SpringBoot 2.x 集成SpringSecurity(一)之用户认证

最新推荐文章于 2021-03-25 11:16:41 发布
最新推荐文章于 2021-03-25 11:16:41 发布
阅读量366 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jefry52/article/details/106033601
版权

一、快速入门

1、pom文件引用SpringSecurity、Lombok依赖,其中Lombok方便快速开发,具体使用方法自行google

<dependency>
    <groupId>org.projectlombok</groupId>
    <artifactId>lombok</artifactId>
    <optional>true</optional>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、创建controller,com.jefry.security.controller.HelloController

import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@Slf4j
@RestController
public class hello {

    @GetMapping("/demo")
    public String demo() {
        return "Demo";
    }
}

3、运行项目,使用浏览器访问127.0.0.1:8080/demo,提示需要输入账号密码;

在这里插入图片描述

账号:user,密码在运行日志里可以看到,每次运行都会变化:

Using generated security password: 66b0dd4f-d61f-46ac-b644-d389a55629ea

输入账号密码,登录成功:
在这里插入图片描述

若运行没有提示登录,检查下spring security依赖是否已经导入成功,IDEA可以在pom.xml文件右击->maven->reimport。

4、默认会开启http base认证与from表单认证,我们修改为http base可以这么做。

新建com.jefry.security.config包,在此包下新增WebSecurityConfig继承WebSecurityConfigurerAdapter,代码如下:

package com.jefry.security.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .httpBasic()
                .and()
                .authorizeRequests()
                .anyRequest()
                .authenticated();
    }
}

5、运行后会提示需要http base认证。
在这里插入图片描述

二、修改登录验证界面:

1、新增login.html文件,放在resources/static目录下面,代码如下:

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<form class="login-page" action="/login" method="post">
    <div class="form">
        <h3>账户登录</h3>
        <input type="text" placeholder="用户名" name="username" required="required" />
        <input type="password" placeholder="密码" name="password" required="required" />
        <button type="submit">登录</button>
    </div>
</form>
</body>
</html>

2、修改WebSecurityConfig文件,代码如下:

package com.jefry.security.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .formLogin()
                .loginPage("/login.html") //登录界面
                .loginProcessingUrl("/login") //登录认证地址,需与from表的action保持一致
                .and()
                .authorizeRequests()
                .antMatchers("/login.html").permitAll() //不需登录可以访问的地址
                .anyRequest()
                .authenticated();
    }
}

3、再次访问http://127.0.0.1:8080/demo,会跳转到http://127.0.0.1:8080/login.html,正是配置的.loginPage("/login.html") ,此时界面变成修改后的了。

在这里插入图片描述

4、输入账号密码,账号密码还是上面的获取方式,会自动跳转到http://127.0.0.1:8080/demo。

在这里插入图片描述

三、修改验证密码:

1、新增com.jefry.security.service包,并新增UserDetailService类,代码如下:

package com.jefry.security.service;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

@Component
@Slf4j
public class UserDetailService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("登录账号:{}",username);
        return new User(username, "123456", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

2、重新运行,访问http://127.0.0.1:8080 输入账号密码,看控制台有如下输出:

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"

提示大意就是密码未进行编码。

3、增加密码编码,在WebSecurityConfig 修改如下:

package com.jefry.security.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .formLogin()
                .loginPage("/login.html") //登录界面
                .loginProcessingUrl("/login") //登录认证地址
                .and()
                .authorizeRequests()
                .antMatchers("/login.html").permitAll() //不需登录可以访问的地址
                .anyRequest()
                .authenticated();
    }

    /**
     * 增加密码加密
     * @return
     */
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

4、UserDetailService增加PasswordEncoder注入,代码修改如下:

package com.jefry.security.service;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

@Component
@Slf4j
public class UserDetailService implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("登录账号:{}", username);
        String password = passwordEncoder.encode("123456");
        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

5、重新访问http://127.0.0.1:8080/demo,输入账号密码,账号随意,密码:123456。

控制台输出类似日志:

登录账号:user,密码:$2a$10$XQZL77eSp0KAfb8FAN96VeBDQtJCHLEVnXaQ.EbE8w0ZPjpBTwqaa

四、自定义登录成功与失败返回

1、新增com.jefry.security.handler包,创建继承AuthenticationSuccessHandler的AuthenticationSuccessHandlerImpl类;代码如下:

package com.jefry.security.handler.impl;

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
@Slf4j
public class AuthenticationSuccessHandlerImpl implements AuthenticationSuccessHandler {
    @Autowired
    public ObjectMapper objectMapper;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        log.info("登录成功");
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(objectMapper.writeValueAsString(authentication));
    }
}

