0710~SpringSecurity

最新推荐文章于 2024-07-13 21:34:08 发布
最新推荐文章于 2024-07-13 21:34:08 发布
阅读量202 收藏
点赞数
文章标签: spring java 后端 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67574688/article/details/125711276
版权

SpringSecurity:概念:是一个声明式的提供安全访问控制的操作的安全框架;

学习有五个阶段:

小试牛刀:springsecuirtyDemo

登堂入室:用用户名拿到用户信息,根据用户信息找到用户对应的权限字符串;

游刃有余:授权方式认证;两种方式(1.web配置 2.注解方法配置);

登峰造极:认证结果处理,授权结果处理;

走火入魔:remberer_me;

 小试牛刀:springsecuirtyDemo

思路步骤:

1.导入依赖,配置类;

2.设置登录成功后返回的路径;

3.网页直接访问login即可;

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.5.RELEASE</version>
    </parent>

    <dependencies>
        <!--SpringSecurity依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!--web基础依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!--测试依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.73</version>
        </dependency>

        <!--junit测试-->
        <dependency>
            <groupId>junit</groupId>
            <artifactId>junit</artifactId>
            <version>4.12</version>
            <scope>test</scope>
        </dependency>
        <!--mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>
        <!-- mysql数据库驱动 -->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <!--连接池-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.20</version>
        </dependency>
    </dependencies>

@RestController
public class AuthController {

    //登录成功后重定向地址
    @PostMapping("/loginSuccess")
    public String loginSuccess(){
        return "登录成功";
    }
}

 

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //提供用户信息,这里没有从数据库查询用户信息,在内存中模拟
    @Bean
    public UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("zs").password("123456").authorities("admin").build());
        return inMemoryUserDetailsManager;
    }

    //密码编码器:不加密
    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }

    //授权规则配置
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()                                //授权配置
                .antMatchers("/login").permitAll()  //登录路径放行
                .anyRequest().authenticated()                   //其他路径都要认证之后才能访问
                .and().formLogin()                              //允许表单登录
                .successForwardUrl("/loginSuccess")             // 设置登陆成功页
                .and().logout().permitAll()                    //登出路径放行 /logout
                .and().csrf().disable();                        //关闭跨域伪造检查
    }
}

 

登堂入室:用用户名拿到用户信息,根据用户信息找到用户对应的权限字符串;

思路步骤:

1.连接数据库使用真实的用户名密码,删除demo里的假数据;

2.配置类实现

UserDetailsService
接口,重写里面的hander方法;

3.根据用户名拿到用户对象,根据用户对象再拿到权限字符串;

4.把权限字符串给springsecurity管理;

 

@Component
@Slf4j
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;
    @Autowired
    private PermissionMapper permissionMapper;

    //通过用户名拿到用户信息,还有权限字符串
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        if(!StringUtils.hasLength(username)){
            throw new MyException("用户名不可为空");
        }
        User user = userMapper.selectByUsername(username);
        if(user==null){
            throw new MyException("该用户名不存在");
        }
        //通过用户id拿到权限集合
        List<Permission> permissions = permissionMapper.selectPermissionsByUserId(user.getId());
        ArrayList<GrantedAuthority> list = new ArrayList<>();
        for(int i=0;i<permissions.size();i++){
            Permission permission = permissions.get(i);
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(permission.getExpression());
            log.info("用户,{},可用的权限有,{}",user.getUsername(),simpleGrantedAuthority);
            list.add(simpleGrantedAuthority);
        }

        org.springframework.security.core.userdetails.User userDetails = new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),list);

        return userDetails;
    }
}

 游刃有余:授权方式认证;两种方式(1.web配置 2.注解方法配置);

使用web配置,配置类即可,告诉SpringSecurity容器可以可以使用哪些权限;

