eyb:SpringSecurity的使用(四)

最新推荐文章于 2024-07-18 16:58:58 发布
最新推荐文章于 2024-07-18 16:58:58 发布
阅读量181 收藏
点赞数
分类专栏: EYB后端项目 文章标签: c# 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dengfengling999/article/details/126117165
版权

目录:

(1)secured注解进行角色控制

(2)PreAuthorize注解 PostAutothorize

(3)RememberME功能

(4)在Thymeleaf中获取属性值

(5)Thymeleaf中进行权限的判断 

(6)退出登录

 (7)SpringSecurity中的csrf

 

(1)secured注解进行角色控制

原来的权限判断是在SecurityConfig配置类中判断的,现在可以使用注解来判断

 

 主启动类:加上注解开启SpringSecurity权限注解,因为SpringSecurity的权限注解默认是关闭的

package com.xxxx.springsecuritydemo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SpringsecuritydemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringsecuritydemoApplication.class, args);
    }

}


package com.xxxx.springsecuritydemo.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private PasswordEncoder pw;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //1.查询数据库判断用户名是否存在,如果不存在就会抛出UsernameNotFoundException异常

        //这里进行模拟,用户名为admin
        if (!"admin".equals(username)) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        //2.//如果存在,把查询出来的密码(注册时已经经过加密) 进行解析,或者直接把密码放到构造方法

        String password=pw.encode("123");
        return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normall,ROLE_abc,/main.html"));
    }
}

 

LoginController:方法上加注解要和 上面的角色相对应:这里ROLE_  是不能少的

package com.xxxx.springsecuritydemo.controller;

import org.springframework.security.access.annotation.Secured;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class LoginController {

    /*@RequestMapping("login")
    public String login(){
        System.out.println("执行登录方法");
        return "redirect:main.html";
    }*/

    //页面登录成功跳转
    @Secured("ROLE_abc") //角色注解
    @RequestMapping("toMain")
    public String toMain(){
        return "redirect:main.html";
    }

    //跳转登录失败页面
    @RequestMapping("toError")
    public String toError(){
        return "redirect:error.html";
    }

    @GetMapping("demo")
    @ResponseBody
    public String demo(){
        return "demo";
    }
}

配置类的角色判断权限是注释掉的,不使用配置类来进行权限判断,使用注解方式

package com.xxxx.springsecuritydemo.config;

import com.xxxx.springsecuritydemo.handle.MyAccessDeniedHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationFailureHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationSucessHandler;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //引用403处理这个类
    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

    //自定义登录页面,不使用自带的
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //表单提交
        http.formLogin()
                //和Login中input的属性相对应
                .usernameParameter("username1")
                .passwordParameter("password1")
                //当发现是 /login是认为是登录,必须和表单提交的地址一样,去执行UserDetailsServiceImpl登录逻辑
                .loginProcessingUrl("/login")
                //自定义登录页面
                .loginPage("/login.html")
                //登录成功之后跳转页面,必须是Post请求
                .successForwardUrl("/toMain")
                //登录成功后的处理器,不能和sucessForwardUrl共存
                //.successHandler(new MyAuthenticationSucessHandler("/main.html"))

                //登录失败跳转页面,Post请求
                .failureForwardUrl("/toError");
                //登录失败后的处理器,不能和failureForwardUrl共存
                //.failureHandler(new MyAuthenticationFailureHandler("/error.html"));

        //授权认证 相当于拦截器一样
        http.authorizeRequests()
                //error.html不需要被认证
                .antMatchers("/error.html").permitAll()
                //login.html不需要被认证
                .antMatchers("/login.html").permitAll()
                //resources目录下的静态资源
                .antMatchers("/static/js/**", "/static/css/**", "/static/images/**").permitAll()

                //regexMatchers放行的使用
                //.regexMatchers(".+[.]png").permitAll()
                //.regexMatchers(HttpMethod.GET,"/demo").permitAll()

                //.mvcMatchers("/demo").servletPath("/xxxx").permitAll()
                //如果不习惯mvcMatchers还可以用antMatchers设置等效
                .antMatchers("/xxxx/demo").permitAll()
                //任何目录下的png图片
                //.antMatchers("/**/*.png").permitAll()


