权限控制——SpringSecurity应用(初始项目改进)

最新推荐文章于 2023-12-04 09:59:19 发布
最新推荐文章于 2023-12-04 09:59:19 发布
阅读量265 收藏
点赞数
分类专栏: Spring 文章标签: servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_50916733/article/details/128892657
版权
本文详细介绍了如何在SpringSecurity中实现权限控制,包括配置可匿名访问资源、指定登录页面、从数据库查询用户信息、密码加密、配置多种校验规则、注解方式权限控制以及退出登录等功能。通过实例演示了每个步骤,帮助读者掌握SpringSecurity的使用。
摘要由CSDN通过智能技术生成

1. 配置可匿名访问的资源  

第一步:在项目中创建pages目录,在pages目录中创建a.html和b.html

第二步:在spring_security.xml文件中配置,指定哪些资源可以匿名访问

    <!--
    http:用于定义相关权限控制
    配置哪些资源可以匿名访问(即不登录也可以访问)
-->
    <security:http security="none" pattern="/pages/a.html" />
    <security:http security="none" pattern="/paegs/b.html" />
<!--  使用通配符方式,使代码更为简洁  -->
<security:http security="none" pattern="/pages/**"></security:http>

 注:此时pages目录中仅创建a.html和b.html两个页面。因此,通过以上配置,pages目录下的文件可以在没有认证的情况下任意访问。

2. 使用指定的登录页面 

第一步:提供login.html作为项目的登录页面

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8">
    <title>登录页面</title>
</head>
<body>
<form action="login.do" method="post">
    username:<input type="text" name="username"><br>
    password:<input type="password" name="password"><br>
    <input type="submit" value="submit">
</form>
</body>
</html>

第二步:修改spring-security.xml文件,指定login.html页面可以匿名访问

<security:http security="none" pattern="/login.html" />

 第三步:修改spring-security.xml文件,加入表单登录信息的配置

 注:如果我们要使用自己指定的页面作为登录页面,必须配置登录表单,页面提交的登录表单请求是由框架负责处理。

第四步:修改spring-security.xml文件,关闭CsrfFilter过滤器

<!--
csrf:对应CsrfFilter过滤器
disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
-->
<security:csrf disabled="true"></security:csrf>

修改后完整代码如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
                          http://www.springframework.org/schema/security
                          http://www.springframework.org/schema/security/spring-security.xsd">
    <!--
    http:用于定义相关权限控制
    配置哪些资源可以匿名访问(不登录也可以访问)
-->
<!--    <security:http security="none" pattern="/pages/a.html" />-->
<!--    <security:http security="none" pattern="/paegs/b.html" />-->

    <!--  使用通配符方式,使代码更为简洁  -->
<!--    <security:http security="none" pattern="/pages/**"></security:http>-->

    <security:http security="none" pattern="/login.html" />
    <!--
  auto-config:是否自动配置
              设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
              设置为false时需要显示提供登录表单配置,否则会报错
  use-expressions:用于指定intercept-url中的access属性是否使用表达式
-->
    <security:http auto-config="true" use-expressions="true">
        <!--
            intercept-url:定义一个拦截规则
            pattern:对哪些url进行权限控制
            access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
				  请求的用户只需拥有其中的一个角色就能成功访问对应的URL
        -->
        <security:intercept-url pattern="/**"  access="hasRole('ROLE_ADMIN')" />

        <!--   form-login:定义表单登录信息   -->
        <security:form-login login-page="/login.html"
                             username-parameter="username"
                             password-parameter="password"
                             login-processing-url="/login.do"
                             default-target-url="/index.html"
                             authentication-failure-url="/login.html"
        />

        <!--
        csrf:对应CsrfFilter过滤器
        disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
        -->
        <security:csrf disabled="true"></security:csrf>
    </security:http>

