spring boot下配置spring security笔记(请面试官进来看看)

最新推荐文章于 2024-08-24 22:52:35 发布
最新推荐文章于 2024-08-24 22:52:35 发布
阅读量1w 收藏 1
点赞数
分类专栏: springBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/confoo/article/details/53535930
版权

springboot所有的配置是无xml的,用webinitlizer继承

AbstractAnnotationConfigDispatcherServletInitializer

配置拦截器等

在实现类中getServletFilters
DelegatingFilterProxy securityFilterChain = new DelegatingFilterProxy("springSecurityFilterChain");
return new Filter[] {characterEncodingFilter, securityFilterChain};
就可以开启拦截了


在实现类中

@Override
protected Class<?>[] getRootConfigClasses() {
    return new Class<?>[]{RootConfig.class,SecurityConfig.class};
}
就可以注册一个拦截相关的实现类实现auto认证与http认证啦!!!



===================================ruo======================================

以下为我遇到的错误信息

1.csrfException,场景,因为我是通过webservice调用的 属于无状态请求,所以需要在securityConfig里设置.and().csrf().disable()禁用即可

2.AccessDeniedException: Access is denied

这个是指我没有访问这个url地址的权限

3.

loadUserByUsername(String username)
soa架构下万年获取不到username的问题,这个教科书和百度上并没有具体的告诉我

.formLogin()
.loginPage("/login")
.loginProcessingUrl("/loginProcessing")

 

 

4.InternalAuthenticationService
 

UserAccountEntity类实现spring的 org.springframework.security.core.userdetails.UserDetails实现equals与hashCode方法
 

 

@Override
public boolean equals(Object rhs) {
    if (!(rhs instanceof User) || (rhs == null)) {
        return false;
    }
    User user = (User) rhs;
    return (this.getPassword().equals(user.getPassword()) && this.getUsername().equals(user.getUsername())
            && (this.isAccountNonExpired() == user.isAccountNonExpired())
            && (this.isAccountNonLocked() == user.isAccountNonLocked())
            && (this.isCredentialsNonExpired() == user.isCredentialsNonExpired())
            && (this.isEnabled() == user.isEnabled()));
}

@Override
public int hashCode() {
    int code = 9792;
    for (GrantedAuthority authority : getAuthorities()) {
        code = code * (authority.hashCode() % 7);
    }

    if (this.getPassword() != null) {
        code = code * (this.getPassword().hashCode() % 7);
    }

    if (this.getUsername() != null) {
        code = code * (this.getUsername().hashCode() % 7);
    }

    if (this.isAccountNonExpired()) {
        code = code * -2;
    }

    if (this.isAccountNonLocked()) {
        code = code * -3;
    }

    if (this.isCredentialsNonExpired()) {
        code = code * -5;
    }

    if (this.isEnabled()) {
        code = code * -7;
    }

    return code;
}
 

 

 

5.客户端请求这个,不要去请求login这个地址
 

org.springframework.security.authentication.BadCredentialsException: Bad credentials
 
 

 

DaoAuthenticationProvider
 

if(!this.passwordEncoder.isPasswordValid(userDetails.getPassword(), presentedPassword, salt)) {
 这是由于我密码配置错误导致的,让我们加到config auth这个方法 

 

 

auth.userDetailsService(spitterUserService).passwordEncoder(new BCryptPasswordEncoder());
 改成 

auth.userDetailsService(spitterUserService).passwordEncoder(new Md5PasswordEncoder());
 

 

即可
 

6.问:如果不让springboot重定向 并且返回json
 

答:这个问题问的好,这是人唯一没有参照网上资料自己根据意思研发出来的
 

SecurityConfig 中
 

 

.and()
    .formLogin()
    .loginPage("/login")
    .loginProcessingUrl("/loginProcessing")
    .successHandler(new AuthSeuccessHandlerController())
 配置 

 

 

public class AuthSeuccessHandlerController extends BaseController implements AuthenticationSuccessHandler
 

在 onAuthenticationSuccess 实现方法中 authentication 参数就有你的用户信息了 你不必要再去数据库查一遍了
 通过reponse就可以返回json了 你可以随便折腾 

 

配置了successHandler他就不会再重写向到项目+/了
 


 
 

=======================================ruo=========================================
 

第二部分 资源认证
 

当我不是用AOP架构进行认证时 就没有第二部分了
 


 
 