                //判断用户是否有admin权限
                //.antMatchers("/main1.html").hasAuthority("admin")
                //可以设置这个页面,多个权限去访问
                //.antMatchers("/main1.html").hasAnyAuthority("admin","normall")

                //角色判断
                //.antMatchers("/main1.html").hasRole("abc")
                //判断有多个角色权限
                //.antMatchers("/main1.html").hasAnyRole("abc,abC")

                //IP地址判断
                //.antMatchers("/main1.html").hasIpAddress("127.0.0.1")

                //所有请求都必须被认证,必须登录之后能被访问
                .anyRequest().authenticated();
                //自定义访问权限
                //.anyRequest().access("@myServiceImpl.hasPermission(request,authentication)");

        //关闭csrf防护
        http.csrf().disable();


        //异常处理
        http.exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler);
    }

    //创建PasswordEncoder实例
    @Bean
    public PasswordEncoder getPw(){
        return new BCryptPasswordEncoder();
    }
}

 

 如果角色写的是abc:

会报500: 

 

 

 (2)PreAuthorize注解 PostAutothorize

 主启动类添加注解:prePostEnabled

package com.xxxx.springsecuritydemo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class SpringsecuritydemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringsecuritydemoApplication.class, args);
    }

}

LoginControiller:注释掉@Secured注解,使用@PreAuthorize 进行角色判断

package com.xxxx.springsecuritydemo.controller;

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class LoginController {

    /*@RequestMapping("login")
    public String login(){
        System.out.println("执行登录方法");
        return "redirect:main.html";
    }*/

    //页面登录成功跳转
    //@Secured("ROLE_abc") //角色注解
    @PreAuthorize("hasRole('abc')") //PreAuthorize参数是权限表达式 hasRole('ROLE_abc')允许ROLE_开头,配置类不允许,区分大小写
    @RequestMapping("toMain")
    public String toMain(){
        return "redirect:main.html";
    }

    //跳转登录失败页面
    @RequestMapping("toError")
    public String toError(){
        return "redirect:error.html";
    }

    @GetMapping("demo")
    @ResponseBody
    public String demo(){
        return "demo";
    }
}

这个注解是在方法或类执行之前判断权限

 

 (3)RememberME功能

 配置文件:application.properties

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url= jdbc:mysql://localhost:3306/security?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
spring.datasource.username=root
spring.datasource.password=123456

#若出现循环依赖加上没有出现不用
#spring.main.allow-circular-references=true

配置类:SecurityConfig:

 

 

 

package com.xxxx.springsecuritydemo.config;

import com.xxxx.springsecuritydemo.handle.MyAccessDeniedHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationFailureHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationSucessHandler;
import com.xxxx.springsecuritydemo.service.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //引用403处理这个类
    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private PersistentTokenRepository persistentTokenRepository;



    //自定义登录页面,不使用自带的
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //表单提交
        http.formLogin()
                //和Login中input的属性相对应
                .usernameParameter("username1")
                .passwordParameter("password1")
                //当发现是 /login是认为是登录,必须和表单提交的地址一样,去执行UserDetailsServiceImpl登录逻辑
                .loginProcessingUrl("/login")
                //自定义登录页面
                .loginPage("/login.html")
                //登录成功之后跳转页面,必须是Post请求
                .successForwardUrl("/toMain")
                //登录成功后的处理器,不能和sucessForwardUrl共存
                //.successHandler(new MyAuthenticationSucessHandler("/main.html"))

                //登录失败跳转页面,Post请求
                .failureForwardUrl("/toError");
                //登录失败后的处理器,不能和failureForwardUrl共存
                //.failureHandler(new MyAuthenticationFailureHandler("/error.html"));

        //授权认证 相当于拦截器一样
        http.authorizeRequests()
                //error.html不需要被认证
                .antMatchers("/error.html").permitAll()
                //login.html不需要被认证
                .antMatchers("/login.html").permitAll()
                //resources目录下的静态资源
                .antMatchers("/static/js/**", "/static/css/**", "/static/images/**").permitAll()

