springoboot与springsecurity整合基础篇

最新推荐文章于 2024-05-09 14:34:12 发布
最新推荐文章于 2024-05-09 14:34:12 发布
阅读量145 收藏
点赞数
分类专栏: springSecurity 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/he_lei/article/details/115482297
版权

本章节基础入门篇

话不多说开干

  1. 首先引入springsecurity的pom
         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
  1. 首先你要创建SecurityConfig(名可随便取) 继承 WebSecurityConfigurerAdapter类,重写三个configure方法
    WebSecurityConfigurerAdapter是适配器类,在配置的时候需要我们自己写配置类去继承他,然后编写自己所特殊需要的配置
import com.helei.security.MyAccessDeniedHandler;
import com.helei.security.MyAuthenticationEntryPoint;
import com.helei.security.MyAuthenticationFailureHandler;
import com.helei.security.MyAuthenticationSuccessHandler;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

import javax.annotation.Resource;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class SecurityJwtConfig extends WebSecurityConfigurerAdapter {

    //成功返回
    @Resource
    MyAuthenticationSuccessHandler myAuthenticationSuccessHandler;
    
    //失败返回控制器
    @Resource
    MyAuthenticationFailureHandler myAuthenticationFailureHandler;
    
    //未登录时
    @Resource
    MyAuthenticationEntryPoint myAuthenticationEntryPoint;
    
    //权限不足时
    @Resource
    MyAccessDeniedHandler myAccessDeniedHandler;
    
    //密码编码器
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Resource
    private PasswordEncoder passwordEncoder;
    
    @Resource
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable().authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers("/test/a").permitAll()
                .anyRequest().authenticated()
                //授权
                .and()
                .formLogin()
                .loginProcessingUrl("/login")
                .usernameParameter("name")
                .passwordParameter("pass")
                //登录成功
                .successHandler(myAuthenticationSuccessHandler)
                //登录失败
                .failureHandler(myAuthenticationFailureHandler)
                .and()
                .exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler)
                .authenticationEntryPoint(myAuthenticationEntryPoint);
        http.csrf().disable();
    }

    /**
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }
}
  1. 首先看PasswordEncoder 如果不需要加密可用NoOpPasswordEncoder(),但是一般数据库存的都是加密密码所以一般用BCryptPasswordEncoder()
 //密码编码器
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.cors().and().csrf().disable().authorizeRequests()
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                .antMatchers("/test/a").permitAll()
                .anyRequest().authenticated()
                //授权
                .and()
                .formLogin()
                .loginProcessingUrl("/login")
                .usernameParameter("name")
                .passwordParameter("pass")
                //登录成功
                .successHandler(myAuthenticationSuccessHandler)
                //登录失败
                .failureHandler(myAuthenticationFailureHandler)
                .and()
                .exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler)
                .authenticationEntryPoint(myAuthenticationEntryPoint);
        http.csrf().disable();
    }
  1. 我们来看看这个configure,它可以配置一下放行url,权限,异常等
    antMatchers(" ").permitAll().anyRequest().authenticated()配置的路径可放行,其他需要验证
    .formLogin()可配置登录路径
    .usernameParameter() 配置登录账号参数
    .passwordParameter() 配置登录密码参数
    上面的配置说明登录路径为http://localhost/login?name=&pass=
    如果不配置usernameParameter()passwordParameter(),默认是usernamepassword
    关键地方来了,如果你是前后一起的那么用 成功.successForwardUrl(“”)跳转登录成功后路径,失败同理 .failureForwardUrl(),一般都是前后分离,所以不这里不细讲
    前后分离项目我们登录成功或者失败都需要返回json给前端所以我们需要自定义返回的值

登录成功是由AuthenticationSuccessHandler进行处理结果的

//处理登录成功返回
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.setStatus(HttpServletResponse.SC_OK);
        PrintWriter out = response.getWriter();
        out.write(new ObjectMapper().writeValueAsString(Resp.getNew().success("登录成功")));
        out.flush();
        out.close();
    }
}

