SpringSecurity 0到1

最新推荐文章于 2024-08-08 08:22:23 发布
最新推荐文章于 2024-08-08 08:22:23 发布
阅读量158 收藏
点赞数
分类专栏: springboot 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51532867/article/details/119332529
版权

SpringSecurity

1 springsecurity 依赖包

<!--   security-->
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
</dependency>

<!--   thymeleaf-->
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>
<!--   securitythymeleaf-->
<dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

2 springsecurity config 配置

实现UserDetailsService

@Service
public class UserServiceImpl implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据username 查询数据库
        if (!"admin".equals(username)){
            throw new UsernameNotFoundException("用户名或密码错误");
        }
        //根据查询的对象比较密码
        String password = passwordEncoder.encode("123456");
        //返回用户对象
        return new User("admin",password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_abc,/toMain,/main.html,/insert,/select"));
    }
}

创建WebSecurityConfig 继承 WebSecurityConfigurerAdapter 配置信息

public class WebSecurityConfig extends WebSecurityConfigurerAdapter

实现configure(HttpSecurity http)

protected void configure(HttpSecurity http) throws Exception {
        //表单登录
        http.formLogin()
                //自定义登录页面
                .loginPage("/showLogin")
                //自定义登录逻辑
                .loginProcessingUrl("/login")
                //登录成功跳转页面 必须是POST请求
                .successForwardUrl("/toMain")
                //自定义成功跳转页面
//                .successHandler(new MyAuthenticationSuccessHandler("/toMain"))
                //登录失败
                .failureForwardUrl("/toError")
                //自定义失败跳转页面
//                .failureHandler(new MyAuthenticationFailureHandler("http://www.qq.com"))
                //自定义用户名密码
//                .usernameParameter("username")
//                .passwordParameter("password")
                ;

        //授权
        http.authorizeRequests()
                //放行页面  ant表达式 regex表达式
                .antMatchers("/showLogin","/error.html","/**/*.jpg").permitAll()
                //通过用户权限
//                .antMatchers("/main1.html").hasAnyAuthority("admin")
                //根据角色匹配,不能以ROLE_开头  严格区分大小写
//                .antMatchers("/main1.html").hasAnyRole("abc")
//                .antMatchers("/main1.html").hasIpAddress("基于IP地址控制")
//                .regexMatchers()
                //所有请求都必须认证登录
                //注解@方式
                .anyRequest().authenticated();
                    //自定义逻辑
//                .anyRequest().access("@myServiceImpl.hasPermission(request,authentication)");

        //自定义403
        http.exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler);

        http.rememberMe()
                //自定义参数
//                .rememberMeParameter("")
                //失效时间
//                .tokenValiditySeconds()
                //自定义记住我实现
//                .rememberMeServices()
                .userDetailsService(userService).tokenRepository(persistentTokenRepository);

        //退出登录
        http.logout()
                .logoutUrl("/logout").logoutSuccessUrl("/login.html");

        //csrf 跨域
        //关闭csrf防护
//        http.csrf().disable();
    }

自动定义跳转页面

成功页
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    private final String forwardUrl;


    public MyAuthenticationSuccessHandler(String forwardUrl) {
        this.forwardUrl = forwardUrl;
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
//        System.out.println(authentication.getAuthorities());
//        System.out.println(authentication.getCredentials());
//        System.out.println(authentication.getDetails());
//        Object principal = authentication.getPrincipal();
        WebAuthenticationDetails webAuthenticationDetails = (WebAuthenticationDetails) authentication.getDetails();
        System.out.println(webAuthenticationDetails.getRemoteAddress());
        httpServletResponse.sendRedirect(forwardUrl);
    }
}
失败页
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

    private final String forwardUrl;

    public MyAuthenticationFailureHandler(String forwardUrl) {
        this.forwardUrl = forwardUrl;
    }

    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.sendRedirect(forwardUrl);
    }
}
403页
@Configuration
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        httpServletResponse.setContentType("application/json;charset=utf-8");

        PrintWriter writer = httpServletResponse.getWriter();

        writer.write("{\"status\":\"403\",\"msg\":\"权限不足,请联系管理员\"}");
        writer.flush();
        writer.close();
    }
}
自定义控制访问逻辑
@Service
public class MyServiceImpl implements MyService{
    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        String uri = request.getRequestURI();
        Object principal = authentication.getPrincipal();
        if (principal instanceof UserDetails){
            UserDetails userDetails = (UserDetails) principal;
            Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();

            return authorities.contains(new SimpleGrantedAuthority(uri));
        }
        return false;
    }
}

springsecurity oauth2

1 依赖包

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.5.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.zsecode</groupId>
    <artifactId>springSecurityOauth</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>springSecurityOauth</name>
    <description>springSecurityOauth</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
<!--       依赖-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-oauth2</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

