59_SpringSecurity

最新推荐文章于 2024-05-04 00:59:47 发布
最新推荐文章于 2024-05-04 00:59:47 发布
阅读量81 收藏
点赞数
分类专栏: SpringBoot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_43407221/article/details/118271978
版权

文章目录

1 SpringSecurity

1.2 第一个 SpringSecurity 项目

20201229194217490

1.2.1 导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

1.2.2 访问页面

导入 spring-boot-starter-security 启动器后,Spring Security 已经生效,默认拦截全部请求,如果用户

没有登录,访问http://localhost:8080,会主动跳转到内置的登录页面。
20201229190037000

在 SecurityProperties 中初始化了用户名和密码

/**
* Default user name.
*/
private String name = "user";

/**
* Password for the default user name.
*/
private String password = UUID.randomUUID().toString();

1.2.3 UserDetailsService

通过自定义 UserDetailsService 接口的实现类控制认证逻辑

package com.cl.mapper;

import com.cl.pojo.User;
import org.apache.ibatis.annotations.Select;

/**
 * @Author chenlan
 * @Description TODO
 * @Date 2020/12/29 11:15
 * @Version 1.0
 */

public interface UserMapper {

    /**
     * 根据用户名查询用户
     *
     * @param username
     * @return
     */
    @Select("select * from sys_user where username = #{username}")
    User selectUserByUsername(String username);
}


package com.cl.service.impl;

import com.cl.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;

/**
 * @Author chenlan
 * @Description TODO
 * @Date 2020/12/29 10:43
 * @Version 1.0
 */

@Service
public class LoginServiceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    /**
     * @param username 用户提交的用户名
     * @return UserDetails(Interface) 返回其实现类 org.springframework.security.core.userdetails.User
     * @throws UsernameNotFoundException 通过用户名没有查询到相关用户则抛出异常
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 查询当前登录用户是否存在
        com.cl.pojo.User user = userMapper.selectUserByUsername(username);
        if (user != null) {
            /**
             * org.springframework.security.core.userdetails.User
             * 自定义登录逻辑时 SpringSecurity 要求 容器中必须要有 passwordEncoder 实例 用作密码验证
             * User user = new User(username,password,authorities)
             * @username 用户提交的用户名
             * @password 数据库中查询得到的密码
             * @authorities 用户具备的权限 不允许为空
             */
            return new User(username, user.getPassword(), AuthorityUtils.commaSeparatedStringToAuthorityList("没有权限"));
        }
        throw new UsernameNotFoundException("用户不存在");
    }
}

1.2.4 PasswordEncoder

SpringSecurity 要求容器中必须有 PasswordEncoder 实例。所以当自定义登录逻辑时要求必须

给容器注入 PaswordEncoder 的 bean 对象

1.2.4.1 自定义实例
package com.cl.util;

import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

/**
 * @Author chenlan
 * @Description TODO
 * @Date 2020/12/29 10:58
 * @Version 1.0
 *
 * 配置自定义密码编码器
 */

@Component
public class MyPasswordEncoder implements PasswordEncoder{
    /**
     * 设置密码加密
     *
     * @param rawPassword 用户提交的密码
     * @return 返回加密后的密码
     */
    @Override
    public String encode(CharSequence rawPassword) {
        return rawPassword + "cl";
    }

    /**
     * 进行密码验证
     *
     * @param rawPassword 用户提交的密码(未加密)
     * @param encodedPassword 查询得到的数据库密码
     * @return 返回 true 则验证通过 false 则验证失败
     */
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return encode(rawPassword).equals(encodedPassword);
    }
}
1.2.4.2 使用内置解析器

BCryptPasswordEncoder 是 SpringSecurity 官方推荐的密码解析器。

BCryptPasswordEncoder 是对bcrypt强散列方法的具体实现。是基于Hash算法实现的单向加

密。可以通过 strength 控制加密强度,默认10。

package com.cl.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @Author chenlan
 * @Description TODO
 * @Date 2020/12/29 11:22
 * @Version 1.0
 *
 *
 * SpringSecurity 配置文件
 */

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 配置密码解析器
     *
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder(4);
    }
}

1.2.5 自定义登录页面

1.2.5.1 编写登录页面
<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/login" method="post">
    <p><input type="text" name="username"/></p>
    <p><input type="password" name="password"/></p>
    <p><input type="submit" value="登录"/></p>
</form>

