un8.4:SpringSecurity——身份认证和授权。

已于 2022-08-17 16:36:33 修改
阅读量299 收藏 1
点赞数 3
分类专栏: SpringCloud 文章标签: spring cloud
于 2022-08-04 23:33:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64818669/article/details/126168464
版权

一、什么是springsecurity?

       SpringSecurity是Spring家族的成员之一,SpringSecurity基于Spring框架,提供了一整套Web应用安全性的解决方案。

        一般情况来说,Web应用的安全性包括两部分,分别是:用户认证(Authentication)和用户授权(Authorization),这两点也是SpringSecurity的重要核心功能。

    用户认证(Authentication):通俗的讲,就是验证用户是否可以成功登陆系统。
    用户授权(Authorization):通俗的讲,就是验证用户是否具有访问某些资源的权限。
二、基本概念。

1、用户认证(Authentication)

什么是认证?
        进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。

为什么需要认证?
        认证的作用是为了保护系统的隐私数据与资源的安全性,用户的身份合法才可访问该系统的资源,比如您现在购买完商品付钱的时候,“钱”属于自己隐私就需要认证。
2、什么是授权(Authorization)

        就拿支付宝来举例子,支付宝登陆成功后用户就可以使用转账、发红包、花呗、添加好友等功能,没有绑定银行卡是不可以转账的,花呗属于支付宝的资源,你需要向支付宝申请此功能才能去使用,当你申请成功才能拥有花呗功能,这个根据用户使用资源就是授权。
为什么需要授权?
        认证是保证了用户的合法性,而授权是为了细粒度的控制用户使用的“资源”,控制不同的用户使用不同的资源。

3、springsecurity的授权模型。

        授权模型RBAC(Role-Based Access Control:基于角色的访问控制),基于角色来进行访问权限控制。

三、SpringSecurity和Shiro的区别。

        1、Spring Security 是 Spring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之 前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直 是 Shiro 的天下。

        2、相对于 Shiro,在 SSM 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多(Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了)。

        3、自从有了 Spring Boot 之后,Spring Boot 对于 Spring Security 提供了自动化配置方 案,可以使用更少的配置来使用 Spring Security。

SpringSecurity Shiro
组织Spring成员之一,可以和Spring框架无缝整合Apache旗下的权限控制框架
通用性旧版不能脱离Web环境使用。
    新版本对整个框架进行了分层抽取,分成了核心模块和Web模块。单独引入核心模块就可以脱离Web环境使用。		不局限于Web环境,可以脱离Web环境使用。
重量级框架轻量级框架
整合方案SpringBoot/SpringCloud    SSM

Ps:关于整合方案,只是一个推荐的组合而已,如果单纯从技术上来说,无论怎么组合,都是可以运行的。

四、Hello SpringSecurity
1、创建一个web项目,并且集成SpringSecurity

2、添加一个配置类

package com.example.demo.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //认证及授权的配置
        //配置没有权限访问时(403),跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        http.formLogin()//基于表单登录
                .loginPage("/login.html")//登录页面
                .loginProcessingUrl("/user/login")//登录访问路径
                .defaultSuccessUrl("/test/hello").permitAll()//登录成功之后跳转的路径
                .and()
                .authorizeRequests()//认证配置
                //设置哪些路径可以访问,不需要认证
                .antMatchers("/test/hello").permitAll()
                //当前登录用户只有具备admin权限时才可以访问这个路径
                //.antMatchers("/test/index").hasAuthority("admin")
                //当前登录的用户只有具备admin和manager任意权限,就可以访问这个路径
                //.antMatchers("/test/index").hasAnyAuthority("admin","manager")
                //当前登录的用户只有具备sale角色时,才可以访问这个路径
                //.antMatchers("/test/index").hasRole("sale")
                //当前登录的用户,只要具备sale或common任一角色,就可以访问资源
                .antMatchers("/test/index").hasAnyRole("sale","common")
                .anyRequest()//所有的请求
                .authenticated()//都需要身份验证
        .and().csrf().disable();//关闭跨域拦截
    }
    @Bean
    BCryptPasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

