SpringBoot+SpringSecurity实现访问权限控制案例

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量6.9k 收藏 17
点赞数 1
分类专栏: Spring IntelliJ IDEA SpringSecurity SpringBoot Thymeleaf 文章标签: SpringBoot SpringSecurity Spring SpringMVC intellij idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37173810/article/details/78200561
版权

本项目使用IDEA创建,Eclipse用户可以参考


一、项目目录




二、项目依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>

	<groupId>com.example</groupId>
	<artifactId>demo</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<packaging>jar</packaging>

	<name>demo</name>
	<description>Demo project for Spring Boot</description>

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>1.5.7.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>

	<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-aop</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-test</artifactId>
			<scope>test</scope>
		</dependency>
		<!--提供security相关标签,可选可不选-->
		<dependency>
			<groupId>org.thymeleaf.extras</groupId>
			<artifactId>thymeleaf-extras-springsecurity4</artifactId>
		</dependency>
		<!--bootstrap组件,可选可不选-->
		<dependency>
			<groupId>org.webjars</groupId>
			<artifactId>bootstrap</artifactId>
			<version>3.3.7</version>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>


</project>

三、SpringSecurity配置

在example下建立config包,新建SpringSecurityConfig类

SpringSecurityConfig.java

package com.example.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.access.AccessDeniedHandler;
@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter{
    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

//    管理员允许登陆
//    普通用户允许登陆
//    403错误处理


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/","home","/about").permitAll()
                .antMatchers("/admin/**").hasAnyRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("USER")
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
                .exceptionHandling()
                .accessDeniedHandler(accessDeniedHandler);
    }

    //创建两个本地用户,管理员和普通用户,要从数据库取的话自行修改
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder authenticationManagerBuilder)throws Exception{
        authenticationManagerBuilder.inMemoryAuthentication()
                .withUser("user").password("password").roles("USER")
                .and()
                .withUser("admin").password("password").roles("ADMIN");
    }
}

新建error包,新建MyAccessDeniedHandler类,这个类的作用是处理错误 

package com.example.error;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {

    private static Logger logger = LoggerFactory.getLogger(MyAccessDeniedHandler.class);

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null) {
            logger.info("User '" + auth.getName()
                    + "' attempted to access the protected URL: "
                    + httpServletRequest.getRequestURI());
        }
        httpServletResponse.sendRedirect(httpServletRequest.getContextPath() + "/403");
    }
}

四、SpringBoot相关

新建controller包,新建DefaultController类

(这里的GetMapping就是RequestMapping和method = RequestMethod.GET的缩写)

DefaultController.java

package com.example.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class DefaultController {
    @GetMapping("/")
    public String home1(){
        return "/home";
    }
    @GetMapping("/home")
    public String home() {
        return "/home";
    }

    @GetMapping("/admin")
    public String admin() {
        return "/admin";
    }

    @GetMapping("/user")
    public String user() {
        return "/user";
    }

    @GetMapping("/about")
    public String about() {
        return "/about";
    }

    @GetMapping("/login")
    public String login() {
        return "/login";
    }

    @GetMapping("/403")
    public String error403() {
        return "/error/403";
    }

}

项目自动创建的DemoApplication 

package com.example.demo;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.context.annotation.ComponentScan;

@SpringBootApplication
@ComponentScan("com.example")
public class DemoApplication {

	public static void main(String[] args) {
		SpringApplication.run(DemoApplication.class, args);
	}
}

至此后台就写完了


五、静态页面

注意页面都是放在templates下的

templates/login.htm

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
>
<head>
    <title>Spring Security Example </title>
    <div th:replace="fragments/header :: header-css"/>
</head>
<body>

<div th:replace="fragments/header :: header"/>

<div class="container">

    <div class="row" style="margin-top:20px">
        <div class="col-xs-12 col-sm-8 col-md-6 col-sm-offset-2 col-md-offset-3">
            <form th:action="@{/login}" method="post">
                <fieldset>
                    <h1>请登录</h1>

                    <div th:if="${param.error}">
                        <div class="alert alert-danger">
                            无效的用户名和密码
                        </div>
                    </div>
                    <div th:if="${param.logout}">
                        <div class="alert alert-info">
                            您已注销
                        </div>
                    </div>

                    <div class="form-group">
                        <input type="text" name="username" id="username" class="form-control input-lg"
                               placeholder="UserName" required="true" autofocus="true"/>
                    </div>
                    <div class="form-group">
                        <input type="password" name="password" id="password" class="form-control input-lg"
                               placeholder="Password" required="true"/>
                    </div>

                    <div class="row">
                        <div class="col-xs-6 col-sm-6 col-md-6">
                            <input type="submit" class="btn btn-lg btn-primary btn-block" value="Sign In"/>
                        </div>
                        <div class="col-xs-6 col-sm-6 col-md-6">
                        </div>
                    </div>
                </fieldset>
            </form>
        </div>
    </div>

</div>

<div th:replace="fragments/footer :: footer"/>

</body>
</html>

templates/home.html 

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>Spring Boot Thymeleaf + Spring Security</title>