<!--        <dependency>-->
<!--            <groupId>org.springframework.boot</groupId>-->
<!--            <artifactId>spring-boot-starter-data-redis</artifactId>-->
<!--        </dependency>-->
<!--        <dependency>-->
<!--            <groupId>org.apache.commons</groupId>-->
<!--            <artifactId>commons-pool2</artifactId>-->
<!--        </dependency>-->


        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <dependencyManagement>
        <dependencies>
            <dependency>
                <groupId>org.springframework.cloud</groupId>
                <artifactId>spring-cloud-dependencies</artifactId>
                <version>Greenwich.SR2</version>
                <type>pom</type>
                <scope>import</scope>
            </dependency>
        </dependencies>
    </dependencyManagement>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

2 pojo

user

public class User implements UserDetails {

    private String username;
    private String password;
    List<GrantedAuthority> authorities;

    public User() {
    }

    public User(String username, String password, List<GrantedAuthority> authorities) {
        this.username = username;
        this.password = password;
        this.authorities = authorities;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

UserService

@Service
public class UserService implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new User("admin",passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

SecurityConfig

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf()
                .disable()
                .authorizeRequests()
                .antMatchers("/oauth/**","/login/**","/logout/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin().permitAll();
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

请添加图片描述

AuthorizationServer

@Configuration
@EnableAuthorizationServer
public class AuthorizationServer extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired
    private UserService userService;


    @Autowired
    private AuthenticationManager authenticationManager;

    @Autowired
    private TokenStore tokenStore;

    @Autowired
    private JwtAccessTokenConverter jwtAccessTokenConverter;

    @Autowired
    private TokenEnhancer tokenEnhancer;

//    @Autowired
//    private TokenStore tokenStore;


    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //token增强链
        TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
        List<TokenEnhancer> delegates = new ArrayList<>();
        delegates.add(tokenEnhancer);
        delegates.add(jwtAccessTokenConverter);
        tokenEnhancerChain.setTokenEnhancers(delegates);

        endpoints.userDetailsService(userService)
                .authenticationManager(authenticationManager)
                .tokenStore(tokenStore)
                .accessTokenConverter(jwtAccessTokenConverter)
                //token增强链
                .tokenEnhancer(tokenEnhancerChain);
//                .tokenStore(tokenStore);
    }

    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
                //clientID
                .withClient("admin")
                //client密码
                .secret(passwordEncoder.encode("123456"))
                //令牌失效时间
                .accessTokenValiditySeconds(36000)
                //重定向地址
                .redirectUris("http://www.baidu.com")
                //授权范围
                .scopes("all")
                //授权类型
                .authorizedGrantTypes("authorization_code","password","refresh_token");

    }
}

JwtTokenConfig

@Configuration
public class JwtTokenConfig {

    @Bean
    public TokenStore jwtTokenStore(){
        return new JwtTokenStore(jwtAccessTokenConverter());
    }


    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter(){
        JwtAccessTokenConverter jwtAccessTokenConverter = new JwtAccessTokenConverter();
        jwtAccessTokenConverter.setSigningKey("xxxx");
        return jwtAccessTokenConverter;
    }


    @Bean
    public TokenEnhancer tokenEnhancer(){
        return new MyTokenEnhancer();
    }
}

MyTokenEnhancer


public class MyTokenEnhancer implements TokenEnhancer {
    @Override
    public OAuth2AccessToken enhance(OAuth2AccessToken oAuth2AccessToken, OAuth2Authentication oAuth2Authentication) {

        Map<String,Object> map = new HashMap<>();
        map.put("enhancer","enhancer info");
        ((DefaultOAuth2AccessToken) oAuth2AccessToken).setAdditionalInformation(map);
        return oAuth2AccessToken;
    }
}

RedisConfig

@Configuration
public class RedisConfig {

    @Autowired
    private RedisConnectionFactory redisConnectionFactory;

    @Bean
    public TokenStore redisTokenStore(){
        return new RedisTokenStore(redisConnectionFactory);
    }
}

