Spring-Security

已于 2022-11-04 10:26:01 修改
阅读量192 收藏
点赞数 2
文章标签: 服务器 运维
于 2022-11-04 10:25:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50552745/article/details/127683325
版权

目录

认证模式

实现Basic认证

from 表单模式

配置权限策略

如何修改403权限不足页面

如何修改fromlog页面 

动态权限控制

Rbac权限表设计

认证模式

实现Basic认证

概念:Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。

maven依赖:

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.2.1.RELEASE</version>
</parent>
<dependencies>
    <!--  springboot 整合web组件-->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

 配置类:

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 新增授权账户
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /**
         * 新增一个账户mayikt 密码也是为mayikt 可以允许访问所有的请求
         */
        auth.inMemoryAuthentication().withUser("mayikt").password("mayikt").authorities("/");
    }

    /**
     * 新增 HttpSecurity配置
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
             /**
         * 拦截 http 安全认证模式 设置为httpBasic模式
         */
        http.authorizeRequests().antMatchers("/**").fullyAuthenticated()
                .and().httpBasic();
    }

当添加上面配置使用时访问接口报错

添加下面代码会解决这个问题
/**
 * There is no PasswordEncoder mapped for the id "null"
 * 原因:升级为Security5.0以上密码支持多中加密方式,恢复以前模式
 * @return
 */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }
}

from 表单模式

如何实现:

From 表单模式 适合于传统模式项目 前端和后端都是我们java开发人员自己实现,Vue+SpringBoot
 protected void configure(HttpSecurity http) throws Exception {
    /**
     * 拦截 http 安全认证模式 设置为httpBasic模式
     */
    //http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();
    http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin();
}

配置权限策略

在企业管理系统平台中,会拆分成n多个不同的账号,每个账号对应不同的接口访问权限,
比如 
账号peiyu 所有接口都可以访问;
peiyu_userName账户 只能访问/userName接口;
peiyu_userId账户 只能访问/userId接口;

 主要修改配置类

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    /**
     * 新增一个账户peiyu 密码也是为peiyu 可以允许访问所有的请求
     */
    //auth.inMemoryAuthentication().withUser("peiyu").password("peiyu").authorities("/");
    /**
     * 使用权限进行访问
     */
    auth.inMemoryAuthentication().withUser("peiyu").password("peiyu").authorities("userName","userId");
    auth.inMemoryAuthentication().withUser("peiyu_name").password("peiyu_name").authorities("userName");
    auth.inMemoryAuthentication().withUser("peiyu_id").password("peiyu_id").authorities("userId");
}

/**
 * 新增 HttpSecurity配置
 *
 * @param http
 */
@Override
protected void configure(HttpSecurity http) throws Exception {
    /**
     * 拦截 http 安全认证模式 设置为httpBasic模式
     */
    //http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();
    //http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin();

    /**
     * 将接口 /userName 的权限名称定义为 userName
     * 将接口 /userId 的权限名称定义为 userId
     */
    http.authorizeRequests().antMatchers("/user/userName").hasAnyAuthority("userName")
            .antMatchers("/user/userId").hasAnyAuthority("userId")
            .antMatchers("/**").fullyAuthenticated().and().formLogin();
}

如何修改403权限不足页面

创建一个配置类

package com.tit.springsecurity.config;

import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;

/**
 * @author peiyu
 * @version 1.0
 */
@Configuration
public class WebServerAutoConfiguration {
    @Bean
    public ConfigurableServletWebServerFactory webServerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        ErrorPage errorPage400 = new ErrorPage(HttpStatus.BAD_REQUEST, "/error/400");
        ErrorPage errorPage401 = new ErrorPage(HttpStatus.UNAUTHORIZED, "/error/401");
        ErrorPage errorPage403 = new ErrorPage(HttpStatus.FORBIDDEN, "/error/403");
        ErrorPage errorPage404 = new ErrorPage(HttpStatus.NOT_FOUND, "/error/404");
        ErrorPage errorPage415 = new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE, "/error/415");
        ErrorPage errorPage500 = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500");
        factory.addErrorPages(errorPage400, errorPage401, errorPage403, errorPage404, errorPage415, errorPage500);
        return factory;
    }
}