当spring security认证通过后会通过SecurityContextHolder存储在上下文之中
 

那么我的AOP如何才能与Authentication 进行匹配呢?答案是不可能除非重写一大堆filter
 
 

我采用的是token进行传输
 

我重写了restTemplate工具类 多封装了token进去了
 

接下来是重点:
 

 

	.authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O fsi) {
                        fsi.setAccessDecisionManager(new AccessDecisionManagerImpl(userAccountRepository));
                        /*fsi.setAuthenticationManager(authenticationManagerBean());*/
                        return fsi;
                    }
                })
//                .expressionHandler(new AbstractAuthenticationProcessingFilter())
                    .antMatchers("/").permitAll()
                    .antMatchers("/menu/root").access("ROLE_ADMIN")
 这是我的认证核心,重写了FilterSecurityInterceptor,我是没有办法,因为无论是GET 还是 POST还是其它请求都无法通过 
UsernamePasswordAuthenticationFilter 如果未通过 那么security会新增一个认证 那就是AnonymousAuthenticationFilter那么 
Authentication 就是匿名用户了,回归正题:我们用一个类实现 
AccessDecisionManager 重写decide,方法中有如下参数 

Authentication authentication, Object o, Collection<ConfigAttribute> configAttributes
 

 

authentication就是认证信息, 这个咱们不用管,基本就是匿名认证用户,因为这是aop架构,o就是咱们的请求url,configAttribute就是角色信息,请参照SecurityConfig里的配置,如果我要拦截哪个路径并且只允许哪个角色访问那么这个类就包含了这些角色信息。
 

而为什么需要token 我们是需要往数据库里面查一遍user并且与这个configAttributes进行认证匹配的,如果匹配成功就reutrn;不成功就抛出异常。
 


 
 


 

                

        

        

    

  


    

      

        

            

              
                
                  confoo
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
开源框架面试之Spring Boot面试题

				
			

			

				

					用文字记录下每一个瞬间的感动和每一次思考的火花
				

				

					09-28
					
					9万+
					
				

			

		

		

			
				
文章目录1、什么是 Spring Boot?2、Spring Boot有哪些优点?3、什么是 JavaConfig?4、如何重新加载Spring Boot上的更改,而无需重新启动服务器?5、Spring Boot中的监视器是什么?6、如何在Spring Boot中禁用Actuator端点安全性?7、如何在自定义端口上运行Spring Boot应用程序?8、什么是YAML?9、如何实现Spring Boot应用程序的安全性?10、如何集成 Spring Boot 和 ActiveMQ?11、如何使用Sprin

			
		

	



                

              
                



	

		

			

				
					
Spring Boot面试题汇总,含答案

				
			

			

				

					Trouvailless的博客
				

				

					06-20
					
					1347
					
				

			

		

		

			
				
Spring Boot

			
		

	



                


  
              

                


	

		

			

				
					
来自面试官的41道 SpringBoot 面试题

				
			

			

				

					Java学习之道
				

				

					02-24
					
					4691
					
				

			

		

		

			
				
长按识别下方二维码,即可"关注"公众号每天早晨,干货准时奉上!本文来自“武哥聊编程”编辑 今天跟大家分享下SpringBoot 常见面试题的知识。1什么是sprin...

			
		

	





	

		

			

				
					
SpringBoot (面试篇)

					
最新发布

				
			

			

				

					qq_53573029的博客
				

				

					08-24
					
					1659
					
				

			

		

		

			
				
yaml是一个可读性高,用来表达数序列化的格式。yaml参考了其他多种语言,包括:C语言、Python、Perl。根据结构性。Spring Java Config是Spring社区的产品,Spring3.0引入了他,它提供了配置SpringIOC容器的纯Java方法。因此它有助于避免使用XML配置。使用JavaConfig的优点在于:面向对象的配置。由于配置被定义为JavaConfig中的类,因此用户可以充分利用Java中的面向对象功能。一个配置类可以继承另一个,重写它的@Bean方法等。

			
		

	



		

			
		



	

		

			

				
					
springboot面试题

				
			

			

				

					javaactive的专栏
				

				

					04-11
					
					5314
					
				

			

		

		

			
				
Spring Boot 是微服务中最好的 Java 框架. 我们建议你能够成为一名 Spring Boot 的专家。问题一 Spring BootSpring MVC 和 Spring 有什么区别?SpringFrameSpringFramework 最重要的特征是依赖注入。所有 SpringModules 不是依赖注入就是 IOC 控制反转。当我们恰当的使用 DI 或者是 IOC 的时候,我们...