 3、添加一个测试类

package com.example.demo.Controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping("/hello")
    public String hello(){
        return "hello world !";
    }
    @GetMapping("/index")
    public String index(){
        return "welcome!";
    }
}

 4、测试

项目运行起来之后,控制台会生成一个密码,我们用这个密码登陆,用户名默认是user

 浏览器访问http://localhost:8080/test/hello,会自动跳转到登陆页面进行登陆

 登陆成功后(用户通过认证),可以正常请求接口地址

五、用户认证(Authentication)

 SpringSecurity设置用户名和密码,提供了两种常用的配置方式,分别是:

    第一种:通过配置文件
    第二种:自定义编写实现类

1、通过配置文件,在application.yml中进行配置

spring:
  security:
    user:
      name: gao
      password: 123123

2、自定义编写实现类

        当什么都没有配置的时候,账号和密码是由SpringSecurity自动生成的。而在实际的项目开发中,账号和密码都是从数据库中查询出来的。所以,我们可以通过自定义逻辑控制认证。

        如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。

package com.example.demo.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //认证及授权的配置
        //配置没有权限访问时(403),跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        http.formLogin()//基于表单登录
                .loginPage("/login.html")//登录页面
                .loginProcessingUrl("/user/login")//登录访问路径
                .defaultSuccessUrl("/test/hello").permitAll()//登录成功之后跳转的路径
                .and()
                .authorizeRequests()//认证配置
                //设置哪些路径可以访问,不需要认证
                .antMatchers("/test/hello").permitAll()
                //当前登录用户只有具备admin权限时才可以访问这个路径
                //.antMatchers("/test/index").hasAuthority("admin")
                //当前登录的用户只有具备admin和manager任意权限,就可以访问这个路径
                //.antMatchers("/test/index").hasAnyAuthority("admin","manager")
                //当前登录的用户只有具备sale角色时,才可以访问这个路径
                //.antMatchers("/test/index").hasRole("sale")
                //当前登录的用户,只要具备sale或common任一角色,就可以访问资源
                .antMatchers("/test/index").hasAnyRole("sale","common")
                .anyRequest()//所有的请求
                .authenticated()//都需要身份验证
        .and().csrf().disable();//关闭跨域拦截
    }
    @Bean
    BCryptPasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

 定义MyUserDetailsService类,通过@Service注解,按照名称将SecurityConfig类中的UserDetailsService对象的名称注入。

package com.example.demo.security;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;
@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //用户具备哪些权限,一般从数据库中查询
        List<GrantedAuthority> atuhs = AuthorityUtils.commaSeparatedStringToAuthorityList("manager,common");
        return new User("admin", new BCryptPasswordEncoder().encode("123"),atuhs);
    }
}

实际开发中,我们一般会通过数据库来认证用户信息,大概实现思路是在自定义UserDetailsService类中的loadUserByUsername方法中根据用户名去数据库中查询用户信息,如果满足要求,则用户通过认证,如果不满足要求,则抛出一个UsernameNotFoundException异常,该异常时SpringSecurity内部定义的用于抛出用户不存在的异常。
六、用户授权(Authorization)

  • hasAuthority方法:如果当前的主体具有指定的权限,则返回true,否则返回false。
  • hasAnyAuthority方法:如果当前的主体有任何提供的权限的话,则返回true,否则返回false。

Ps:如果返回false,则页面提示http状态码为403,表示请求被拒绝

在SecurityConfig配置类中设置访问资源的权限的逻辑

package com.example.demo.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //认证及授权的配置
        //配置没有权限访问时(403),跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        http.formLogin()//基于表单登录
                .loginPage("/login.html")//登录页面
                .loginProcessingUrl("/user/login")//登录访问路径
                .defaultSuccessUrl("/test/hello").permitAll()//登录成功之后跳转的路径
                .and()
                .authorizeRequests()//认证配置
                //设置哪些路径可以访问,不需要认证
                .antMatchers("/test/hello").permitAll()
                //当前登录用户只有具备admin权限时才可以访问这个路径
                //.antMatchers("/test/index").hasAuthority("admin")
                //当前登录的用户只有具备admin和manager任意权限,就可以访问这个路径
                //.antMatchers("/test/index").hasAnyAuthority("admin","manager")
                //当前登录的用户只有具备sale角色时,才可以访问这个路径
                //.antMatchers("/test/index").hasRole("sale")
                //当前登录的用户,只要具备sale或common任一角色,就可以访问资源
                .antMatchers("/test/index").hasAnyRole("sale","common")
                .anyRequest()//所有的请求
                .authenticated()//都需要身份验证
        .and().csrf().disable();//关闭跨域拦截
    }
    @Bean
    BCryptPasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

