Spring-Security练习

最新推荐文章于 2024-03-02 09:54:51 发布
最新推荐文章于 2024-03-02 09:54:51 发布
阅读量335 收藏
点赞数
分类专栏: spring-security 文章标签: 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongliren/article/details/78856691
版权

一.根据不同的用户所访问的页面不同(普通用户和管理员)及登陆验证。

1.所用技术:Mybatis(H2数据库)+Spring+Springmvc+Spring-Security.

2.Spring-Security所需jar包:
这里写图片描述

3.mvc结构:
这里写图片描述

4.具体实现:
(1)web.xml的SpringSecurity过滤器的配置:

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

(2)创建WebSecurityConfig类继承WebSecurityConfigurerAdapter类:加上注解:
@Configuration //beans
@EnableWebSecurity //开启web security支持:应用bean容器里的WebSecurityConfigurer

(3)重写WebSecurityConfig类的userDetailsService方法:固定绑定角色,(可优化)

@Override
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("user")
                .password("123456")
                .roles("USER").build());
        manager.createUser(User.withUsername("admin")
                .password("123789")
                .roles("ADMIN").build());
        return manager;
    }

(4) 重写WebSecurityConfig类的configure方法(请求分区,过滤器请求权限的拦截):它自带登陆页面,如果用自己自定义的登陆页面,则加上.loginPage(“/login”),下面会由自定义的登陆页面展示。
这里写图片描述
当非管理员登陆请求(“/admin/**’)会出现没有权限错误:
这里写图片描述

(5) 优化(3),从数据库拿用户数据,并登陆验证:数据库存的密码为密文,当登陆时输入密码(123456为例),Spring-Security自动转为密文,与数据库密文相比较(两者不同,但变成明文时都为123456)
这里写图片描述

创建User类继承org.springframework.security.core.userdetails.User,它自带的User类,
这里写图片描述

创建UserDetailsServiceImpl类继承UserDetailsService类重写它的loadUserByUsername方法,返回上面User类型参数,会自动校验,根据从登陆时,传过来的username参数
这里写图片描述

WebSecurityConfig类中开启密码加密,创建Bean

@Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

这个具体实现校验我也不知道,没看源码,只知道这样用。。。

二 .进入主页后的退出实现(封装好了的,不要做修改):相对应的登陆页面会由提示信息,具体如何自定义的登陆页面
这里写图片描述

三.Aop方法上的权限拦截:
当role(角色)由多个时:当请求只有同时是ADMIN和HR时才能访问,但请求分区(过滤器请求权限的拦截)只限定admin用户和普通用户(一大点中的第四小点图中的画红线部分),不能区分ADMIN用户和同时具有ADMIN和HR两种身份的用户(细分),我们可以在调用的service层的接口方法上,加上注解,限制管理员用户中(ADMIN)的HR用户的才能调用。

(1) 这里写图片描述

(2) 必须在WebSecurityConfig类中配置@EnableGlobalMethodSecurity(securedEnabled = true),用来识别限制方法上的(@Secured)注解。

四.很多网站的登陆都有记住账号密码这个功能:
(1)在WebSecurityConfig这个类中configure方法写上:
这里写图片描述

五:根据角色页面显示不同:
Spring-Security由自带的标签库需要引入包:只有HR登陆首页才会显示链接

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>//引入
<sec:authorize access="hasRole('HR')">
        <a href="${pageContext.request.contextPath}/admin/employees">员工表</a>
    </sec:authorize>

六:当登陆成功时,会将用户信息显示在导航栏(例如:欢迎某某登陆)
这里写图片描述

七:login页面,官方文档中有,错误信息,退出登陆提示,都有:
这里写图片描述

官网的如下:
这里写图片描述

总结:
权限管理:
(1) 从请求地址上拦截,通过web.xml过滤器的配置,再到继承了WebSecurityConfigurerAdapter的WebSecurityConfig类的重写方法中配置:
这里写图片描述
(2) aop 方法上的拦截,在service层的具体方法上加上配置。
这里写图片描述
(3) spring aop 思想体现: 事务管理和权限管理.