  @Override
    protected void configure(HttpSecurity http) throws Exception {
        //先查出所有权限;
        //根据权限 找到权限字符串和资源路径
        //List<Permission> permissions = permissionMapper.selectList(null);
        //for (Permission permission : permissions) {
        //    http.authorizeRequests()
        //            .antMatchers(permission.getResource())
        //            .hasAnyAuthority(permission.getExpression());
        //    log.info("用户授权的权限有,{}",permission.getExpression());
        //}

 2.注解方法配置

1.再配置类上加注解@EnableGlobalMethodSecurity(prePostEnabled = true)

2.再需要验证的方法上加上注解 @PreAuthorize("hasAuthority('dept:list')")

@RequestMapping("/list")
    @PreAuthorize("hasAuthority('dept:list')")
    public String list(){
        return "查询部门列表成功";
    }

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

登峰造极:认证结果处理,授权结果处理; 

认证结果分两种,认证失败和认证成功;

思路步骤:配置类失败实现AuthenticationFailureHandler接口;

                         成功实现AuthenticationSuccessHandler接口;

/**  认证失败的配置类
 * @author liuliang
 * @date 2022-07-10 19:19
 */
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request,
                                        HttpServletResponse response,
                                        AuthenticationException e) throws IOException, ServletException {

        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(JSONResult.error("认证失败,请登录")));


    }

}

 

/** 认证成功的类
 * @author liuliang
 * @date 2022-07-10 19:40
 */
@Component
public class MyAuthenticationSuccessHandlerSuccess implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request,
                                        HttpServletResponse response,
                                        Authentication authentication) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(JSONResult.success("恭喜你登录成功!")));

    }
}

 授权结果处理; 

1.如若授权成功则直接访问;

2.如果没有权限则返回失败结果集;

3.如果未登录访问则直接返回匿名用户不可登录;

/**
 * @author liuliang  授权失败的访问类
 * @date 2022-07-10 19:50
 */
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException e) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(JSONResult.error("您没有此权限!!!")));

    }
}
/**匿名用户访问类
 * @author liuliang
 * @date 2022-07-10 19:50
 */
@Component
public class MyAccessDeniedHandlerPoint implements AuthenticationEntryPoint {


    @Override
    public void commence(HttpServletRequest request,
                         HttpServletResponse response,
                         AuthenticationException e) throws IOException, ServletException {
        response.setContentType("application/json;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(JSONResult.error("您是匿名用户,无法访问此路径!")));
    }
}

 走过入魔:remember_me;

页面设置记住我,可以把用户信息存入cookie,下次则不用登录即可访问接口;

思路步骤:

1.再配置类里面设置jdbctoken仓库;

2.在实现方法里面实现关联即可;

//开始配置记住我功能代码
    @Autowired
    private DataSource dataSource;

    @Bean
    public JdbcTokenRepositoryImpl jdbcTokenRepository(){
        JdbcTokenRepositoryImpl repository = new JdbcTokenRepositoryImpl();
        repository.setDataSource(dataSource);
        //repository.setCreateTableOnStartup(true);//启动时会自动创建表
        return repository;
    }

 

 http.rememberMe()
                .tokenRepository(jdbcTokenRepository())
                .tokenValiditySeconds(60*60)
                .userDetailsService(myUserDetailsService);

 

 

 

 

 
 

 
 

 
 

 

 


                

        

        

    




    

      

        

            

              
                
                  生活可真难啊
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      










                



	

		

			

				
					
springboot+springsecurity基于用户表-角色表-权限表的权限控制(三)

				
			

			

				

					Jayden的博客
				

				

					04-09
					
					1万+
					
				

			

		

		

			
				
用户实体类
参考:springboot+springsecurity基于角色的权限验证(二)
配置类
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled =true) // 启用授权注解
public class SecurityConfiguration extends WebSecurityC...

			
		

	



                

              
                



	

		

			

				
					
Shiro 基于权限授权的简单应用与授权注解

				
			

			

				

					Charge8的博客
				

				

					04-25
					
					787
					
				

			

		

		

			
				
上篇文章有必要看一下:Shiro 基于角色授权的简单应用与权限过滤器配置含义

一、基于权限授权的简单应用

数据库:

   

  用户admin, 只拥有角色 admin 和 user 与访问 /admin/userlist 的权限资源,如果 pid 为1和2,则两者都可访问。

1、spring.xml 在配置 shiro 的过滤器上,配置权限控制的拦截规则:

   ...

