Spring全家桶-Spring Security之自定义表单,认证,鉴权

已于 2022-04-26 18:20:02 修改
阅读量2.2k 收藏
点赞数 1
分类专栏: Spring Security 文章标签: Security Spring全家桶 Spring Security Java 安全框架 Java
于 2022-04-26 18:19:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qian1314520hu/article/details/124421347
版权

Spring全家桶-Spring Security之自定义表单,认证,鉴权

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

文章目录

前言

我们可以通过自定义的表单进行登陆页的指定,但是有时候,我们是需要前后端分离的,是返回JSON数据到前端并进行相应的跳转,还有进行登陆成功和登陆失败的处理,我们该怎么处理呢?
默认情况下,Spring Security只给我们提供了一个默认的用户,就算通过配置的话,也只能设置一个用户,那我们怎么处理呢?还有角色怎么处理?想通过不同的角色,不同权限进行不同的请求连接过滤又该如何处理呢?Spring Security为我们提供了默认操作方式,现在就开始吧!😄

一、Spring Security之自定义表单2

我们继续完善之前的疑问?我们需要处理登录失败和登陆成功的处理,并且需要返回json进行相应的处理,现在进行完善

二、自定义登陆地址和登陆结果处理

1.开始撸代码

  1. 创建项目spring-security-authentication,pom.xml如下:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <parent>
        <artifactId>spring-security-learn</artifactId>
        <groupId>org.tony.spring.security</groupId>
        <version>1.0-SNAPSHOT</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>

    <artifactId>spring-security-authentication</artifactId>

    <properties>
        <maven.compiler.source>11</maven.compiler.source>
        <maven.compiler.target>11</maven.compiler.target>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
    </dependencies>

</project>

2. 添加配置文件 application.yml

server:
  port: 8080
spring:
  security:
    user:
      name: tony
      password: 123456
      roles:  #指定相关角色,进行鉴权使用
      - "admin"

3.添加配置类WebSecurityConfig替换掉默认的配置类

修改登陆配置信息,进行相关的配置:WebSecurityConfig如下:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests().antMatchers("/book/**")
                .hasRole("admin")
                .antMatchers("/user/**")
                .hasRole("user")
                .antMatchers("/index/**")
                .permitAll()
                .antMatchers("/")
                .hasAnyRole("admin","user")
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .loginPage("/login.html")
                .permitAll()
                .successHandler((request, response, authentication) -> {
                    response.setContentType("application/json;charset=UTF-8;");
                    PrintWriter printWriter = response.getWriter();
                    String successJson = "{\"code\":\"0000\",\"message\":\"认证成功\",\"success\":true}";
                    printWriter.write(successJson);
                })
                .failureHandler((request, response, exception) -> {
                    response.setContentType("application/json;charset=UTF-8;");
                    response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
                    PrintWriter printWriter = response.getWriter();
                    String successJson = "{\"code\":\"10001\",\"message\":\"认证失败\",\"success\":false}";
                    printWriter.write(successJson);
                }).and().csrf().disable();
    }
}

鉴权问题等会会说到哦。
Spring Security为我们提供了两个方法,一个是successHandler()方法,一个是failureHandler()方法。

//处理登陆成功的逻辑
public final T successHandler(AuthenticationSuccessHandler successHandler) {
        this.successHandler = successHandler;
        return this.getSelf();
    }
//处理登陆失败的逻辑
public final T failureHandler(AuthenticationFailureHandler authenticationFailureHandler) {
        this.failureUrl = null;
        this.failureHandler = authenticationFailureHandler;
        return this.getSelf();
    }

successHandler()方法会携带当前登陆用户名及其角色等信息,failureHandler()方法会携带一个认证异常信息,通过这个异常可以进行相关的自有逻辑处理。
并且我们可以通过defaultSuccessUrl()方法和failureUrl()方法进行处理登陆成功和失败的跳转页面,也可以使用successForwardUrl()方法和failureForwardUrl()方法进行forward当相关的页面。
当我们使用successHandlerfailureHandler处理返回JSON的时候,不会跳转到defaultSuccessUrl和failureUrl指定的url中。
运行程序可以试试:
当登陆成功:
在这里插入图片描述
登陆失败:
在这里插入图片描述
调试信息:
在这里插入图片描述
这里的角色信息,是配置文件里面的。
查询认证信息的时候,通过User类追加的ROLE_

 public User.UserBuilder roles(String... roles) {
            List<GrantedAuthority> authorities = new ArrayList(roles.length);
            String[] var3 = roles;
            int var4 = roles.length;

            for(int var5 = 0; var5 < var4; ++var5) {
                String role = var3[var5];
                Assert.isTrue(!role.startsWith("ROLE_"), () -> {
                    return role + " cannot start with ROLE_ (it is automatically added)";
                });
                authorities.add(new SimpleGrantedAuthority("ROLE_" + role));
            }