    <div th:replace="fragments/header :: header-css"/>

</head>
<body>

<div th:replace="fragments/header :: header"/>

<div class="container">

    <div class="starter-template">
        <h1>SpringSecurity案例演示</h1>
        <h2>1. 访问 <a th:href="@{/admin}">管理员页面 (受到SpringSecurity保护,需要管理员权限)</a></h2>
        <h2>2. 访问 <a th:href="@{/user}">普通用户页面 (受到SpringSecurity保护,需要会员权限)</a></h2>
        <h2>3. 访问 <a th:href="@{/about}">普通页面</a></h2>
    </div>

</div>
<!-- /.container -->

<div th:replace="fragments/footer :: footer"/>

</body>
</html>

templates/admin.html 

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <div th:replace="fragments/header :: header-css"/>
</head>
<body>

<div th:replace="fragments/header :: header"/>

<div class="container">

    <div class="starter-template">
        <h1>管理员页面 (受到SpringSecurity保护)</h1>

        <h1 th:inline="text">你好 [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="注销"/>
        </form>

    </div>

</div>
<!-- /.container -->

<div th:replace="fragments/footer :: footer"/>

</body>
</html>

templates/user.html

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <div th:replace="fragments/header :: header-css"/>
</head>
<body>

<div th:replace="fragments/header :: header"/>

<div class="container">

    <div class="starter-template">
        <h1>普通用户界面 (受到SpringSecurity保护)</h1>

        <h1 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h1>
        <form th:action="@{/logout}" method="post">
            <input type="submit" value="注销"/>
        </form>

    </div>

</div>
<!-- /.container -->
<div th:replace="fragments/footer :: footer"/>

</body>
</html>

templates/about.html 

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <div th:replace="fragments/header :: header-css"/>
</head>
<body>

<div th:replace="fragments/header :: header"/>

<div class="container">

    <div class="starter-template">
        <h1>普通页面 (无需登陆)</h1>
    </div>

</div>
<!-- /.container -->

<div th:replace="fragments/footer :: footer"/>

</body>
</html>

templates/error/403.html 

<!DOCTYPE HTML>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <div th:replace="fragments/header :: header-css"/>
</head>
<body>

<div th:replace="fragments/header :: header"/>

<div class="container">

    <div class="starter-template">
        <h1>403 - 访问拒绝</h1>
        <div th:inline="text">你好 '[[${#httpServletRequest.remoteUser}]]',
            您没有访问此页面的权限.</div>
    </div>

</div>
<!-- /.container -->

<div th:replace="fragments/footer :: footer"/>

</body>
</html>

templates/fragments/footer.html 

<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>
</head>
<body>
<div th:fragment="footer">

    <div class="container">

        <footer>
            <!-- this is footer -->
            © 2017/10/11
            <span sec:authorize="isAuthenticated()">
                | 登陆用户: <span sec:authentication="name"></span> |
                权限: <span sec:authentication="principal.authorities"></span> |
                <a th:href="@{/logout}">注销</a>
            </span>

            <script type="text/javascript"
                    src="webjars/bootstrap/3.3.7/js/bootstrap.min.js"></script>

        </footer>
    </div>

</div>
</body>
</html>

templates/fragments/header.html 

<html xmlns:th="http://www.thymeleaf.org">
<head>
    <div th:fragment="header-css">
        <!-- this is header-css -->
        <link rel="stylesheet" type="text/css"
              href="webjars/bootstrap/3.3.7/css/bootstrap.min.css" />

        <link rel="stylesheet" th:href="@{/css/main.css}"
              href="../../css/main.css" />
    </div>
</head>
<body>
<div th:fragment="header">
    <!-- this is header -->
    <nav class="navbar navbar-inverse">
        <div class="container">
            <div class="navbar-header">
                <a class="navbar-brand" th:href="@{/}">SpringSecurity</a>
            </div>
            <div id="navbar" class="collapse navbar-collapse">
                <ul class="nav navbar-nav">
                    <li class="active"><a th:href="@{/}">主页</a></li>
                </ul>
            </div>
        </div>
    </nav>
</div>