再创建一个 Controller  进行统一的错误返回 

package com.tit.springsecurity.config;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * 统一的错误返回页面
 * @author peiyu
 * @version 1.0
 */
@RestController
public class ErrorController {
    @RequestMapping("/error/403")   //只返403错误
    public String error() {
        return "您当前访问的接口权限不足!";
    }
}

如何修改fromlog页面 

先添加依赖:
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>


配置文件:
spring:
  freemarker:
    settings:
      classic_compatible: true #处理空值
      datetime_format: yyy-MM-dd HH:mm
      number_format: 0.##
    suffix: .ftl
    template-loader-path:
      - classpath:/templates

替换的页面: login.ftl

 配置类修改  

动态权限控制

Rbac权限表设计

概念:RBAC(基于角色的权限控制)模型的核心是在用户和权限之间引入了角色的概念。取消了用户和权限的直接关联,改为通过用户关联角色、角色关联权限的方法来间接地赋予用户权限(如下图),从而达到用户和权限解耦的目的。

实现:

1.创建数据库

2.Maven依赖 

<!-- springboot 整合mybatis框架 -->
<dependency>
    <groupId>org.mybatis.spring.boot</groupId>
    <artifactId>mybatis-spring-boot-starter</artifactId>
    <version>1.3.2</version>
</dependency>
<!-- alibaba的druid数据库连接池 -->
<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid-spring-boot-starter</artifactId>
    <version>1.1.9</version>
</dependency>
<dependency>
    <groupId>mysql</groupId>
    <artifactId>mysql-connector-java</artifactId>
</dependency>

3.配置文件

datasource:
  name: test
  url: jdbc:mysql://127.0.0.1:3306/mayikt_rbac
  username: root
  password: root
  # druid 连接池
  type: com.alibaba.druid.pool.DruidDataSource
  driver-class-name: com.mysql.jdbc.Driver 

4.mapper接口

 查询权限表以及查询角色所对权限 

5.动态根据账户名称查询权限 

使用UserDetailsService实现动态查询数据库验证账号

@Component
@Slf4j
public class MemberDetailsService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        // 1.根据用户名称查询到user用户
        UserEntity userDetails = userMapper.findByUsername(userName);
        if (userDetails == null) {
            return null;
        }
        // 2.查询该用户对应的权限
        List<PermissionEntity> permissionList = userMapper.findPermissionByUsername(userName);
        ArrayList<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        permissionList.forEach((a) -> {
            grantedAuthorities.add(new SimpleGrantedAuthority(a.getPermTag()));
        });
        log.info(">>permissionList:{}<<",permissionList);
        // 设置权限
        userDetails.setAuthorities(grantedAuthorities);
        return userDetails;
    }
}

6.WebSecurity相关配置

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private MemberDetailsService memberDetailsService;
    @Autowired
    private PermissionMapper permissionMapper;

    /**
     * 新增授权账户
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /**
         * 新增一个账户mayikt 密码也是为mayikt 可以允许访问所有的请求
         */
//        auth.inMemoryAuthentication().withUser("mayikt").password("mayikt").authorities("mayikt");
        /**
         * 1.新增mayikt_admin mayikt_admin 权限可以访问所有请求
         */
//        auth.inMemoryAuthentication().withUser("mayikt_admin").password("mayikt_admin").authorities("addMember"
//                , "delMember", "updateMember", "showMember");
//        auth.inMemoryAuthentication().withUser("mayikt_add").password("mayikt_add").authorities("addMember");
//        auth.inMemoryAuthentication().withUser("mayikt_del").password("mayikt_del").authorities("delMember");
//        auth.inMemoryAuthentication().withUser("mayikt_update").password("mayikt_update").authorities("updateMember");
//        auth.inMemoryAuthentication().withUser("mayikt_show").password("mayikt_show").authorities("showMember");
        auth.userDetailsService(memberDetailsService).passwordEncoder(new PasswordEncoder() {
         //对密码进行MD5加密
            @Override
            public String encode(CharSequence rawPassword) {
                return MD5Util.encode((String) rawPassword);
            }
             //比较密码是否正确
            @Override
            public boolean matches(CharSequence rawPassword, String encodedPassword) {
                String rawPass = MD5Util.encode((String) rawPassword);
                boolean result = rawPass.equals(encodedPassword);
                return result;
            }
        });
    }