            return this.authorities((Collection)authorities);
        }

在项目中打个断点看看错误信息:
在这里插入图片描述

三.鉴权

1.设置权限

我们在上面的配置文件中,设置了/book/**/user/**/index/**,并且设置了相应的角色访问权限。

.antMatchers("/book/**")
.hasRole("admin")
.antMatchers("/user/**")
.hasRole("user")
.antMatchers("/index/**")
.permitAll()
.antMatchers("/")
.hasAnyRole("admin","user")

antMatchers() 是一个采用ANT模式的URL匹配器。
ANT模式使用

  1. ?:匹配任意单个字符,
  2. *:匹配0或任意数量的字符
  3. **:匹配0或者更多的目录
    上面说明book的路径下需要admin权限,user路径下,需要user权限,
    index路径下不需要权限,可以公开访问。
    我们现在登陆的用户是配置文件中的用户,是通过在内存中去处理用户的信息,到时候我们会将用户信息保存到数据库中进行处理。

2.验证

登陆用户为:tony,密码:123456,并且角色为admin
我看看运行情况:当用此用户访问user接口
在这里插入图片描述
因为没有权限,因此会配置错误页面,spring的错误页为/error.html
当我们访问book接口试试:
在这里插入图片描述
说明当前接口是可以访问的。当我们登出之后,访问index接口试试
在这里插入图片描述
同时在访问user接口和book接口全部都要跳转到登陆页
在这里插入图片描述
说明这两个接口是需要鉴权的。但是我们现在还是只有一个用户,然而多个用户的情况下,怎么处理了?