 在MyUserDetailsService类中添加授权的逻辑(用户被授予的权限)

package com.example.demo.security;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;
@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //用户具备哪些权限,一般从数据库中查询
        List<GrantedAuthority> atuhs = AuthorityUtils.commaSeparatedStringToAuthorityList("manager,common");
        return new User("admin", new BCryptPasswordEncoder().encode("123"),atuhs);
    }
}

2、基于角色进行访问控制

    hasRole方法:如果用户具有指定角色,则返回true,否则false。
    hasAnyRole方法:如果用户具有指定的任意角色,则返回true,否则返回false。

Ps:如果返回false,则页面提示http状态码为403,表示请求被拒绝

在SecurityConfig配置类中设置访问资源的角色的逻辑

package com.example.demo.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //认证及授权的配置
        //配置没有权限访问时(403),跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        http.formLogin()//基于表单登录
                .loginPage("/login.html")//登录页面
                .loginProcessingUrl("/user/login")//登录访问路径
                .defaultSuccessUrl("/test/hello").permitAll()//登录成功之后跳转的路径
                .and()
                .authorizeRequests()//认证配置
                //设置哪些路径可以访问,不需要认证
                .antMatchers("/test/hello").permitAll()
                //当前登录用户只有具备admin权限时才可以访问这个路径
                //.antMatchers("/test/index").hasAuthority("admin")
                //当前登录的用户只有具备admin和manager任意权限,就可以访问这个路径
                //.antMatchers("/test/index").hasAnyAuthority("admin","manager")
                //当前登录的用户只有具备sale角色时,才可以访问这个路径
                //.antMatchers("/test/index").hasRole("sale")
                //当前登录的用户,只要具备sale或common任一角色,就可以访问资源
                .antMatchers("/test/index").hasAnyRole("sale","common")
                .anyRequest()//所有的请求
                .authenticated()//都需要身份验证
        .and().csrf().disable();//关闭跨域拦截
    }
    @Bean
    BCryptPasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

在MyUserDetailsService类中添加授权的逻辑(用户被授予的角色)

package com.example.demo.security;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;
@Service
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //用户具备哪些权限,一般从数据库中查询
        List<GrantedAuthority> atuhs = AuthorityUtils.commaSeparatedStringToAuthorityList("manager,common");
        return new User("admin", new BCryptPasswordEncoder().encode("123"),atuhs);
    }
}

 七、自定义页面

1、自定义页面

在resources/static目录下定义一个访问被拒的页面unauth.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>访问被拒绝,您没有权限浏览该页面</h3>
</body>
</html>

在SecurityConfig配置文件中进行配置

package com.example.demo.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //认证及授权的配置
        //配置没有权限访问时(403),跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        http.formLogin()//基于表单登录
                .loginPage("/login.html")//登录页面
                .loginProcessingUrl("/user/login")//登录访问路径
                .defaultSuccessUrl("/test/hello").permitAll()//登录成功之后跳转的路径
                .and()
                .authorizeRequests()//认证配置
                //设置哪些路径可以访问,不需要认证
                .antMatchers("/test/hello").permitAll()
                //当前登录用户只有具备admin权限时才可以访问这个路径
                //.antMatchers("/test/index").hasAuthority("admin")
                //当前登录的用户只有具备admin和manager任意权限,就可以访问这个路径
                //.antMatchers("/test/index").hasAnyAuthority("admin","manager")
                //当前登录的用户只有具备sale角色时,才可以访问这个路径
                //.antMatchers("/test/index").hasRole("sale")
                //当前登录的用户,只要具备sale或common任一角色,就可以访问资源
                .antMatchers("/test/index").hasAnyRole("sale","common")
                .anyRequest()//所有的请求
                .authenticated()//都需要身份验证
        .and().csrf().disable();//关闭跨域拦截
    }
    @Bean
    BCryptPasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