</body>
</html>
1.2.5.2 编写配置类
package com.cl.config;

import com.cl.config.handler.MyAuthenticationFailureHandler;
import com.cl.config.handler.MyAuthenticationSuccessHandler;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @Author chenlan
 * @Description TODO
 * @Date 2020/12/29 11:22
 * @Version 1.0
 *
 *
 * SpringSecurity 配置文件
 */

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 登录配置 认证和授权
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置认证
        http.formLogin()
                // 配置登录成功后 跳转的 action
                .successForwardUrl("/index"
                // 设置登录的请求路径(登录表单的请求路径)
                .loginProcessingUrl("/login")
                // 配置登录失败跳转路径
                .failureForwardUrl("/fail")
                // 配置登录表单对应的用户名和密码
                .usernameParameter("username")
                .passwordParameter("password")
                // 设置登录页面
                .loginPage("/");


        // 配置授权 (从上到下)
        http.authorizeRequests()
                // 设置 "login.html" 路径可以匿名访问
                .antMatchers("/").anonymous()
                // 配置所有请求都要进行认证
                // anyRequest 等同于 antMatchers("/**")
                .anyRequest().authenticated();

        // 关闭 csrf 保护
        http.csrf().disable();
    }

    /**
     * 配置密码解析器
     *
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder(4);
    }
}
1.2.5.3 编写控制层
package com.cl.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * @Author chenlan
 * @Description TODO
 * @Date 2020/12/29 14:30
 * @Version 1.0
 */

@Controller
public class UserController {

    @RequestMapping("/")
    public String login(){
        return "login";
    }

    @RequestMapping("/index")
    public String index(){
        return "index";
    }

    @RequestMapping("/fail")
    public String fail(){
        return "fail";
    }
}

