springboot 集成 security

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量169 收藏
点赞数
分类专栏: 后端 文章标签: springboot  security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzq199528/article/details/89709339
版权

springboot技术栈

  1. pxm.xml 引用开发包
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
  1. 创建User和Auth实体类 user实现UserDetails接口 Auth实现GrantedAuthority接口
package com.cloud.consumer.config.security.model;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.List;

/**
 * 开发公司:刘志强
 * 版权:刘志强
 * <p>
 * User
 *
 * @author 刘志强
 * @created Create Time: 2019/4/15
 */

public class User implements UserDetails {
    private String userName;
    private String password;

    private List<Auth> list;

    public String getUserName() {
        return userName;
    }

    public void setUserName(String userName) {
        this.userName = userName;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<Auth> getList() {
        return list;
    }

    public void setList(List<Auth> list) {
        this.list = list;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.list;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.getUserName();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}


package com.cloud.consumer.config.security.model;

import lombok.Data;
import org.springframework.security.core.GrantedAuthority;

/**
 * 开发公司:刘志强
 * 版权:刘志强
 * <p>
 * Permission
 *权限
 * @author 刘志强
 * @created Create Time: 2019/4/15
 */
@Data
public class Auth implements GrantedAuthority {

    public Auth(String authority){
        this.authority = authority;
    }
    private String authority;

    @Override
    public String getAuthority() {
        return this.authority;
    }
}
  1. 创建 SecurityConfig 配置文件
package com.cloud.consumer.config.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

/**
 * @author 刘志强
 * @date 2020/7/21 09:34
 * * @EnableGlobalMethodSecurity(securedEnabled=true)
 * * 开启@Secured 注解过滤权限
 * *
 * * @EnableGlobalMethodSecurity(jsr250Enabled=true)
 * * 开启@RolesAllowed 注解过滤权限
 * *
 * * @EnableGlobalMethodSecurity(prePostEnabled=true)
 * * 使用表达式时间方法级别的安全性 4个注解可用
 * * -@PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问
 * * -@PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常
 * * -@PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果
 * * -@PreFilter 允许方法调用,但必须在进入方法之前过滤输入值
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private final UserDetailsServiceImpl userDetailsService;
    private final AuthorizationTokenFilter authenticationTokenFilter;

    public SecurityConfig(AuthorizationTokenFilter authenticationTokenFilter, UserDetailsServiceImpl userDetailsService) {
        this.authenticationTokenFilter = authenticationTokenFilter;
        this.userDetailsService = userDetailsService;
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 两种注册用户的方式
        auth.inMemoryAuthentication()
                .passwordEncoder(new BCryptPasswordEncoder())
                .withUser("admin")
                .password(new BCryptPasswordEncoder().encode("123456"))
                .roles("ROOT");
        auth.userDetailsService(userDetailsService).passwordEncoder(NoOpPasswordEncoder.getInstance());
    }

    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 添加过滤器
        http.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        http.authorizeRequests()
                // /actuator 下的请求需要ROOT角色并开启 httpBasic
                .antMatchers("/actuator/**").hasRole("ROOT")
                .and().httpBasic();

        http.authorizeRequests()
                // /user下的请求需要user全部权限
                .antMatchers("/user/**").hasAuthority("user")
                // /admin 下的请求需要admin权限
                .antMatchers("/admin/**").hasAuthority("admin")
                // /authenticated 下的请求允许认证过的用户访问
                .antMatchers("/authenticated/**").authenticated()
                // 其余的请求允许所有用户无条件访问
                .antMatchers("/login", "/getConsumer","/my/test3").permitAll()
                .anyRequest().authenticated()
                .and()
                .csrf().disable();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}
  1. 自定义实现UsernamePasswordAuthenticationFilter过滤器
package com.cloud.consumer.config.security;

import com.cloud.consumer.config.security.model.User;
import org.apache.commons.lang.StringUtils;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author admin
 */
@Component
public class AuthorizationTokenFilter extends OncePerRequestFilter {

    private final RedisTemplate redisTemplate;

