spring security 个人 笔记 #spring#springcloud

最新推荐文章于 2024-01-15 20:33:15 发布
最新推荐文章于 2024-01-15 20:33:15 发布
阅读量138 收藏
点赞数 1
分类专栏: 后台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jupiter_windy/article/details/97366871
版权

  全文照  https://github.com/wuyouzhuguli/SpringAll   MrBird课程敲的代码

  包含了:Spring security自定义用户认证、图形验证码、记住我、短信验证码、session管理、退出登录

权限控制

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /*
         * 第一课 基本方式与表单方式配置 // http.httpBasic() //基本方式 http.formLogin() // 表单方式 .and()
         * .authorizeRequests() // 授权配置 .anyRequest() // 所有请求 .authenticated(); // 都需要认证
         */
        http.
            exceptionHandling()//权限异常处理类
                .accessDeniedHandler(authenticationAccessDeniedHandler)
                .and()
                .addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)// 让验证码拦截器处于其他security过滤器前面
                .addFilterBefore(smsCodeFilter, UsernamePasswordAuthenticationFilter.class) // 添加短信验证码校验过滤器        
                .formLogin() // 表单登录
                .loginPage("/authentication/require").loginProcessingUrl("/login") // 处理表单登陆的URL
                .successHandler(authenticationSucessHandler).failureHandler(authenticationFailureHandler)
                .and()
                .rememberMe()   //会自动从数据库中
                .tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(3600)
                .userDetailsService(myUserDetailService)
                .and()
                .authorizeRequests() // 授权配置
                .antMatchers("/authentication/require", "/login.html", "/code/image", "/css/login.css","/code/sms","/signout/success").permitAll()
                .anyRequest() // 所有请求
                .authenticated() // 都需要认证
                .and()
                .sessionManagement() // 添加 Session管理器
                .invalidSessionUrl("/session/invalid") // Session失效后跳转到这个链接
                /**另外一种方式 session并发处理机制为新加入的用户被拒绝  
                 *         在实际开发中,
                 *         发现Session并发控制只对Spring Security默认的登录方式——账号密码登录有效,
                 *         而像短信验证码登录,社交账号登录并不生效
                 *  .maximumSessions(1) //最大session并发数量
                 *  .maxSessionsPreventsLogin(true) 
                .    .expiredSessionStrategy(sessionExpiredStrategy)
                 */
                .maximumSessions(1) //最大session并发数量
                .expiredSessionStrategy(sessionExpiredStrategy)
                .and()
                .and()
                .logout()
                .logoutUrl("/signout")
//                .logoutSuccessUrl("/signout/success")   //登出发成功跳转方法
                .logoutSuccessHandler(myLogOutSuccessHandler) //登出成功跳转的Handler
                .deleteCookies("JSESSIONID")
                .and().csrf().disable()
                .apply(smsAuthenticationConfig);// 关闭CSRF攻击防御
                
        /**
         * 关于antMatchers() begin
         */
        // 我们指定任何用户都可以访问多个URL的模式。
        // 任何用户都可以访问以"/resources/","/signup", 或者 "/about"开头的URL。
        // .antMatchers("/resources/**", "/signup", "/about").permitAll()

        // 以 "/admin/" 开头的URL只能让拥有 "ROLE_ADMIN"角色的用户访问。
        // 请注意我们使用 hasRole 方法,没有使用 "ROLE_" 前缀。
        // .antMatchers("/admin/**").hasRole("ADMIN")

        // 任何以"/db/" 开头的URL需要同时具有 "ROLE_ADMIN" 和 "ROLE_DBA"权限的用户才可以访问。
        // 和上面一样我们的 hasRole 方法也没有使用 "ROLE_" 前缀。
        // .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")

        // 任何以"/db/" 开头的URL只需要拥有 "ROLE_ADMIN" 和 "ROLE_DBA"其中一个权限的用户才可以访问。
        // 和上面一样我们的 hasRole 方法也没有使用 "ROLE_" 前缀。
        // .antMatchers("/db/**").hasAnyRole("ADMIN", "DBA")
        // -----------------end----------------

