学习笔记:JavaEE开发的颠覆者SpringBoot实战(九)企业级开发(安全控制Spring Security)

最新推荐文章于 2023-03-16 10:55:15 发布
最新推荐文章于 2023-03-16 10:55:15 发布
阅读量155 收藏
点赞数
分类专栏: 07-Spring全家桶
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/java_shm/article/details/102706825
版权

安全控制Spring Security

1. Spring Security

Spring Security 是专门针对基于spring的项目的安全框架,充分利用了依赖注入和AOP来实现安全的功能。

安全框架有两个重要概念,即认证(Authentication)和授权(Authorization)。认证即确认用户可以访问当前系统;授权即确定用户在当前系统下所有的功能权限。

Spring Security为我们提供了一个多个过滤器来实现所有安全的功能,我们只需要注册一个特殊的DelegatingFilterProxy过滤器到WebApplicationInitalizer(抽象类:AbstractSecirotuWebApplicationInitalizer)即可。

2.依赖:

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
</dependency>

开启过滤支持:

public class MyInitializer extends AbstractSecirotuWebApplicationInitalizer
{

}

3. 配置:

@Configuration
@EnableWebSecurity
public class WebSecurtiyConfig extends WebSecurityConfigurerAdapter{

    @Autowired
    DataSource dataSource;
    
    @Bean
    UserDetailsService customUserService(){
        return new CustomUserService();
    }

    /**用户认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        /**1.内存中的用户*/
        auth.inMemoryAuthentication()
            .withUser("shm").password("123456").roles("ROLE_ADMIN")
            .and()
            .withUser("xxy").password("123456").roles("ROLE_ADMIN");

        /**2.JDBC中的用户*/
        auth.jdbcAuthentication().dataSource(dataSource)
            .usersByUsernameQuery("select username,password,true from myusers where username=?")
            .authoritiesByUsernameQuery()"select username,role from myusers where username=?";

          /**3.通用的用户*/
          auth.useDetailsService(customUserService());

    }

    
    @Override
    protected void configure(HttpSecurity http) throws Exception{
       /**4.请求授权
        *Spring Security使用以下匹配器来匹配路径
        *antMatchers: 使用Ant风格的路径匹配
        *regexMatchers: 使用正则表达式匹配路径
        *anyRequest: 匹配所有请求路径
        */
        http.authorizeRequests() //开始请求权限配置
            .antMatchers("/admin/**").hasRole("ROLE_ADMIN") //只有拥有ROLE_ADMIN角色的用户可以访问
            .antMatchers("/user/**").hasAnyRole("ROLE_ADMIN","ROLE_USER") //拥有ROLE_ADMIN,ROLE_USER角色的用户可以访问
            .anyRequest().authenticated(); //所有请求都需要认证后(登录后)才可访问

        
        /**5.定制登录行为*/
        http.formLogin()  //定制登录操作
            .loginPage("/login") //定制登录页面的访问地址
            .defaultSuccessUrl("index") //定制登录成功后转向的页面
            .failureUrl("/login?error") //指定登录失败后转向的页面
            .permitAll()
            .and()
            .rememberMe() //开启cookie存储用户信息
            .tokenValiditySeconds(12096000) //指定cookie有效期为1209600秒,即2个星期
            .key("myKey") //指定cookie中的私钥
            .and()
            .logout() //定制注销行为
            .logoutUrl("/custom-logout") //指定注销的URL路径
            .logoutSuccessUrl("/logout-success") //指定注销成功后转向的页面
            .permitAll();
    }

    @Override
    public void configure(WebSecurity web) throws Exception{
        super.configure(web);
    }

}

业务方法CustomUserService:

import org.springframework.security.core.userdetails.UserDetailsService

public class CustomUserService implements UserDetailsService{
    @Autowired
    SysUserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
        SysUser user = userRepository.findByUsername(username);
        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        return new User(user.getUsername(),user.getPassword,authorities)
    }