    // redis
    public AuthorizationTokenFilter(@Qualifier("redisTemplateJdk") RedisTemplate redisTemplate) {
        this.redisTemplate = redisTemplate;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        String authorization = request.getHeader("Authorization");

        if (StringUtils.isNotEmpty(authorization) && SecurityContextHolder.getContext().getAuthentication() == null) {
            // 从redis中取出用户信息
            Object object =  redisTemplate.opsForValue().get(authorization);
            if (object != null) {
                User user = (User) object;
                // 创建UsernamePasswordAuthenticationToken 
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(user, null,user.getAuthorities());
                // 添加至上下文中
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }
        chain.doFilter(request, response);
    }
}
  1. 创建UserDetailsServiceImpl类
package com.cloud.consumer.config.security;

import com.cloud.consumer.config.security.model.Auth;
import com.cloud.consumer.config.security.model.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;


/**
 * @author admin
 */
@Service("userDetailsService")
public class UserDetailsServiceImpl implements UserDetailsService {

    @Override
    public User loadUserByUsername(String userName) throws UsernameNotFoundException {
        // 固定权限 实际开发中读数据库
        User user = new User();
        user.setUserName(userName);
        user.setPassword("123456");
        List<Auth> list = new ArrayList<>();
        list.add(new Auth("admin"));
        user.setList(list);
        return user;
    }
}
  1. 登录
    @PostMapping("/login")
    public AjaxResult login(@NotNull(message = "用户名不能为null") String userName, @NotNull(message = "密码不能为null") String password){
        User user = userDetailsService.loadUserByUsername(userName);
        if (StringUtils.equals(user.getPassword(),password)) {
            String token = UUID.randomUUID().toString().replaceAll("-", "");
            redisTemplate.opsForValue().set(token,user);
            AjaxResult ajaxResult = AjaxResult.successData(token);
            return ajaxResult;
        } else {
            return AjaxResult.error("密码错误");
        }
    }
  1. 测试controller
    @GetMapping("/admin/test1")
    public AjaxResult test1() {
        return AjaxResult.success("test1");
    }

    @GetMapping("/user/test2")
    public AjaxResult test2() {
        return AjaxResult.success("test2");
    }

    @GetMapping("/testPer1")
    @PreAuthorize("hasAnyAuthority('member')")
    public AjaxResult testPer1() {
        return AjaxResult.success("test3");
    }

    @GetMapping("/testPer2")
    @PreAuthorize("hasAnyAuthority('admin')")
    public AjaxResult testPer2() {
        return AjaxResult.success("test4");
    }

