011SpringBoot--Security(安全)

已于 2022-03-26 16:53:15 修改
阅读量3.3k 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: spring boot 安全 java
于 2022-02-11 21:16:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gh_xiaohe/article/details/122863884
版权

目录

简介

注意:

准备工作

pom.xml

RouterController

 特别讲解:

一、授权 

SecurityConfig---1.1

SecurityConfig---1.2  

源码  formLogin 

二、身份验证

核心类:Authentication   身份验证

 SecurityConfig---2.1

  SecurityConfig---2.2

 JDBC

 源码 auth.inMemoryAuthentication()

三、注销  http.logout();

源码   http.logout();

实例: 

四、防止网站被攻击

五、权限登录---根据不同的用户显示不同的版块

 Security—thymeleaf整合

1.导入命名空间

2.  上面隐藏

3.下面隐藏

六、记住我功能

七、定制自己的登录页面

 问题一:前后端页面请求url 不一致

 方式一: 修改前后端修改一致

 方式二: loginProcessingUrl

 问题二: 前后端传递参数不一致

SecurityConfig 

 RouterController

简介

Spring Security是针对Spring项目的安全框架,也是SpringBoot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理!

记住几个类:

  •  WebSecurityConfigurerAdapter: 自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略   
  • @EnableWebSecurity:开启WebSecurity模式 
  • 日后看见@Enablexxxx   就是开启某个功能

Spring Security的两个主要目标是“认证”和“授权”(访问控制)。

"认证”(Authentication)

"授权"(Authorization)

这个概念是通用的,而不是只在Spring Security中存在。参考官网:

注意:

      SpringBoot支持Security 版本不超过 2.0.9  

官网:Spring Security Reference

准备工作

pom.xml

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

RouterController

@Controller
public class RouterController {

    @RequestMapping({"/","/index"})
    public String toIndex(){
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String toLevel1(@PathVariable("id")Integer id){
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String toLevel2(@PathVariable("id")Integer id){
        return "views/level2/"+id;
    }

    @RequestMapping("/level3/{id}")
    public String toLevel3(@PathVariable("id")Integer id){
        return "views/level3/"+id;
    }

}

 特别讲解:

    @RequestMapping("/level1/{id}")
    public String toLevel1(@PathVariable("id")Integer id){
        return "views/level1/"+id;
    }

一、授权 

SecurityConfig---1.1

//AOP : 拦截器!
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    //授权   链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //首页所有人可以访问,功能页只有对应有权限的人才能访问
        //请求授权的规则
        http.authorizeRequests().antMatchers("/","/index").permitAll()   //首页所有人可以访问
                .antMatchers("/level1/**").hasRole("vip1")               //level1  下得所有页面   需要拥有 hasRole vip1 才可以访问
                .antMatchers("/level2/**").hasRole("vip2")               //level2  下得所有页面   需要拥有 hasRole vip2 才可以访问
                .antMatchers("/level3/**").hasRole("vip3");              //level3  下得所有页面   需要拥有 hasRole vip3 才可以访问
    }
}

SecurityConfig---1.2  

//AOP : 拦截器!
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    //授权   链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //首页所有人可以访问,功能页只有对应有权限的人才能访问
        //请求授权的规则
        http.authorizeRequests().antMatchers("/","/index").permitAll()   //首页所有人可以访问
                .antMatchers("/level1/**").hasRole("vip1")               //level1  下得所有页面   需要拥有 hasRole vip1 才可以访问
                .antMatchers("/level2/**").hasRole("vip2")               //level2  下得所有页面   需要拥有 hasRole vip2 才可以访问
                .antMatchers("/level3/**").hasRole("vip3");              //level3  下得所有页面   需要拥有 hasRole vip3 才可以访问