2、自定义登陆页面

在resources/static目录下定义一个访问被拒的页面login.html

<!DOCTYPE html>
<html lang="en" xmlns="http://www.w3.org/1999/html" xmlns="http://www.w3.org/1999/html">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/user/login" method="post">
    用户名<input type="text" name="username"></br>
    密码<input type="password" name="password"></br>
    <input type="submit" value="登录">
</form>
</body>
</html>

在SecurityConfig配置文件中进行配置

package com.example.demo.security;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //认证及授权的配置
        //配置没有权限访问时(403),跳转的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        http.formLogin()//基于表单登录
                .loginPage("/login.html")//登录页面
                .loginProcessingUrl("/user/login")//登录访问路径
                .defaultSuccessUrl("/test/hello").permitAll()//登录成功之后跳转的路径
                .and()
                .authorizeRequests()//认证配置
                //设置哪些路径可以访问,不需要认证
                .antMatchers("/test/hello").permitAll()
                //当前登录用户只有具备admin权限时才可以访问这个路径
                //.antMatchers("/test/index").hasAuthority("admin")
                //当前登录的用户只有具备admin和manager任意权限,就可以访问这个路径
                //.antMatchers("/test/index").hasAnyAuthority("admin","manager")
                //当前登录的用户只有具备sale角色时,才可以访问这个路径
                //.antMatchers("/test/index").hasRole("sale")
                //当前登录的用户,只要具备sale或common任一角色,就可以访问资源
                .antMatchers("/test/index").hasAnyRole("sale","common")
                .anyRequest()//所有的请求
                .authenticated()//都需要身份验证
        .and().csrf().disable();//关闭跨域拦截
    }
    @Bean
    BCryptPasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

3、用户注销

在resources/static目录下定义一个访问被拒的页面success.html,当用户登陆成功后进入到这个页面,该页面提供一个用户注销的按钮。

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h3>登录成功</h3>
<br/>
<a href="/logout">退出登录</a>
</body>
</html>

在SecurityConfig配置文件中进行配置

package com.example.demo01.configuration;
 
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
 
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //退出登录
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();
 
        ...
 
        http.formLogin() //表单登陆
                .loginPage("/login.html") //登录页面设置
                .loginProcessingUrl("/user/login") //登录访问路径
//                .defaultSuccessUrl("/test/index").permitAll() //登录成功之后跳转路径
                .defaultSuccessUrl("/success.html").permitAll() //登录成功之后跳转成功页面,配合退出登录
        .and()
                
        ...
 
    }
 
    @Bean
    BCryptPasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
 
}

八、扩展 :SpringSecurity的三个重要过滤器

    Spring Security本质是一个过滤器链,有三个重要过滤器,分别是:

    FilterSecurityInterceptor
    ExceptionTranslationFilter
    UsernamePasswordAuthenticationFilter

 1、FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。

    public void invoke(FilterInvocation filterInvocation) throws IOException, ServletException {
        if (this.isApplied(filterInvocation) && this.observeOncePerRequest) {
            filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());
        } else {
            if (filterInvocation.getRequest() != null && this.observeOncePerRequest) {
                filterInvocation.getRequest().setAttribute("__spring_security_filterSecurityInterceptor_filterApplied", Boolean.TRUE);
            }
 
            InterceptorStatusToken token = super.beforeInvocation(filterInvocation);
 
            try {
                filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());
            } finally {
                super.finallyInvocation(token);
            }
 
            super.afterInvocation(token, (Object)null);
        }
    }

2、ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常。

    private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {
        try {
            chain.doFilter(request, response);
        } catch (IOException var7) {
            throw var7;
        } catch (Exception var8) {
            Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(var8);
            RuntimeException securityException = (AuthenticationException)this.throwableAnalyzer.getFirstThrowableOfType(AuthenticationException.class, causeChain);
            if (securityException == null) {
                securityException = (AccessDeniedException)this.throwableAnalyzer.getFirstThrowableOfType(AccessDeniedException.class, causeChain);
            }
 
            if (securityException == null) {
                this.rethrow(var8);
            }
 
            if (response.isCommitted()) {
                throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", var8);
            }
 
            this.handleSpringSecurityException(request, response, chain, (RuntimeException)securityException);
        }
 