    /**
     * 新增 HttpSecurity配置
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        /**
//         * 拦截 http 安全认证模式 设置为httpBasic模式
//         */
//        http.authorizeRequests().antMatchers("/**").fullyAuthenticated()
//                .and().httpBasic();
        /**
         * 拦截 http 安全认证模式 设置为formLogin模式
         */
//        http.authorizeRequests().antMatchers("/**").fullyAuthenticated()
//                .and().formLogin();

//        http.authorizeRequests().antMatchers("/addMember").hasAnyAuthority("addMember")
//                .antMatchers("/delMember").hasAnyAuthority("delMember")
//                .antMatchers("/updateMember").hasAnyAuthority("updateMember")
//                .antMatchers("/showMember").hasAnyAuthority("showMember")
                antMatchers("/**").fullyAuthenticated()
                .and().formLogin();
//                //并且关闭csrf 设置跳转到自定义login页面  放开权限
//                .antMatchers("/login").permitAll()
//                // 设置自定义登录页面
//                .antMatchers("/**").fullyAuthenticated().and().formLogin().loginPage("/login").and().csrf().disable();

        List<PermissionEntity> allPermission = permissionMapper.findAllPermission();
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry
                authorizeRequests = http.authorizeRequests();
        allPermission.forEach((p) -> {
            authorizeRequests.antMatchers(p.getUrl()).hasAnyAuthority(p.getPermTag());
        });
        authorizeRequests.antMatchers("/login").permitAll()                // 设置自定义登录页面
                .antMatchers("/**").fullyAuthenticated().and().formLogin().loginPage("/login").and().csrf().disable();

    }

    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }
}

7.MD5工具类

public class MD5Util {

   private static final String SALT = "mayikt";

   public static String encode(String password) {
      password = password + SALT;
      MessageDigest md5 = null;
      try {
         md5 = MessageDigest.getInstance("MD5");
      } catch (Exception e) {
         throw new RuntimeException(e);
      }
      char[] charArray = password.toCharArray();
      byte[] byteArray = new byte[charArray.length];

      for (int i = 0; i < charArray.length; i++)
         byteArray[i] = (byte) charArray[i];
      byte[] md5Bytes = md5.digest(byteArray);
      StringBuffer hexValue = new StringBuffer();
      for (int i = 0; i < md5Bytes.length; i++) {
         int val = ((int) md5Bytes[i]) & 0xff;
         if (val < 16) {
            hexValue.append("0");
         }

         hexValue.append(Integer.toHexString(val));
      }
      return hexValue.toString();
   }

   public static void main(String[] args) {
      System.out.println(MD5Util.encode("mayikt"));