2、在同目录下创建继承AuthenticationFailureHandler的AuthenticationFailureHandlerImpl类,代码如下:
package com.jefry.security.handler.impl;

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
@Slf4j
public class AuthenticationFailureHandlerImpl implements AuthenticationFailureHandler {
    @Autowired
    ObjectMapper objectMapper;

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        log.info("登录失败");
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(objectMapper.writeValueAsString(exception));
    }
}

3、修改WebSecurityConfig类,代码如下:

package com.jefry.security.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    AuthenticationSuccessHandler authenticationSuccessHandler;

    @Autowired
    AuthenticationFailureHandler authenticationFailureHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .formLogin()
                .loginPage("/login.html") //登录界面
                .loginProcessingUrl("/login") //登录认证地址
                .successHandler(authenticationSuccessHandler)
                .failureHandler(authenticationFailureHandler)
                .and()
                .authorizeRequests()
                .antMatchers("/login.html").permitAll() //不需登录可以访问的地址
                .anyRequest()
                .authenticated();
    }

    /**
     * 增加密码加密
     * @return
     */
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

4、访问http://127.0.0.1/demo,分别输入正确的密码与错误的密码查看浏览器的提示信息。

五、跟从DB中判断账号与密码

1、在mysql 的库中新建user表,包含三个字段,id,username,password。

2、使用mybatis访问mysql,mybatis使用方式自动查找,JPA也可以。

3、新增UserEntity类,代码如下:

package com.jefry.security.entity;

import lombok.Data;
import org.springframework.stereotype.Service;

@Service
@Data
public class UserEntity {
    private int id;
    private String username;
    private String password;
}

4、新增UserService类,代码如下:

package com.jefry.security.service;

import com.jefry.security.entity.UserEntity;
import com.jefry.security.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class UserService {
    @Autowired
    UserMapper userMapper;

    public UserEntity loadUsername(String username) {
        return userMapper.loadByUsername(username);
    }
}

5、修改UserDetailService类,代码如下:

package com.jefry.security.service;

import com.jefry.security.entity.UserEntity;
import com.jefry.security.mapper.UserMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;

