spring boot 整合security权限登录

最新推荐文章于 2024-08-01 10:59:34 发布
最新推荐文章于 2024-08-01 10:59:34 发布
阅读量932 收藏
点赞数
分类专栏: 开发技术 java security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gm371200587/article/details/80137091
版权
java 同时被 3 个专栏收录
47 篇文章 0 订阅
订阅专栏
开发技术
26 篇文章 0 订阅
订阅专栏
security
4 篇文章 0 订阅
订阅专栏

原文参考:

http://wiki.jikexueyuan.com/project/spring-security/core-classes.html(组件介绍)

https://blog.csdn.net/code__code/article/details/53885510

https://blog.csdn.net/u012702547/article/details/54319508

在进行之前,首先要知道什么是 spring security 权限框架:

简介 ---- Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

优点 ----人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。

特别要指出的是他们不能在WAR 或 EAR 级别进行移植。

这样,如果更换服务器环境,就要,在新的目标环境进行大量的工作,对应用系统进行重新配置安全。

使用Spring Security 解决了这些问题,也提供很多有用的,完全可以指定的其他安全特性。

可能知道,安全包括两个主要操作。

第一个被称为“认证”,是为用户建立一个他所声明的主体。主体一般是指用户,设备或可以在系统中执行动作的其他系统。

第二个叫“授权”,指的是一个用户能否在应用中执行某个操作,在到达授权判断之前,身份的主体已经由身份验证过程建立。

这些概念是通用的,不是Spring Security特有的。

身份验证层面,Spring Security广泛支持各种身份验证模式,这些验证模型绝大多数都由第三方提供,或者正在开发的有关标准机构提供的,例如 Internet Engineering Task Force.

作为补充,Spring Security 也提供了自己的一套验证功能。

Spring Security 目前支持认证一体化如下认证技术:

HTTP BASIC authentication headers (一个基于IEFT RFC 的标准)

HTTP Digest authentication headers (一个基于IEFT RFC 的标准)

HTTP X.509 client certificate exchange (一个基于IEFT RFC 的标准)

LDAP (一个非常常见的跨平台认证需要做法,特别是在大环境)

Form-based authentication (提供简单用户接口的需求)

OpenID authentication

Computer Associates Siteminder

JA-SIG Central Authentication Service (CAS,这是一个流行的开源单点登录系统)

Transparent authentication context propagation for Remote Method Invocation and HttpInvoker (一个Spring远程调用协议)

 

进入正题

ssh可以参考:http://www.blogjava.net/SpartaYew/archive/2011/06/15/350630.html

springboot参考:

https://blog.csdn.net/u283056051/article/details/55803855

https://www.jianshu.com/p/e6655328b211

 

今天使用 spring boot 整合 spring security

使用环境:

项目中使用:

第一步:导入pom,只要加入security的pom,拦截就会生效

<!-- security 配置 -->

<dependency>

<groupId>org.springframework.boot</groupId>

<artifactId>spring-boot-starter-security</artifactId>

</dependency>

<dependency>

<groupId>org.springframework.security.oauth</groupId>

<artifactId>spring-security-oauth2</artifactId>

</dependency>

(这里只要有红色这个主要的就可以用)

 

第二步:配置核心文件WebSecurityConfig(java文件就可以,要加入@Configuration启动注解,并继承WebSecurityConfigurerAdapter)

package com.mozi.hip.empi.web.config;

 

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

 

 

 

@Configuration

@EnableWebSecurity

//@EnableGlobalMethodSecurity(prePostEnabled = true)//开启security注解

public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

@Autowired

private UserDetailsService userDetailsService;

 

@Autowired

LoginSuccessHandler loginSuccessHandler;

@Autowired

LoginFailureHandler loginFailureHandler;

 

@Override

protected void configure(HttpSecurity http) throws Exception {

http.csrf()

.disable()

.authorizeRequests()

//指定放开的路径,包括登录页面,样式路径,登录请求路径

.antMatchers("/login","/css/**","/images/**","/plugins/**","/scripts/**").permitAll()

//其他地址的访问均需验证权限

.anyRequest().authenticated()

.and()

.formLogin()

// 指定登陆页是login

.loginPage("/login")

.permitAll()

.successHandler(loginSuccessHandler)

.failureHandler(loginFailureHandler)

.and()

.logout()

.logoutUrl("/logout")

.logoutSuccessUrl("/login")

.permitAll()

.deleteCookies("remember-me")

// 数据库中必须存在名为persistence_logins的表

//.invalidateHttpSession(false)

.and()

// 登陆以后记住用户,下次自动登陆

.rememberMe()

// 两周有效

.tokenValiditySeconds(1209600);

