spring boot 集成 spring security 权限验证

最新推荐文章于 2023-08-17 16:00:00 发布
最新推荐文章于 2023-08-17 16:00:00 发布
阅读量334 收藏
点赞数 1
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/p_redStone/article/details/83656310
版权

一、spring security 介绍

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

 

二、准备

环境:jdk 1.8 、spring boot 2.0  、spring security 5.2

IDE:idea

 

三、创建项目

这里我们直接使用idea 来创建项目,点击file 选择new project  创建spring boot 项目 勾选web和security模块 如图所示

3.1 项目创建完成结果图如下:

 

3.2 在pom中导入依赖

导入security 依赖 为了方便测试我们顺便导入thymeleaf 

      <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>net.sourceforge.nekohtml</groupId>
            <artifactId>nekohtml</artifactId>
            <version>1.9.22</version>
        </dependency>

  在application.properties 文件中加入以下代码 去除html5 标签验证

#设置不要缓存
spring.thymeleaf.cache=false
spring.thymeleaf.mode=LEGACYHTML5

3.3  设置配置文件 

创建一个SecurityDemoConfig 类继承WebSecurityConfigurerAdapter 并在类上面添加@Configuration @EnableWebSecurity

注解标记配置信息  重写 configure 方法

package com.px.security.security;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @Author: px
 * @Date: 2018/11/02 9:55
 * @Version 1.0
 */
@Configuration
@EnableWebSecurity
public class SecurityDemoConfig extends WebSecurityConfigurerAdapter {

    /**
     *   http 安全验证
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**")
                .hasRole("ADMIN")
                .antMatchers("**/css/**","**/images/**","**/img/**","*/js/**","*/plugins/**","/user/register")
                .permitAll()
                .and()
                .formLogin()
                .loginPage("/loginAdmin")
                .loginProcessingUrl("/login")
                //登录成功 默认跳转url
                .defaultSuccessUrl("/admin")
                .successForwardUrl("/admin")
                //登录失败跳转url
                .failureUrl("/loginAdmin")
                .permitAll()
                .and()
                .csrf().disable()
                //frame 拒绝请求问题
                .headers()
                .frameOptions()
                .disable()
                //登出相关
                .and()
                .logout()
                //注销跳转url
                .logoutSuccessUrl("/loginAdmin")
                .permitAll()
                //设置过期时间
                .and().rememberMe().tokenValiditySeconds(200000);
    }

    /**
     * 身份验证处理器
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       super.configure(auth);
    }

    /**
     * web 安全验证
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }


}

设置进入admin 路径下的需要管理ADMIN 权限才能进入

//配置admin 下的都需要 ADMIN 权限才能进入
.antMatchers("/admin/**")
.hasRole("ADMIN")
.formLogin()
.loginPage("/loginAdmin") //设置登录页面
.loginProcessingUrl("/login")  //登录 表单提交Action
//登录成功 默认跳转url
.defaultSuccessUrl("/admin")
.successForwardUrl("/admin")
//登录失败跳转url
.failureUrl("/loginAdmin")
.permitAll()   //标记登录界面都能访问

3.4 准备测试页面

创建login.html  页面很简单  注意一点 这里的action 要和你前面在SecurityDemoConfig  配置的一致

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>用户登录界面</title>
</head>
<body>
        <form method="post" action="/login">
            <p>用户名<input name="username"></p>

            <p>密码<input  type="password" name="password" /></p>

            <p><input  type="submit"  value="登 录"/></p>
        </form>
</body>
</html>

创建登录之后的界面 home.html 内容很简单 就一个欢迎语

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>管理员界面</title>
</head>
<body>
<h1>欢迎进入管理员界面</h1>
</body>
</html>

 

创建controller 

package com.px.security.security;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * @Author: px
 * @Date: 2018/11/2 16:45
 * @Version 1.0
 */
@Controller
public class HomeController {
    @RequestMapping("/loginAdmin")
    public String  loginAdmin()
    {
        return "login";
    }
    @RequestMapping("/admin")
    public String index()
    {
        return "admin/home";
    }
}