2.验证,从provider 到 detailService 密码使用PasswordEncoder的match方法

3.其他都在项目中看吧

jupiter_windy
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity笔记
weixin_42437610的博客
11-07 976
1. Spring Security学习 1.1 简介 安全框架就是解决系统安全的框架。如果没有安全框架,我们需要手动的处理每个资源的访问控制,这是非常麻烦的。使用了安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.2 核心功能 认证 (你是谁) 认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录 授权 (你能干什么) 授权指的是验证某个用户是否有权限执行
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
前后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 4416
前后分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
SpringSecurity-三更草堂-学习笔记
weixin_45581692的博客
11-10 5830
SpringSecuritySpring家族中的一个安全管理框架。与Shiro相比,它提供了更丰富的功能,社区资源也更丰富。SpringSecurity的核心功能是认证和授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户。授权:经过认证后判断当前用户是否有权限进行某个操作。我们希望在认证失败或者是授权失败的情况下,也能和我们的接口一样返回相同结构的json,这样可以让前端对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。
Spring security详解——学习笔记
m0_61943950的博客
05-09 323
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。用户认证就是判断用于身份是否合法的过程授权: 授权是用户认证通过后,根据用户的权限来控制用户访问资源的过程。拥有资源的访问权限则正常访问,没有权限则拒绝访问。Spring Security是一个能够为基于Spring的企业应用系统声明式(注解)安全访问控制解决方案的安全框架。
SpringSecurity(05)——会话管理
最新发布
peng_gx的博客
01-15 1244
SpringSecurity会话管理
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
编程不良人的SpringCloud笔记和资料,全套
06-21
SpringCloud是Java开发人员在构建分布式系统时常用的一套微服务框架,它提供了全面的解决方案,包括服务发现、配置中心、断路器、智能路由、微代理、控制总线、全局锁、领导选举、分布式会话、集群状态等。...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
Spring Security学习笔记
waooi的博客
04-05 4042
目录 1.基础概念 1)认证授权会话 2)授权的数据模型 3)RBAC 2.Spring Security简单实现 3.UserDetailsService 1.基础概念 1)认证授权会话 认证概念: 认证就是对用户的身份进行确认,比如我们登录QQ需要输入账号和密码,而这个过程就是认证. 用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时要求验证用户的身份信息,身份合法可以继续访问,不合法则拒绝访问,常见的用户身份验证方式有:用户密码登录,二维码登录
SpringBoot笔记——SpringSecurity(狂神)
lzh的博客
07-28 2583
SpringSecurity 安全简介 1、在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整
Spring系列:程序包org.junit.jupiter.api不存在
NIO4444
11-07 1333
<dependency> <groupId>org.junit.jupiter</groupId> <artifactId>junit-jupiter-api</artifactId> <version>5.5.0</version> <scope>test</scope> </dependency>
Spring Security知识点笔记
weixin_44388890的博客
08-20 307
Spring Security知识点笔记 1.spring security 核心功能 spring security 的核心功能主要包括: 认证 授权 防护 (防止伪造身份) 2.核心理解 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于username password认证过滤器来说, 会检查是否是一个登录请求;是否包含username
SpringCloud详细笔记(持续更新中)
AC_872767407的博客
11-21 910
SpringCloud 文章目录SpringCloudJava程序员周瑜尚硅谷:https://github.com/leelovejava/cloud2020父工程Project空间创建,父工程pom文件支付模块构建开启热部署Devtools:方便调试消费者订单模块工程重构5 Eureka服务注册与发现(已停更,但仍然使用较多)Eureka基础知识:APP23 actuator微服务信息完善Eureka自我保护理论知识禁止自我保护停更说明6 Zookeeper服务注册与发现(使用较少)7 Consul服务
spring security自定义登录授权过滤器限制同一账号同时在线数量
L_D_W的博客
10-25 2251
摘要:本文主要目的是解决spring security在使用自定义登录授权过滤器时,在protected void configure(final HttpSecurity http)方法中设置maximumSessions属性不生效的问题。本文只是进行了粗略的思路,包含主要的代码片段,并非完整的业务代码,仅供参考。
Spring Framework 5.0 新特性有这些
redditnote的博客
07-06 482
(点击上方公众号,可快速关注)转自:开源中国Spring Framework 5.0 是自 2013年12月版本4 发布之后 Spring Framework 的第一个...
Springf Security】入门篇-设置session超时和阻止并发登录
qq_42980244的博客
08-19 972
如访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 设置session超时时间 server: servlet: session: timeout: 60 #设置超时时间60s 设置session超时之后跳转 http.sessionManagement().invalidSessionUrl("/session/invalid") controller上加个方法,url对应/session/invalid 测试如下: 2.同一
spring security速成笔记 腾讯 下载
08-12
抱歉,我无法提供腾讯下载链接,但我可以为你提供一些关于Spring Security的速成笔记Spring Security是一个基于Spring框架的安全性解决方案,用于保护应用程序的安全性。以下是一些速成笔记: 1. 配置依赖:在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值