记录问题

1. @PreAuthorize 注解无效
@EnableGlobalMethodSecurity(prePostEnabled = true) 是否开启
@PreAuthorize 是基于aop实现,只能注解在public方法上
lzq199528
关注
专栏目录
SpringBoot 集成 Spring Security
JavaShark的博客
07-08 3264
正在上传…重新上传取消Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求从官网的介绍中可以知道这是一个权限框架。想我们之前做项目是没有使用框架是怎么控制权限的?对于权限 一般会细分为功能权限,访问权限,和菜单权限。代码会写的非常的繁琐,冗余。怎么解决之
SpringBoot-Security
05-26
springboot security,两种配置一个是用config类,一个是用注解方式。数据库两个用户 admin/admin,neusoft/neusoft
JAVA学习篇——Spring Boot Security
zhang19971014的博客
04-20 8432
1. 关于Spring Boot Security Spring Boot Security是在Spring Boot中使用的,基于Spring Security的依赖项,其本质就是Spring Security框架加上了应用于Spring Boot工程的自动配置。 Spring Security是一款主要解决了认证和授权相关处理的安全框架。 认证:验证用户的身份,例如在登录过程中验证用户名与密码是否匹配。 授权:使得用户允许访问服务器端的某些资源,或禁止访问某些资源,例如管理员可以执行一些数据删除
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 1803
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
15.Spring Boot 使用Spring security
m0_54852350的博客
03-20 3629
Spring Boot 使用Spring security Spring BootSpring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。 1.Spring Boot 内置属性参数 Spring Boot 提供的内置配置参数以security为前缀,具体属性如下: # SECURITY (SecurityPr
Spring-boot 安全Spring Security
Shark_pepppppper的博客
05-23 163
Spring Security相当于是一个springboot内部集成的一个安全框架 Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!记住几个类∶ WebSecurityConfigurerAdapter∶ 自定义Security策略AuthenticationManage
SpringBootSpringSecurity(安全)
热门推荐
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
springboot集成security
09-03
springboot集成spring Security ,MyAuthenticationFailHandler.java 自定义登录失败处理器,如果登录认证失败,会跳到这个类上来处理。 MyAuthenticationSuccessHandler 自定义登录成功处理器,如果登录认证成功,会...
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
springboot+security+cas集成demo
11-23
本文将详细解析"springboot+security+cas集成demo"的相关知识点。 首先,Spring Boot是由Pivotal团队提供的一个用于简化Spring应用初始搭建以及开发过程的框架。它集成了大量的常用组件,并提供了默认配置,使得...
SpringBoot系列(六)SpringBoot 集成 Security + Vue 实现前后端分离登录
西门吹雪花
09-20 8511
Spring Security 是做啥的呢?借用官方文档上的一句话:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。说的通俗点就是认证和授权。但是在前后端分离的情况下集成 Spring Security 还是有一些不同的。因为在前后端分离的情况下我们希望所有的返回结果都以 Json 的形式返回给前台,显然 Security 的一些默认配置无法满足我们的要求。下面...
springboot】——SpringBootSecurity
山山来驰的博客
01-31 179
关于这个可以看这篇文章:https://www.cnblogs.com/guos/p/11601179.html
SpringBootSecurity
Amazing66的博客
07-21 4004
认证和授权 首先导入Srcurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 创建config包结构并创建Security类 在Secu.
Spring Boot中使用Spring Security进行安全控制
一个有情怀的程序猿博客
07-31 226
我们在编写Web应用时,经常需要对页面做一些安全控制,比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现(如:Apache Shiro、Spring Security)。 本文将具体介绍在Spring Boot中如何使用Spring Security进行安全控制。 准备工作 首先,构建一个简单的Web工程,以用于后续添加安全控制,也可以用之前Chapter3-1-2做为基础工程。若对如何使用Spring Boot构建Web应用,
Spring Boot与安全(Spring Security)
OY
10-04 272
博客中涉及的源码,下载地址在博客文章底部,有需要的小伙伴自行下载 一、简介 ​ SpringSecurity 是针对Spring项目的安全框架,也是Spring Boot底层安全模块的技术选项。他可以实现强大的web安全控制。对于安全控制,我们需要引入spring-boot-starter-securiy模块。 <dependency> <groupId>org.springframework.boot</groupId> <artifactId.
SpringBoot+Spring security
FlyAway的博客
06-06 1257
SpringBoot+Spring security 前言 搭建步骤 总结 1.前言 学习使用SpringBoot 结合spring security 搭建一个登录拦截和跳转的demo。 2.搭建步骤 (1)springboot 搭建项目,先新建TestController 测试springboot项目是否成功 (2)引入mybatis ...
SpringBoot中使用spring security进行安全控制
寒砧的博客
05-21 2675
一、引入 在SpringBoot中引入SpringSecurity &amp;amp;amp;amp;amp;lt;!--spring boot security引入--&amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;amp;lt;dependency&amp;amp;amp;amp;amp;gt; &amp;amp;amp;amp;amp;lt;groupId&amp;amp;amp;
Spring Boot 集成Spring Security
记录,记录,记录
11-02 208
权限控制:效果如下  编写代码步骤:Spring Security是靠过滤器吃饭的,So 一:配置过滤器,告诉他什么url需要控制,什么角色能进行怎样的操作 二:给验证器提供用户信息,用户信息包括用户名,密码,权限 OK!!开始 一:添加依赖 //如果有用到模板和Spring Security标签,需要引入下面两个 ...
SpringBoot笔记(十二)Spring-Security
TaoYuan
04-25 1775
Spring-SecuritySpringBoot推荐的安全框架,配置简单,功能强大。 依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt;...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值