dongliren
关注
专栏目录
SpringSecurity 实战项目(一)
weixin_38927257的博客
12-02 5491
文章目录SpringSecurity 验证帐号密码security认证过程:[《Spring Security认证过程》](https://blog.csdn.net/weixin_38927257/article/details/102960752) 本文使用springboot+mybatis+SpringSecurity 实现用户权限数据库管理 实现用户和角色用数据库存储,而资源(url)和...
SpringSecurity系列——JWT(jjwt)day1-2
qq_51553982的博客
06-17 1381
jwt(JSON Web Tokens) JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。 此信息可以验证和信任,因为它是数字签名的。 JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。https://jwt.io/ 从这张图我们可以看出来jjwt是在Java中支持最好的,所以我们直接学这个http协议本身是一种无状态的协议,而这就意味着如
spring boot security学习练习demo源码
12-09
spring boot security 框架组合练习学习做的一个完整的精简的小demo项目源码
Spring security练习
abc67509227的博客
12-03 229
添加依赖,并去 maven 库添加: &amp;amp;lt;dependency&amp;amp;gt; &amp;amp;lt;groupId&amp;amp;gt;org.thymeleaf.extras&amp;amp;lt;/groupId&amp;amp;gt; &amp;amp;lt;artifactId&amp;amp;gt;thymeleaf-extras-springsecu
springBoot-SpringSecurity练习1
CASER_HDMI的博客
12-01 228
最近在学SpringSecurity,来拦截没有登录的用户,以及验证用户是否具有权限访问某个页面,照着网上做了个简单的练习。 这里用的是Thymeleaf作为模板引擎,因为SpringBoot建议不要使用JSP,下面是SpringBoot的配置: server: port: 8080 servlet: context-path: /secureTest spring: dat...
myeclipse 8.5的spring security 2.0.5的简单练习(图解)
11-18
本人练习所用,因用到spring中的security,所以写出一个简单的应用与大家分享,也有向前辈学习的意思,请做指教。本人原创。
spring-boot-angular4-authentication:具有弹簧安全性的spring-boot和angular 4基本认证
01-30
该项目是使用带有Spring Security的简单Spring Boot后端API对Angular4前端应用程序进行的简单安全身份验证。 您将学到什么 使用Spring Boot构建Rest API 使用Spring Security保护您的Rest API 建立无状态验证 使用...
spring-boot-easy-pay-demo-master.zip
最新发布
03-26
4. **安全控制**:可能包含了Spring Security的使用,用于处理支付过程中的安全性问题,如API权限验证、加密传输等。 5. **数据库交互**:可能使用了Spring Data JPA或MyBatis等ORM框架,用于与数据库进行交互,...
spring-boot:弹簧靴练习
05-17
中提到的"Spring bot练习样例",意味着这个项目是一个包含各种Spring Boot实践的示例集合,可能包含了Spring Boot的各种核心功能和常见应用场景的代码实例,例如:RESTful API的实现、数据库操作、模板引擎的使用、...
workshop-spring-boot-standalone:Spring Boot 2工作坊
04-29
8. **安全(Security)**:Spring SecuritySpring Boot的安全框架,它可以轻松地实现认证和授权。通过`spring-boot-starter-security`起步依赖,开发者可以快速设置基本的安全控制。 9. **测试支持**:Spring ...
spring security 完整项目实例
01-07
基于用户,角色,权限的spring security完整项目,包括登陆,免登陆,session配置,角色,权限验证等功能
security+英文考试题库.pdf
03-06
考试题库 Q1 :A security administrator wants to implement strong security on the company smart phones and terminal servers located in the data center. Drag and drop the applicable controls to each asset types? Instructions: Controls can be used multiple times and not all placeholders need to be filled. When you have completed the simulation, please select the Done button to submit. Select and Place:
SpringSecurity学习笔记+练习代码
一米九的博客
01-30 739
Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IOC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringSecurity与shiro详细说明与练习
xc_zhb的博客
06-20 637
网络安全
Spring Security相关问题及答案(2024)
qq_43012298的博客
03-02 1079
Spring Security提供了一套完整的安全框架,允许开发者以声明性的方式保护应用程序。通过一系列可配置的过滤器,开发者可以非常细致地定义如何认证用户和授权访问。这只是一个高度概括的概述,实际应用中,Spring Security的配置可能会变得更加复杂,包括处理跨域请求、设置HTTP头以防范点击劫持、配置OAuth2认证等诸多安全相关的功能。2、Spring Security的主要特性有哪些?
SpringSecurity面试题
m0_73302761的博客
08-18 102
试想一下,如果我们不使用Spring Security,如果保存用户信息呢,大多数情况下会考虑使用Session对吧?在Spring Security中也是如此,用户在登录过一次之后,后续的访问便是通过sessionId来识别,从而认为用户已经被认证。SecurityContextHolder存放用户信息,认证相关的信息是如何被存放到其中的,便是通过SecurityContextPersistenceFilter。
030 SSM综合练习06--数据后台管理系统--SSM权限操作及Spring Security入门
weixin_30252155的博客
08-23 110
1.权限操作涉及的三张表 (1)用户表信息描述users sql语句: CREATE TABLE users ( id VARCHAR2 ( 32 ) DEFAULT SYS_GUID () PRIMARY KEY, email VARCHAR2 ( 50 ) UNIQUE NOT NULL, username VARCHAR2 ( 50 ),...
JAVAEE第三次作业(SpringSecurity框架
一只鼠标的博客
11-13 858
antMatchers("/studentlist","/searchstudent","/courseofstudent").hasAuthority("admin")//对界面配置权限。.antMatchers("/studentlist2").hasAuthority("teacher")//对界面配置权限。.loginProcessingUrl("/user/login")//登录提交的请求。1.login.html(/user/login是security提供的登录验证接口,不能修改)
Spring Boot 后端项目实战练习
资源摘要信息:"springboot练习" 在IT行业中,Spring Boot已经成为构建企业级应用的...通过以上知识点的阐述,可以对Spring Boot练习项目的理论和实践有较为全面的认识,为开发高性能的Java后端应用打下坚实的基础。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值