Spring Security

已于 2022-05-04 16:07:54 修改
阅读量860 收藏
点赞数
分类专栏: Java 文章标签: java
于 2022-04-17 16:46:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46199937/article/details/122825002
版权

框架解决问题

本质上是过滤器链,使用这些过滤器解决:
1、用户认证
检验用户是否为系统中的合法主体。

2、用户授权
检验某位用户是否有权限执行某项操作。

使用

一般会搭配SpringBoot使用

依赖

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

指定版本:

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
	<version>{spring-security-version}</version>
</dependency>

初步使用

写一个简单的controller,直接返回String 就行
这时候去登录,在前端网页会出现要登录的页面
Spring Security默认用户user,默认生成随机密码在控制台

自定义开发

用户名+密码

自定义类继承UsernamePasswordAuthenticationFilter过滤器,重写attemptAuthentication、successfulAuthentication、unsuccessfulAuthentication方法。
在attemptAuthentication方法中做校验,成功则调用successfulAuthentication方法、失败则调用unsuccessfulAuthentication方法。

注意 做认证差数据库的操作,需要写在实现UserDetailsService接口的类中

步骤

1、创建类继承UsernamePasswordAuthenticationFilter,重写三个方法。
2、创建类实现UserDetailsService接口,编写查询数据过程,返回User对象(这里的User对象是安全框架的)

当返回的User对象密码数据需要加密的时候:使用PasswordEncoder接口:
new一个BCryptPasswordEncoder,使用它的encode方法完成加密。
还需要在@Configuration+@Bean注册一个BCryptPasswordEncoder实例对象进Spring容器

示例:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}
}

@Service
public class LoginService implements UserDetailsService {
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		// 判断用户名是否存在
		if (!"admin".equals(username)){
			throw new UsernameNotFoundException("用户名不存在!");
		}
		// 从数据库中获取的密码 atguigu 的密文
		String pwd ="$2a$10$2R/M6iU3mCZt3ByG7kwYTeeW0w7/UqdeXrb27zkBIizBvAven0/na"; 
		return new User(username,pwd, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,"));// 第三个参数表示权限
	}
}

示例

从数据库中查用户名和密码,来完成登录校验

依赖:SpringBoot、Spring Security、MyBatisPlus、MySQL、lombok

配置文件application.properties

#mysql 数据库连接
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver spring.datasource.url=jdbc:mysql://localhost:3306/demo?serverTimezone=GMT%2B8 spring.datasource.username=root
spring.datasource.password=root

实体类entity

@Data
public class Users {
    private Integer id;
    private String username;
    private String password;
}

登录实现类Service

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {
	@Autowired
	private UsersMapper usersMapper;
	@Override
	public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
		QueryWrapper<Users> wrapper = new QueryWrapper(); 
		wrapper.eq("username",s);
		Users users = usersMapper.selectOne(wrapper);
		if(users == null) {
			throw new UsernameNotFoundException("用户名不存在!");
		}
		System.out.println(users);
		List<GrantedAuthority> auths =AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_sale"); 
		return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword()),auths);
	}
}

配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}
}

配置需要认证的路径/登录页面

配置类修改为如下:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}

	//设置登录页面转到自定义页面
	@Override
	protected void configure(HttpSecurity http)throws Exception{
		http.formLogin() //自定义自己编写的登录页面
			.loginPage("/login.html") //登录页面(当访问需要认证的页面时,会跳转到这个页面)
			.loginProcessingUrl("/user/login") //登录表单路径,就是登录操作触发哪个controller,不需要自己实现,随便写一个
			.defaultSuccessUrl("/success").permitAll() //登录成功之后转到的路径
			.and().authorizeRequests()
				.antMatchers("/","/test/hello","/user/login").permitAll()//访问这些路径不需要认证
				.anyRequest().authenticated()
			.and().csrf().desable();//关闭csrf防护
	}
}

用户授权

基于角色或权限进行访问控制

hasAuthority方法

当前主体有权限时返回true 无权限返回false

配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}

	//设置登录页面转到自定义页面
	@Override
	protected void configure(HttpSecurity http)throws Exception{
		http.formLogin() //自定义自己编写的登录页面
			.loginPage("/login.html") //登录页面(当访问需要认证的页面时,会跳转到这个页面)
			.loginProcessingUrl("/user/login") //登录表单路径,就是登录操作触发哪个controller,不需要自己实现,随便写一个
			.defaultSuccessUrl("/success").permitAll() //登录成功之后转到的路径
			.and().authorizeRequests()
				.antMatchers("/","/test/hello","/user/login").permitAll()//访问这些路径不需要认证
				.andMatchers("/test/index").hasAuthority("admin")//用户需要带有admin权限
				.anyRequest().authenticated()
			.and().csrf().desable();//关闭csrf防护
	}
}

hasAnyAuthority方法

当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回true
配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}