}

4. 安全处理方法

方法用途
access(String)Spring EL表达式结果为true时可以访问
anonymous()匿名可访问
denyAll()用户不能访问
fullyAuthenticated()用户完全认证可访问(非remember me下自动登录)
hasAnyAuthority(String...)如果用户有参数,则其中任一权限可访问
hasAnyRole(String...)如果用户有参数,则其中任一角色可访问
hasAuthority(String)如果用户有参数,则其权限可访问
hasIpAddress(String)如果用户来自参数中的IP则可访问
hasRole(String)若用户有参数中的角色可访问
permitAll()用户可任意访问
rememberMe()允许通过remember-me登录的用户访问
authenticated()用户登录后可访问

5.spring boot 支持

主要通过SecurityAutoConfiguration和SecurityProperties来完成配置。SecurityAutoConfiguration导入了SpringBootWebSecurityConfiguration中的配置,其自动配置如下:

  • 自动配置了一个内存用户,账号为user,密码在程序启动时出现
  • 忽略/css,/js,/images和/favicon.ico等静态文件的拦截
  • 自动配置的securityFilterChainRegistration的Bean

配置文件:

security.user.name=user #内存中的用户默认账号为user
security.user.password= #1默认用户的密码
security.user.role=USER #默认用户的角色
security.require-ssl=false #是否需要ssl支持
security.enable-csrf=false #是否开启“跨站请求伪造”支持,默认关闭
security.basic.enabled=true
security.basic.realm=Spring
security.basic.path= #/**
security.basic.authorize-mode=
security.filter-order=0
security.headers.xss=false
security.headers.cache=false
security.headers.frame=false
security.headers.content-type=false
security.headers.hsts=all
security.sessions=stateless
security.ignored= #用逗号隔开的无需拦截的路径

扩展配置:

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

}

 

 

三.