        //没有权限 默认跳到登录页面
        http.formLogin();
    }
}

源码  formLogin 

	/**
	 * Specifies to support form based authentication. If
	 * {@link FormLoginConfigurer#loginPage(String)} is not specified a default login page
	 * will be generated.
	 *
	 * <h2>Example Configurations</h2>
	 *
	 * The most basic configuration defaults to automatically generating a login page at
	 * the URL "/login", redirecting to "/login?error" for authentication failure. The
	 * details of the login page can be found on
	 * {@link FormLoginConfigurer#loginPage(String)}
	 *
	 * <pre>
	 * &#064;Configuration
	 * &#064;EnableWebSecurity
	 * public class FormLoginSecurityConfig extends WebSecurityConfigurerAdapter {
	 *
	 * 	&#064;Override
	 * 	protected void configure(HttpSecurity http) throws Exception {
	 * 		http.authorizeRequests().antMatchers(&quot;/**&quot;).hasRole(&quot;USER&quot;).and().formLogin();
	 * 	}
	 *
	 * 	&#064;Override
	 * 	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
	 * 		auth.inMemoryAuthentication().withUser(&quot;user&quot;).password(&quot;password&quot;).roles(&quot;USER&quot;);
	 * 	}
	 * }
	 * </pre>
	 *
	 * The configuration below demonstrates customizing the defaults.
	 *
	 * <pre>
	 * &#064;Configuration
	 * &#064;EnableWebSecurity
	 * public class FormLoginSecurityConfig extends WebSecurityConfigurerAdapter {
	 *
	 * 	&#064;Override
	 * 	protected void configure(HttpSecurity http) throws Exception {
	 * 		http.authorizeRequests().antMatchers(&quot;/**&quot;).hasRole(&quot;USER&quot;).and().formLogin()
	 * 				.usernameParameter(&quot;username&quot;) // default is username
	 * 				.passwordParameter(&quot;password&quot;) // default is password
	 * 				.loginPage(&quot;/authentication/login&quot;) // default is /login with an HTTP get
	 * 				.failureUrl(&quot;/authentication/login?failed&quot;) // default is /login?error
	 * 				.loginProcessingUrl(&quot;/authentication/login/process&quot;); // default is /login
	 * 																		// with an HTTP
	 * 																		// post
	 * 	}
	 *
	 * 	&#064;Override
	 * 	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
	 * 		auth.inMemoryAuthentication().withUser(&quot;user&quot;).password(&quot;password&quot;).roles(&quot;USER&quot;);
	 * 	}
	 * }
	 * </pre>
	 *
	 * @see FormLoginConfigurer#loginPage(String)
	 *
	 * @return the {@link FormLoginConfigurer} for further customizations
	 * @throws Exception
	 */
	public FormLoginConfigurer<HttpSecurity> formLogin() throws Exception {
		return getOrApply(new FormLoginConfigurer<>());
	}

二、身份验证

核心类:Authentication   身份验证

注:

//认证  springboot 2.1.X 可以直接使用
//密码编码  PasswordEncoder
//在spring Security 5.0+ 新增了很多的加密方法~

 底部

 SecurityConfig---2.1

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

         //这些数据正常应该从数据库中读取 jdbcAuthentication()     此时是 内存中读取inMemoryAuthentication
        auth.inMemoryAuthentication()
                .withUser("kuangshen").password("123456").roles("vip2","vip3")
                .and()
                .withUser("root").password("123456").roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password("123456").roles("vip1","vip3")
}

  SecurityConfig---2.2

    //认证  springboot 2.1.X 可以直接使用
    //密码编码  PasswordEncoder
    //在spring Security 5.0+ 新增了很多的加密方法~
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //这些数据正常应该从数据库中读取 jdbcAuthentication()     此时是 内存中读取inMemoryAuthentication
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) //密码加密的方式
                .withUser("kuangshen").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3") //编码
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");

    }
}

 JDBC

 源码 auth.inMemoryAuthentication()

 

三、注销  http.logout();

//AOP : 拦截器!
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    //授权   链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //首页所有人可以访问,功能页只有对应有权限的人才能访问
        //请求授权的规则
        http.authorizeRequests().antMatchers("/","/index").permitAll()   //首页所有人可以访问
                .antMatchers("/level1/**").hasRole("vip1")               //level1  下得所有页面   需要拥有 hasRole vip1 才可以访问
                .antMatchers("/level2/**").hasRole("vip2")               //level2  下得所有页面   需要拥有 hasRole vip2 才可以访问
                .antMatchers("/level3/**").hasRole("vip3");              //level3  下得所有页面   需要拥有 hasRole vip3 才可以访问


