SpringSecurity的学习,用户认证及自定义登录表单

最新推荐文章于 2023-05-22 10:19:31 发布
最新推荐文章于 2023-05-22 10:19:31 发布
阅读量297 收藏 1
点赞数
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59165993/article/details/120228752
版权

 SpringSecurity:

        这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。底层实现为一条过滤器链,就是用

户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。

SpringSecurity的基础学习,从数据库中获取用户名和密码进行判断登录,以及自定义登录表单

创建项目,引入需要使用的依赖

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--整合mybatis-plus来操作数据库-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>
        <!--mysql 链接数据库-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <!--lombok 用来简化实体类-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
    </dependencies>

加入了Security之后,进行访问就需要登录了,而这个登录的用户名和密码我们是可以自定义的,

可以通过配置文件进行设置:在application.properties中加入以下代码

spring.security.user.name=mary
spring.security.user.password=123

也可以通过配置类来设置登录用户名和密码

public class MyUserDetailsService implements UserDetailsService {
    //loadUserByUsername:用于通过用户名获取用户数据. 返回 UserDetails 对象
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //判断用户名是否相等
        if ("mary".equals(username)){//表示数据库中没有对应的数据,就当异常抛出
            throw new UsernameNotFoundException("用户名不存在!");
        }
        //假装从数据库中获取的密码
        String pwd = "$2a$10$2R/M6iU3mCZt3ByG7kwYTeeW0w7na";
        List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("role");//指定角色权限
        return new User("mary",new BCryptPasswordEncoder().encode(pwd)//设置密码加密
        ,auths);

    }
}

以上方法都可以自定义用户名和密码,但在实际应用中用户名和密码都是在数据库中的,所以要进行查询数据库的操作

1.创建一个数据库user表,并创建user的实体类

   

2.链接数据库

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/tables?serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=123456

3.整合mybatis-plus(可以使用别的),创建一个接口,去继承mybatis-plus中的接口

4.创建配置类,继承WebSecurityConfigurerAdapter,设置使用的userDetailsService实现类,并在配置类中重写configure方法,并在configure方法中自定义登陆页面

@Configuration
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userDetailsService;
    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
    
    //自定义登录页面
    @Override
    protected void configure(HttpSecurity http) throws Exception{
        http.formLogin() //自定义编写登录页面
            .loginPage("/login.html") //登录页面设置
            .loginProcessingUrl("/user/login")//登录访问路径
            .defaultSuccessUrl("/text").permitAll()//登录成功后跳转的路径
            .and().authorizeRequests()
                .antMatchers("/","/user/hello").permitAll()//设置哪些路径可以直接访问,不需要认证
                //表示访问该路径需要的角色权限,不支持多个角色权限
                //.antMatchers("/hello").hasAuthority("admin")

                //表示访问该路径需要的角色权限,支持多个角色权限
                //.antMatchers("/hello").hasAnyAuthority("admin,role")

                //表示访问该路径需要的角色权限,但在赋予角色权限时,需要写成ROLE_xxx的形式
                //.antMatchers("/hello").hasRole("admin")

                //表示访问该路径需要的角色权限,支持多个角色权限,但在赋予角色权限时,都需要写成ROLE_xxx的形式
                //.antMatchers("/hello").hasAnyRole("admin,role")
            .anyRequest().authenticated()//在登录后所有请求都允许访问
            .and().csrf().disable();//关闭csrf的防护

    }
}

WebSecurityConfigurerAdapter:是个适配器, 在配置的时候,需要自己写个配置类去继承,然后编写自己所特殊需要的配置

UserDetailsService:加载用户指定数据的核心接口.

BCryptPasswordEncoder:  Spring Security 官方推荐的密码解析器,是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认10
hasAuthority 方法:具有指定的权限,就允许访问指定路径
hasAnyAuthority 方法:只要有指定的权限,就允许访问指定路径
hasRole 方法:具有指定的权限,就允许访问指定路径,但在给定角色的格式为ROLE_xxx
hasAnyRole 方法:只要有指定的权限,就允许访问指定路径,也是在给定权限时遵守格式规范ROLE_xxx

5.创建实现类,注入整合mybatis-plus的接口,并去实现UserDetailsService接口中的方法,在该方法中就可以进行数据库的查询

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    //loadUserByUsername:用于通过用户名获取用户数据. 返回 UserDetails 对象
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //调用userMapper里面封装的方法,根据用户名查询数据库
        QueryWrapper<Users> wrapper= new QueryWrapper();//条件构造器
        //相当于查询条件:where username="username"
        wrapper.eq("username",username);
        Users users=userMapper.selectOne(wrapper);

        //判断返回值
        if (users == null){//表示数据库中没有对应的数据,就当异常抛出
            throw new UsernameNotFoundException("用户名不存在!");
        }
        List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("role");//指定角色
        return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword())//设置密码加密
        ,auths);

    }
}

loadUserByUsername

        是UserDetailsService中的一个接口方法, 用于通过用户名获取用户数据. 返回 UserDetails 对象(用户重要信息)

queryWrapper:是mybatis plus中实现查询的对象封装操作类,也叫条件构造器

BCryptPasswordEncoder:

Spring Security中的BCryptPasswordEncoder方法采用对Hash算法密码进行加密。使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的

在返回值中的User类UserDetailsService接口中的一个实体类,用以接收用户名,密码和用户权限

6.编写自定义的登录页面进行登录测试

输入直接放行的地址,也可以直接查看

可以自定义登录页面,当然也可以自定义其他页面,比如没有访问权限的403页面,只需要在配置类中使用以下方法即可

        //自定义没有访问权限的403页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");//当用户没有访问权限时跳转到指定的页面