                //regexMatchers放行的使用
                //.regexMatchers(".+[.]png").permitAll()
                //.regexMatchers(HttpMethod.GET,"/demo").permitAll()

                //.mvcMatchers("/demo").servletPath("/xxxx").permitAll()
                //如果不习惯mvcMatchers还可以用antMatchers设置等效
                .antMatchers("/xxxx/demo").permitAll()
                //任何目录下的png图片
                //.antMatchers("/**/*.png").permitAll()


                //判断用户是否有admin权限
                //.antMatchers("/main1.html").hasAuthority("admin")
                //可以设置这个页面,多个权限去访问
                //.antMatchers("/main1.html").hasAnyAuthority("admin","normall")

                //角色判断
                //.antMatchers("/main1.html").hasRole("abc")
                //判断有多个角色权限
                //.antMatchers("/main1.html").hasAnyRole("abc,abC")

                //IP地址判断
                //.antMatchers("/main1.html").hasIpAddress("127.0.0.1")

                //所有请求都必须被认证,必须登录之后能被访问
                .anyRequest().authenticated();
                //自定义访问权限
                //.anyRequest().access("@myServiceImpl.hasPermission(request,authentication)");

        //关闭csrf防护
        http.csrf().disable();


        //异常处理
        http.exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler);


        //记住我
        http.rememberMe()
                //失效时间,单位秒
                .tokenValiditySeconds(60)
                //可以更改login.html中的remember-me
                //.rememberMeParameter("remember1")
                //自定义登录逻辑
                .userDetailsService(userDetailsService)
                //持久层对象
                .tokenRepository(persistentTokenRepository);
    }


    //创建PasswordEncoder实例
    @Bean
    public PasswordEncoder getPw(){
        return new BCryptPasswordEncoder();
    }


    //连接对象
    @Bean
    public PersistentTokenRepository getPersistentTokenResposity(){
        JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //自动建表 第一个启动自动建表 第二次启动注释掉
       // jdbcTokenRepository.setCreateTableOnStartup(true);

        return jdbcTokenRepository;

    }
}

Login.html:添加checkbox按钮

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
   <form action="/login" method="post">
       用户名:<input type="text" name="username1"/><br>
       密码:<input type="text" name="password1"/><br>
       记住我:<input type="checkbox" name="remember-me" value="true"><br>
       <input type="submit" value="登录"/>
   </form>
</body>
</html>

启动主启动类:会帮助我们生成一张表

 

 

 点击登录之后:

关闭浏览器输入:main.html就可以进来了,不用在进行登录,这就是记住我的功能

 

 他默认的失效时间为两周,我们可以自定义失效时间

 

(4)在Thymeleaf中获取属性值

什么是Thymeleaf?

Thymeleaf是一个现代服务器端Java模板引擎,适用于Web和独立环境,能够处理HTML,XML,JavaScript,CSS甚至纯文本。

Thymeleaf的主要目标是提供一种优雅且高度可维护的模板创建方式。为实现这一目标,它以自然模板的概念为基础,将其逻辑注入模板文件,其方式不会影响模板被用作设计原型。这改善了设计沟通,缩小了设计和开发团队之间的差距。

Thymeleaf也从一开始就设计了Web标准-特别是HTML5-允许您创建完全验证的模板,如果您需要的话。

 

 

 

 demo.html:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
登录账号:<span sec:authentication="name"></span><br>
登录账号:<span sec:authentication="principal.username"></span><br>
凭证:<span sec:authentication="credentials"></span><br>
权限和角色:<span sec:authentication="authorities"></span><br>
客户端地址:<span sec:authentication="details.remoteAddress"></span><br>
sessionId:<span sec:authentication="details.sessionId"></span><br>
</body>
</html>

LoginController:加入访问demo的方法:

package com.xxxx.springsecuritydemo.controller;

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;

@Controller
public class LoginController {

    /*@RequestMapping("login")
    public String login(){
        System.out.println("执行登录方法");
        return "redirect:main.html";
    }*/