			
		

	



                


  
              

                


	

		

			

				
					
稻草人项目 ----day06

				
			

			

				

					陳风弥的博客
				

				

					07-20
					
					233
					
				

			

		

		

			
				
目录

稻草人项目

20. 使用控制器转发注册页面

将用户注册的register.html文件移动到templates文件夹下。

在SystemController中添加:

21. 处理用户的权限

21.1. 补全:学生注册时分配角色

先在UserServiceImpl中添加:

@Transactional注解,启用事务

21.2. 处理登录时获取权限

在处理权限数据的持久层PermissionMapper接口中添加抽象方法:

然后,在PermissionMapper.xml中配置以上抽

			
		

	





	

		

			

				
					
spring security入门--从数据库读取数据实现用户登录访问简单示例四

				
			

			

				

					浅时光|初如梦
				

				

					09-15
					
					2261
					
				

			

		

		

			
				
1.说明

之前的几个示例都是从内存中获取的数据,这里改写为从数据库获取数据实现用户登录访问功能

从内存读取数据的代码可参看

地址:https://blog.csdn.net/qq_32224047/article/details/108604598

2.代码示例

数据库建表语句


CREATE DATABASE /*!32312 IF NOT EXISTS*/`security` /*!40100 DEFAULT CHARACTER SET utf8 */;

USE `security`;



			
		

	



		

			
		



	

		

			

				
					
五.Spring Security-认证结果处理

				
			

			

				

					qq_32115993的博客
				

				

					10-22
					
					572
					
				

			

		

		

			
				
五.认证结果处理
一.认证成功处理
1.1.解决方案
自定义类实现AuthenticationSuccessHandler接口复写 onAuthenticationSuccess方法,该方法其中一个参数是Authentication ,他里面封装了认证信息,用户信息UserDetails等,我们需要在这个方法中使用Response写出json数据即可
1.2.认证成功结果处理
1.定义AuthenticationSuccessHandler
定义类实现AuthenticationSuccessHandler

			
		

	





	

		

			

				
					
Spring Security in Action

				
			

			

				

					11-22
				

			

		

		

			
				
Spring Security 实践指南  Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点:  一、身份验证(Authentication)  身份验证是指对用户...

			
		

	





	

		

			

				
					
SpringSecurity.zip

				
			

			

				

					06-08
				

			

		

		

			
				
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...

			
		

	





	

		

			

				
					
SpringSecurity.pdf

				
			

			

				

					05-24
				

			

		

		

			
				
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,

			
		

	





	

		

			

				
					
springsecurity使用demo

				
			

			

				

					03-03
				

			

		

		

			
				
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。  首先,Spring Security 的核心...

			
		

	





	

		

			

				
					
SpringSecurity素材.rar

				
			

			

				

					03-02
				

			

		

		

			
				
SpringSecurityJava领域中一款强大的安全框架,专为SpringSpring Boot应用设计,提供全面的安全管理解决方案。在SpringBoot Web开发中,SpringSecurity扮演着核心角色,负责处理身份验证、授权以及访问控制等...

			
		

	





	

		

			

				
					
5.SpringBoot核心源码-启动类源码分析

				
			

			

				

					流月up的博客
				

				

					07-12
					
					337
					
				

			

		

		

			
				
SpringBoot核心源码-启动类源码分析

			
		

	





	

		

			

				
					
elk部署springboot

				
			

			

				

					Chihirozy的博客
				

				

					07-11
					
					292
					
				

			

		

		

			
				
elk部署springboot

			
		

	





	

		

			

				
					
基于SpringBoot+Hadoop+python的物品租赁系统(带1w+文档)

				
			

			

				

					神聪程序
				

				

					07-10
					
					791
					
				

			

		

		

			
				