			
		

	





	

		

			

				
					
SpringBoot面试

				
			

			

				

					ai000402的博客
				

				

					03-11
					
					692
					
				

			

		

		

			
				
1.对SpringBoot的理解?
SpringBoot主要用来简化使用Spring的难度和繁重的XML配置,它是Spring组件的一站式解决方案,采取了约定优于配置的方法。通过.properties或者.yml文件替代了Spring繁杂的XML配置文件,同时支持@ImportResource注解加载XML配置Spring Boot还提供了嵌入式HTTP服务器、命令行接口工具、多种插件等等,使得应用程序的测试和开发简单起来
2.SpringBoot的优点


为基于Spring的开发提供更快的入门体验



			
		

	





	

		

			

				
					
springboot面试

				
			

			

				

					baidu_26831731的博客
				

				

					03-08
					
					243
					
				

			

		

		

			
				
springboot面试
1.springboot的优势
Spring Boot 的最大的优势是“约定优于配置“。“约定优于配置“是一种软件设计范式,开发人员按照约定的方式来进行编程,可以减少软件开发人员需做决定的数量,获得简单的好处,而又不失灵活性。
2.springboot中 “约定优于配置“的具体产品体现
SpringBoot Starter、SpringBoot Jpa 都是“约定优于配置“的一种体现。都是通过“约定优于配置“的设计思路来设计的,Spring Boot Starter 在启动的过程中

			
		

	





	

		

			

				
					
面试面经|Java面试Spring Boot/Spring Cloud面试题

				
			

			

				

					Q54665642ljf的博客
				

				

					08-06
					
					252
					
				

			

		

		

			
				
Java面试Spring Boot/Spring Cloud面试题
凡事预则立,不预则废。能读到这里的人,我相信都是这个世界上的“有心人”,还是那句老话:上天不负有心人!我相信你的每一步努力,都会收获意想不到的回报
......

			
		

	





	

		

			

				
					
Spring Boot面试题(2024最新版)

				
			

			

				

					2401_83916283的博客
				

				

					05-06
					
					940
					
				

			

		

		

			
				
Spring BootSpring 开源组织下的子项目,是 Spring 组件一站式解决方案,主要是简化了使用 Spring 的难度,简省了繁重的配置,提供了各种启动器,开发者能快速上手。Spring JavaConfig 是 Spring 社区的产品,它提供了配置 Spring IoC 容器的纯Java 方法。因此它有助于避免使用 XML 配置。使用 JavaConfig 的优点在于:(1)面向对象的配置

			
		

	





	

		

			

				
					
Spring Boot 完整讲解

					
热门推荐

				
			

			

				

					可乐的博客
				

				

					02-28
					
					2万+
					
				

			

		

		

			
				
SpringBoot学习笔记

文章写得比较详细,所以很长(105336 字数),可以参考目录

文章目录SpringBoot学习笔记@[toc]一、 Spring Boot 入门预:必须掌握的技术:1. Spring Boot 简介背景解决的问题优点缺点2.微服务What are Microservices?单体应用微服务3.环境准备Maven设置:Idea设置4.Spring Boot Hel...

			
		

	





	

		

			

				
					
10道面试官喜欢问的微服务面试题Spring Cloud+Spring Boot

				
			

			

				

					yuandengta的博客
				

				

					08-21
					
					426
					
				

			

		

		

			
				
前言

为什么要使用微服务?

随着互联网的快速发展,各行各业都在用互联网。互联网已经离不开人们的形形色色。随着越来越多的用户,业务场景也愈来愈复杂。

传统的单体架构已经很难满足互联网技术发展的要求,代码可维护性扩展性和可读性降低,维护成本的提高都是驱动微服务的发展趋势。





微服务哪些框架

Dubbo,是阿里巴巴服务化治理的核心框架,并被广泛应用于阿里巴巴集团的各成员站

点。阿里巴巴近几年对开源社区的贡献不论在国内还是国外都是引人注目的,比如:

JStorm 捐赠给 Apache 并加入..

			
		

	





	

		

			

				
					
面试题spring boot

				
			

			

				

					青春季风暴
				

				

					06-03
					
					1958
					
				

			

		

		

			
				
什么是springboot        用来简化spring应用的初始搭建以及开发过程 使用特定的方式来进行配置(properties或yml文件)                 创建独立的spring引用程序 main方法运行                嵌入的Tomcat 无需部署war文件                简化maven配置                自动配置spri...