	//设置登录页面转到自定义页面
	@Override
	protected void configure(HttpSecurity http)throws Exception{
		http.formLogin() //自定义自己编写的登录页面
			.loginPage("/login.html") //登录页面(当访问需要认证的页面时,会跳转到这个页面)
			.loginProcessingUrl("/user/login") //登录表单路径,就是登录操作触发哪个controller,不需要自己实现,随便写一个
			.defaultSuccessUrl("/success").permitAll() //登录成功之后转到的路径
			.and().authorizeRequests()
				.antMatchers("/","/test/hello","/user/login").permitAll()//访问这些路径不需要认证
				.andMatchers("/test/index").hasAnyAuthority("admin,manager")//用户需要带有admin权限
				.anyRequest().authenticated()
			.and().csrf().desable();//关闭csrf防护
	}
}

hasRole方法

如果用户具备给定角色就允许访问,否则出现403。类似hasAuthority方法。
对应部分改为:.andMatchers("/test/index").hasRole("admin")//用户需要带有admin权限

注意不同点在于,userDetailService返回的角色需要ROLE_xxx(有前缀),而hasRole方法参数则为xxx。

hasAnyRole方法

类似hasAnyAuthority方法。

配置无权限时跳转页面

配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}

	//设置登录页面转到自定义页面
	@Override
	protected void configure(HttpSecurity http)throws Exception{
		http.exceptionHandling().accessDeniedPage("/unauth.html");//设置无权限访问跳转自定义页面
		http.formLogin() //自定义自己编写的登录页面
			.loginPage("/login.html") //登录页面(当访问需要认证的页面时,会跳转到这个页面)
			.loginProcessingUrl("/user/login") //登录表单路径,就是登录操作触发哪个controller,不需要自己实现,随便写一个
			.defaultSuccessUrl("/success").permitAll() //登录成功之后转到的路径
			.and().authorizeRequests()
				.antMatchers("/","/test/hello","/user/login").permitAll()//访问这些路径不需要认证
				.andMatchers("/test/index").hasAnyAuthority("admin,manager")//用户需要带有admin权限
				.anyRequest().authenticated()
			.and().csrf().desable();//关闭csrf防护
	}
}

用户授权(注解使用)主要

@Secured

判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。 使用注解先要开启注解功能,在 启动类或配置类 上添加@EnableGlobalMethodSecurity(securedEnabled=true)注解

在controller层的方法上面加上@Secured注解

@RequestMapping("testSecured")
@ResponseBody 
@Secured({"ROLE_normal","ROLE_admin"}) //需要ROLE_前缀开头
public String helloUser() {
	return "hello,user";
}

@PreAuthorize

注解适合进入方法前的权限验证, @PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中。使用注解先要开启注解功能,在 启动类或配置类 添加@EnableGlobalMethodSecurity(prePostEnabled = true)

在controller层的方法上面加上@PreAuthorize注解

@RequestMapping("/preAuthorize") @ResponseBody
//@PreAuthorize("hasRole('ROLE_管理员')")
@PreAuthorize("hasAnyAuthority('menu:system')")//注意引号,hasAnyAuthority这里也可以使用另外三个
public String preAuthorize(){
	System.out.println("preAuthorize"); return "preAuthorize";
}

@PostAuthorize

注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值 的权限。启动类开启@EnableGlobalMethodSecurity(prePostEnabled = true)

在controller层的方法上面加上@PostAuthorize注解

@RequestMapping("/testPostAuthorize") 
@ResponseBody @PostAuthorize("hasAnyAuthority('menu:system')") 
public String preAuthorize(){
	System.out.println("test--PostAuthorize"); return "PostAuthorize";
}

@PostFilter

权限验证之后对返回前端的数据进行过滤,留下用户名是 admin1 的数据,表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

controller层方法

@RequestMapping("getAll") 
@PreAuthorize("hasRole('ROLE_管理员')") 
@PostFilter("filterObject.username == 'admin1'")
@ResponseBody
public List<UserInfo> getAllUser(){
	ArrayList<UserInfo> list = new ArrayList<>(); 
	list.add(new UserInfo(1l,"admin1","6666")); 
	list.add(new UserInfo(2l,"admin2","888"));
	return list;
}

