Spring Boot 整合 Spring Security(配置登录/登出)

最新推荐文章于 2024-04-08 09:35:14 发布
最新推荐文章于 2024-04-08 09:35:14 发布
阅读量2.5k 收藏 8
点赞数
分类专栏: Spring Boot 教程合集 文章标签: spring boot Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cxy35/article/details/105271953
版权

Spring Boot 整合 Spring Security ,配置登录/登出,如:登录接口,登录成功或失败后的响应等。

1 创建工程

创建 Spring Boot 项目 spring-boot-springsecurity-login ,添加 Web/Spring Security 依赖,如下:

最终的依赖如下:

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
        <exclusions>
            <exclusion>
                <groupId>org.junit.vintage</groupId>
                <artifactId>junit-vintage-engine</artifactId>
            </exclusion>
        </exclusions>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

2 配置 Spring Security

新增 SecurityConfig 配置类,如下:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder() {
//        return NoOpPasswordEncoder.getInstance();// 密码不加密
        return new BCryptPasswordEncoder();// 密码加密
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 在内存中配置 2 个用户
        /*auth.inMemoryAuthentication()
                .withUser("admin").password("123456").roles("admin")
                .and()
                .withUser("user").password("123456").roles("user");// 密码不加密*/

        auth.inMemoryAuthentication()
                .withUser("admin").password("$2a$10$fB2UU8iJmXsjpdk6T6hGMup8uNcJnOGwo2.QGR.e3qjIsdPYaS4LO").roles("admin")
                .and()
                .withUser("user").password("$2a$10$3TQ2HO/Xz1bVHw5nlfYTBON2TDJsQ0FMDwAS81uh7D.i9ax5DR46q").roles("user");// 密码加密
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 开启登录配置
        http.authorizeRequests()
                // 表示 admin 角色能访问
                .antMatchers("/admin/**").hasRole("admin")
                // 表示 admin 或 user 角色都能访问
                // .antMatchers("/user/**").hasAnyRole("admin", "user")
                // 表示 admin 或 user 角色都能访问
                .antMatchers("/user/**").access("hasAnyRole('admin','user')")
                // 表示剩余的其他接口,登录之后就能访问
                .anyRequest().authenticated()
                .and()
                .formLogin()
                // 表示登录页的地址,例如当你访问一个需要登录后才能访问的资源时,系统就会自动给你通过【重定向】跳转到这个页面上来
                .loginPage("/login")
                // 表示处理登录请求的接口地址,默认为 /login
                .loginProcessingUrl("/doLogin")
                // 定义登录时,用户名的 key,默认为 username
                .usernameParameter("uname")
                // 定义登录时,密码的 key,默认为 password
                .passwordParameter("passwd")
                // 登录成功的处理器
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 200);
                        map.put("msg", authentication.getPrincipal());
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                // 登录失败的处理器
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp, AuthenticationException e) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 401);
                        if (e instanceof LockedException) {
                            map.put("msg", "账户被锁定,登录失败!");
                        } else if (e instanceof BadCredentialsException) {
                            map.put("msg", "用户名或密码输入错误,登录失败!");
                        } else if (e instanceof DisabledException) {
                            map.put("msg", "账户被禁用,登录失败!");
                        } else if (e instanceof AccountExpiredException) {
                            map.put("msg", "账户过期,登录失败!");
                        } else if (e instanceof CredentialsExpiredException) {
                            map.put("msg", "密码过期,登录失败!");
                        } else {
                            map.put("msg", "登录失败!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                // 和表单登录相关的接口统统都直接通过
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/logout")
                // 登出成功的处理器
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 200);
                        map.put("msg", "注销登录成功!");
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()
                .and()
                .csrf().disable()
                .exceptionHandling()
                // 无访问权限的处理器
                .accessDeniedHandler(new AccessDeniedHandler() {
                    @Override
                    public void handle(HttpServletRequest req, HttpServletResponse resp, AccessDeniedException e) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 403);
                        map.put("msg", "无访问权限!");
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
                // 默认情况下用户直接访问一个需要认证之后才可以访问的请求时,会被重定向到.loginPage("/login"),前后端分离时会导致跨域。
                // 增加如下配置后,就不会发生重定向操作了,服务端会直接给浏览器一个 JSON 提示
                .authenticationEntryPoint(new AuthenticationEntryPoint() {
                    @Override
                    public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException authException) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 401);
                        if (authException instanceof InsufficientAuthenticationException) {
                            map.put("msg", "访问失败,请先登录!");
                        } else {
                            map.put("msg", "访问失败!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                });
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 配置不需要拦截的请求地址,即该地址不走 Spring Security 过滤器链
        web.ignoring().antMatchers("/vercode");
    }
}