    //页面登录成功跳转
    //@Secured("ROLE_abc") //角色注解
    @PreAuthorize("hasRole('abc')") //PreAuthorize参数是权限表达式 hasRole('ROLE_abc')允许ROLE_开头,配置类不允许,区分大小写
    @RequestMapping("toMain")
    public String toMain(){
        return "redirect:main.html";
    }

    //跳转登录失败页面
    @RequestMapping("toError")
    public String toError(){
        return "redirect:error.html";
    }

    //Thymeleaf页面跳转
    @RequestMapping("demo")
    public String demo(){
        return "demo";
    }
}

运行项目:

 

在访问demo: 

 

(5)Thymeleaf中进行权限的判断 

Thymeleaf除了可以获取SpringSecurity的一些属性,还可以进行权限的判断 

在自定义逻辑类中添加权限:

package com.xxxx.springsecuritydemo.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private PasswordEncoder pw;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //1.查询数据库判断用户名是否存在,如果不存在就会抛出UsernameNotFoundException异常

        //这里进行模拟,用户名为admin
        if (!"admin".equals(username)) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        //2.//如果存在,把查询出来的密码(注册时已经经过加密) 进行解析,或者直接把密码放到构造方法

        String password=pw.encode("123");
        return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normall,ROLE_abc," +
                "/main.html,/insert,/delete"));
    }
}

demo.htmll:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
登录账号:<span sec:authentication="name"></span><br>
登录账号:<span sec:authentication="principal.username"></span><br>
凭证:<span sec:authentication="credentials"></span><br>
权限和角色:<span sec:authentication="authorities"></span><br>
客户端地址:<span sec:authentication="details.remoteAddress"></span><br>
sessionId:<span sec:authentication="details.sessionId"></span><br>


<br>
通过权限判断:
<button sec:authorize="hasAuthority('/insert')">新增</button>
<button sec:authorize="hasAuthority('/delete')">删除</button>
<button sec:authorize="hasAuthority('/update')">修改</button>
<button sec:authorize="hasAuthority('/select')">查看</button>
<br>
通过角色判断:
<button sec:authorize="hasRole('abc')">新增</button>
<button sec:authorize="hasRole('abc')">删除</button>
<button sec:authorize="hasRole('abc')">修改</button>
<button sec:authorize="hasRole('abc')">查看</button>

</body>
</html>

在访问demo:

 

发现登录的用户有delete、insert权限,新增删除按钮全都显示出来

登录用户有abc角色,所以按钮全部显示 

 

实际项目中有很多种实现的方式,这只是一种,通过这种实现方式,我们可以控制,那些按钮被哪些权限,哪些角色可以去使用,这就是Thymeleaf通过SpringSecurity通过权限的判断

(6)退出登录

Login.html:添加a连接

 

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
  登录成功!!!!
  <a href="/logout">退出</a>
  <a href="/main1.html">跳转</a>

</body>
</html>

 

 

点击退出:退出到登录页面后,地址栏会带一个logout的参数 

 如果不想带logout的参数需要在配置类中进行设置:

 

package com.xxxx.springsecuritydemo.config;

import com.xxxx.springsecuritydemo.handle.MyAccessDeniedHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationFailureHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationSucessHandler;
import com.xxxx.springsecuritydemo.service.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //引用403处理这个类
    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private PersistentTokenRepository persistentTokenRepository;



    //自定义登录页面,不使用自带的
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //表单提交
        http.formLogin()
                //和Login中input的属性相对应
                .usernameParameter("username1")
                .passwordParameter("password1")
                //当发现是 /login是认为是登录,必须和表单提交的地址一样,去执行UserDetailsServiceImpl登录逻辑
                .loginProcessingUrl("/login")
                //自定义登录页面
                .loginPage("/login.html")
                //登录成功之后跳转页面,必须是Post请求
                .successForwardUrl("/toMain")
                //登录成功后的处理器,不能和sucessForwardUrl共存
                //.successHandler(new MyAuthenticationSucessHandler("/main.html"))

                //登录失败跳转页面,Post请求
                .failureForwardUrl("/toError");
                //登录失败后的处理器,不能和failureForwardUrl共存
                //.failureHandler(new MyAuthenticationFailureHandler("/error.html"));