四、 测试

 以上步骤完成之后一个简单的权限验证已经完成了

准备测试 

为了方便我们在 application 配置一个用户名 并且给他赋予ADMIN权限

#配置security 用户名密码
spring.security.user.name=admin
spring.security.user.password=123456
spring.security.user.roles=ADMIN

在浏览器输入 

http://127.0.0.1:8000/admin 

会自动跳转到登录界面

登录之后成功跳转到home界面 说明成功了

 

这里我们演示 用户名是写到配置文件中的 实际开发一般是从数据库中读取的

如果要从其他渠道获取用户权限 我们要自定义UserDetaisService 进行权限验证 实现 loadUserByUsername方法即可

如果要动态配置url 路径对应的权限 需要完成自定义实现以下步骤 

权限资源 SecurityMetadataSource  实现 FilterInvocationSecurityMetadataSource 接口

权限决策 AccessDecisionManager  实现AccessDecisionManager 接口

 在config文件中装载bean 对象

 .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {

                    public <O extends FilterSecurityInterceptor> O postProcess(

                            O fsi) {

                        fsi.setSecurityMetadataSource(mySecurityMetadataSource());

                        fsi.setAccessDecisionManager(myAccessDecisionManager());

                        return fsi;

                    }

                });

 

p_redStone
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 简单集成 spring security(二)权限控制
aimeng555的博客
05-10 1515
简介 上一篇我们实现了springboot简单的集成spring security,实现了在用户想要实现某一操作时需要进行登陆认证,但是在登陆后用户能够进行所有想要的操作,这并不是我们想要的,我们需要的是当用户访问后,用户能够操作的是我们能够控制他能够操作接口。这里我们就需要进行权限控制
SpringBoot集成Spring Security(开启菜单权限验证
树洞树洞-单纯记录
06-11 4067
pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </de...
spring boot security自定义权限检查
程序猿的樊笼
07-15 759
鉴权主要分为身份认证和权限控制两部分: 身份认证:检查当前用户是否合法(比如已登录) 权限控制:检查当前用户是否有访问该资源的权限
SpringSecurity+SpringBoot前后端分离的权限验证和管理的实现方法
qq_29586495的博客
12-10 4082
SpringSecurity+SpringBoot+前后端分离的权限验证和管理的实现方法 0.本文目标 使用SpringSecurity框架进行访问用户的身份验证权限鉴定,而且做成前后端分离的模式,即后端数据库没有界面,只返回Json作为处理结果。 1.SpringSecurity的作用 SpringSecurity提供了一个权限验证管理的快速搭建工具。 以Web开发为例,使用SpringSecurity框架后, 可以对前端发来的url请求进行拦截,从而验证用户的权限是否允许该用户进行此请求。 提供了
如何使用SpringSecurity
weixin_41553701的博客
08-17 3956
如何使用Spring Security
springboot 整合 security验证简单实例
TT_QY的博客
10-09 390
spring security是一个针对登录验证权限拦截的安全框架。新项目准备使用这个东西做登录,因此参照网上的案例和公司其他系统代码做了做研究。 首先搭建一个最基础的项目,引入一个spring web包和spring security包 建一个健康检查类,一个用户类,没有其他什么东西。 启动后控制台打印了一串密码,这个就是最基础的登录密码,每次启动都是不一样的。 试一下我们的用户类接口,浏览器输入http://localhost:8080/user/hello,发现自动跳转到了http:...
使用Spring Security进行权限验证
05-08 474
Spring Security,这是一种基于Spring AOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。
详解Spring Boot 使用Spring security 集成CAS
08-30
在本篇文章中,我们将介绍如何使用 Spring Boot 集成 Spring Security 和 CAS,以实现安全的身份验证和授权。 Spring Boot 集成 Spring Security 首先,我们需要在 Spring Boot 项目中添加 Spring Security 依赖...
Spring Boot集成Spring Security的Demo
11-13
Spring Boot集成Spring Security是开发基于Java的Web应用时常见的安全框架选择。Spring Security提供了一整套强大且灵活的安全控制机制,使得开发者可以轻松地实现身份验证、授权以及各种安全功能。下面将详细介绍...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
Spring Boot使用 Spring Security 构建权限系统的示例代码
08-29