   }
}
Java开发-裴雨
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一篇就会的Spring Security开发
cgblpx的博客
03-18 960
修改 application.yml 文件spring:security:user:name: test # 通过配置文件,设置静态用户名password: test # 配置文件,设置静态登录密码。
Spring Security系列教程02--初识Spring Security
一一哥
09-07 1702
一. Spring Security概念 Spring Security是一个功能强大且高度可定制的,主要负责为Java程序提供声明式的 身份验证和访问控制 的安全框架。其前身是Acegi Security,后来被收纳为Spring的一个子项目,并更名为了Spring Security。 Spring Security的底层主要是 基于 Spring AOP 和 Servlet 过滤器 来实现安全控制,它提供了全面的安全解决方案,同时授权粒度可以在 Web请求级和方法调用级 来处理身份确认和授权。 二
Spring Security开发安全的REST服务及部署一Hello Spring Security
whaleluo的博客
01-20 800
一导读 Spring Security 从名字就可以知道是一种关于安全的技术 安全是一个很广泛的技术,我们主要聚焦于认证和授权。 认证和授权最终的表现形式就是一个登录的功能 ...
【Spring Boot】Spring Security开发笔记
Sidney_Jack_1101的博客
01-22 234
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。本文将记录Spring Security相关开发笔记及简单的Spring Security应用。​
SpringSecurity基础:开发环境搭建
Leon_Jinhai_Sun的博客
09-14 263
SpringSecurity基础:开发环境搭建
spring security——学习笔记(day02)-基于默认的表单认证实现自定义登录页面
键上艺术家
12-18 1206
目录 3.表单认证 接下来学习基于表单认证的适用方式,由简单逐步深入学习,开始吧! 3.表单认证 默认的表单认证已经学了请看 2.3.3 ,现在产生了一些使用疑问, 1.不想使用security自带的登录页面,怎么自定义登陆页面? 2.想使用数据库操作用户的增删改查怎么办? 下面一一对应学习。 首先先解释一下 WebSecurityConfigurerAdapter 类中重写了三个 configure 方法:可跳过。 1.认证管理器配置方法 :void configure(Aut..
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Spring Security HttpSecurity.authorizeRequests
Claroja
03-19 5961
http.authorizeRequests() .antMatchers("/login.html").permitAll()//放行/login.html,不需要认证 // .antMatchers("/css/**","/js/**","/images/**").permitAll()//放行静态资源 // .antMatchers("/**/*.png").permitAll()//放行...
SpringSecurity授权(访问控制)
wyy的博客
10-30 5500
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
SpringSecurity——HttpSecurity常用方法
允诺@晴天的博客
01-28 9856
文章目录HttpSecurity 常用方法及说明HttpSecurity常用方法详解antMatcher与antMatchers的区别以及使用场景requestMatchers()authorizeRequests()匹配规则URL匹配保护URL登录login登出logout多个antMatchers在Spring HttpSecurity 常用方法及说明 通常我们在使用Spring Securty的时候会继 WebSecurityConfigurerAdapter,通过以下方法可配置拦截什么URL、设置
HttpSecurity和WebSecurity
mingzq123的博客
03-22 935
它提供了一些方法,用于配置 Spring Security 的一些基本行为,如忽略某些请求、设置用户信息来源、启用 HTTPS 等。它提供了一些方法,用于配置请求的身份认证、授权、跨站请求伪造防护等。在该方法之后,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。方法用于开启请求授权配置,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。配置请求的授权策略,如哪些请求需要进行身份认证、哪些请求需要授权等。
HttpSecurity常用方法详解
qq_30641461的博客
10-11 1万+
requestMatchers() 取得RequestMatcherConfigurer对象并配置允许过滤的路由; 如requestMatchers().anyRequest()等同于http.authorizeRequests().anyRequest().access(“permitAll”); 如下面两个例子: @Override public void configure(HttpSecurity http) throws Exception { //只允许路由由test开头的需要
请求授权(Authorize Requests)
热门推荐
苏美尔人的天空
08-23 3万+
我们的案例目前使用的是WebSecurityConfigurerAdapter中默认的HttpSecurity对象的配置,该配置是要求应用中所有url的访问都需要进行验证。我们也可以自定义哪些URL需要权限验证,哪些不需要。只需要在我们的SecurityConfig类中覆写configure(HttpSecurity http)方法即可。 protected void configure(H
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9343
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
spring-Security
最新发布
09-09
Spring Security 是 Spring 家族中的一个安全管理框架,与 Shiro 相比,它提供了更丰富的功能,并拥有更丰富的社区资源。在中大型项目中,通常会选择使用 Spring Security 来进行安全框架的搭建,而在小项目中,使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值