        //授权认证 相当于拦截器一样
        http.authorizeRequests()
                //error.html不需要被认证
                .antMatchers("/error.html").permitAll()
                //login.html不需要被认证
                .antMatchers("/login.html").permitAll()
                //resources目录下的静态资源
                .antMatchers("/static/js/**", "/static/css/**", "/static/images/**").permitAll()

                //regexMatchers放行的使用
                //.regexMatchers(".+[.]png").permitAll()
                //.regexMatchers(HttpMethod.GET,"/demo").permitAll()

                //.mvcMatchers("/demo").servletPath("/xxxx").permitAll()
                //如果不习惯mvcMatchers还可以用antMatchers设置等效
                .antMatchers("/xxxx/demo").permitAll()
                //任何目录下的png图片
                //.antMatchers("/**/*.png").permitAll()


                //判断用户是否有admin权限
                //.antMatchers("/main1.html").hasAuthority("admin")
                //可以设置这个页面,多个权限去访问
                //.antMatchers("/main1.html").hasAnyAuthority("admin","normall")

                //角色判断
                //.antMatchers("/main1.html").hasRole("abc")
                //判断有多个角色权限
                //.antMatchers("/main1.html").hasAnyRole("abc,abC")

                //IP地址判断
                //.antMatchers("/main1.html").hasIpAddress("127.0.0.1")

                //所有请求都必须被认证,必须登录之后能被访问
                .anyRequest().authenticated();
                //自定义访问权限
                //.anyRequest().access("@myServiceImpl.hasPermission(request,authentication)");

        //关闭csrf防护
        http.csrf().disable();


        //异常处理
        http.exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler);


        //记住我
        http.rememberMe()
                //失效时间,单位秒
                .tokenValiditySeconds(60)
                //可以更改login.html中的remember-me
                //.rememberMeParameter("remember1")
                //自定义登录逻辑
                .userDetailsService(userDetailsService)
                //持久层对象
                .tokenRepository(persistentTokenRepository);

        //退出登录
        http.logout()
                //退出登录跳转页面
                .logoutSuccessUrl("/login.html");
    }


    //创建PasswordEncoder实例
    @Bean
    public PasswordEncoder getPw(){
        return new BCryptPasswordEncoder();
    }


    //连接对象
    @Bean
    public PersistentTokenRepository getPersistentTokenResposity(){
        JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //自动建表 第一个启动自动建表 第二次启动注释掉
       // jdbcTokenRepository.setCreateTableOnStartup(true);

        return jdbcTokenRepository;

    }
}

点击退出登录: 

 

 (7)SpringSecurity中的csrf

我们加了csrf的防护,但是为什么一定要关闭csrf的防护呢? 

 

使用Thymeleaf的Login:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
   <form action="/login" method="post">
       <input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}">
       用户名:<input type="text" name="username1"/><br>
       密码:<input type="text" name="password1"/><br>
       记住我:<input type="checkbox" name="remember-me" value="true"><br>
       <input type="submit" value="登录"/>
   </form>
</body>
</html>

 配置类:更改自定义登录页面,关闭csrf,认证权限

 

 

 

package com.xxxx.springsecuritydemo.config;

import com.xxxx.springsecuritydemo.handle.MyAccessDeniedHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationFailureHandler;
import com.xxxx.springsecuritydemo.handle.MyAuthenticationSucessHandler;
import com.xxxx.springsecuritydemo.service.UserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //引用403处理这个类
    @Autowired
    private MyAccessDeniedHandler myAccessDeniedHandler;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    @Autowired
    private DataSource dataSource;

    @Autowired
    private PersistentTokenRepository persistentTokenRepository;



    //自定义登录页面,不使用自带的
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //表单提交
        http.formLogin()
                //和Login中input的属性相对应
                .usernameParameter("username1")
                .passwordParameter("password1")
                //当发现是 /login是认为是登录,必须和表单提交的地址一样,去执行UserDetailsServiceImpl登录逻辑
                .loginProcessingUrl("/login")
                //自定义登录页面
                .loginPage("/showLogin")
                //登录成功之后跳转页面,必须是Post请求
                .successForwardUrl("/toMain")
                //登录成功后的处理器,不能和sucessForwardUrl共存
                //.successHandler(new MyAuthenticationSucessHandler("/main.html"))