        //没有权限 默认跳到登录页面
        http.formLogin();
            
        //注销,开启了注销功能
        http.logout();
    }
}
http.logout().deleteCookies("remove").invalidateHttpSession(true);//移除所有的Cookie  清空所有的Session 

//注销    登出成功后跳转到 首页
http.logout().logoutSuccessUrl("/");

 

源码   http.logout();

	/**
	 * Provides logout support. This is automatically applied when using
	 * {@link WebSecurityConfigurerAdapter}. The default is that accessing the URL
	 * "/logout" will log the user out by invalidating the HTTP Session, cleaning up any
	 * {@link #rememberMe()} authentication that was configured, clearing the
	 * {@link SecurityContextHolder}, and then redirect to "/login?success".
	 *
	 * <h2>Example Custom Configuration</h2>
	 *
	 * The following customization to log out when the URL "/custom-logout" is invoked.
	 * Log out will remove the cookie named "remove", not invalidate the HttpSession,
	 * clear the SecurityContextHolder, and upon completion redirect to "/logout-success".
	 *
	 * <pre>
	 * &#064;Configuration
	 * &#064;EnableWebSecurity
	 * public class LogoutSecurityConfig extends WebSecurityConfigurerAdapter {
	 *
	 * 	&#064;Override
	 * 	protected void configure(HttpSecurity http) throws Exception {
	 * 		http.authorizeRequests().antMatchers(&quot;/**&quot;).hasRole(&quot;USER&quot;).and().formLogin()
	 * 				.and()
	 * 				// sample logout customization
	 * 				.logout().deleteCookies(&quot;remove&quot;).invalidateHttpSession(false)
	 * 				.logoutUrl(&quot;/custom-logout&quot;).logoutSuccessUrl(&quot;/logout-success&quot;);
	 * 	}
	 *
	 * 	&#064;Override
	 * 	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
	 * 		auth.inMemoryAuthentication().withUser(&quot;user&quot;).password(&quot;password&quot;).roles(&quot;USER&quot;);
	 * 	}
	 * }
	 * </pre>
	 *
	 * @return the {@link LogoutConfigurer} for further customizations
	 * @throws Exception
	 */

实例: 

四、防止网站被攻击

//防止网站攻击工具  get post  
http.csrf().disable(); //关闭csrf 功能   登出失败 可能存在的原因

五、权限登录---根据不同的用户显示不同的版块

 Security—thymeleaf整合

        <!--Security———thymeleaf 整合-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>

作用: 在 thymeleaf 中可以写一些  Security 的操作

1.导入命名空间

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"

2.  上面隐藏

            <!--登录注销-->
            <div class="right menu">

                <!--未登录  显示登录页面   authorize v. 批准,许可;授权 -->
                <div sec:authorize="!isAuthenticated()">  <!--!isAuthenticated()未登录-->
                    <a class="item" th:href="@{/toLogin}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>

                <!-- 已登录 显示注销和用户名 -->
                <div sec:authorize="isAuthenticated()">
                    <a class="item">
                        用户名:<span sec:authentication="principal.username"></span>
                        权限:<span sec:authentication="principal.authorities"></span>
                        <!--角色:<span sec:authentication="principal.getPassword()"></span>-->
                    </a>
                </div>
                <div sec:authorize="isAuthenticated()">
                    <!--注销-->
                    <a class="item" th:href="@{/logout}">
                        <i class="sign-out icon"></i> 注销
                    </a>
                </div>

            </div>

3.下面隐藏

            <!--根据用户的角色动态实现-->
            <div class="column" sec:authorize="hasRole('vip1')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 1</h5>
                            <hr>
                            <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
                            <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
                            <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasRole('vip2')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 2</h5>
                            <hr>
                            <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
                            <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
                            <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasRole('vip3')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 3</h5>
                            <hr>
                            <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                            <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                            <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