物品租赁系统是电子、信息技术相结合,是一种必然的发展趋势。以互联网为基础,以服务于广大用户为目的,发展整体优势,扩大规模,提升服务质量,提高物品租赁的管理效率。物品租赁系统实现了物品租赁管理向现代化和网络化的转型,为管理决策和控制提供保障,这是物品租赁管理发展中里程碑式的转型。

			
		

	





	

		

			

				
					
基于SpringBoot构造超简易QQ邮件服务发送 第二版

				
			

			

				

					键盘爱好者
				

				

					07-09
					
					261
					
				

			

		

		

			
				
第二版的更新点是追加了 邮箱附件功能 ( 后期追加定时任务 )

			
		

	





	

		

			

				
					
SpringSecurity中文文档(Domain Object Security (ACLs))

				
			

			

				

					znjy111的博客
				

				

					07-09
					
					768
					
				

			

		

		

			
				
本节描述 SpringSecurity 如何使用访问控制列表(ACL)提供域对象安全性。复杂的应用程序通常需要定义超出 Web 请求或方法调用级别的访问权限。相反,安全决策需要包括 who (Authentication)、 where (MethodInvation)和 what (Some DomainObject)。换句话说,授权决策还需要考虑方法调用的实际域对象实例主题。假设您正在为宠物诊所设计一个应用程序。基于 Spring 的应用程序的用户主要有两类: 宠物诊所的工作人员和宠物诊所的客户。

			
		

	





	

		

			

				
					
【计算机毕业设计】基于Springboot的智能推荐卫生健康系统【源码+lw+部署文档】

				
			

			

				

					
				

				

					07-13
					
					46
					
				

			

		

		

			
				
目录1系统概述1.3系统设计思想2相关技术2.1 MYSQL数据库2.2 B/S结构2.3 Spring Boot框架简介3系统分析3.1可行性分析3.1.1技术可行性3.1.2经济可行性3.1.3操作可行性3.2系统性能分析3.2.1 系统安全性3.2.2 数据完整性3.4系统流程和逻辑4系统概要设计4.1概述4.2系统结构4.3.数据库设计4.3.1数据库实体4.3.2数据库设计表5系统详细实现5.1 管理员模块的实现5.1.1 用户管理5.1.2 科室类型管理5.1.3 医生信息管理5.1.4 健康论

			
		

	





	

		

			

				
					
Spring AOP - 自定义注解实现共性需求

				
			

			

				

					weixin_43732943的博客
				

				

					07-09
					
					312
					
				

			

		

		

			
				
Spring AOP - 自定义注解实现共性需求

			
		

	





	

		

			

				
					
SpringSecurity(Authorization Events)

				
			

			

				

					znjy111的博客
				

				

					07-09
					
					324
					
				

			

		

		

			
				
对于每个被拒绝的授权,都会激发一个 AuthorizationDeniedEvent。此外,还可以为授予的授权激发 AuthorizationGrantedEvent。若要侦听这些事件,必须首先发布 AuthorizationEventPublisher。Spring SecuritySpringAuthorizationEventPublisher 可能会做得很好。

			
		

	





	

		

			

				
					
springboot异常(一):springboot自定义全局异常处理

					
最新发布

				
			

			

				

					Lee的博客
				

				

					07-13
					
					144
					
				

			

		

		

			
				
自定义一个异常,有两个变量异常代码、异常消息,定义了两个构造方法,一个无参构造方法,一个所有参数构造方法。在构造方法中要掉用父类的构造方法,主要目的是在日志或控制台打印异常的堆栈信息时,要把自己传的异常消息打印出来。

			
		

	





	

		

			

				
					
SpringSecurity教学讲义.docx

				
			

			

				

					12-04
				

			

		

		

			
				
SpringSecurity教学讲义是一份针对Spring Security 3.0的教程,它涵盖了Spring SecurityJava Web开发中的重要角色。Spring Security是一个基于Spring框架的高级安全框架,它结合了AOP(面向切面编程)和Servlet...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值