                //登录失败跳转页面,Post请求
                .failureForwardUrl("/toError");
                //登录失败后的处理器,不能和failureForwardUrl共存
                //.failureHandler(new MyAuthenticationFailureHandler("/error.html"));

        //授权认证 相当于拦截器一样
        http.authorizeRequests()
                //error.html不需要被认证
                .antMatchers("/error.html").permitAll()
                //login.html不需要被认证
                .antMatchers("/showLogin").permitAll()
                //resources目录下的静态资源
                .antMatchers("/static/js/**", "/static/css/**", "/static/images/**").permitAll()

                //regexMatchers放行的使用
                //.regexMatchers(".+[.]png").permitAll()
                //.regexMatchers(HttpMethod.GET,"/demo").permitAll()

                //.mvcMatchers("/demo").servletPath("/xxxx").permitAll()
                //如果不习惯mvcMatchers还可以用antMatchers设置等效
                .antMatchers("/xxxx/demo").permitAll()
                //任何目录下的png图片
                //.antMatchers("/**/*.png").permitAll()


                //判断用户是否有admin权限
                //.antMatchers("/main1.html").hasAuthority("admin")
                //可以设置这个页面,多个权限去访问
                //.antMatchers("/main1.html").hasAnyAuthority("admin","normall")

                //角色判断
                //.antMatchers("/main1.html").hasRole("abc")
                //判断有多个角色权限
                //.antMatchers("/main1.html").hasAnyRole("abc,abC")

                //IP地址判断
                //.antMatchers("/main1.html").hasIpAddress("127.0.0.1")

                //所有请求都必须被认证,必须登录之后能被访问
                .anyRequest().authenticated();
                //自定义访问权限
                //.anyRequest().access("@myServiceImpl.hasPermission(request,authentication)");

        //关闭csrf防护
        //http.csrf().disable();


        //异常处理
        http.exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler);


        //记住我
        http.rememberMe()
                //失效时间,单位秒
                .tokenValiditySeconds(60)
                //可以更改login.html中的remember-me
                //.rememberMeParameter("remember1")
                //自定义登录逻辑
                .userDetailsService(userDetailsService)
                //持久层对象
                .tokenRepository(persistentTokenRepository);

        //退出登录
        http.logout()
                //退出登录跳转页面
                .logoutSuccessUrl("/login.html");
    }


    //创建PasswordEncoder实例
    @Bean
    public PasswordEncoder getPw(){
        return new BCryptPasswordEncoder();
    }


    //连接对象
    @Bean
    public PersistentTokenRepository getPersistentTokenResposity(){
        JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //自动建表 第一个启动自动建表 第二次启动注释掉
       // jdbcTokenRepository.setCreateTableOnStartup(true);

        return jdbcTokenRepository;

    }
}

 

 

这个csrf是服务器端自动生成的,在学习阶段我们都是关闭csrf,在正是工作中,我们都是不关闭,都是取到服务器中生成的token,访问的时候带回服务器端,服务器会判断你带回的tocken和生成的tocken是否一致,如果一致就让你访问,不一致就不让你访问