    }

3、UsernamePasswordAuthenticationFilter:对/login 的 POST 请求做拦截,校验表单中用户,密码。

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            username = username != null ? username : "";
            username = username.trim();
            String password = this.obtainPassword(request);
            password = password != null ? password : "";
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

九、扩展:PasswordEncoder接口:用来加密数据

        BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,是对bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认10。

小格子衬衫
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-boot-base-app:Spring Security和JPA的Spring Boot配置基础。 Perfecta cuando quieres arrancar un proyecto desde cero
04-03
Spring Security和JPA的Spring Boot配置基础。 Perfecta cuando quieres arrancar un proyecto desde cero。 在JPA上使用Spring Boot可以更有效地使用基础知识。 Además包含了BucketAdmin的实现,也可以作为...
为什么越来越多程序员使用SpringSecurity,这些原因你都知道吗?
uuuyy_的博客
12-08 4052
1|2 什么是安全框架 安全框架顾名思义,就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式。不使用安全框架之前,我们需要手动处理每个资源的访问控制,针对不同的项目都需要做不同的处理,此时就会显得非常麻烦,并且低效率引起的额外开销会延缓开发周期。使用安全框架,使开发团队能够选择最适合这些需求的框架,可以通过配置的方式实现对资源的访问限制,使得开发更加的高效。 1|2常用的安全框架 Spring Security: Spring 家族一员,是一个
Spring Security:比较Shiro
​​
05-27 607
虽然目前 Spring Security 一片火热,但是 Shiro 的市场依然存在,今天我就来稍微的说一说这两个框架的,方便大家在实际项目中选择适合自己的安全管理框架。 首先我要声明一点,框架无所谓好坏,关键是适合当前项目场景,作为一个年轻的程序员更不应该厚此薄彼,或者拒绝学习某一个框架。 小孩子才做选择题,成年人两个都要学! 所以接下来主要结合我自己的经验来说一说这两个框架的优缺点,没有提到的地方也欢迎大家留言补充。 Spring Security 因为 SpringBoot 而火 Spring Sec
(新)Spring Security其它权限校验方法&自定义权限校验方法
最新发布
weixin_55772633的博客
06-23 589
我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。//获取当前用户的权限//判断用户权限集合中是否存在authority在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的hasAuthority方法。
你了解Spring Security安全管理框架吗?
N_01040709的博客
08-02 299
起因是Spring开发者邮件列表中一个问题,有人提问是否考虑提供一个基于Spring的安全实现。(在最开始并没有认证模块,所有的认证功能都是依赖容器完成的,而acegi则注重授权。但是随着更多人的使用,基于容器的认证就显现出了不足。利用SpringIoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。1.认证是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。...
AuthorityUtils
awds18338701279的博客
07-06 2168
AuthorityUtils 此类一般用于UserDetailsService的实现类中的loadUserByUsername方法 此工具类一共有三个方法: commaSeparatedStringToAuthorityList 作用为给user账户添加一个或多个权限,用逗号分隔,底层调用的是createAuthorityList方法,唯一区别在于此方法把所有的权限包含进一个字符串参数中,只不过用逗号分隔。 @Service public class UserDetailsServiceImpl imple
Spring Security 3 (一) 为什么要使用Spring Security
weixin_34075551的博客
02-12 2206
Spring Security 3 (一) 为什么要使用Spring Security 大多数项目应该都有权限一类的控制,目的在于让用户不能去访问不该访问的内容。在没有接触SpringSecurity 3(简称SS3)之前,都是通过各种拦截器,监听器来控制用户的访问,或者是通过Spring的AOP控制用户对某个方法的访问,在当时看来还比较方便,但是到后来维护越来越麻烦,...
瑞信-亚太地区-互联网服务业-东盟互联网行业:电子支付——科技消灭现金-319-139页.pdf
07-26
