vue springboot 人力系统——002 spring security

最新推荐文章于 2023-12-21 11:44:54 发布
最新推荐文章于 2023-12-21 11:44:54 发布
阅读量259 收藏 1
点赞数
分类专栏: springsecurity 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/helloWorldAndYou/article/details/105613785
版权

文章目录


项目来源GIT

1. Security 登录验证

自带案例均继承与 GenericFilterBean

Class作用
ConcurrentSessionFilter并发会话处理包所需的过滤器
AnonymousAuthenticationFilter检测SecurityContextHolder中有没有Authentication对象,并在需要时填充一个。 详细说明 ——AnonymousAuthenticationFilter如何初始化
FilterChainProxy存放过滤器链
SecurityContextHolderAwareRequestFilter包装器,针对ServletRequest进行一次包装,使得request具有更加丰富的API
SecurityContextPersistenceFilter在请求之前讲网站获取到的信息填充到SecurityContextHolder一旦请求完成并清除上下文持有者。换句话说,SecurityContextPersistenceFilter是承接容器的session与spring security的重要filter,主要工作是从session中获取SecurityContext,然后放到上下文中,之后的filter大多依赖这个来获取登录态。其主要是通过HttpSessionSecurityContextRepository来存取的。更详细的说明
ExceptionTranslationFilter提供了Java异常与HTTP响应。它只与维护用户界面有关。这个过滤器不执行任何实际的安全性强制措施更多介绍
DigestAuthenticationFilter处理HTTP请求的摘要授权标头,然后将结果放入SecurityContextHolder
RequestCacheAwareFilter如果一个请求被缓存并且与请求中的请求匹配,则负责重构保存的请求, 提取请求缓存中缓存的请求1、请求缓存在安全机制启动时指定2、请求写入缓存在其他地方完成3、典型应用场景a 用户请求保护的页面, b 系统引导用户完成登录认证, c 然后自动跳转到到用户最初请求页面。更多请求缓存介绍
UsernamePasswordAuthenticationFilter检测用户名/密码表单登录认证请求并作相应认证处理: 1、session管理,比如为新登录用户创建新session(session fixation防护)和设置新的csrf token等2、经过完全认证的Authentication对象设置到SecurityContextHolder中的SecurityContext上;3、发布登录认证成功事件InteractiveAuthenticationSuccessEvent4、登录认证成功时的Remember Me处理5、登录认证成功时的页面跳转
DefaultLoginPageGeneratingFilter配置开发使用的登录页面,更多介绍
SessionManagementFilter该过滤器会检测从当前请求处理开始到目前为止的过程中是否发生了用户登录认证行为(比如这是一个用户名/密码表单提交的请求处理过程),如果检测到这一情况,执行相应的session认证策略(一个SessionAuthenticationStrategy),然后继续继续请求的处理。更多介绍源码注解
LogoutFilter检测用户退出登录请求并做相应退出登录处理
RememberMeAuthenticationFilter针对Remember Me登录认证机制的处理逻辑,记住我
ChannelProcessingFilterChannelProcessingFilter决定的是web请求的通道,即必须是http或https或无要求
DefaultLoginPageGeneratingFilter生成缺省的登录页面
RequestAttributeAuthenticationFilter一个简单的预认证过滤器,该过滤器从请求属性中获取用户名,用于SSO(单点登录)系统(例如 Stanford WebAuth或 Shibboleth)。与大多数预身份验证的方案一样,必须正确设置外部身份验证系统,因为此过滤器不进行任何身份验证。该属性principalEnvironmentVariable是包含用户名的请求属性的名称。为了与WebAuth和Shibboleth兼容,默认为“ REMOTE_USER”。如果请求中缺少环境变量, getPreAuthenticatedPrincipal将引发异常。您可以通过设置exceptionIfVariableMissing属性来覆盖此行为。
更多介绍点击前往
//        代码有些重复,将UsernamePasswordAuthenticationFilter中attemptAuthentication方法代码拷贝到此处,没必要
//        支持多种Content-Type的类型请求
        if (request.getContentType().contains(MediaType.APPLICATION_JSON_VALUE)
                || request.getContentType().contains(MediaType.APPLICATION_JSON_UTF8_VALUE)) {
            Map<String, String> loginData = new HashMap<>();
            try {
                loginData = new ObjectMapper().readValue(request.getInputStream(), Map.class);
            } catch (IOException e) {
            }finally {
                String code = loginData.get("code");
                checkCode(response, code, verify_code);
            }
            String username = loginData.get(getUsernameParameter());
            String password = loginData.get(getPasswordParameter());
//            拷贝代码
            if (username == null) {
                username = "";
            }
            if (password == null) {
                password = "";
            }
            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                    username, password);
            setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        } else {
            checkCode(response, request.getParameter("code"), verify_code);
            return super.attemptAuthentication(request, response);
        }
    }
2. SecurityMetadataSource 加载资源的权限

filter 给url准备的(url权限)
method 给方法准备的(方法权限)
SecurityMetadataSource 类关系图
项目作者自定义
CustomFilterInvocationSecurityMetadataSource
implements
FilterInvocationSecurityMetadataSource
加载 能够访问该url的所有角色