喵俺第一专栏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
eub:SpringSecurity使用(三)
dengfengling999的博客
08-02 708
我们项目里面有一个后台管理系统,而这个后台管理系统的只能根据我们指定的一台服务器上面去进行登录,去进行一些响应的操作,这台服务器的IP地址是固定的,那我们呢可以通过IP地址进行权限的控制,如果不是这个IP地址,我们不允许你访问。这里我们演示的时候本机的IP地址是多变得,得到的IP地址是不一样的,但是在实际工作中呢,服务器那边的IP地址是固定的,不可能想本机一样测出多个,只会出现一个。对用户具备某些角色就进行访问,否则就403,角色也就是在自定义登录逻辑的时候就有的,定义角色必须以ROLE_开头,固定。...
eybSpringSecurity:Oauth2协议
dengfengling999的博客
08-03 148
(1)Oauth2协议简介、 (2)授权模式种授权模式:第一种:授权吗模式:是这几种中最复杂和最安全的,而实际工作中用的最多的一种例模式。它不是直接去获取令牌,而中间经过授权码的形式,先获取授权码,在经过授权码去获取令牌客户端通过客户代理去我们的授权服务器进行授权,它会携带客户端的标识和重定向的URI,到了授权服务器之后呢,会需要用户进行授权,也就是资源拥有者进行用户授权,授权之后呢,授权服务器会根据用户授权的结果返回一个授权码,这时候还没有拿到令牌,只是拿到授权码,客户端那这个授权码和重定向URI再去我
eyb02-Spring Security快速入门
qq_44866169的博客
01-31 254
初识Spring Security Spring Security概念 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的 授权功能。是一款非常优秀的权限管理框架。 权限管理概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。 在权限管理的概念中,有两个非常重要的名词: 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。 授权:系统根据当前用户的角色,给其授予
eyb:Redis学习(4)
dengfengling999的博客
08-09 348
存入的数据:发现存入的数据看不懂。删除没用的目录:看起来简洁一点。创建RedisConfig。:需要另外引入连接池依赖。使用自定义序列化模板。
eyb:RabbitMQ学习1
dengfengling999的博客
08-17 521
加消费者,这就讲到工作队列。ActiveMQ是Apache下的项目,是一个比较老的MQ了,前几年比较流行,现在不行了,因为它的性能没那么高,在小型的项目中使用,要求性能没那么高,但是在高并发的情况下,很容易出现消息的阻塞啊,错误啊,或者其他类型阻塞的情况,它的性能没那么好,我们发现现在啊大数据高并发这种情况到处可见,它就没办法在高并发大数据的情况下发挥好的性能所以现在不怎么用。启动了消费者,消费者,一直处于连接的状态,它要一直去监听这个队列,并不会去关闭,而生产者不一样,是可以关闭的。...
eyb:JWT介绍
dengfengling999的博客
08-04 184
上面我们已经创建了token,在web应用中呢,这种操作一般是有服务端进行,然后发送给客户端,客户端下次再向服务端发送请求的时候呢,就会携带token,就想电影院看电影,我们创建token的过程中就相当于把票token给客户,那客户进场看电影之前,还需要把票携带过来,我们去验证一下票是不是真的,服务端接收到token,就要解析除token的信息,比如说用户的ID、用户名称等等,根据这些信息我们再去数据库查询,返回响应的结果。token:第一部分是头部信息,第二本分是荷载,第三部分是签名。...
eyb:Vue学习3
dengfengling999的博客
08-24 351
之前有嵌套组件,叫子组件,大组件套小组件,组件不能一直嵌套下去,可能会遇到一些页面跳转的需求,就引出来了路由,除了页面跳转的需求以外,还有就是一个大页面,里面是路由的内容,通过点一下某个超链接,路由里面的内容发生变化,但是大页面还是一样的。先做一个功能,判断是否登录,登录完之后,再次到登录页,它会自动跳到首页,当退出之后,不存在登录的状态,去任何页面,都会跳到登录页面,在Java中是使用拦截器,那么在Vue里面没有拦截器,需要使用路由钩子函数。加一点表单验证 :首先加:rules=“rules”
eyb:Vue学习1
dengfengling999的博客
08-21 304
比如说百度搜索引擎,每一个节日都有一个对应节日的css样式,这个需要重复去编写的东西,就增加了工作量,为了解决这个问题,衍生出了css预处理器。VueModel可以做数据双向绑定,当data里面有数据变化的时候呢,视图页面可以立刻变更数据,并且没有感知到DOM操作。vue-cli:是vue官方的脚手架,帮助我们快速创建项目,附带着一些常用的依赖,像Maven一样。静态资源放在静态资源服务器上面,数据请求,通过ajax请求,从后台拿取数据然后再在前端页面展示。new Vue{}:相当于:ViewModel。
