPersistenceFilter时,SecurityContextPersistenceFilter会向SecurityContextHolder里存放上下文,SecurityContextPersistenceFilter的上下文取自上下
踩坑记录 - 关于使用Spring security的一个坑(自定义登录页面访问配置的login.do报404)
SkyWalker的博客
03-22 1万+
今天分享一个使用Spring security的一个坑。。。 废话不说,上代码: <!-- 登录页面login.html --> <form id="login-form" action="/login.do"> 用户名:<input type="text" name="username"/> <br> 密码:<input type="p...
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springSecurity
最新发布
10-14
springSecurity
在 request 之间共享 SecurityContext
johnhuster的专栏
08-16 2374
在 request 之间共享 SecurityContext
java config配置404页面_使用Spring 4注释的java – 404错误页面配置
weixin_31787977的博客
02-24 568
我有一个Spring 4的Spring MVC项目.我的服务器是tomcat 7.我正在尝试制作一个404页面,我尝试了很多东西,但我做不到.我错过了什么?这是WebAppContext:@Configuration@ComponentScan(basePackages = {"com.***"})@EnableWebMvcpublic class WebAppContext extends We...
Cannot deserialize session attribute [SPRING_SECURITY_CONTEXT] for session的解决办法
大造梦家的博客
03-11 2734
SpringBoot整合SpringSecurity,并启用devtools的时候,会抛出如下异常: Cannot deserialize session attribute [SPRING_SECURITY_CONTEXT] for session [xxx] 提示是无法序列化session,根据stackoverflow上的答案 只要在你序列化自定义的UserDetials类中传入的...
springsecurity 实现强制用户下线-前后端分离
渣渣飞的博客
10-07 5785
强制用户下线前言设计思路查找资料自己手写缓存过滤器HttpSession监听器强制用户下线结尾 前言 最近相对较忙,没有更新博客,正值假期,赶紧抽空写两篇。也是遇到的项目上的需求:管理员变更了用户的权限,但是用户如果系统在线的话,有些权限功能仍旧可以使用。对此,强制用户下线的需求来了。括弧:由于系统预期为一对一的单服务系统,没有使用redis做缓存。所以对强制用户下线的功能带来了一些麻烦。 设计思...
spring security获得当前不为空的上下文
gxftry1st的专栏
04-12 4992
UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext().getAuthentication() .getPrincipal();        但我在实际运用中发现获得的Authentication为null。仔细看了下源代码发现,如果想用上面的代码获得当前用户,必
奇怪,Spring Security 登录成功后总是获取不到登录用户信息?
热门推荐
江南一点雨的专栏
04-01 1万+
有好几位小伙伴小伙伴曾向松哥求助过这个问题。 一开始我觉得这可能是一个小概率 BUG,但是当问的人多了,我觉得这个问题对于新手来说还有一定的普遍性,有必要来写篇文章跟大家仔细聊一聊这个问题,防止小伙伴们掉坑。 1.问题复现 如果使用了 Spring Security,当我们登录成功后,可以通过如下方式获取到当前登录用户信息: SecurityContextHolder.getContext()....
Spring Security详解(三)认证之核心过滤器
Jagger的博客
06-22 7100
这章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 3 核心过滤器 3.1 概述 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: - ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的...
Spring Security
09-13
Spring SecuritySpring家族中的一个安全管理框架。与另外一个安全框架Shiro相比,Spring Security提供了更丰富的功能,并且拥有更丰富的社区资源。一般来说,中大型的项目更倾向于使用Spring Security作为安全框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值