@PreFilter

进入控制器之前对前端传入数据进行过滤

controller层方法

@RequestMapping("getTestPreFilter") 
@PreAuthorize("hasRole('ROLE_管理员')") 
@PreFilter(value = "filterObject.id%2==0") 
@ResponseBody
public List<UserInfo> getTestPreFilter(@RequestBody List<UserInfo> list){
	list.forEach(t-> { System.out.println(t.getId()+"\t"+t.getUsername());
	});
	return list;
}

用户注销

用户登录后如何进行退出操作,需要在配置类中添加退出映射地址http.logout().logoutUrl("/logout").logoutSuccessUrl("/index").permitAll()

配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}

	//设置登录页面转到自定义页面
	@Override
	protected void configure(HttpSecurity http)throws Exception{
		//设置退出
		http.logout().logoutUrl("/logout").logoutSuccessUrl("/index").permitAll();
		
		http.exceptionHandling().accessDeniedPage("/unauth.html");//设置无权限访问跳转自定义页面
		http.formLogin() //自定义自己编写的登录页面
			.loginPage("/login.html") //登录页面(当访问需要认证的页面时,会跳转到这个页面)
			.loginProcessingUrl("/user/login") //登录表单路径,就是登录操作触发哪个controller,不需要自己实现,随便写一个
			.defaultSuccessUrl("/success").permitAll() //登录成功之后转到的路径
			.and().authorizeRequests()
				.antMatchers("/","/test/hello","/user/login").permitAll()//访问这些路径不需要认证
				.andMatchers("/test/index").hasAnyAuthority("admin,manager")//用户需要带有admin权限
				.anyRequest().authenticated()
			.and().csrf().desable();//关闭csrf防护
	}
}

自动登录

实现效果:需要认证才能访问的页面,在关闭浏览器再次打开后还能不能录直接访问。

原理:把cookie和对应用户信息存入数据库

自动登录

功能实现

1、数据库建表:用户名、密码、token

2、修改配置类:注入数据源、配置操作数据库对象

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	//注入数据源
	@Autowired
	private DataSourse dataSourse;

	//操作数据库的对象
	@Bean
	public PersistentTokenRepository persistentTokenRepository(){
		JdbcTokenRepositoryImpl jdbcTokenRepositoryImpl=new JdbcTokenRepositoryImpl();
		jdbcTokenRepositoryImpl.setDataSourse(dataSourse);
		return jdbcTokenRepositoryImpl;
	}

	@Autowired
	private UserDetailsService userDetailsService;

	@Override
	protected void configure(AuthenticationManagerBuilder auth)throws Exception{
		auth.userDetailsService(userDetailsService).passwordEncoder(password());
	}

	@Bean
	PasswordEncoder password(){return new BCryptPasswordEncoder();}

	//设置登录页面转到自定义页面
	@Override
	protected void configure(HttpSecurity http)throws Exception{
		//设置退出
		http.logout().logoutUrl("/logout").logoutSuccessUrl("/index").permitAll();
		
		http.exceptionHandling().accessDeniedPage("/unauth.html");//设置无权限访问跳转自定义页面
		http.formLogin() //自定义自己编写的登录页面
			.loginPage("/login.html") //登录页面(当访问需要认证的页面时,会跳转到这个页面)
			.loginProcessingUrl("/user/login") //登录表单路径,就是登录操作触发哪个controller,不需要自己实现,随便写一个
			.defaultSuccessUrl("/success").permitAll() //登录成功之后转到的路径
			.and().authorizeRequests()
				.antMatchers("/","/test/hello","/user/login").permitAll()//访问这些路径不需要认证
				.andMatchers("/test/index").hasAnyAuthority("admin,manager")//用户需要带有admin权限
				.anyRequest().authenticated()
				.and().rememberMe().tokenRepository(persistentTokenRepository())//设置自动登录
				.tokenValiditySeconds(60)//设置有效期
				.userDetialService(userDetailsService);//查询数据的
			.and().csrf().desable();//关闭csrf防护
	}
}