eyb:Vue学习2
dengfengling999的博客
08-23 222
通过vue-cli创建的项目,只有一个index.html,剩下的只是组件(Webpack里面的模块),没有办法去做页面的跳转,比如说经常做的功能登录成功,跳转到个人中心,涉及到页面跳转。App.vue组件可以嵌套组件,这只是组件的嵌套,并没有办法页面的跳转,也不能一直无限的嵌套下去,一定有页面跳转的需求,这时候vue-router是去实现页面跳转的功能。集成打包上线:vue前端用的是原生的js ES6,ES6有许多浏览器不支持,需要打包成ES5,vue-cli集成了打包上线,把webpack集成上去了。
EYB:EatYourBooks.com - 从本网站分析烹饪网络的食谱
06-28
安永EatYourBooks.com - 从本网站分析烹饪网络的食谱此代码库包含使用模板化爬虫抓取 EatYouBooks.com 的代码,将食谱、食谱... 它还使用 NLTK 和 NetworkX 使用 NLP 技术处理成分,并使用 networkx API 将它们可视化。
EvolutionActa.zl6kjznugr.gaA3EyB
03-18
【标题】"EvolutionActa.zl6kjznugr.gaA3EyB"看起来像是一个文件或压缩包的名字,但没有提供足够的上下文来直接解释它的具体含义。通常,这种格式可能是某种加密或混淆的文件名,用于保护数据安全或隐私。然而,由于...
angular-debounce-input:用StackBlitz创建:high_voltage:
03-10
描述中的“角ivy-eyb8hp”可能是指一个特定的Angular项目或者组件的ID,Ivy是Angular的下一代编译器和渲染管道,它的目标是提高编译速度和应用程序性能。然而,这里提到的"ivy-eyb8hp"并不是Angular官方的术语,可能...
1.3 ArmcoreEVB(硬件) ArmCore-AX0核心板引脚定义1118.pdf-电路图
04-27
全志方案在消费类电子占有很大的市场,随着产品的不断升级优化,全志方案不仅仅在安卓平板,视频监控、广告应用等领域崭露头角,本人收集些有关全志方案的开发资料,希望对正在使用全志方案的网友有所帮助。
A梦CO即时通讯 易语言
04-04
4、优化服务端自定义信息发送功能,支持换行符等的使用; 5、修正了其他几个小BUG。 2011年3月2日 A梦Chat online2011内测版 Beta1 1.1.3.2 What's new : ====================== 1、优化...
使用 XPath 定位 HTML 中的 img 标签
Z_suger7的博客
07-18 753
通过本文的介绍和代码示例,我们可以看到如何在 C#使用 XPath 定位 HTML 中的img标签,并实现图片的下载。这种方法不仅高效,而且易于实现,适用于各种需要从网页中提取图片资源的场景。希望本文能够为你的项目提供帮助,并激发你在数据处理和自动化方面的创新思维。
c++ primer plus 第16章string 类和标准模板库,string 类输入
zhyjhacker的博客
07-14 1079
c++ primer plus 第16章string 类和标准模板库,string 类输入。
C#知识|SqlParameterCollection 只接受非空的 SqlParameter 类型对象,不接受 SqlParameter[] 对象
做有价值的事,积累有价值的笔记!
07-15 278
哈喽,你好啊,我是雷工!今天在练习C#时遇到报错:SqlParameterCollection 只接受非空的 SqlParameter 类型对象,不接受 SqlParameter[] 对象。
C#知识|账号管理系统-账号信息管理界面[1]:账号分类选择框、Panel面板设置
最新发布
做有价值的事,积累有价值的笔记!
07-18 22
3.1、账号分类与账号添加账号界面的账号类型是一模一样的写法,所以完全可以将FrmAddAccount.cs中动态填充账号分类部分直接复制过来即可。设置账号分类选择框的DropDownStyle属性值为:DropDownList,设置下拉框为只能选择,无法输入;界面下方的Panel控件不需要时刻显示,当点击修改账号时才显示,所以需将加载状态设置成隐藏。接下来继续学习账号信息管理界面的功能编写,本节主要记录账号分类选择框和Panel的设置,以上为账号信息管理界面主要功能的前期准备,一些细节属性的设置,
C#面 :请列举官方常用的中间件?
那个那个鱼的博客
07-12 559
C#领域中,常用的官方中间件有以下几种:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

喵俺第一专栏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值