1.2.6 认证其他配置

1.2.6.1 配置请求中的参数名

当进行登录时会执行 UsernamePasswordAuthenticationFilter 过滤器

20201229200450621

在登录配置中进行配置即可

20201229200622530

1.2.6.2 自定义登录成功处理器

在登录配置中使用 successForwardUrl() 配置登录成功时

20201229203217757

20201229203558692

Mr.chen000
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 7976
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
SpringSecurity+jwt安全框架
小小志愿者的博客
03-06 5166
1、环境搭建 1.1maven项目 1.2导入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.0</version> </parent> <de
org.springframework.security.core.userdetails.UsernameNotFoundException: admin
weivi001的专栏
06-30 3396
找不到用户 org.springframework.security.core.userdetails.UsernameNotFoundException: admin 你需要重写这个接口 public interface UserDetailsService { UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException; } -=========================...
关于springsecurity无法捕获UsernameNotFoundException的解决办法
小羊的小窝
02-18 2316
UserDetailsService代码如下,当根据用户名查询不到用户信息时,我们抛出UsernameNotFoundException异常,按预想,只需要捕获该异常,便可在用户名错误时给用户提示 然而实际运行时,无论用户名不存在还是密码错误,均抛出BadCredentialsException异常,无法知道登录失败的具体原因,经过debug发现,正是在这个地方做了判断,当hideUserNotFoundExceptions为false时,抛出UserNotFoundException异常,而true时.
SpringSecurity 自定义登录用户名和密码,java代码在内存中配置不起作用,怎么办???
weixin_41290863的博客
04-06 1061
自定义的username 为 admin;password 为 123; 可是就是不起作用。 UserDetailServiceImpl package service; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.secu...
SpringBoot入门篇之properties中定义user.name失效解决
roydon
11-09 750
在properties中定义了user.name却取出了错误的value 配置文件如下: 映射实体如下: 测试时结果却输出了 User{name='HP', age=78, id=4988353466566031799, address='我的家在河南省郑州市', habits=[basketball, soccer, read], map={key1=value1, key2=value2}} 其中name='HP’显然不是我们定义的user.name=jack 具体原因是由于系统的配置
Spring Security教程(7)---- 解决UsernameNotFoundException无法被捕获的问题
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-16 2万+
这个教程是我在往项目中一点一点添加 Spring Security的过程的一个笔记,也是我学习 Spring Security的一个过程。 在解决这个问题之前要先说一点authentication-provider默认加载的是DaoAuthenticationProvider类。 完成了上一章的内容后在测试的时候发现在UserDetailsService中抛出的UsernameNotFound
SpringSecurity
孙荣达的博客
03-28 984
第一章 SpringSecurity-简介 1. 简介 https://docs.spring.io/spring-security/site/docs/4.2.10.RELEASE/guides/html5/helloworld-xml.html SpringSecurity融合Spring技术栈,提供JavaEE应 用的整体安全解决方案; Spring Security为基于Java EE的...
爆破专栏丨Spring Security系列教程之基于持久化令牌方案实现自动登录_spring security账户登录暴破
最新发布
2301_82241647的博客
05-04 943
这时候,我们只需要在登录页面中输入 用户名和密码,勾选“记住我”功能之后,Spring Security就会生成一个持久化令牌,在这个令牌中就保存了当前登陆的用户信息,该令牌信息会被自动持久化存储到persistent_logins表中。已经带各位实现了基于持久化令牌方案的自动登录,你可能很好奇,Spring Security内部到底是怎么进行实现的呢?当我们经过自动登录之后,就可以在persistent_logins表的series和token字段中看到,分别保存了对应的信息。我们看到解码出来的结果。
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Zuul和Spring Security的整合
weixin_43900374的博客
11-14 1911
照搬了https://blog.csdn.net/WiLL_XS/article/details/104894724这篇文章的代码,先谢谢这位老哥,在这些代码的基础上根据自己的需求简化了很多 pom.xml: <!--zuul 网关组件--> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId&gt
org.springframework.security.core.userdetails.UsernameNotFoundException,三步解决Activiti7和Security冲突问题
对博客内容有任何疑问,欢迎私信我
02-01 1077
本文旨在解决Activiti7 和 Security 框架的鉴权冲突问题
如何解决security中异常UsernameNotFoundException总是抛出密码错误问题
程序三两行
05-15 5144
使用spring security进行授权登录的时候,发现登录接口无法正常捕捉UsernameNotFoundException异常,捕捉到的一直是BadCredentialsException异常。我们的预期是: UsernameNotFoundException -> 用户名错误 BadCredentialsException -> 密码错误 贴几个比较重要的代码: 经过步进法跟踪代码,发现问题所在,位于 AbstractUserDetailsAuthenticationProvi
spring security oauth2中UsernameNotFoundException无法在认证失败后被捕获的问题
咘噜biu的博客
11-24 3355
1.问题描述: 在认证失败后UsernameNotFoundException异常会被默认转换成BadCredentialsException异常,导致不能捕获到UsernameNotFoundException, 一般来说UsernameNotFoundException是用户名错误导致的登录失败,BadCredentialsException是用户名或者密码错误导致的登录失败。如果我们能捕获到UsernameNotFoundException就能很好的区分登录失败是哪种具体的原因,以便在某些时候做一些
spring security的原理及教程
二当家的
08-27 5万+
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Ac
springSecurity UsernameNotFoundException无法抛出
小马的博客
08-10 2711
目录项目环境问题描述百度的解决方案方案1 --------(配置了无效)修改WebSecurityConfig配置,添加AuthenticationProvider Bean配置AuthenticationProvider Bean方案2 --------(没看懂)解决方法 项目环境 SpringBoot 2.3.1 spring-boot-starter-security 2.3.0 问题描述 使用SpringBoot + SpringSecurity做权限拦截,实现UserDetailsService进
启用springboot security后登录web页面需要用户名和密码之默认的用户名和密码
热门推荐
russle的专栏
09-06 8万+
问题 默认的用户名是user 密码是 可以在application.properteis中配置对应的用户和密码 如果不想启用密码保护可以配置为 security.user.password=none security.basic.enabled=false...
springsecurity 加载页面慢_Spring Security三:Spring Security介绍
05-18
Spring Security是一个基于Spring框架的企业应用系统安全解决方案,它提供了一组全面的安全性服务,包括身份验证、授权、攻击防护等。Spring Security的目标是为了保护企业级应用系统的安全性。 Spring Security具有以下特点: 1. 可以轻松地与Spring框架集成。 2. 支持多种认证和授权机制,如基于表单的认证、LDAP认证、OpenID、Oauth等。 3. 提供了一些简便的标签,可以用于在JSP页面中进行访问控制。 4. 支持方法级别的授权,可以通过注解或XML配置来实现。 5. 提供了一些预定义的过滤器和安全性处理器,可以用于保护应用系统中的资源。 6. 提供了一些预定义的异常处理策略,可以处理各种认证和授权异常。 7. 提供了一些扩展点,可以自定义认证、授权、过滤器等行为。 但是,由于Spring Security提供了非常强大的功能,所以在加载页面时可能会慢一些。如果您的应用系统对性能要求比较高,可以考虑使用缓存等优化方法来提高性能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值