3、修改配置类configure()方法
注意在“设置自动登录”处

重点

单点登录

Kramer_149
关注
专栏目录
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
Springboot+Security用户无权限返回自定义信息
weixin_42901726的博客
06-12 6470
@Springboot+Security用户无权限返回自定义信息 返回信息分为跳转自定义页面和字符串提醒 返回信息分为跳转自定义页面和字符串提醒,这里我将都介绍并将自己遇到的问题做出解释 返回自定义界面提示 只需要修改启动类 import org.springframework.boot.SpringApplication; import org.springframework.boot.au...
自定义@PreAuthorize抛出异常security.access.AccessDeniedException: Access is denied
单筱风的博客
07-22 5253
1.问题由来 最近在开发中使用@PreAuthorize("@el.check(‘user’)")自定义了一个验证规则,当验证通过时返回true程序没有问题,但是返回false时却抛出了异常security.access.AccessDeniedException: Access is denied @ApiOperation(value = "获取菜单") @GetMapping("getPermission") @PreAuthorize("@el.check('user')")
springBoot2x + security无权限自定义返回数据结构
weixin_39758190的博客
06-21 2291
1 Spring Boot 在有异常发生时或者请求了一个受保护的资源亦或者用户没有通过认证的时候,默认返回的 Json 数据结构如下 : (用 Postman 测试接口) { “timestamp”: “2019-06-21 16:28:59”, “status”: 403, “error”: “Forbidden”, “message”: “Access Denied”, “path”: “/...
springMVC拦截器返回错误信息给前端
dxyzhbb的博客
06-13 6000
springMVC拦截器的preHandle方法返回值是Boolean类型,所以条件够就放行,执行方法,而条件不足,前端无法知道是什么原因而被拦截,下面来解决这个问题。 一. 编写一个拦截器(该拦截器作用是:判断用户是否登录并且权限是否足够) package com.mmall.controller.common.intercept; import com.mmall.common.Constants; import com.mmall.common.ResponseCode; import com.mm
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5713
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springSecurity
10-14
springSecurity
spring security的一些注解
JavaAlliance
04-06 3098
1.@EnableGlobalMethodSecurity Spring Security默认是禁用注解的,要想开启注解, 需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解, 来判断用户对某个控制层的方法是否具有访问权限 (解释: 就是说有的@requestMapping方法被拥有指定权限的人访问 ) 例如下面代...
权限验证不迷茫---Spring Security入门-02
m0_48372951的博客
11-22 240
一.注解实现权限验证 开启注解方式,需要在WebSecurityConfig类上增加EnableGlobalMethodSecurity注解,同时在注解中需要开启对应的注解支持,Spring Security总共支持三种类型的注解,三种注解类型如下: securedEnabled Spring Security内部注解,Spring Security提供的注解规范 prePostEnabled Spring el表达式方式,Spring提供的注解规范 jsr250Enabled
Spring Security用户认证和权限控制(默认实现)
jingke_1524的博客
09-25 1368
1 背景 实际应用系统中,为了安全起见,一般都必备用户认证(登录)和权限控制的功能,以识别用户是否合法,以及根据权限来控制用户是否能够执行某项操作。 Spring Security是一个安全相关的框架,能够与Spring项目无缝整合,本文主要是介绍Spring Security默认的用户认证和权限控制的使用方法和原理,但不涉及到自定义实现。 Spring Security用户认证和权限控制(自定义实现)这篇文章专门讲解用户认证和权限控制相关的自定义实现。 2 实战示例 2.1 创建工程 创建一个
详细分析SpringSecurity中的@PreAuthorize注解
最新发布
码农研究僧的博客
01-27 8819
Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring Security入门23-31 登录验证功能
qq_43568982的博客
08-02 977
Spring Security
Spring Security 结合jwt 自定义权限认证 基于huike CRM系统
jikeyeka的博客
07-26 1978
crm系统的登录模块 spring security 登录验证 jwt token 鉴权 权限管理
SpringSecurity:@PreAuthorize如何实现自定义权限校验方法
2301_76607156的博客
05-05 1365
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!
SpringSecurity权限认证@preAuthorize失效
Gufang617的博客
08-25 3164
. 原因分析 1.跟着老师搭载的SSO(单点登录)项目,没有进行sys:res:update的授权,但是SpringSecurity就是不对其进行拦截,结果前端返回的response.data中只有"doUpdate resource (update) ok" 2.授权被拦截而执行的方法,没有执行.map中没有put入message. 3.故导致前端页面alert(response.data.message),message都是undefined 解决办法:在图片中红线位置加这局注解即可. 原理:@
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值