失败处理控制器

//失败处理控制器
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.setStatus(HttpServletResponse.SC_OK);
        PrintWriter out = response.getWriter();
        if (exception instanceof AccountExpiredException) {
            //账号过期
            out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("账号过期")));
        } else if (exception instanceof BadCredentialsException) {
            //密码错误
            out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("密码错误")));
        } else if (exception instanceof CredentialsExpiredException) {
            //密码过期
            out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("密码过期")));
        } else if (exception instanceof DisabledException) {
            //账户不可用
            out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("账户不可用")));
        } else if (exception instanceof LockedException) {
            //账户锁定
            out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("账户锁定")));
        } else if (exception instanceof InternalAuthenticationServiceException) {
            //用户不存在
            out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("用户不存在")));
        } else {
            out.write(new ObjectMapper().writeValueAsString(Resp.getNew().fail("其他错误")));
        }
        out.flush();
        out.close();
    }
}

没有登录访问

/**
 * 未登录访问无权限资源时异常
 */
@Component
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.setStatus(HttpServletResponse.SC_OK);
        PrintWriter out = response.getWriter();
        out.write(new ObjectMapper().writeValueAsString(Resp.getNew().success("未登录")));
        out.flush();
        out.close();
    }
}

权限不足

/**
 * 权限不足异常
 */
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.setStatus(HttpServletResponse.SC_OK);
        PrintWriter out = response.getWriter();
        out.write(new ObjectMapper().writeValueAsString(Resp.getNew().success("权限不足")));
        out.flush();
        out.close();
    }
}

我们需要从数据库读取账户密码,所以实现UserDetailsService,这里role现在定死了,有需要可从数据库查询

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
    @Resource
    SecurityUserMapper securityUserMapper;

    //根据 账号查询用户信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //将来连接数据库根据账号查询用户信息
        //暂时采用模拟数据
        // UserDetails build = User.withUsername("admin").password("123").authorities("a").build();

        //数据库查询
        SecurityUserEntity securityUserEntity = securityUserMapper.selectOne(new QueryWrapper<SecurityUserEntity>()
                .eq("name", username));
        String role = "update,a";
        String[] roles = role.split(",");
        Collection<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (String s : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_"+s));
        }
        // UserDetails build = User.withUsername(username).password(securityUserEntity.getPassword()).roles("a").build();
        return new User(username, securityUserEntity.getPassword(), authorities);

    }

}

如要用到注解权限需加上

@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)

securedEnabled 开启 @Secured
prePostEnabled 开启@PreAuthorize

实例

@RestController
@RequestMapping("test")
public class AppUserController {

    @GetMapping("/a")
    public String index(){
        return "security jwt";
    }

    @PostMapping("/role")
    @PreAuthorize("hasAnyAuthority('ROLE_a')")
    public String roleInfo(){
        return "需要获得ROLE_a权限,才可以访问";
    }


   // @PreAuthorize("hasAnyAuthority('kdream')")
    @PostMapping("/roles")
    @Secured("ROLE_a")
    public String rolekdream(){
        UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        System.out.println(new Gson().toJson(userDetails));
        return "需要获得kdream权限,才可以访问";
    }
}