    <!--
        authentication-manager:配置认证管理器,用于处理认证操作
    -->
    <security:authentication-manager>
        <!-
最低0.47元/天 解锁文章
要努力wow
关注
专栏目录
Spring Security 6.x 系列(8)—— SecurityConfigurer 配置器及其分支实现源码分析(一)
gmHappy
12-01 1万+
`SecurityConfigurer` 的所有实现类都是用来配置构造器的。也就是说,泛型 O 和 B 的关系是,B 用来构造 O。而配置器的作用是配置这个构造器的,从而影响最终构造的结果。
Spring Security 如何允许对同一地址进行匿名和身份验证访问
m13012606980的专栏
09-28 2800
场景描述 可能在开发过程设置了一个匿名访问地址,但这个地址我们同时也想让它能够进行身份验证访问。就比如一个地址你把它分享出去就可以匿名访问,但如果这个地址如果没有被分享出去在系统内部或者在app就可以进行身份验证访问。 遇到的问题 Spring Security 版本:4.1.0.RELEASE。现在版本到 5.5.2 为啥不用最新的,我只能说我也想。 Spring Security默认对匿名访问设置是如果你当前请求的地址为匿名访问设置,并且没有携带token的话,Spring Security会在
Spring Security
JielongYang的博客
11-18 390
简介 Spring Security是一种基于Spring AOP和Servlet过滤器Filter的安全框架,它提供全面的安全性解决方案,提供在Web请求和方法调用级别的用户鉴权和权限控制。 Filter在一个HTTP请求过程的执行流程如下图: Spring Security 提供了多种登录认证策略。 典型的基于表单登录认证的流程如下图: 实战 1.创建spring boot项目 2.加入Security 和 Web 依赖 3.启动应用,浏览器访问 localhost:8080 得到一个登录表单页面
权限初始java,【开源项目Spring Security三大权限框架案例讲解01—项目初始化...
weixin_42102272的博客
03-12 164
GitHub前言大致简介项目主要逐步迭代讲解Spring Security + Spring Social + Spring Security OAuth + REST服务开发,通过实际的案例开发来讲解,项目注解详细适合作为教程案例,同时对代码的演进还有重构也会有对应的推文讲解!什么是登录与账户安全!?大多数初级的程序员可能理解的比较简单,即普通的表单登录,数据查询等等,但是真正的企业登录权限系统...
SpringSecurity-权限校验就是这么简单(1)-如何初始化及加载多个Filter
06-27 753
可能之前会省略很多,我们先了解总的概念实现,无须从头看到尾去解决某个问题了 (1)SpringSecurity针对某个请求会有不同的SecurityFilterChain,而里面会有好多过滤器;也就是说我们会针对不同的请求来设置添加不同的过滤器,此场景主要用于分类、分路径请求的情况。 (2)就是说说如何往SecurityFilterChain加入不同的Filter,及加入的过程方式、注意事项...
二、初始Spring Security
付之一笑的专栏
08-22 404
一、初始Spring Security 1.1、Spring Security概念 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 1.2、Spring Security简单入门 Spring Security博大精深,设计巧妙,功能繁杂,一言难尽,我们还是直接上代码吧! 1.2.1、创建web工程并导入jar包 Spring Security主要jar包功能介绍 sprin
spring security如何设定匿名访问
小汤圆
08-18 2968
anonymous() 允许配置匿名用户的表示方法。 当与WebSecurityConfigurerAdapter结合使用时,这将自动应用。 默认情况下,匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示,并包含角色 “ROLE_ANONYMOUS” 可以创建一个匿名用户的身份 当过滤器发现没有真实用户的时候,就给当前用户一个匿名身份 同时数据里设定一个匿名用户角色 让匿名的用户有权限访问匿名访
权限控制——SpringSecurity应用
m0_50916733的博客
02-04 300
权限控制——SpringSecurity应用 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。 本文章内容即对后台系统进行权限控制,其本质就是对用户进行认证和授权。
Java零基础——SpringSecurity
最新发布
m0_47946173的博客
12-04 2166
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
接着,SpringSecurity作为安全模块,主要负责用户的登录验证、权限控制以及会话管理。在本项目SpringSecurity可以实现用户登录时的身份验证,例如通过用户名和密码进行认证。同时,它还支持基于角色的访问控制...
若依spring security 实现匿名访问
u010227042的博客
05-29 1548
如下配置: 在此weiz
Spring Security匿名用户
热门推荐
来啊 快活啊
06-13 1万+
Spring Security为我们提供了一个匿名用户的功能,我们可以基于此很容易的实现匿名用户的单独控制,使我们的站点轻松拥有游客用户的功能;如果开启了匿名用户的功能,按照Spring Security Filter的执行顺序,AnonymousAuthenticationFilter在ExceptionTranslationFilter的前面,在各种认证机制和RememberMeAuthenti
第 13 章 匿名登录
weixin_34326179的博客
07-13 661
第13章匿名登录 匿名登录,即用户尚未登录系统,系统会为所有未登录的用户分配一个匿名用户,这个用户也拥有自己的权限,不过他是不能访问任何被保护资源的。 设置一个匿名用户的好处是,我们在进行权限判断时,可以保证SecurityContext永远是存在着一个权限主体的,启用了匿名登录功能之后,我们所需要做的工作就是从SecurityContext取出权限...
Spring security配置
行云的博客
07-07 2312
SpringSecurity认证一、HttpBasic模式登录认证 SpringSecurity 自带一种基础认证模式实现方式:创建WebSecurityConfig配置类/** * Spring Securtiy配置类 */@Configuration //配置类public class WebSecurityConfig extends WebSecurit...
Spring Security权限注解@PreAuthorize通俗讲解
m0_53370922的博客
05-20 6070
写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑) 图1 简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访
若依框架基于@PreAuthorize注解的权限控制
weixin_49561506的博客
01-28 9593
介绍了Java注解的使用与定义以及对若依框架的权限控制进行解析
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6816
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
Spring boot+Spring security5+Thymeleaf集成项目登陆后一直处于匿名用户和defaultSuccessUrl无效问题的分析解决
Maskkiss的博客
09-12 8411
一、前言     前两天帮同事解决代码bug发现的问题,当天没有解决,把涉及到的代码抽出来单独放在一个项目里研究。当时在网上并没有合适的解决方案,经过不断调试,现在解决了问题,把问题处理方案贴出来供大家学习。 二、问题描述与解决     点击登录后,后台service重写的loadUserByUsername方法显示已经根据提交的表单信息成功找到了对应的用户信息以及用户所对应的角色信息。代码...
Spring Security OAuth 匿名认证的使用
m13012606980的专栏
09-14 3313
Spring Security OAuth 匿名认证的使用AnonymousAuthenticationFilter配置匿名访问的资源路径自定义匿名访问注解自定义注解AnonymousAccess动态获取匿名访问路径获取@AnonymousAccess标注的接口为空问题反射获取@AnonymousAccess标注的接口 AnonymousAuthenticationFilter spring security 默认提供了一个匿名身份验证的过滤器AnonymousAuthenticationFilter,默认
Spring Security 3.0.1 文文档:修复与指南
Spring Security是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的Web应用程序。该框架旨在提供全面的安全解决方案,包括用户身份验证、权限管理以及对Web请求的安全控制。 1. **Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值