//    @Autowired
//    MenuService menuService;
    private MenuService menuService;
    @Autowired
    public void setMenuService (MenuService menuService) {
        this.menuService = menuService;
    }
//    spring 提供的 url匹配工具
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        List<Menu> menus = menuService.getAllMenusWithRole();// 数据库查询菜单角色数据
//      遍历菜单
        for (Menu menu : menus) {
//          找到和requestUrl 匹配的url
            if (antPathMatcher.match(menu.getUrl(), requestUrl)) {
//          找到所匹配url所对应的角色
                List<Role> roles = menu.getRoles();
                String[] str = new String[roles.size()];
                for (int i = 0; i < roles.size(); i++) {
                    str[i] = roles.get(i).getName();
                }
//              包装成 List<ConfigAttribute> 返回
                return SecurityConfig.createList(str);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }

使用@Autowired注解警告Field injection is not recommended
AntPathMatcher API
AntPathMatcher的注意事项

3. 权限决策 AccessDecisionManager

【登录后】在前端调用后台API时,判断当前用户的角色是否 === 访问的URL所需的角色

@Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        for (ConfigAttribute configAttribute : configAttributes) {
            String needRole = configAttribute.getAttribute();//获得当前登录用户的角色名
            if ("ROLE_LOGIN".equals(needRole)) { // ROLE_LOGIN 这个角色 可以匿名登录
                if (authentication instanceof AnonymousAuthenticationToken) {
                    throw new AccessDeniedException("尚未登录,请登录!");
                }else {
                    return;
                }
            }
//      遍历权限资源,判断角色是否匹配
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足,请联系管理员!");
    }
4. security 自定义配置 SecurityConfigurer

配置 自定义的userDetailService、SecurityMetadataSource 、AccessDecisionManager等等

  • 支持的配置总览
    secrurity 配置
  • http 配置总览
    security 支持的http 配置总览

其它有详细注释的博客 ← 点击前往
spring cecurity crsf 跨域保护← 点击前往

//    配置自定义的userDetailService
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(hrService);
    }