			
		

	





	

		

			

				
					
Spring Boot 面试问题

				
			

			

				

					YunWisdom
				

				

					03-14
					
					394
					
				

			

		

		

			
				
Spring Boot 面试问题



今天我们将研究一些春季靴子面试的问题和答案。到目前为止,我们已经讨论了一些关于Spring BootFramework的帖子以及一些实时示例。在这篇文章中,我将向您简要介绍一些Spring Boot Interview问题。当我们想要面试时,它们非常有用。

目录[隐藏]

1春季启动面试问题

	

	1.1什么是Spring Boot?
	...

			
		

	





	

		

			

				
					
Springboot面试题一

				
			

			

				

					Dormiveglia-flx的博客
				

				

					08-15
					
					248
					
				

			

		

		

			
				
Springboot面试题一一 什么是spring boot的stater,能干什么?二 Springboot 自动装配的原理三  SpringBoot 有几种读取配置文件的方式?四 Spring boot全局异常处理
一 什么是spring boot的stater,能干什么?
starter是一种服务,使用某个功能的开发者不需要关注各种依赖库的处理,不需要具体的配置信息,由Spring Boot自动通过classpath路径下的类发现并加载需要的Bean。

背景:在没有使用各个starter之前,我们搭

			
		

	





	

		

			

				
					
Spring boot  面试题

				
			

			

				

					小菜鸟的blog
				

				

					02-18
					
					2066
					
				

			

		

		

			
				
又快到了金三银四的时间了,自己整理一些面试题,希望对大家有帮助。

一、什么是Spring Boot?

简化了使用 Spring 的难度,简省了繁重的配置,提供了各种启动器,开发者能快速上手。

二、Spring Boot 优点有哪些?

部署简单、独立运行(不需要预部署应用服务器,通过默认内嵌tomcat降低对运行环境的基本要求)
	简化配置(基于properties/xml 文件配置转换成予...

			
		

	





	

		

			

				
					
Spring Boot已成为面试必备技能,学 Spring Boot,事不宜迟!

				
			

			

				

					程序员追风的博客
				

				

					07-17
					
					916
					
				

			

		

		

			
				
前言

自 2014 年发布至今,Spring Boot 的搜索指数 一路飙升。没错 Spring Boot 越来越火了,作为一名行走一线的 Java 程序员,你可能在各个方面感受到了 Spring Boot 的火。

现在各大技术社区 Spring Boot 的文章越来越多,Spring Boot 相关的图文、视频教程越来越多,使用 Spring Boot 的互联网公司也越来越多; Java 程序员现在出去面试, Spring Boot 已经成了必问的内容。

一切都在证明,Spring Boot 已经成

			
		

	





	

		

			

				
					
spring boot面试总结

				
			

			

				

					随笔记
				

				

					11-18
					
					3045
					
				

			

		

		

			
				
什么是springboot
  用来简化spring应用的初始搭建以及开发过程,使用特定的方式来进行配置(properties或yml文件)。创建独立的spring引用程序 main方法运行;嵌入的Tomcat 无需部署war文件;简化maven配置;动配置spring添加对应功能starter自动化配置springboot常用的starter有哪些
spring-boot...

			
		

	





	

		

			

				
					
Spring Boot 面试题

				
			

			

				

					岁月 メ 不及时光长
				

				

					02-19
					
					583
					
				

			

		

		

			
				
文章目录Spring BootSpring MVC 和 Spring 有什么区别?什么是自动配置?什么是 Spring Boot Stater ?Spring Boot ⽀持哪些内嵌 Servlet 容器?如何在 Spring Boot 应⽤程序中使⽤ Jetty ⽽不是 Tomcat?介绍⼀下@SpringBootApplication 注解Spring Boot 的⾃动配置是如何实现的?开发 RESTful Web 服务常⽤的注解有哪些?Spirng Boot 常⽤的两种配置⽂件什么是 YAML?YA

			
		

	





	

		

			

				
					
Spring Boot Security配置详解与实战

				
			

			

				

					
				

			

		

		

			
				
 SpringApplication.run(SpringBootSecurityApplication.class, args);  } } ```  禁用自动配置后,我们可以创建一个自定义的`WebSecurityConfigurerAdapter`子类来覆盖默认设置。例如,我们可能想要自定义用户名和...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值