ResourceConfig

@Configuration
@EnableResourceServer
public class ResourceConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .requestMatchers().mvcMatchers("/user/**");
    }
}
ZSECode
关注
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
org.apache.stanbol.commons.security.core-1.0.0.zip
10-11
org.liveSense.sample.webServiceServlet.zip,livesense web服务servlet示例(jaxws,aegis)livesense web服务servlet示例(jaxws,aegis,jaxrs)
Spring Security 0
chenxian6841的博客
06-04 76
Authentication 认证 Authorization 授权 ACLs访问控制列表,是授权的一部分,主要是建立了user, permission, a...
Spring Authorization Server 使用教程
最新发布
gitblog_00117的博客
08-08 879
Spring Authorization Server 使用教程 spring-authorization-serverSpring Authorization Server项目地址:https://gitcode.com/gh_mirrors/sp/spring-authorization-server 1. 项目的目录结构及介绍 Spring Authorization Server 的目录...
SpringSecurity分布式整合之common工具模块创建
Leon_Jinhai_Sun的博客
11-17 236
通用模块 创建通用子模块并导入JWT相关jar包 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 htt
Spring Security的使用教程
crg18438610577的博客
03-14 1270
Spring Security是一个强大的身份验证和授权框架,它使得在应用程序中实现安全性成为了一个容易的任务
【IDEA Sprintboot】简单入门:整合SpringSecurity依赖、整合Thymeleaf框架
水w的博客
05-04 1414
整合SpringSecurity依赖、整合Thymeleaf框架
Spring Security实现多次登录失败后账户锁定功能
08-25
要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信息以实现 UserDetails 和 UserDetailsService 接口的方式告知 Spring ...
Vue 动态路由的实现及 Springsecurity 按钮级别的权限控制
10-16
5. **前后端交互**:前端Vue应用需要和后端Spring Security应用进行交互,前端会发送请求到后端,后端则根据用户的权限返回相应的结果。 ### 实现示例 #### Vue动态路由实现代码示例: ```javascript // 导入路由...
SpringSecurity6 | 基于数据库实现登录认证
分享思想,留下痕迹。
07-02 4830
大家好,我是Leo哥🫣🫣🫣,通过前面几节的学习,我们知道了如果通过内存进行登录认证以及如何获取登录用户的认证信息。但是在实际开发中,我们的用户都是存储在数据库中,并非直接存放在本地内存中。接下来,我们这篇博客将基于数据库的用户来实现我们的登录认证。其实用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储。
SpringSecurity的配置
qq_45733154的博客
10-19 8296
SpringSecurity配置与使用
SpringSecurity实现认证
qq_32954567的博客
04-22 1028
SpringSecurity认证
SpringSecurity的使用和流程详解(一)
weixin_48304611的博客
04-26 2338
文章目录SpringSecurity概述快速上手搭建项目引入SpringSecurity依赖SpringSecurity流程核心功能(一)认证登录校验流程认证流程详解解决问题 SpringSecurity 概述 SpringSecuritySpring框架中的一个安全管理框架.相比于另一个安全框架Shiro提供了更加强大的功能. 核心功能主要包括: 认证:验证当前访问系统的是不是存在的用户,并且要具体判断是那个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 攻击防护 快速上手 搭建项目 搭建
SpringSecurity概述
weixin_58078203的博客
07-31 495
Spring微服务框架系列编写--SpringSecurity安全框架
Spring Authorization Server入门 (一) 初识SpringAuthorizationServer和OAuth2.1协议
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
spring authorization server系列教程】(一)入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
爱音乐的程序猿的博客
06-07 1万+
spring authorization server系列教程】(一)入门系列,快速构建一个授权服务器spring authorization server是spring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。 现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。...
Spring Authorization Server 授权服务器
xxxzzzqqq_的博客
03-07 2682
Spring Authorization Server 遵循Oauth2.1和OpenID Connect 1.0,它建立在Spring Security之上。 ​
Spring Authorization Server1.0 介绍与使用
言午玉口才
12-24 7641
authorizationConsentService:关于OAuth2AuthorizationConsent信息的处理(入库)jwkSource()、generateRsaKey()、jwtDecoder:关于token生成规则的处理authorizationServerSettings:关于AuthorizationServerSettings【授权服务器】的配置,含路径及接口。此处需要注意编码器的注入,配置不当会影响授权码的账号密码输入,获取不到code值。需要拓展的根据自己的需求拓展。
Spring Security 3.0 自定义数据库表结构实践
* status:状态(0 禁用,1 可用) * desc:用户描述 角色表: * id:编号,充当主键 * name:角色名,以“ROLE_”开头 * desc:描述 用户角色关系表: * id:编号,充当主键 * user_id:引用用户表中的 id,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ZSECode

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值