// 指定登陆信息所使用的数据源

// .tokenRepository(tokenRepository);

}

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth)

throws Exception { //用户认证与密码认证

auth.userDetailsService(userDetailsService).passwordEncoder(

new BCryptPasswordEncoder());

auth.eraseCredentials(false);

}

}

上面我们用到了LoginSuccessHandler和LoginFailureHandler(自定义的)和粉色标注的自定义登录页面,这个页面要加入个启动类:

自定义跳转页面启动类MvcConfig:

package com.mozi.hip.empi.web.config;

 

import org.springframework.context.annotation.Configuration;

import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;

import org.springframework.web.servlet.config.annotation.WebMvcConfigurerAdapter;

 

@Configuration

public class MvcConfig extends WebMvcConfigurerAdapter{

@Override

public void addViewControllers(ViewControllerRegistry registry){

registry.addViewController("/login").setViewName("login");

}

}

LoginSuccessHandler:

package com.mozi.hip.empi.web.config;

 

import java.io.IOException;

 

 

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

 

import org.springframework.security.core.Authentication;

import org.springframework.security.core.context.SecurityContextHolder;

import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import org.springframework.stereotype.Component;

 

import com.mozi.hip.core.domain.HipUser;

import com.mozi.hip.empi.web.domain.CurrentUser;

 

@Component

public class LoginSuccessHandler implements AuthenticationSuccessHandler{

 

@Override

public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,

Authentication authentication) throws IOException, ServletException {

// 获取当前用户(domain接收)

CurrentUser user = (CurrentUser) SecurityContextHolder.getContext().getAuthentication().getPrincipal();

System.out.println(user.toString());

//转发到index页面

response.sendRedirect(request.getContextPath() +"/index");

}

 

}

LoginFailureHandler:

package com.mozi.hip.empi.web.config;

 

import java.io.IOException;

 

import javax.servlet.ServletException;

import javax.servlet.http.HttpServletRequest;

import javax.servlet.http.HttpServletResponse;

 

import org.springframework.security.core.AuthenticationException;

import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;

import org.springframework.stereotype.Component;

 

 

@Component

public class LoginFailureHandler extends SimpleUrlAuthenticationFailureHandler{

public LoginFailureHandler() {

this.setDefaultFailureUrl("/login");

}

@Override

public void onAuthenticationFailure(HttpServletRequest request,

HttpServletResponse response, AuthenticationException exception)

throws IOException, ServletException {

/*保存登录日志*/

//saveLoginLog(request);

super.onAuthenticationFailure(request, response, exception);

}

}

第三步:(关键的部分)上面的是拦截部分,下面的是认证部分

如果想要上面websecurity的绿色认证部分起作用,我们还需要自定义一个类UserDetailServiceImpl(名字随意),这个类要实现UserDetailsService

package com.mozi.hip.empi.web.service.impl;

 

import java.util.ArrayList;

import java.util.HashSet;

import java.util.List;

import java.util.Set;

 

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.SimpleGrantedAuthority;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Component;

 

import com.mozi.hip.core.domain.HipRole;

import com.mozi.hip.core.domain.HipUser;

import com.mozi.hip.core.domain.HipUserRole;

import com.mozi.hip.empi.web.domain.CurrentUser;

import com.mozi.hip.empi.web.service.HipUserRoleService;

import com.mozi.hip.empi.web.service.HipUserService;

 

@Component

public class UserDetailServiceImpl implements UserDetailsService {

 

@Autowired

private HipUserService hipUserService;

@Autowired

private HipUserRoleService hipUserRoleService;

 

@Override

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

// 根据用户名查询对象

HipUser user = hipUserService.findLoginName(username);

if (user == null) {

throw new UsernameNotFoundException("没有找到用户,用户登录名: " + username);

} else {

List<HipUserRole> userRoles = hipUserRoleService.findByUserId(user.getUserId());

List<GrantedAuthority> authorities = buildUserAuthority(userRoles);

return (UserDetails) new CurrentUser(user, authorities);

}

}

 

private List<GrantedAuthority> buildUserAuthority(List<HipUserRole> userRoles) {

Set<GrantedAuthority> auths = new HashSet<GrantedAuthority>();

for (int i = 0; i < userRoles.size(); i++) {

auths.add(new SimpleGrantedAuthority(userRoles.get(i).getUserRoleId().toString()));

}

List<GrantedAuthority> result = new ArrayList<GrantedAuthority>(auths);

return result;

}

 

}

这里绿色部分需要加入俩个东西:CurrentUser 和 CurrentUserControllerAdvice

 

 

 

 

 

 

 

 

 

CurrentUserControllerAdvice:

package com.mozi.hip.empi.web.controller.advice;