报错不断
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手摸手教你定制 Spring Security 表单登录
Huangjiazhen711的博客
09-06 285
defaultSuccessUrl(“/”):登录认证成功后默认转跳的路径,这里/则是跳转到/index.html,可以自定义。.failureUrl(“/login/page”):登陆失败的跳转的路径。当我们登录成功的时候,是由AuthenticationSuccessHandler进行登录结果处理,默认跳转到defaultSuccessUrl配置的路径对应的资源页面(一般是首页index.html)。
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 3030
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
SpringSecurity系列 - 05 SpringSecurity 自定义表单登录和注销登录认证
你今天真好看呀
09-11 638
index 公共资源/hello … 受保护资源 权限管理// 开启请求的权限管理 http . authorizeRequests() // 放行 /index 请求 . mvcMatchers("/index") . permitAll() // 其他所有的请求都需要去认证 // 放行的请求资源需要写在 anyRequest() 前面 . anyRequest() . authenticated() . and() // 认证方式为表单认证 . formLogin();} }
spring security自定义表单登录 实战一
我是一只蘑菇17的博客
11-03 220
加入依赖就可以进行HTTP基本认证,但绝大多数Web应用都不会选择这种认证方式,除了安全性差,无法携带cookie等因素外,灵活性不足 也是它的一个主要缺点。通常大家更愿意选择认证,自己实现表单登录页和验证逻辑,从而提高安全性。
Spring Security自定义验证登录
大后生大大大的博客
11-19 2107
验证登录
SpringSecurity 自定义表单登录的实现
08-25
SpringSecurity 自定义表单登录的实现 SpringSecurity 是一个功能强大且灵活的安全框架...通过这篇文章,我们学习了如何在 SpringSecurity 中实现自定义表单登录。这个功能非常实用,能够满足我们在实际项目中的需求。
Spring Security自定义登录原理及实现详解
09-07
总的来说,Spring Security自定义登录功能强大且灵活,能够帮助开发者构建安全、可扩展的认证系统。通过理解其原理和配置选项,我们可以更好地满足各种安全需求。在实际项目中,务必根据具体业务场景进行合理配置...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
接下来,`SpringSecurity`是用于Web应用程序的安全框架,它可以处理用户认证和授权。在Spring Boot项目中集成Spring Security,我们需要在`pom.xml`中添加对应的依赖。一旦添加,Spring Security会自动配置一些基础...
Spring security认证两类用户代码实例
08-19
在这个代码实例中,我们将探讨如何使用Spring Security认证两类不同的用户:一类是使用内存认证的管理员,另一类是通过数据库认证的老师和学生。这个实例有助于理解Spring Security用户认证流程以及如何根据用户...
spring mvc 和spring security自定义登录
05-14
综上所述,结合Spring MVC和Spring Security实现自定义登录,需要理解两者的基本原理,配置合适的过滤器、认证提供者和授权规则。通过这种方式,我们可以创建一个既安全又易于维护的Web应用程序,为用户提供安全的...
SpringSecurity5.7.11实现用户认证和记住我功能
最新发布
01-02
在5.7.11版本中,SpringSecurity不仅强化了基础的安全特性,还支持用户认证和“记住我”功能,使得用户体验得到了提升。下面将详细介绍这两个核心功能的实现。 **一、用户认证** 用户认证是任何安全系统的基础,它...
SpringSecurity 默认表单登录页展示流程
08-25
在本篇文章中,我们将深入探讨SpringSecurity如何展示其默认的表单登录页面以及背后的流程。 首先,我们要了解的是准备工作。创建一个SpringBoot项目并添加SpringSecurity依赖是开始的基础。在项目的`pom.xml`中,...
Spring Security 3多用户登录实现一
04-13
**Spring Security 3 多用户登录实现详解** Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java EE平台上的安全解决方案。在本文中,我们将深入探讨如何在Spring Security 3中实现...
自定义Spring Security的身份验证失败处理方法
08-25
我们的目标是使用表单登录方法对用户进行身份验证,并且自定义身份验证失败处理方法,以满足我们的需求。 二、认证和授权 在身份验证和授权中,身份验证是指验证用户的身份,而授权是指验证用户是否有权访问应用...
基于spring security实现登录注销功能过程解析
08-25
基于Spring Security实现登录注销功能过程解析 基于Spring Security实现登录注销...在本文中,我们详细介绍了基于Spring Security实现登录注销功能过程解析的各个方面,并提供了详细的示例代码,供大家学习和参考。
Spring Boot Security使用 JDBC 和 MySQL 进行 RBAC,自定义登录验证登录界面增加kaptcha验证
allway2的博客
11-04 667
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从本教程中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。凭据应存储在数据库中,因此让我们创建新表,表间关系ER图如下: 2. 配置数据源属性 接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。 要
SpringSecurity
weixin_45701868的博客
07-08 1312
SpringSecurity
Springboot +spring security,配置多个数据源:验证不同用户
weixin_40991408的博客
05-22 1026
Springboot +spring security,配置多个数据源:验证不同用户
超完整的springSecurity用户登录和权限认证自定义
热门推荐
m0_51238796的博客
05-02 1万+
SpringSecurity用户认证和权限
Spring Security 自定义拦截器Filter实现登录认证
05-11
Spring Security中,可以使用Filter来实现自定义登录认证拦截器。具体步骤如下: 1. 创建一个实现了javax.servlet.Filter接口的拦截器类,例如:CustomAuthenticationFilter。 ```java public class ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值