Security 配置

最新推荐文章于 2024-07-21 10:42:02 发布
最新推荐文章于 2024-07-21 10:42:02 发布
阅读量1.5k 收藏
点赞数
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p731heminyang/article/details/122126118
版权 
搞了很久终于把配置全部弄完了,从登录验权限,token缓存和验证,到资源白名单验证和openapi 一系列配置到此完成了

注意点:
1、springboot mvc 配置WebMvcConfig  不能继承 WebMvcConfigurationSupport,否则会和Security的映射冲突,如果需要配置,则需要继承接口 WebMvcConfigurer,就不会与他冲突

资源白名单配置

@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    private final static String web_file_whiteList = "/web_file_whitelist.properties";
    private Resource resource = new ClassPathResource(web_file_whiteList);

    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {

        Properties props = null;
        try {
            props = PropertiesLoaderUtils.loadProperties(resource);
        } catch (IOException e) {
            e.printStackTrace();
        }
        if (props != null){
            for(String key : props.stringPropertyNames()){
                String value = (String)props.getProperty(key);
                registry.addResourceHandler(key).addResourceLocations(value);
            }
        }
    }
}

资源地址

web_file_whitelist.propertie 参数
#mvc文件资源访问白名单 key 访问路径path  value 访问目录
/img/**=classpath:/templates/img/
/static/**=classpath:/static/
/templates/**=classpath:/templates/

cors跨域配置

具体根据自己设置,设置header,设置访问路径等

/**
 * @author hmy
 * desc:  cors跨域配置
 * @date 2021/11/8 11:10
 */
@Configuration
public class CorsConfig implements WebMvcConfigurer {

    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/api/**")    // 允许跨域访问的路径
                .allowedOrigins("*")    // 允许跨域访问的源
                .allowedMethods("POST", "GET", "PUT", "OPTIONS", "DELETE")    // 允许请求方法
                .maxAge(168000)    // 预检间隔时间
                .allowedHeaders("*")  // 允许头部设置
                .allowCredentials(true);    // 是否发送cookie
    }

}

SecurityConfig 权限配置类

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.core.io.ClassPathResource;
import org.springframework.core.io.support.PropertiesLoaderUtils;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserCache;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import org.springframework.core.io.Resource;

import java.io.IOException;
import java.util.Properties;

/**
 * @author hmy
 * desc: security权限配置类
 * @date 2021/11/5 16:46
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private static final String whiteFileName = "/security_whitelist.properties";//白名单放行文件
    private static final String whiteDirName ="security_whitelist_dir.properties";//静态资源放行目录
    @Autowired
    private AjaxAuthenticationEntryPoint authenticationEntryPoint;  //  未登陆时返回 JSON 格式的数据给前端(否则为 html)

    @Autowired
    private AjaxAuthenticationSuccessHandler authenticationSuccessHandler;  // 登录成功返回的 JSON 格式数据给前端(否则为 html)

    @Autowired
    private AjaxAuthenticationFailureHandler authenticationFailureHandler;  //  登录失败返回的 JSON 格式数据给前端(否则为 html)

    @Autowired
    private AjaxLogoutSuccessHandler logoutSuccessHandler;  // 注销成功返回的 JSON 格式数据给前端(否则为 登录时的 html)

    @Autowired
    private AjaxAccessDeniedHandler accessDeniedHandler;    // 无权访问返回的 JSON 格式数据给前端(否则为 403 html 页面)

    @Autowired
    private UserDetailsService userDetailsService;//用户详情服务


    //jwt 服务
    @Autowired
    private JwtInfoService jwtInfoService;

    //认证句柄
    @Autowired
    private AuthenticationHandler authenticationHandler;


    @Autowired
    private SecurityWhitelistHandler whitelistHandler;

    @Autowired
    private UserCache userCache;


    /**
     * 权限访问白名单管理
     * @return
     */
    @Bean
    public static Resource securityWhitelistResource() {
        return new ClassPathResource(whiteFileName);
    }

    //配置认证登录
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        // 使用自定义登录身份认证组件
        auth.authenticationProvider(new JwtAuthenticationProvider(userDetailsService, jwtInfoService, authenticationHandler,userCache));
        //这东西千万不能忘
        auth.userDetailsService(userDetailsService)
                .passwordEncoder(new BCryptPasswordEncoder());

    }



    //http访问接口登录
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //关闭csrf
        //whitelistHandler.handle(http).cors().and().csrf().disable();//关闭csrf每条都必须待token

        //请求权限
//                .authorizeRequests()
//                // 方形白名单
//                .antMatchers("/js/**","/logon","/**/*.html","/apidoc"
//                        ,"/api/file/**","/img/**").permitAll()
//                .authorizeRequests().anyRequest().authenticated();// 其他所有请求需要身份认证


        whitelistHandler.handle(http);

        //资源设置
//        MyRequestCache myRequestCache = new MyRequestCache();
//        myRequestCache.addMatcher("/img/**").addMatcher("/static/**").addEnd();
//        http.setSharedObject(RequestCache.class, myRequestCache);


        //增加数据过滤登陆权限验证
        http.addFilter(new JwtVerifyFilter(super.authenticationManager(), jwtInfoService,
                        new ClassPathResource(whiteFileName)))
                //未登陆返回
                .httpBasic().authenticationEntryPoint(authenticationEntryPoint);
                //注销

        http.logout().logoutSuccessHandler(logoutSuccessHandler);