 

import org.springframework.security.core.Authentication;

import org.springframework.web.bind.annotation.ControllerAdvice;

import org.springframework.web.bind.annotation.ModelAttribute;

 

import com.mozi.hip.empi.web.domain.CurrentUser;

 

 

/**

*

* @Title: CurrentUserControllerAdvice.java

* @Package: com.hokai.hiip.web.controller.advice

* @Description: session中用户信息

* @author Zhaoyan

* @date 2016年9月27日

*/

@ControllerAdvice

public class CurrentUserControllerAdvice {

 

@ModelAttribute("currentUser")

public CurrentUser getCurrentUser(Authentication authentication) {

return (authentication == null) ? null : (CurrentUser) authentication

.getPrincipal();

}

}

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

CurrentUser :

package com.mozi.hip.empi.web.domain;

 

import java.util.List;

 

import org.springframework.security.core.GrantedAuthority;

 

import com.mozi.hip.core.domain.HipUser;

 

/**

* 当前用户返回到界面信息

* @author tianyp

* <p>2017年11月24日 下午4:05:30</p>

* @see org.springframework.security.core.GrantedAuthority

* @version 1.0

*/

public class CurrentUser extends

org.springframework.security.core.userdetails.User {

 

private static final long serialVersionUID = 1L;

 

private HipUser hipuser;

 

public CurrentUser(HipUser hipuser, List<GrantedAuthority> authorities) {

super(hipuser.getLoginName(), hipuser.getPwd(), authorities);

this.hipuser = hipuser;

}

 

public HipUser getUser() {

return hipuser;

}

 

public Integer getId() {

return hipuser.getUserId();

}

 

public boolean isEnabled() {

return Boolean.parseBoolean(String.valueOf(hipuser.getEnableFlag())) == false;

}

public boolean isAccountNonLocked() {

return Boolean.parseBoolean(hipuser.getLockedFlag()) == false;

}

public boolean isAccountNonExpired() {

return Boolean.parseBoolean(hipuser.getExpiredFlag()) == false;

}

/*

* public Role getRole() { return user.getRole(); }

*/

@Override

public String toString() {

return "CurrentUser{" + "user=" + hipuser + "} " + super.toString();