3 测试

新增 HelloController 测试类,如下:

@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }

    @GetMapping("/admin/hello")
    public String admin() {
        return "hello admin";
    }

    @GetMapping("/user/hello")
    public String user() {
        return "hello user";
    }

    @GetMapping("/login")
    public String login() {
        return "please login";
    }
}

项目启动之后,用 Postman 完成测试,如下:

访问 /hello 接口,提示先登录。

访问 /doLogin 接口登录失败,因为 key 不对。

用自定义的 key 访问 /doLogin 接口登录成功。

再访问 /hello 接口,返回正常。

扫码关注微信公众号 程序员35 ,获取最新技术干货,畅聊 #程序员的35,35的程序员# 。独立站点:https://cxy35.com

程序员35
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
主要给大家介绍了关于Spring Boot整合Spring Security简单实现登入登出从零搭建的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起看看吧
清晰搞懂Spring Security登录认证
陈宝子的博客
07-18 7974
在简单学习完成Redis之后,又进行了SpringSecurity的学习,这里学习的资源为三更草堂的SpringSecurity框架教程,讲得感觉还不错,推荐😁。这里主要是对学习过程进行一个记录和总结,参考的仍然是三更草堂的笔记,但中间加上了自己的一些理解和看法以及一些遇到的问题总结,如果哪里有问题还请各位指点指点😻。
SpringBoot前后端分离集成SpringSecurity登录功能详解
qq_37782946的博客
11-03 227
SpringSecurity集成到SpringBoot, 从而代替自己实现安全框架是一个较好的选择, 但SpringSecurity官方文档稍显晦涩, 而大部分博客内容又难以统一, 各执一词, 讲解含糊不清, 难以快速理解SpringSecurity的运作原理, 并快速应用到自己项目中.
Spring Security配置(Configuration)
最新发布
Java毕设项目分享
04-08 997
下一步是在WAR文件中注册 springSecurityFilterChain。你可以在Servlet 3.0以上的环境中通过 Spring的 WebApplicationInitializer 支持 在Java配置中完成。毫不奇怪,Spring Security提供了一个基类(AbstractSecurityWebApplicationInitializer)来确保 springSecurityFilterChain 为你注册。
史上最简单的Spring Security教程(六):用户登出
银河架构师的博客
07-01 3627
既然有用户登录,势必就会有用户登出Spring Security也提供了比较详细的登出配置。 其实,之前的程序中,依然支持用户登出,不知道有人点过退出登录按钮没有,结果是404。其实,原因也很简单,我们的退出登录按钮使用超链接实现的,而超链接是 GET 方式请求的,在Spring Security用户登出配置中,CSRF默认是开启的,并没有关闭,不支持 GET 类型的用户登出请求。因此,就会抛出404的错误码。 ...... if (http.getConfigurer(...
Spring Boot整合Spring Security
11-20 553
综合概述 Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,SpringSecurity和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部.
spring-security--基础--4.1--案例:简单登陆登出
zhou920786312的博客
10-26 582
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 四、简单登陆登出案例 通过SpringSecurity实现以下功能: 用户访问资源页面,未登陆跳转登陆页面。 登陆失败给出提示,并还在登陆页面。 登陆成功跳转资源页面。 结构 4.1、 依赖 <!--security begin--> <dependency> <groupId>org.springframework.boot</g
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2737
SpringSecurity实现登录登出
SpringBoot整合SpringSecurity实现密码加密解密、登录认证退出功能
zeng的博客
04-15 1万+
Spring Security 一、简介 Spring SecuritySpring家族中的一个安全管理框架,一般Web应用都需要 认证 和 授权 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 二、快速入门 2.1 开发步骤 1、导入坐标 Spring Security 启动器 <dependency> <groupId>org.springframework.boot</groupId&g