//    常用于配置可匿名访问的url,如静态资源
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**", "/index.html", "/img/**", "/fonts/**", "/favicon.ico", "/verifyCode");
    }
@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()// 开始请求权限配置
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    //  配置自定义AccessDecisionManager 、SecurityMetadataSource
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setAccessDecisionManager(customUrlDecisionManager);
                        object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource);
                        return object;
                    }
                })
                .and() // 标识下一个配置开始
                .logout()
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest req, HttpServletResponse resp, Authentication authentication) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        PrintWriter out = resp.getWriter();
                        out.write(new ObjectMapper().writeValueAsString(RespBean.ok("注销成功!")));
                        out.flush();
                        out.close();
                    }
                })
                .permitAll()
                .and()
                .csrf().disable().exceptionHandling() // 关闭跨域保护
                //没有认证时,在这里处理结果,不要重定向
                .authenticationEntryPoint(new AuthenticationEntryPoint() {
                    @Override
                    public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException authException) throws IOException, ServletException {
                        resp.setContentType("application/json;charset=utf-8");
                        resp.setStatus(401);
                        PrintWriter out = resp.getWriter();
                        RespBean respBean = RespBean.error("访问失败!");
                        if (authException instanceof InsufficientAuthenticationException) {
                            respBean.setMsg("请求失败,请联系管理员!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(respBean));
                        out.flush();
                        out.close();
                    }
                });
//        注册自定义的loginFilter
        http.addFilterAt(loginFilter(), UsernamePasswordAuthenticationFilter.class);
    }
helloWorldAndYou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot整合securityvue
2010yhh
05-07 1万+
springboot整合securityvue 文章目录springboot整合securityvue1.security参考资料2.springboot整合security要点2.1获取登录用户信息2.2自定义登入登出url2.3自定义Handler返回json2.4记住我功能2.5验证码功能2.6限制登录次数2.7密码加密2.8后台提供接口,返回前端json,整合vue做前端登入登出3.测...
基于ssm+vue公司人力资源管理系统.zip
04-02
SSM是Java Web开发中常用的三大组件——SpringSpringMVC和MyBatis的组合。Spring作为基础框架,提供依赖注入(DI)和面向切面编程(AOP),使得代码更加灵活和可测试;SpringMVC处理HTTP请求,负责业务逻辑和视图...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
主要介绍了Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制的相关知识,本文通过实例代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
spring security+vue实现权限管理(授权登录)
热门推荐
qq_36573702的博客
07-01 1万+
1.Security核心类介绍 1.AuthenticationManager 在security中最核心之一就是这个AuthenticationManager, AuthenticationManager是一个用来处理认证(Authentication)请求的接口。在其中只定义了一个方法authenticate(),该方法只接收一个代表认证请求的Authentication对象作为参数,如果认证成功,则会返回一个封装了当前用户权限等信息的Authentication对象进行返回。 2.Provide
springboot+vue+springsecurity
m0_45209551的博客
05-23 1000
27、excel数据导出 1.vhr-framework.pom.xml <dependency> <groupId>com.alibaba</groupId> <artifactId>easyexcel</artifactId> <version>3.1.0</version> </dependency&gt
Springboot+vue人力资源管理系统(有报告) Javaee项目,springboot vue前后端分离项目
04-20
本项目——"SpringBoot+Vue人力资源管理系统",充分体现了这两者结合的优势,实现了前后端分离的模式,提供了一个完整的商业资料范例,适用于学习、研究和实际应用。 SpringBoot是基于Spring框架的轻量级开发工具...
Springboot+vue的企业员工薪酬关系系统(有报告) Javaee项目,springboot vue前后端分离项目
最新发布
04-20
本项目——"SpringBoot+Vue的企业员工薪酬关系系统",正是基于这两个技术栈实现的一个完整解决方案,旨在提升企业薪酬管理的自动化和智能化水平。 一、SpringBoot简介与应用 SpringBoot是由Pivotal团队开发的Java...
基于Java+Springboot+Vue的人事管理系统(源码+数据库.zip
03-05
本项目——“基于Java+Springboot+Vue的人事管理系统”正是这样一个结合了前沿技术的实例,旨在实现高效、智能化的人力资源管理。下面我们将详细探讨该项目的核心技术和实施要点。 首先,Java作为企业级应用开发的...
大学毕业设计(Web系统),基于springboot+mysql的企业人力资源管理系统.zip
12-24
本项目——“大学毕业设计(Web系统),基于SpringBoot+MySQL的企业人力资源管理系统”是一个典型的实践案例,适用于毕业设计、课程设计以及自我提升的学习项目。下面将对该项目的核心知识点进行深入解析。 一、...
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题
10-12
转载他人 https://blog.csdn.net/u012702547/article/details/79010010 https://blog.csdn.net/u012702547/article/details/79019510
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
此项目是采用springbootspringSecurity开发的人事管理系统,前端采用vue,是一个前后端分离的项目
vue+element+springboot+shiro权限控制
12-07
vue+element+springboot+shiro权限控制,mysql数据库 登录帐号/密码 admin:111111
基于SpringBoot2+Jpa+SpringSecurity+redis+Vue的前后端分离系统
03-10
系统功能模块 用户管理 提供用户的相关配置 角色管理 角色菜单分配权限 权限管理 权限细化到接口 菜单管理 已实现动态路由,后端可配置化 系统日志 记录用户访问监控异常信息 系统缓存管理 将redis的操作可视化,提供对redis的基本操作 Sql监控 采用 druid 监控数据库访问性能 技术栈 基础框架:Spring Boot 2.1.0.RELEASE 持久层框架:Spring boot Jpa 安全框架:Spring Security 缓存框架:Redis 日志打印:logback+log4jdbc 接口文档 swagger2 其他:fastjson,aop,MapStruct等。 页面框架:Vue 前端源码:eladmin-qt 后端源码:eladmin
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题的解决方法
08-28
主要介绍了SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题,需要的朋友可以参考下
springboot+vue项目(十三)】 整合Spring Security
shanglin1122的博客
07-19 454
Spring Security 14.2 JWT
Java 之SpringBoot+SpringSecurity+Vue实现后台管理系统的开发【一、前端】
程序员猫爪
05-24 7097
一、前端项目搭建 1、项目初始化 安装 vue可视化 npm install --g vue-cli 打开vue的的可视化管理工具页面 vue ui 访问该地址: 访问成功 使用Hbuilder打开项目 2、实现相关依赖的安装 安装 element-ui yarn add element-ui 安装成功 引入element-ui import Vue from 'vue' import App from './App.vue' import router from './r
Java 之SpringBoot+SpringSecurity+Vue实现后台管理系统的开发【二、后端】
程序员猫爪
06-26 3576
从零开始搭建一个项目骨架,最好选择合适熟悉的技术,并且在未来易拓展,适合微服务化体系等。所以一般以Springboot作为我们的框架基础,这是离不开的了。然后数据层,我们常用的是Mybatis,易上手,方便维护。但是单表操作比较困难,特别是添加字段或减少字段的时候,比较繁琐,所以这里我推荐使用Mybatis Plus(https://mp.baomidou.com/),为简化开发而生,只需简单配置,即可快速进行CRUD操作,从而节省大量时间。SpringSecurity,使用security作为我们的权限控
SpringSecurity-Vue前后端分离(超详细讲解)
2301_77112535的博客
12-21 1128
Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。
vue springboot spring security jwt element-ui mybatisplus vue-element-admin
10-20
Spring Security是一个用于安全认证和授权的框架,它提供了很多安全相关的特性,例如用户认证、访问控制、密码加密等,可以帮助我们构建安全可靠的应用程序。 JWT(JSON Web Token)是一种用于在网络中传输信息的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值