}

}

以上,关键部分均已完成,所做是根据用户角色控制

整个部分实现与controller和页面基本无关,无页面和控制层也可以实现,这里注意误区

欢乐的八爪鱼
关注
专栏目录
Spring Security Web应用入门环境搭建
叉叉哥的BLOG
09-06 4907
在使用Spring Security配置Web应用之前,首先要准备一个基于Maven的Spring框架创建的Web应用(Spring MVC不是必须的),本文的内容都是基于这个前提下的。pom.xml添加依赖:除了Spring框架本身的一些依赖包,还需要在pom.xml中添加Spring Security的依赖包: org.springframework.security spri
springboot整合security
u010334503的博客
09-28 436
1.创建项目 a.core使用热部署DevTools,使用Security 做安全验证 b.添加Web依赖 c.数据库使用MySQL,连接使用JDBC,操作使用MyBatis进行数据库操作 2.创建配置文件 a.直接输入地址自动跳转控制 package com.zxp.security.config; import org.springframework.context.annotation....
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
最新发布
weixin_43860634的博客
08-01 767
springboot系列教程(二十九):springboot整合Security框架,实现用户权限管理
SpringBoot整合SpringSecurity
燕双嘤
04-25 1723
为了提供安全的机制,Spring提供了其安全框架Spring Security,它是一个能够为基于Spring生态圈,提供安全访问控制解决方案的框架。它提供了一组可以在Spring应用上下文中配置的机制,充分利用了Spring的强大特性,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Springboot +spring security,方法权限注解
weixin_40991408的博客
05-27 2444
Springboot +spring security,方法权限注解
Spring Boot 整合Spring Security示例实现前后分离权限注解+JWT登录认证
Java精选
11-22 306
前言SpringSecurity是一个用于Java企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面。相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊。实际开发中还是要根据业务和项目的需求来决定使用哪一种。JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Boot整合JWT
10-16
**Spring Boot整合JWT详解** Spring Boot作为Java领域中流行的微服务框架,因其便捷的配置和快速的开发体验,被广大开发者所喜爱。而JWT(JSON Web Token)则是一种轻量级的身份验证机制,广泛用于现代Web应用的...
Spring Boot 结合 Security 实现用户登录权限控制
04-02
在本文中,我们将深入探讨如何使用Spring BootSpring Security整合,以实现在Web应用程序中的用户登录功能以及基于角色的权限控制。Spring Boot以其简洁的配置和开箱即用的特性,使得开发人员能够快速构建应用,而...
spring-boot-security-druid-mybatis:spring boot mybatis整合项目
05-17
【描述】中的"spring-boot-security-druid-mybatis"是该项目的核心组成部分,意味着这个项目不仅整合Spring Boot和MyBatis,还引入了Spring Security进行权限控制。Spring Security是一个功能强大的安全框架,可以...
Spring Boot 整合 Spring Data JPA、Spring Boot 整合 Spring Security
weixin_44152682的博客
05-09 297
Spring Boot 整合 Spring Data JPA Spring Data JPA 是 Spring Data ⼤家族的⼀员 JPA 和 Spring Data JPA 的关系 JPA (Java Persistence API)Java 持久层规范,定义了⼀系列 ORM 接口,它本身是不能直接使用,接口必须实现才能使用,Hibernate 框架就是⼀个实现了 JPA 规范的框架。 Spring Data JPA 是 Spring 框架提供的对 JPA 规范的抽象,通过约定的命名规范完成持久层接口
[后端开发] Spring boot Security开发安全的REST服务 视频教程 完整压缩包
01-19
[后端开发] Spring boot Security开发安全的REST服务 视频教程 系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者 我的CSDN博客地址: http://blog.csdn.net/mimica247706624/article/details/78617419
SpringBoot整合SpringSecurity示例实现前后分离权限注解和JWT登录认证
dongbeiou的专栏
07-10 434
一.说明 SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种. JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加密用户身份信息的Token,特别适用于分布式单点登陆的场景,无需在服务端保存用户的认证信息,而是直
Spring Boot添加Spring Security权限
u011277123的博客
03-22 3100
从很小就坏 2017-02-19 21:52 先参考《用Spring Boot搭建Web应用》搭建WEB项目,在WEB项目基础上按以下步骤操作 整合Spring Security添加依赖 在pom.xml中添加配置 Spring Security配置 通过@EnableWebSecurity注解开启Spring Security的功能 继承WebSe
Springboot整合摘要式(Digest)身份认证
u013327224的博客
07-08 3921
百度下来关于springboot整合摘要式省份认证的帖子基本都是说原理的,很少有直接的demo,前些天找到了一个博主写的demo,但是我只是截图了忘记了博主的地址很抱歉了。 下面直接上代码截图: 1:项目目录结构:只需要有框出来的三个文件,其他的不用就可以把摘要式认证抱起来 2:WebSecurity内容(加密方式自行修改,用户名和密码自行修改): 3:控制器的接口自己随便写一个测试就可以了; 4:程序启动后用浏览器访问借口是会弹出来要求填写用户名密码如下图:输入用户名:...
spring boot依靠security实现digest认证demo
zhanwuguo8346的博客
10-13 1078
概述 HTTP 摘要认证使用对通信双方都可知的口令进行校验,最终的传输数据并非明文形式。HTTP 摘要基本认证意在解决 HTTP 基本认证存在的大部分严重漏洞,但不应将其认为是Web安全的最终解决方案。 参数 HTTP摘要认证的回应与HTTP基本认证相比要复杂得多,下面看看HTTP摘要认证中涉及的一些参数: ◎ username:用户名。 ◎ password:用户密码。 ◎ realm:认证域,由服务器返回。 ◎ opaque:透传字符串,客户端应原样返回。 ◎ method:请求的方法。 ◎ nonce
浏览器-基本认证(Basic Authentication)-摘要认证(digest authentication)=spring boot实现demo
privateobject的博客
10-09 2733
> 平时开发的 java web 网站登录,都是通过表单提交登录信息。有时一些中间件登录是浏览器弹窗,没有看到表单实现代码。故通过查询,发现两种 HTTP 简单认证: 基本认证( Basic Authentication )、摘要认证( digest authentication )等,本次通过 java实现 spring boot 基本和摘要认证。
SpringSecurity教程】认证 2.Digest摘要认证
热门推荐
terrybg
06-10 1万+
Digest(摘要) 认证是在请求接口之前要输入账号密码,是在Basic认证传输账号密码的基础上加密pom.xml 启动类 控制层 Digest 摘要认证基本配置类 测试 浏览器访问:http://localhost:8080/test输入用户名:terry,密码:terry123,即可访问接口。与Basic认证不同的是,Digest认证请求头中的数据复杂的多。...
关于Nginx反向代理VUE2后SpringSecurity认证失败问题解决
slrhs的博客
12-05 966
关于Nginx反向代理VUE2后SpringSecurity认证失败问题解决
Spring Boot整合Spring Security实战教程
"本文将介绍如何在Spring Boot项目中整合并配置Spring Security,提供用户身份认证、登录退出、密码加密及验证、以及使用数据库实现remember-me功能。实例中使用了Spring BootSpring MVC、Spring SecuritySpring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值