六、记住我功能

//记住我功能 cookie  默认保存两周
//rememberMeParameter 记住我的参数
http.rememberMe().rememberMeParameter("remember");

七、定制自己的登录页面

//定制自己的登录页面
http.formLogin().loginPage("/toLogin");

 问题一:前后端页面请求url 不一致

 方式一: 修改前后端修改一致

 方式二: loginProcessingUrl

        http.formLogin().loginPage("/toLogin").loginProcessingUrl("/login");

 问题二: 前后端传递参数不一致

        //前后端 传递的参数不一致   默认 username  password
        http.formLogin().loginPage("/toLogin")
                .usernameParameter("user")
                .passwordParameter("pwd").loginProcessingUrl("/login");

 

SecurityConfig 

/**
 *  Security配置文件
 */
//AOP : 拦截器!
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    //授权   链式编程
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //首页所有人可以访问,功能页只有对应有权限的人才能访问
        //请求授权的规则
        http.authorizeRequests().antMatchers("/","/index").permitAll()   //首页所有人可以访问
                .antMatchers("/level1/**").hasRole("vip1")               //level1  下得所有页面   需要拥有 hasRole vip1 才可以访问
                .antMatchers("/level2/**").hasRole("vip2")               //level2  下得所有页面   需要拥有 hasRole vip2 才可以访问
                .antMatchers("/level3/**").hasRole("vip3");              //level3  下得所有页面   需要拥有 hasRole vip3 才可以访问

        //没有权限 默认跳到登录页面
        http.formLogin();

        //定制自己的登录页面
        //  方式一:
//        http.formLogin().loginPage("/toLogin");     网页请求写 toLogin

        //  问题一:  loginProcessingUrl 登录认证的是那个url  网页写 login
        http.formLogin().loginPage("/toLogin").loginProcessingUrl("/login");

        // 问题二: 前后端 传递的参数不一致   默认 username  password
//        http.formLogin().loginPage("/toLogin")
//                .usernameParameter("user")
//                .passwordParameter("pwd").loginProcessingUrl("/login");

        //注销    登出成功后跳转到index.html
        http.logout();

        //注销    登出成功后跳转到 首页
        http.logout().logoutSuccessUrl("/");

        //防止网站攻击工具  get post
        http.csrf().disable(); //关闭csrf 功能  登出失败 可能存在的原因

        //记住我功能 cookie  默认保存两周
        //rememberMeParameter 记住我的参数
        http.rememberMe().rememberMeParameter("remember");

//        //定制首页可以随意访问   另一种方式
//        http.authorizeRequests().antMatchers("/","/index").permitAll();
//
//        //level1页面:vip1 2 3 都可以访问该页面
//        http.authorizeRequests().antMatchers("/level1/**").hasRole("vip1");
//
//        //level2页面:vip2 3可以访问
//        http.authorizeRequests().antMatchers("/level2/**").hasRole("vip2");
//
//        //level3页面:vip3才能访问
//        http.authorizeRequests().antMatchers("/level3/**").hasRole("vip3");


    }

    //认证  springboot 2.1.X 可以直接使用
    //密码编码  PasswordEncoder
    //在spring Security 5.0+ 新增了很多的加密方法~
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //这些数据正常应该从数据库中读取 jdbcAuthentication()     此时是 内存中读取inMemoryAuthentication
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) //密码加密的方式
                .withUser("kuangshen").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3") //编码
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");

    }
}

 RouterController

@Controller
public class RouterController {

    @RequestMapping({"/","/index"})
    public String toIndex(){
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String toLevel1(@PathVariable("id")Integer id){
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String toLevel2(@PathVariable("id")Integer id){
        return "views/level2/"+id;
    }

    @RequestMapping("/level3/{id}")
    public String toLevel3(@PathVariable("id")Integer id){
        return "views/level3/"+id;
    }