Spring Boot使用Spring Security构建权限系统的示例代码 在本篇文章中,我们将主要介绍如何使用Spring Security框架在Spring Boot项目中构建权限系统权限控制是非常常见的功能,在各种后台管理系统权限控制更...
Spring Boot使用Spring Security实现权限控制
04-15
本文将深入探讨如何在Spring Boot项目中利用Spring Security进行权限控制,并结合BCrypt加密技术来增强用户密码的安全性,同时也会提及如何使用Thymeleaf模板引擎来呈现动态安全的界面。 首先,我们需要理解Spring ...
SpringSecurity使用
Roronna_Zoro的博客
09-08 482
SpringSecurity使用 学习目标 SpringSecruity简介 安全框架概述 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问 控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 常用安全框架 Spring SecuritySpring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访 问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了 Spring IoC
SpringBoot集成Spring Security实现登陆和简单权限验证
不经意的博客
09-21 7194
1.数据库配置好 2.导依赖 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
SpringSecurity框架跳过加密步骤直接验证用户密码
快敲代码去
06-29 4514
程序内获取到用户的username和password,构造User对象,框架自动对密码进行加密然后和数据库中的密码作比较,得出结果。如果这里的密码是密文(直接从数据库中获得),那么你在构造User对象的时候,框架会再加密一遍,这样和库中密码匹配的时候肯定是错误的。在password字段前添加即可,这样后面会直接使用你传入的密码(不会再次加密)进行操作。......
关闭SECURITY权限验证解决开发中SPRINGBOOT登录需要用户名密码问题
wswxy52188的博客
12-08 5232
关闭SECURITY权限验证解决开发中SPRINGBOOT登录需要用户名密码问题
SpringBoot集成Spring Security(2)——密码校验
风清云淡
11-23 2620
一、前言 在上一篇《SpringBoot集成Spring Security(1)——登录认证》中已经做了Spring Security的基本入门,可以登录和做角色校验,这其中有一点比较好奇的就是密码校对这块。 二、简要分析 下面通过源码简单的来了解下Spring Security的密码校对这块,在上一篇博客中代码示例里的SecurityConfig里面,我们自己配置了一个密码编码器,然后在检验过程中就会获取改密码编码器,拿到数据库中该用户的密码和你前端传进来的密码,调用matches方法进行校验。
Spring Boot整合Spring Security(五)登出与未认证(授权)处理
时雨吹雪的博客
02-01 1189
Spring Security中登出处理与访问拒绝处理
1111111111111111111111
最新发布
08-13
1111111111111111
写一段Spring Boot 集成 Security权限验证的代码
03-29
以下是一个示例Spring Boot应用程序中集成Spring Security权限验证的代码。 1.添加依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2.创建Security配置类 创建一个Security配置类,该类扩展了WebSecurityConfigurerAdapter类。在此类中,您可以设置安全配置。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .antMatchers("/**").permitAll() .and() .formLogin(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService); } } ``` 此配置设置了3个端点的访问权限:/admin/**需要ADMIN角色,/user/**需要USER角色,所有其他端点都允许所有人访问。此外,此配置还启用了表单登录。 3.创建用户服务类 创建一个用户服务类,该类扩展了UserDetailsService接口。在此类中,您可以设置用户信息。 ``` @Service public class UserService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), new ArrayList<>() ); } } ``` 此服务类使用userRepository来查找用户。如果找到用户,则返回一个新的Spring Security用户对象。 4.创建控制器 创建一个控制器来测试安全性配置。 ``` @RestController public class TestController { @GetMapping("/admin/hello") public String helloAdmin() { return "Hello Admin!"; } @GetMapping("/user/hello") public String helloUser() { return "Hello User!"; } @GetMapping("/hello") public String hello() { return "Hello World!"; } } ``` 此控制器包含3个端点:/admin/hello,/user/hello和/hello。只有具有相应角色的用户才能访问前两个端点。 5.测试应用程序 使用Spring Boot运行应用程序并访问上述端点以测试安全性配置。如果您尝试访问/admin/hello或/user/hello而没有相应的角色,则会被重定向到登录页面。如果您尝试访问/hello,则不需要登录即可访问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值