下章中级篇https://blog.csdn.net/he_lei/article/details/115599592

cxyhl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合SpringSecurity超详细入门教程
2401_83916435的博客
03-31 935
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
SpringSecurity整合Jwt过程图解
08-25
通过将SpringSecurity与Jwt集成,我们可以实现更加安全、灵活的身份验证机制。 一、创建项目并导入依赖 要想使用SpringSecurity和Jwt,我们需要创建一个新的Spring Boot项目,并导入相关依赖项。这些依赖项包括...
spring security 整合
a286352250的博客
11-08 1248
【涉及文件】 ExceptionHandleServlet.java    --- 异常信息处理 MyDaoAuthenticationProvider.java  -- 验证入口,验证完后记录账户信息 SecurityServiceImpl .java          -- 自定义 User 获取类 securityContext.xml           -- Spring 配置文
SpringBoot整合SpringSecurity+JWT实现web应用中的认证和授权
最新发布
weixin_61779644的博客
05-09 1160
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更 丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
整合Spring Security
Leon_Jinhai_Sun的博客
01-22 504
很多人不懂spring security,觉得这个框架比shiro要难,的确,security更加复杂一点,同时功能也更加强大,我们首先来看一下security的原理 上面这张图一定要好好看,特别清晰,毕竟security是责任链的设计模式,是一堆过滤器链的组合,如果对于这个流程都不清楚,那么你就谈不上理解security。那么针对我们现在的这个系统,我们可以自己设计一个security的认证方案 流程说明: 客户端发起一个请求,进入 Security 过滤器链。 当到 LogoutFilt
Spring Boot 中集成 Spring Security
啦啦啦啦 la
11-12 5600
> Spring Boot 集成 Spring Security的简单应用,从数据库读取数据校验用户,页面使用Thymeleaf模板项目地址 https://github.com/helloworlde/SpringSecurity演示创建 Spring Boot 应用添加依赖 compile('org.springframework.boot:spring-boot-starter-secu
spring security 的大整合
Java_lilin的专栏
01-12 962
写了所有的配置详细 但是不能解决多登陆的问题 下面给出解决方案 (只有spring security的 ssh的太多) web.xml  xmlns="http://java.sun.com/xml/ns/javaee"  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  xsi:schemaLocation=
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
总的来说,将Spring Cloud Gateway与Spring Security相结合,可以构建出一套高效、安全的微服务认证系统,提高整体系统的稳定性和用户体验。这种整合不仅简化了微服务之间的交互,还增强了系统的安全性,是现代...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问...希望这文章能帮助你更好地理解和应用Spring Security与OAuth2的集成。
Spring Security整合CAS的示例代码
08-27
在本文中,我们将探讨如何将Spring Security与中央认证服务(CAS)进行整合,以实现单点登录(SSO)功能。首先,我们注意到没有使用Spring Security提供的`spring-security-cas`模块,这可能是因为原生的jasig cas包...
详解springSecurity之java配置
08-18
Spring Security 之 Java 配置 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
Spring Security 4 Hibernate整合 注解和xml例子(带源码)
明明如月的技术博客
05-05 6203
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 【剩余文章,将尽快翻译完毕,敬请期待。 翻译by 明明如月 QQ 605283073】 原文地址: http://websystique.com/spring-security/spring-security-4-hibernate-annotation-example/ 本教程通过注解和x
Spring Boot [集成-Spring Security]-(登录校验方式)
言午玉口才
03-27 858
1、spring security认证过程:Spring Security认证是由 AuthenticationManager 来管理的,但是真正进行认证的是 AuthenticationManager 中定义的 AuthenticationProvider。AuthenticationManager 中可以定义有多个 AuthenticationProvider。当我们使用 authentica...
SpringBoot整合Spring-Security 认证(保姆级教程)
java小白翻身
12-26 691
🌹⭐🌹⭐🌹🌹⭐🌹。
Java集合知识点,吃透这一份腾讯T4大牛总结的笔记就够了(1)
2401_84002271的博客
04-29 364
纯手打笔记Map集合HashMapTreeMapSetJava集合面试题。
springBoot(七)整合整合spring Security理解
CoffeeAndIce的博客
12-04 694
权限部分是一个后台系统必备的部分,之前spring的操作,我基本是利用shiro配置整合,也有尝试其他的权限框架,自己也写过自己的权限部分,主要是利用拦截器和http的组合操作达成权限控制的效果。那么话不多说,现在是讲讲springBoot的部分,最近用到了springboot整合权限框架部分的内容,
SpringSecurity整合SSH的简单例子
求关注
04-28 2944
SpringSecurity整合SSH的简单例子SpringSecurity也研究好几天了,了解了一些简单实用的功能,来做个记录,方便自己回顾,方便大家借鉴。
springboot整合springSecurity使用
m0_46212244的博客
09-03 94
1.导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.代码演示 package com.zte.mds.web.config.security; import org.springframework.security.
springobootspringsecurity整合中级
点点滴滴
04-11 109
根据上一章继续扩展,jwt来前后分离 引入pom <!--生成token--> <dependency> <groupId>com.auth0</groupId> <artifactId>java-jwt</artifactId> <version>3.2.0</version> </dependency> <depend
OAuth2.0与SpringSecurity整合详解
"SpringSecurity_day04.pdf" Spring Security是一个强大的且高度可定制的身份验证和访问控制框架,用于保护Java应用程序。在本资料中,我们关注的是Spring Security与OAuth2.0的集成,OAuth2.0是一种广泛采用的授权...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值