}

gh-xiaohe
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity4 样例工程(自定义登录页,从数据库获取用户名密码)
05-23
SpringSecurity4 样例工程(自定义登录页,从数据库获取用户名密码)
SpringSecurity中表单验证loginProcessingUrlloginPage问题
xiaozhuzhuyang的博客
04-12 9111
SpringSecurity中表单验证loginProcessingUrlloginPage问题 没问题之前状态: 之前使用SpringSecurity用户登录验证的时候 一直用的是/login请求跳转到自定义登陆页面 表单提交用的也是action=/loginSecurity配置中loginPage用的也是/login,没有什么问题! 修改的过程: 而后面因为觉得跳转页面和用户验证请求url都是 /login 换成了表单用户验证用:/toLogin Security配置loginPage换成toL
SpringbootSpringSecurity使用(1):介绍、登录验证
最新发布
游王子的博客
07-28 1442
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功能。Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。
springBootSecurity的使用
Trace_hs的博客
02-17 347
springBootSecurity的使用 需要有自动装配 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { //链式编程 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests()
SpringBoot - 安全管理框架Spring Security使用详解(1)-基本内存的用户、URL权限配置
Andy's Blog
06-06 381
二、基于内存的用户、URL权限配置 1,用户角色配置 (1)我们可以通过自定义类继承WebSecurityConfigurerAdapter,从而实现对Spring Security更多的自定义配置。比如下面样例我们就配置了两个用户,以及他们对应的角色。 注意:基于内存的用户配置在配置角色时不需要添加“ROLE_”前缀,而下文介绍的基于数据库的认证配置角色时需要添加“ROLE_”前缀。 1 2 3 4 5 6 7 8 9 ...
spring security 自定义登录页面(loginPage和loginProcessingUrl) + 关闭csrf token
m0_45406092的博客
03-24 3974
1. 自定义登录页面 2. 如何在自定义页面增加token 参考 spring security 入门教程 自定义登录页面
springboot-06-security.zip
08-20
在本项目"springboot-06-security.zip"中,我们主要关注的是如何使用JavaSpring BootSpring Security来实现一个用户认证与授权的系统。这个实例源码是为那些希望学习如何在Spring Boot环境中集成安全功能的学习...
SpringBoot-Security
05-26
SpringBoot-Security是基于Spring Boot的轻量级安全框架,用于简化Spring Security的集成和配置。这个框架使得在Spring Boot应用中实现身份验证和授权变得简单。本文将深入探讨SpringBoot-Security的两种配置方式...
loginProcessingUrl()方法的含义
m0_37609060的博客
03-28 1万+
loginProcessingUrl()这个方法可以看作一个中转站,前台界面提交表单之后跳转到这个路径进行User DetailsService的验证,如果成功, defaultSuccessUrl()如果失败,那么转向failureUrl("/error.html"),我们需要注意的就是 <form action="/user/login" method="post"> //这里的action现需要和loginProcessingUrl()中的参数保持一致 同户名 <input
spring security loginProcessingUrl无效问题
wzq1915414095的博客
11-24 9075
近几天被一个朋友问道了一个loginProcessingUrl设置后无效的问题。 他的登陆页面的接口是 /loginpage 这个前端页面的登陆按钮请求的url是 /login/doLogin 前端页面代码如下 <form action="/login/doLogin" method="post"> <input type="text" name="username" /> <input type="password" name="password"/>
SpringSecurity-2-用户通过浏览器登录(loginPage/loginProcessingUrl)并访问接口
文天大人
09-16 453
怀念二抱三抱
springboot整合springsecurity再理解
qq_68575975的博客
08-19 242
我们要跳转的登录页,需要主要的是这个方法并不会去静态资源里找我们传的参数,就算我么templates下真的有login.html也找不到,而是需要我们在controller层去编写一个映射请求来控制页面跳转到我们自定义的登录页。Springsecurity默认的请求类型必须为post请求否则不能认证。:当我们从登录页提交用户名和密码时,这时用该方法接收url传来的参数进行验证。值得注意的是当我们用上一种方式创建用户后,这种方式创建的用户会失效。因为我们定义的表单提交为url为: /login