spring-security-login:SpringBoot-整合SpringSecurity实现登入登出简单例子
05-25
SpringBoot整合SpringSecurity简单实现登入登出从零搭建这是SpringSecurity实现登录登出的一个简单示例,基于 Spring Boot 1.5.6基本实现 : 用户信息存储在数据库中,登陆时从数据库中查询匹配用户信息。...
Spring Boot使用JWT实现单点登录.zip
09-16
该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务...
xmljava系统源码-Spring-Boot-Security-Thymeleaf-Demo:SpringBoot2.0+SrpingSec
06-06
spring-boot:run 命令即可进行访问,网址规则自行看教程后面 首页 登入 登出 Home页面 Admin页面 403无权限页面 Spring Security 基本原理 Spring Security 过滤器链 Spring Security实现了一系列的过滤器链
基于SpringBoot+SpringCloud的微服务大型在线学习平台实现【服务端源码+数据库】.zip
03-10
基于SpringBoot+SpringCloud的微服务大型在线学习平台实现【服务端源码+数据库】.zip ...认证中心:登录登出,查询JWT用户信息,权限校验管理,Zuul网关路由,拦截 订单服务:支付成功后自动添加选课(分布式事物)
Spring Boot整合Spring Security(五)登出与未认证(授权)处理
时雨吹雪的博客
02-01 1125
Spring Security登出处理与访问拒绝处理
Spring Security实现登录
不愧是暮言的博客
05-24 3457
Spring SecuritySpring框架下的一个用于身份验证和授权的框架,它可以帮忙管理web应用中的用户认证、授权以及安全性问题。环境准备Spring Security核心概念实现基本登录功能添加Spring Security的数据库认证Spring Security是一个非常好用的身份认证和授权框架,可以有效保证应用的安全性。本文介绍了如何使用Spring Security实现基本的登录功能和数据库认证,希望这篇文章能够帮助到你。。
基于SpringSecurity的权限登录系统
weixin_43424751的博客
11-28 324
1.SpringSecurity简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。Spring Security致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。 2.创建数据库表 在一个涉及到用户,角色以及权限登录的系统中,我们需要用到5张表。 -- 用户表 CREATE TABLE users( id varc
Spring框架中SecurityContextHolder类的使用详解(未完待续)
热门推荐
reggergdsg的博客
03-01 5万+
Spring框架借助ThreadLocal来保存和传递用户登录信息。我们通常是使用下面这段代码,来获取保存在ThreadLocal中的用户信息。 SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 一,我们来看一下源代码 public class SecurityContextHolde
SpringSecurity实现代码
u33445687的博客
01-06 464
一、SpringSecurity介绍 1、框架介绍 Spring 是一个非常流行和成功的Java 应用开发框架。SpringSecurity 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说, Web 应用的安全性包括 用户认证(Authentication) 和 用户授权(Authorization) 两个部分。 (1) 用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该网站。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过
Spring Security实现代码自动登录(一)
zhicong1652的博客
02-24 702
由于最近项目需要使用activiti工作流,activiti7中使用SpringSecurity安全框架。但是项目的业务场景是不涉及登录登录在统一权限系统中。 任务要求是用户访问系统发送请求时带了token,不需要将页面跳转到登录页面进行登录,直接通过请求时的用户信息进行登录Spring Security验证用户信息。 网上大部分资料都是spring security配置资料中都涉及登录页面的的...
Spring Boot 2.0 利用 Spring Security 实现简单的OAuth2.0认证方式1
05-17
Spring Boot应用中,可以通过application.properties或application.yml文件来配置Spring Security。在本文中,我们将使用application.yml文件来配置Spring Security。 ``` spring: security: oauth2: client: ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值