</body>
</html>

CSS样式文件

static/css/main.css

h1{
    color:#0000FF;
}

h2{
    color:#FF0000;
}

footer{
    margin-top:60px;
}


接下来就可以运行了,在地址栏输入http://localhost:8080/


点击管理员页面,跳转进入登陆页面,输入管理员账号密码,admin       password,点击登陆




点击注销退出到登陆页面,再次进入home页面,点击访问普通用户页面,输入普通用户账号密码,user  password



如果用普通用户账号去访问管理员页面的话,则会跳转到403页面


再次注销并回到主页,点击访问普通页面,这个页面是无需任何权限的



项目参考地址

点击打开链接


完整项目下载地址:点击打开链接

零薄狱
关注
专栏目录
SpringBoot整合SpringSecurity实现权限控制(七):权限分配
我的博客
10-28 1万+
系列文章目录 《SpringBoot整合SpringSecurity实现权限控制(一):实现原理》 《SpringBoot整合SpringSecurity实现权限控制(二):权限数据基本模型设计》 《SpringBoot整合SpringSecurity实现权限控制(三):前端动态装载路由与菜单》 《SpringBoot整合SpringSecurity实现权限控制(四):角色管理》 《SpringBoot整合SpringSecurity实现权限控制(五):用户管理》 《SpringBoot整合SpringSe
Springboot+SpringSecurity实现权限控制(一、项目搭建)
一念永恒
03-09 780
SpringSecurity权限控制 项目搭建 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入springsecurity更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 数据数据 数据库名: security
springboot整合Security、OAuth2实现权限控制
09-24
通过用户角色实现用户登录鉴权,springboot+Redis+Security+OAuth2
Spring Security访问控制示例
一名可爱的技术搬运工
05-25 161
Spring Security中,访问控制或授权很容易实现。 请参阅以下代码段: <http auto-config="true"> <intercept-url pattern="/admin*" access="ROLE_ADMIN" /> </http> 这意味着,只有具有“ ROLE_ADMIN ”权限的用户才能访问URI / ad...
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 1774
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
springBoot+security+mybatis 实现用户权限数据库动态管理
05-03
NULL 博文链接:https://veiking.iteye.com/blog/2429172
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
本项目结合了SpringBootSpringSecurity以及JPA(Java Persistence API),实现了用户角色权限的登录认证功能。以下是关于这些技术及实现过程的详细讲解。 1. **SpringBoot**:SpringBoot简化了Spring应用的初始...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用中集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring Boot是Java领域的一个快速...
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7851
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringBoot 权限控制(菜单控制,页面元素控制,url控制
04-13
基于RBAC思想的权限控制,可先建立完整的库,也可以使用使用代码生成,包中提供两种方式, 代码先后顺序 菜单控制----》元素控制-------》url控制
spring security 完整项目实例
01-07
基于用户,角色,权限spring security完整项目,包括登陆,免登陆,session配置,角色,权限验证等功能
SpringBoot+SpringSecurity案例Demo
10-11
SpringBoot+SpringSecurity案例Demo
Spring Security 完整实例
09-19
完成的Spring Security实例,其中包括自定义数据库表结构、自定义登陆页面、使用数据库管理资源、自定义的密码编码器、自定义访问拒绝页面、动态管理资源结合自定义登录页面等方面的例子
Spring boot 用户自定义访问控制,自定义登录页面,退出,用户信息获取
文轩
05-16 695
用户自定义访问控制,自定义登录页面,退出,用户信息获取 问题 1. 在访问页面时没有css样式 http.authorizeRequests() .antMatchers("/css/**", "/img/**", "/fonts/**", "/js/**").permitAll() .anyRequest().authenticated(); 2. 使用Security 认证,ajax 通过 post 提交数据时报错 403
使用SpringBoot进行数据库安全与权限控制策略
程序员光剑
01-25 968
1.背景介绍 数据库安全与权限控制策略是现代应用程序开发中的一个重要方面。在本文中,我们将探讨如何使用Spring Boot进行数据库安全与权限控制策略的实现。 1. 背景介绍 随着互联网的发展,数据库安全和权限控制变得越来越重要。数据库安全涉及到保护数据的完整性、可用性和机密性。权限控制则涉及到确保用户只能访问他们拥有权限数据Spring Boot是一个用于构建新型Spring应用...
Spring Boot中使用Spring Security实现权限控制
weixin_30849591的博客
01-19 64
丢代码地址 https://gitee.com/a247292980/spring-security 再丢pom.xml <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <project.repo...
SpringBootSpring Security权限控制
qq_25864719的博客
01-20 567
Spring Security权限控制 简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求 特征: 全面和可扩展的身份验证和授权支持 防御会话固定,点击劫持,跨站点请求伪造等攻击 Servlet API集成 与Spring Web
使用 springboot+springsecurity+mybatis 来实现用户的注册和登录功能,并提供主界面的权限管理;
06-01
好的,你的问题是如何使用springboot+springsecurity+mybatis来实现用户的注册和登录功能,并提供主界面的权限管理。 首先,我们需要创建一个Spring Boot项目,并将以下依赖添加到项目中: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</artifactId> <version>2.0.0</version> </dependency> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.19</version> </dependency> ``` 接下来,我们需要创建一个User实体类,并在数据库中创建一个名为user的表,包含id、username、password、email等字段。 然后,我们需要创建一个UserMapper接口,用于与数据库交互。在该接口中,我们可以定义一些方法,如根据用户名查询用户信息、添加用户信息等。 接着,我们需要创建一个UserService类,在该类中,我们可以调用UserMapper接口中的方法来实现具体的业务逻辑,如用户注册、用户登录等。 在Spring Security中,我们需要创建一个SecurityConfig配置类,用于配置安全策略。在该类中,我们可以定义一些权限控制的规则,如哪些URL需要认证、哪些URL不需要认证等。 最后,我们需要创建一个Controller类,在该类中,我们可以调用UserService类中的方法来处理具体的请求,如注册、登录等。 以上是一个简单的使用springboot+springsecurity+mybatis实现用户注册和登录功能的流程,具体实现细节可以参考相关文档或案例代码。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值