spring security设置自定义登录loginProcessingUrl不生效的问题
LiangDongPath的博客
09-13 2546
spring security设置自定义登录loginProcessingUrl不生效的问题
Spring Security登录表单配置(3)
weixin_43831002的博客
08-02 2205
接下来,我们在resources/static目录下创建一个login.html页而,这个是我们自定义的登录页面:查看代码这个logmt.html中的核心内容就是一个登录表单,登录表单中有三个需要注意的地方,login.html定义好之后,接下来定义两个测试接口,作为受保护的资源。当用户登录成功 后,就可以访问到受保护的资源。...
java学习——spring security学习
u013169723的博客
03-29 521
1、spring security 是基于spring安全框架,它提供全面的安全性解决方案,同时在web请求级和方法调用级处理身份确认和授权。充分利用了依赖注入(DI)和面向切面编程(aop),为应用系统提供了声明式的安全访问控制功能。 2、核心功能 认证:你是谁,用户、设备、系统 验证:你能干什么,也叫权限控制/授权、允许执行的操作。 3、原理 基于Filter,Servlet,AOP实现身份认证和权限验证。、 4、版本 springboot 2.0.6版本 spring securit.
Spring Boot+Spring Security:基于内存的角色授权 - 第4篇
热门推荐
悟纤学院
03-02 2万+
需求缘起 之前我们基于内存的方式,构建了两个账号admin和user,对于这两个账号在实际项目中会有不同的角色,比如管理员角色和普通用户角色,对于不同的角色,那么允许访问的方法会不一样。 编码思路 对于不同角色具有不同方法的权限的问题,主要需要思考几个点: (1)如何给指定的用户指定角色 通过AuthenticationManagerBuilder的ro...
Spring Security实现用户身份验证及权限管理
个人学习笔记库,一篇一篇记录成长的足迹
03-26 6047
Spring SecuritySpring生态的一个成员,提供了一套Web应用安全性的完整解决方案。Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标工件(无论是 JAR还是WAR)从一个系统复制到另一个系统,并且它可以立即工作。spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。
Spring Security:基于内存的认证信息
wh柒八九的博客
05-22 1145
本文来说下Spring Boot+Spring Security:基于内存的认证信息 文章目录概述 概述 需求缘起 上面我们简单体验了下Spring Security,但是现在只能有一个用户信息,我们这里希望可以配置多个账号信息,本节主要讲解下如何在内存中配置认证信息。 ...
SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录
Java知音
04-02 5370
一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还不太熟悉,可以参考:1、Springboot + Spring Security实现前后端分离登录认证及权...
springboot-actuator未授权
09-14
您好!对于未授权的springboot-actuator,您可以尝试以下解决方案: 1. 检查配置文件:确保您的应用程序的配置文件中已正确配置了安全认证。您可以在application.properties或application.yml文件中查找以下配置项: management.security.enabled=true 如果该配置项已启用,并且您仍然遇到未授权的问题,请继续尝试下一个解决方案。 2. 添加访问权限:您可以为actuator端点添加访问权限。在您的配置文件中添加以下配置来设置允许访问的角色: management.endpoints.web.exposure.include=* management.endpoint.health.roles=ACTUATOR_ADMIN 这将允许所有角色访问所有的actuator端点。您可以根据需要更改角色名称或将其限制为特定角色。 3. 自定义安全配置:如果默认的安全配置不适用于您的需求,您可以自定义Spring Security配置。创建一个类,继承自WebSecurityConfigurerAdapter,并重写configure方法。在该方法中,您可以定义自己的安全规则和访问规则。 例如,您可以创建一个类似于以下示例的配置: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/actuator/**").hasRole("ACTUATOR_ADMIN") .anyRequest().authenticated() .and() .httpBasic(); } } ``` 这将要求用户在访问actuator端点时进行身份验证,并且只有具有ACTUATOR_ADMIN角色的用户才能访问。 请注意,根据您的具体需求,您可能需要调整上述解决方案的细节。希望这些提示对您有帮助!如有更多问题,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

gh-xiaohe

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值