@Component
@Slf4j
public class UserDetailService implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserEntity userEntity = userService.loadUsername(username);
        if (userEntity == null) {
            throw new UsernameNotFoundException("账号不存在");
        }
        String password = passwordEncoder.encode(userEntity.getPassword());
        log.info("登录账号:{},密码:{}", username, password);
        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}
jefry52
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot2.x系列教程12-springboot集成spring security
松花江畔
08-10 310
随着行业的不断发展,前后端分离开发的模式也在不断的得到程序员群体的欢迎,简单而言前后端分离开发的模式将后端程序员从前端的苦海中解脱了出来,使其能够专注后端的逻辑业务开发,前端工程师只负责页面的实现,调用后端工程师实现的接口实现页面数据的填充,这样的实现方式相对于以往的开发模式很明显提高了开发的效率,与此同时也带来了接口访问安全性的问题,由此也就出现了接口的权限鉴权管控机制。目前比较常用的鉴权机制框架有shiro、spring security,之前在springboot没有出现之前由于spring secu
SpringBoot集成security(2)|(security自定义配置)
Oaklkm的博客
12-02 593
上一章节我们简单的介绍了,springSecurity集成,并实现了简单的登录功能,以及security登录的一些原理,本章我们将介绍security的基于数据库用户的配置,权限控制以及资源访问控制的配置本片文章是在上一篇基础上进行的扩展,如果大家对项目基础不是很清楚请查看上一篇文章要实现自定义配置,首先创建一个继承于WebSecurityConfigurerAdapter的配置类,在代码实现之前我们来了解一下WebSecurityConfigurerAdapter配置类。
手把手带你入门 Spring Security
weixin_30578677的博客
07-25 595
Spring SecuritySpring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比...
Spring Boot2 使用 Spring Security + OAuth2 实现单点登录SSO
lovelichao12的专栏
03-25 1万+
前言 目前系统都是比较流行的微服务架构,在企业发展初期,企业使用的系统很少,通常一个或者两个,每个系统都有自己的登录模块,使用人员每天用自己的账号登录,很方便。但随着企业的发展,用到的微服务系统随之增多,使用人员在操作不同的系统时,需要多次登录,而且每个系统的账号都不一样,都要记录,这对于使用人员来说,很不方便还不友好。于是,就想到是不是可以在一个统一登录门户平台登录,其他系统就不用登录了呢?这就是单点登录要解决的问题。 单点登录英文全称Single signOn,简称就是SSO。它的解释是:在多个应用.
springboot-security-oauth2:SpringBoot集成Spring Security、OAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring Security、OAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权码认证...
SpringBoot2.x入门到项目实战
02-18
7. **添加安全控制**:Spring Security提供认证和授权功能。 8. **部署应用**:可直接打包成jar文件,使用`java -jar`命令运行。 ### 五、微服务架构 SpringBoot是构建微服务的理想选择。通过Spring Cloud,可以...
springboot学习.zip
04-08
2. **Spring Data JPA 2.x**:SpringBoot2.x集成了更新版本的Spring Data JPA,提供了对数据库操作的更强大支持,包括新的查询方法、对NoSQL数据库的更好支持以及对JPA规范的最新实现。 3. **Actuator增强**:...
springsecurity6.x实战学习笔记,可完美的移植到生产环境
最新发布
03-28
本实战学习笔记聚焦于如何利用SpringBoot 3.x集成SpringSecurity 6.x,实现灵活的用户认证和授权机制。 首先,SpringBoot 3.x是Spring框架的最新稳定版本,它提供了自动配置、内嵌Web服务器等特性,使得快速开发变...
springboot集成oauth2.0
07-27
在"spring-security-oauth2-example-master"这个项目中,你可以找到一个完整的SpringBoot集成OAuth2.0的示例,包括配置、控制器、服务以及客户端的实现,通过学习和研究该项目,可以更好地理解上述知识点,并实际...
Spring Security 2 配置精讲
05-21
Spring Security 2 配置精讲
SpringBoot2.x系列教程88--SpringBoot整合SpringSecurity实现认证拦截
一一哥
05-18 1888
SpringBoot2.x系列教程88--SpringBoot整合SpringSecurity实现认证拦截 作者:一一哥 一. SpringSecurity简介 1. SpringSecurity概述 Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。 除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特
Springboot2.3集成Spring security 框架(原生集成
Jack方
06-02 2482
0、pom <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.x
基于Spring Boot2 + Spring Security OAuth2 实现单点登陆(一)
热门推荐
火星人专栏
03-30 3万+
关于OAuth2的基本介绍:点这里 Spring Security 5.0开始对密码相关内容做了修改,具体查看这里 实现一个最基本的OAuth2认证 项目使用3个独立的工程分别实现认证服务、资源服务器和单点登陆服务器 源码地址 添加项目依赖 allprojects { apply plugin: 'idea' apply plugin: 'java' }...
SpringBoot2.0整合SpringSecurity并实现验证码和权限控制
wangxueqing52的博客
09-11 2万+
使用SpringBoot2.0 整合SpringSecurity加入kaptcha验证码,使用redis实现session共享,请看源码,附上数据库脚本,绝对可以跑起来,源码地址为https://github.com/xueqinggit/SpringCloudLearn 1、pom文件 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;p...
Spring Security5.0.1 总结之如何让认证失败(登录失败)消息自定义在前端页面显示
闲时不练功,忙时一场空
07-22 2635
开发环境ssm+Spring Security 5.0.1.RELEASE 在自定义登录页面输入的帐号密码错误,页面中没有任何错误消息提示,所以需要将提示信息显示出来 Spring Security 框架将所有的错误信息都定义成了异常,并且提供了国际化的资源文件。这个资源文件在 spring-security-core-5.0.1.RELEASE.jar文件中 这里说下Idea国际...
Spring bootSpring Security 使用改造5部曲
weixin_30919235的博客
11-17 1380
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
重磅发布- SpringBoot2.0前后端分离开发之用户身份认证实战(后端实现) 视频教程
青松之竹_Java博客
09-19 2234
概要介绍:历经两三个星期的时间,Debug亲自撸的 “SpringBoot2.x前后端分离开发之用户身份认证实战(后端实现)” 终于完成了。正如字面意思,本课程讲解的是在当前微服务、分布式系统架构时代,前后端在进行接口交互、服务与服务之间在进行接口交互时如何对用户的身份进行认证,即如何进行鉴权! 详细内容介绍: 本课程主要是跟各位小伙伴分享、介绍并实战了两大核心的用户身份认证(接口鉴权)模式,...
SpringSecurity登录原理(源码级讲解)
WGH100817的博客
06-14 636
一、简单叙述 首先会进入UsernamePasswordAuthenticationFilter并且设置权限为null和是否授权为false,然后进入ProviderManager查找支持UsernamepasswordAuthenticationToken的provider并且调用provider.authenticate(authentication);再然...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值