报告标题:“瑞信-亚太地区-互联网服务业-东盟互联网行业:电子支付——科技消灭现金-319-139页.pdf”揭示了东南亚互联网行业,特别是电子支付领域的发展趋势和前景。报告由瑞士信贷发布,该投行在亚洲,尤其是亚太...
瑞信-亚太地区-互联网服务业-东盟互联网行业:电子支付——科技消灭现金-2019.3.19-139页.pdf
09-01
报告由多个分析师共同完成,包括负责亚洲互联网和电信研究的Varun Ahuja、亚太区金融研究主管Ashish Gupta,以及泰国、菲律宾、马来西亚、新加坡、印尼和越南等国的金融和消费者市场分析师。他们各自的专业知识和...
UN Regulation No.155 - Cyber security and cyber security managem
07-08
2. **定义**:法规明确了“cyber security”(网络安全)和“cyber security management system”(CSMS,网络安全管理系统)的概念。网络安全是指保护车辆及其相关系统免受网络威胁的能力,而CSMS则是一套系统性的...
Spring市场:Sistema de ventas para un mercado
02-14
本项目"Spring市场:Sistema de ventas para un mercado"显然是一款基于Spring框架构建的销售管理系统。下面将详细探讨Spring框架的特点,以及在构建销售系统时可能涉及的关键技术和概念。 1. **Spring框架基础** ...
Spring Security 学习笔记
PengK_aha的博客
03-20 6656
一、基本原理 二、两个重要接口 三、web权限认证方式 3.1设置登录的用户名和密码 3.1.1 第一种方式:通过配置文件 3.1.2 第二种方式:通过配置类 1.新建SecurityConfig 配置类,继承 WebSecurityConfigurerAdapter 2.重写 configure(AuthenticationManagerBuilder auth)方法 package c...
老板让我做登录模块,犹豫再三我选择SpringSecurity
longqiyuye925的博客
06-21 202
前言 ​ 大家都知道,后端的接口访问一定是要有权限管理的,我本身也了解RBAC这个模型,当然可以自己写一套简单的权限管理模块。但是作为一名开发,在保证功能的前提下,是能省事则省事,毕竟加班没有加班费,还吃力不讨好,所以我想通过开源的框架来实现这个权限管理。 ​ 我从网上找到了两款谈论度比较高的权限管理框架,一个是SpringSecurity,一个是shrio,大家都认同shrio是简单且容易上手,但是这次的项目由我负责,demo也是我来开发,shrio我还曾经用过,那选哪款还用说吗
SpringSecurity工具包之AuthorityUtils
unimme的专栏
06-30 2900
package org.springframework.security.util; import org.springframework.security.Authentication; import org.springframework.security.GrantedAuthority; import org.springframework.security.GrantedAut
Spring Security 4 中的 hasRole 和 hasAuthority 差异引发的思考
Specif1c的博客
05-14 2995
前言: 在使用 Spring Security 的时候我们必然会使用到如下两种访问权限配置中的一种: 第一种: http.authorizeRequests() .antMatchers("/root/**").hasAuthority("root") .antMatchers("/admin/**").hasAuthority("admin") .anyRequest().authenticated() 第二种: http.authorizeReq
Spring Security权限控制
m0_56409614的博客
03-20 2410
该文章为学习Spring Security(权限控制)的一点基础知识
spring securoty 给予数据库的权限配置
daohe113的博客
06-19 411
[url]http://www.iteye.com/topic/259816[/url] Spring Security优劣之我见 拜读了Spring Security相关帖子和Spring Security参考文档。现将我理解的Spring Security写下来和大家共享。 本文目的是从Spring Security能够提供的功能、以及基本原理角度分析,并...
Spring security权限管理
weixin_47072986的博客
04-02 3971
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
Spring Security中hasAnyAuthority和hasAuthority的区别
weixin_46533227的博客
05-29 2145
hasAuthority可以与其他表达式结合使用,例如hasAuthority('ROLE_ADMIN') and hasIpAddress('192.168.1.0/24'),表示用户需要同时拥有"ROLE_ADMIN"权限和来自IP地址为"192.168.1.0/24"的请求才能访问被保护的资源。hasAnyAuthority可以判断多个权限,用逗号分隔,例如"ROLE_USER, ROLE_ADMIN",只要用户拥有其中一个权限即可访问被保护的资源。如果用户拥有其中一个权限,就可以访问该方法。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小格子衬衫

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值