夜未眠shm
关注
专栏目录
spring-all:JavaEE开发颠覆者SpringBoot实战
05-13
Java EE开的颠覆者———Spring boot实战 【>>>SpringBoot<<<】 【11-SpringBoot——Spring MVC基础-常用注解>>>】 【12-SpringBoot——Spring MVC基础-常用配置>>>】 【13-SpringBoot——Spring MVC基础-...
JavaEE开发颠覆者SpringBoot实战
05-31
JavaEE开发颠覆者SpringBoot实战》这本书深入探讨了Spring Boot这一革命性的Java开发框架,它是JavaEE开发模式的重要革新。Spring Boot以其简洁、快速和开箱即用的特性,极大地简化了Java应用程序的搭建和配置...
JavaEE开发颠覆者SpringBoot实战摘要笔记
weixin_33969116的博客
03-25 294
2019独角兽企业重金招聘Python工程师标准>>> ...
Maven
huofuman960209的博客
09-12 3371
Apache Maven 是一个软件项目管理工具,项目所依赖的jar包将不在包含在项目内,集中放置在用户目录下的.m2文件夹下。 1.下载安装 下载地址https://maven.apache.org/download.cgi 下载后解压到你的安装目录即可,然后就是配置环境变量 与jdk配置类似,新建一个M2_HOME,内容为maven安装目录,再配置Path   测试安装是否...
学习笔记JavaEE开发颠覆者SpringBoot实战(一)spring基础
java_shm的专栏
08-17 341
资源信息都来自网络,本人只是记录作为个人笔记spring概述 1 spring的简史 第一阶段:xml配置;第二阶段:注解配置(2.x时代,jdk5);第三阶段:java配置(3.x开始) 2 spring概述 spring框架是一个轻量级的企业级开发的一站式解决方案。所谓解决方案就是可以基于spring解决java ee开发的所有问题。spring框架主要提供了Ioc容器,...
【编程不良人】SpringSecurity实战学习笔记01---权限管理、环境搭建
Mr.Cui的Java学习之路
07-04 4402
【编程不良人】SpringSecurity实战学习笔记01---权限管理、环境搭建
Spring Boot实战学习笔记4
bobshute的专栏
07-20 3656
title: Spring Boot实战学习笔记4 tags:Spring Boot实战 grammar_cjkRuby: true 摘要本文为学习Spring Boot实战学习笔记,学习了一遍,但是好记性不如烂笔头,所以文章记录下来。图书购买地址为: https://item.jd.com/11894632.html.Spring Boot实战学习笔记1Spring Boot实战学习
Spring security入门
chancygao的专栏
04-16 439
现在很多企业和开发团队都使用了SSH2(Struts 2 +Spring 2.5 +Hibernate)框架来进行开发,  我们或许已经习惯了强大的Spring Framework 全局配置管理,不可否认,Sping是一个很优秀的开源框架,但是由于Spring3.0版本后强大的的注解式bean的诞生,Spring MVC框架这匹黑马正悄然杀起,但今天Spring MVC不是主角,今天我和大家分享一
这才是真正的Spring全家桶:Spring+SpringData+MVC+Boot+Cloud
xingduan5153的博客
01-16 258
按照 Spring 官方最新的说法,Spring 是现代 Java 的起源。 不可否认,Spring 无论在 Java 生态系统,还是在就业市场,是绝对的王者。面试出镜率之高,投产规模之广,无出其右。随着技术的发展,Spring 从往日的 IoC 框架,已发展成 Cloud Native 基础设施,衍生出大量 Spring 技术栈,如大家熟知的 Spring Boot...
工作中使用到的单词(软件开发)_2023_0316备份
热门推荐
sun0322
03-16 1万+
目录■Java学习汇总■常用链接■2020/03/15 (最初整理 242个单词)2020 6/28 整理2020 6/29 整理2020 7/6 整理■2020 7/23 整理■2020/10/07 以降整理■2020/11/02 以降整理■2020/12/04 以降整理■2020/12/14以降整理■2021/01/01以降整理■2021/02/22以降整理■匿名内部类,lambda表达式,JDK7新特性,等等java相关■2021/03/18以降整理Linux系统性能 相关■其他各种单词,知识(l
JavaEE开发颠覆者SpringBoot实战完整清晰版PDF
11-17
JavaEE开发颠覆者SpringBoot实战完整清晰版》是一本深入探讨SpringBoot技术的教程,旨在帮助JavaWeb和JavaEE开发者快速掌握SpringBoot的核心概念和实战技巧。这本书的高清PDF版本提供了丰富的学习材料,其内容...
JavaEE开发颠覆者SpringBoot实战.zip
12-29
JavaEE开发颠覆者SpringBoot实战.zip
读书笔记JavaEE开发颠覆者 Spring Boot 实战 学习笔记已完结.zip
最新发布
07-19
读书笔记JavaEE开发颠覆者 Spring Boot 实战 学习笔记已完结
学习笔记JavaEE开发颠覆者SpringBoot实战(八)数据缓存
java_shm的专栏
10-22 610
1.spring缓存支持 spring定义了org.springframework.cache.CacheManager和org.springframework.cache.Cache接口用来同意不同的缓存技术。其中CacheManager是spring提供的各种缓存技术抽象接口,Cache接口包含缓存的各种操作 1.1 spring支持的CacheManager CacheManager ...
学习笔记JavaEE开发颠覆者SpringBoot实战企业级开发(Spring Integration)
java_shm的专栏
10-29 379
https://blog.csdn.net/qq_40929047/article/details/89569887 简介: Spring Integration能在基于Spring的应用中进行简单的消息通信,并通过简单的适配器与外部系统集成。 需求场景: 1、两个异构系统,系统A 是 Java 软件项目,数据库是Oracle,系统B 是 .net 软件项目,数据库是SQL...
学习笔记JavaEE开发颠覆者SpringBoot实战(五)spring boot基础
java_shm的专栏
08-31 328
一.概述 1.什么是spring boot 它使用“习惯优于配置”的理念让你的项目快速运行起来。使用它很容易创建一个独立运行,准生产级别的基于spring框架的项目,使用它可以不用或者只需很少的spring配置。 2.spring boot核心功能 独立运行的spring项目:可以以jar包独立运行,运行命令:java -jar xx.jar 内嵌servlet容器:可以选择内嵌tomc...
IDEA搭建Spring源码环境
java_shm的专栏
05-06 298
一.win10系统下 1.基础环境 jdk1.8+,git,idea,gradle 2.工作环境 2.1 Spring源码包 github地址:https://github.com/spring-projects/spring-framework 码云地址:https://gitee.com/MrZdp369/spring-framework 2.2 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值