        //无权限访问
        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler); // 无权访问 JSON 格式的数据

        //用户认证方式 --》自定义认证token方式
        http.addFilterAt(myAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);//增加请求数据格式

        http.cors().and().csrf().disable();//关闭csrf每条都必须待token访问
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
         Resource resource = new ClassPathResource(whiteDirName);
        Properties props = null;
        try {
            props = PropertiesLoaderUtils.loadProperties(resource);
        } catch (IOException e) {
            e.printStackTrace();
        }
        if (props != null){
            String[] liString = new String[props.values().size()];
            props.values().toArray(liString);
            web.ignoring().antMatchers(liString);
//            web.ignoring().antMatchers("/css/**", "/js/**","/img/**");
        }
        // 设置拦截忽略文件夹,可以对静态资源放行
    }


    /**
     * 登陆权限验证
     * @return
     * @throws Exception
     */
    @Bean
    MyAuthenticationFilter myAuthenticationFilter() throws Exception {
        MyAuthenticationFilter filter = new MyAuthenticationFilter(jwtInfoService);
        //设置要处理的登陆请求的路径
        filter.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/api/admin/login", "POST"));

        filter.setAuthenticationSuccessHandler(authenticationSuccessHandler);
        filter.setAuthenticationFailureHandler(authenticationFailureHandler);

        filter.setAuthenticationManager(authenticationManagerBean());
        return filter;
    }



}

这里面很多我自己的函数,具体配置按照官方的配置来吧,可以参考配置目录,别自己copy代码,自己思考下

源来猿往
关注
SecuritySecurity配置
sh1307212321的博客
11-21 273
Security
Security
tianshuai1212的博客
09-03 327
Spark Security Spark目前通过共享密钥支持身份验证。 可以通过spark.authenticate配置参数将身份验证配置为打开。 此参数控制Spark通信协议是否使用共享密钥进行身份验证。 此身份验证是一种基本握手,可确保双方具有相同的共享密钥并允许进行通信。 如果共享密钥不相同,则不允许它们进行通信。 共享密钥创建如下: 对于YARN部署上的Spark,将spark.au...
Security配置
samgreat911的博客
12-02 622
/ 启用CorsFilter(Spring Security内置的处理跨域的过滤器).permitAll() // 直接许可,即可不需要通过认证即可访问。.anyRequest() // 除了以上配置过的以外的其它所有请求。// 要求是“已经通过认证的”.mvcMatchers(urls) // 匹配某些路径。// 将JWT过滤器添加到Spring Security框架的过滤器链中。http.authorizeRequests() // 管理请求授权。// 将防止伪造跨域攻击的机制禁用。
新版SpringSecurity5.x使用与配置
最新发布
Alphamilk的博客
07-21 1768
了解SpringSecurity,并进行简单使用与配置
security配置
weixin_61352535的博客
07-09 482
最近做项目一直都有碰到security的问题,由于之前没有接触到权限这方面,正常开发没问题,随着进一步的了解,对于这方面也要做深一步的了解
Spring Security配置体系
Evan_L的博客
03-24 1077
Spring Security配置体系关系着我们能否用好Spring Security,也关系着我们能否按照自己的需要配置Security。同时,他也关系着Spring Security是如何构建安全框架的。
Security 配置权限服务路径 2
Allen17805272076的博客
01-07 720
1、在配置类中 package com.bw; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authenti...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
spring security配置实例
09-04
### Spring Security配置实例详解 #### 一、Spring Security简介与应用场景 Spring Security 是一个功能强大的安全框架,提供了全面的安全服务,支持认证、授权以及其他安全服务。它为开发人员提供了高度可定制化...
spring cloud2.0 eureka server spring security配置
07-12
- 创建Spring Security配置类,使用`@EnableWebSecurity`注解启动安全配置,并自定义授权规则。 - 示例配置: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends ...
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
SpringSecurity 3配置文件
03-19
NULL 博文链接:https://zhaobohao.iteye.com/blog/701238
SPRING SECURITY配置
07-30
**Spring Security配置详解** Spring Security是一款强大的安全框架,它为Java应用提供了全面的安全服务,包括认证、授权和访问控制。本文将深入探讨Spring Security的核心概念、配置方式以及常见应用场景。 ### 1...
Spring security配置详解
qq_22162093的博客
12-21 7319
一直对项目里的安全配置比较陌生,这次总结一下项目里的那些关于security配置 1、 核心组件 这一节主要介绍一些在 Spring Security 中常见且核心的 Java 类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限… 这些都被保存在 Security
psecurity配置
aikong3218的博客
08-26 186
<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="ht...
Security基本配置
weixin_70964512的博客
11-07 126
utils包下的JsonUtils,JwtUtils,RsaUtils。数据库,在数据库中加入userPojo,rolePojo类。RsaKeyProperties类需要在启动类注明。domain下的Payload包。对应的mapper.xml。
Security配置
为了更好的未来_加油
10-05 611
学习Security配置Demo1 @Configuration @EnableWebSecurity //继承WebSecurityConfigurerAdapter 实现自定义认证用户身份信息 @EnableGlobalMethodSecurity(prePostEnabled = true) public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private U
Spring Security配置
qq_46005551的博客
03-27 2334
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值