  1. 通过InMemoryUserDetailsManager实现内存进行用户管理
  2. 通过JdbcUserDetailsManager实现数据库进行用户管理
Tony-devj
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security自定义数据库表结构
jasstool的博客
08-08 1892
在用spring security对用户进行安全认证的时候,碰到一个很头疼的问题,spring security是使用其默认数据库表结构的,默认表为users,其实嫌麻烦的话,直接使用这个默认配置也是可以的,但是我的项目里已经有了表结构规范,这个时候就需要改变其默认的表结构,以下为securityConfig.java的代码,通过覆盖JdbcDaoImpl中的usersByUsernameQuer...
Java开发之spring security实现基于MongoDB的认证功能
08-28
主要介绍了Java开发之spring security实现基于MongoDB的认证功能,结合实例形式分析了spring security在非JDBC环境下的自定义认证服务实现技巧,需要的朋友可以参考下
SpringSecurity 自定义表单登录的实现
08-25
主要介绍了SpringSecurity 自定义表单登录的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
3-SpringSecurity自定义Form表单
GJ_ia的博客
01-08 71
用户名 密码
3-SpringSecurity自定义Form表单springcloud入门视频
m0_60147147的博客
03-23 843
问题:就以上个实验3中的报错信息为例,或当用户名、密码输错后,如何在后台看到错误信息?常见的认证异常,这里可以看到共有18个子类:上述增加了在认证失败时的处理:输出错误信息。同理,如果想在登录成功时直接进行一些处理(eg: 数据初始化等),可以使用以下配置:@Override})经历千难万险,终于要登录成功了。进来之后要跳转到哪里呢?看你喽~想跳哪里跳哪里。。
spring security自定义数据库表结构
远方的少年
03-18 4546
    上一讲中我们说了,我们可以采用spring security默认使用的数据库表结构,就是users和authiration表,但是在实际开发中,用户表通常都是各式各样的,需要根据自己的业务场景来设计,这就要用到了自定义数据库表结构来配合spring security的使用了。  首先我们来建立三个表。 CREATE TABLE role( id BIGINT AUTO_INCREM...
SpringSecurity使用JDBC认证
weixin_51251559的博客
04-03 513
springsecruty权限验证,使用JDBC,auth.jdbcAuthentication()认证
Spring Security 表单认证
快乐的小三菊的博客
12-14 3019
spring security表单认证
Spring全家桶-Spring Security自定义表单
HQ DevJ的专栏
04-22 573
Spring全家桶-Spring Security自定义表单 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security自定义表单Spring Sec
spring security5使用jdbcAuthentication()验证
qq_41754409的博客
09-21 5705
首先数据库格式要和规则差不多 IDEA的请按ctrl+shift+R搜索 users.ddl里面就是jdbcAuthentication()验证要使用的具体规则,下面代码就是 create table users(username varchar_ignorecase(50) not null primary key,password varchar_ignorecase(500) not nu...
自定义表单mysql_Spring Security(一)自定义表单认证授权(整合mybatis generator和mybatis)...
weixin_34717586的博客
01-25 196
目录:1、默认表单认证 创建 springboot 项目,依赖:org.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-starter-security写一个测试 controller@RestController@RequestMapping("/index")public clas...
spring-boot-security-jwt:使用Spring Boot + Security + JWT用于REST端点的项目
01-30
发布Tomcat嵌入8.5.15 乔达日期时间2.9.9登录您可以使用两种方式登录: 1-在LoginController中调用端点/ login 格式:JSON { "username" : "user" "password" : "test123"}2-调用SpringSecurity提供的端点/ ...
spring-security-multi-auth:Spring Boot应用程序示例,演示用于多种身份验证的Spring Security Java配置(Siteminder SSO +表单登录)
05-09
Spring Security多身份验证展示柜基于Spring Boot的示例应用程序,展示了用于多个身份验证流程的案例Java配置-Siteminder SSO和基于表单的登录。入门/运行应用程序克隆存储库,使用maven将其打包为jar,然后从目标...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证
#这是一篇关于 LabVIEW 介绍说明、使用技巧和优缺点对文章
最新发布
04-26
labview
重庆大学数字电子技术试题.pdf
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
重庆大学2012电磁场考题(A)参考答案及评分标准.pdf
04-26
重庆大学期末考试试卷,重大期末考试试题,试题及答案
5G智慧港口解决方案.pptx
04-26
在现有省、市港口信息化系统进行有效整合基础上,借鉴新 一代的感知-传输-应用技术体系,实现对码头、船舶、货物、重 大危险源、危险货物装卸过程、航管航运等管理要素的全面感知、 有效传输和按需定制服务,为行政管理人员和相关单位及人员提 供高效的管理辅助,并为公众提供便捷、实时的水运信息服务。 建立信息整合、交换和共享机制,建立健全信息化管理支撑 体系,以及相关标准规范和安全保障体系;按照“绿色循环低碳” 交通的要求,搭建高效、弹性、高可扩展性的基于虚拟技术的信 息基础设施,支撑信息平台低成本运行,实现电子政务建设和服务模式的转变。 实现以感知港口、感知船舶、感知货物为手段,以港航智能 分析、科学决策、高效服务为目的和核心理念,构建“智慧港口”的发展体系。 结合“智慧港口”相关业务工作特点及信息化现状的实际情况,本项目具体建设目标为: 一张图(即GIS 地理信息服务平台) 在建设岸线、港口、港区、码头、泊位等港口主要基础资源图层上,建设GIS 地理信息服务平台,在此基础上依次接入和叠加规划建设、经营、安全、航管等相关业务应用专题数据,并叠 加动态数据,如 AIS/GPS/移动平台数据,逐步建成航运管理处 "一张图"。系统支持扩展框架,方便未来更多应用资源的逐步整合。 现场执法监管系统 基于港口(航管)执法基地建设规划,依托统一的执法区域 管理和数字化监控平台,通过加强对辖区内的监控,结合移动平 台,形成完整的多维路径和信息追踪,真正做到问题能发现、事态能控制、突发问题能解决。 运行监测和辅助决策系统 对区域港口与航运业务日常所需填报及监测的数据经过科 学归纳及分析,采用统一平台,消除重复的填报数据,进行企业 输入和自动录入,并进行系统智能判断,避免填入错误的数据, 输入的数据经过智能组合,自动生成各业务部门所需的数据报 表,包括字段、格式,都可以根据需要进行定制,同时满足扩展 性需要,当有新的业务监测数据表需要产生时,系统将分析新的 需求,将所需字段融合进入日常监测和决策辅助平台的统一平台中,并生成新的所需业务数据监测及决策表。 综合指挥调度系统 建设以港航应急指挥中心为枢纽,以各级管理部门和经营港 口企业为节点,快速调度、信息共享的通信网络,满足应急处置中所需要的信息采集、指挥调度和过程监控等通信保障任务。 设计思路 根据项目的建设目标和“智慧港口”信息化平台的总体框架、 设计思路、建设内容及保障措施,围绕业务协同、信息共享,充 分考虑各航运(港政)管理处内部管理的需求,平台采用“全面 整合、重点补充、突出共享、逐步完善”策略,加强重点区域或 运输通道交通基础设施、运载装备、运行环境的监测监控,完善 运行协调、应急处置通信手段,促进跨区域、跨部门信息共享和业务协同。 以“统筹协调、综合监管”为目标,以提供综合、动态、实 时、准确、实用的安全畅通和应急数据共享为核心,围绕“保畅通、抓安全、促应急"等实际需求来建设智慧港口信息化平台。 系统充分整合和利用航运管理处现有相关信息资源,以地理 信息技术、网络视频技术、互联网技术、移动通信技术、云计算 技术为支撑,结合航运管理处专网与行业数据交换平台,构建航 运管理处与各部门之间智慧、畅通、安全、高效、绿色低碳的智 慧港口信息化平台。 系统充分考虑航运管理处安全法规及安全职责今后的变化 与发展趋势,应用目前主流的、成熟的应用技术,内联外引,优势互补,使系统建设具备良好的开放性、扩展性、可维护性。
spring-cloud-starter-securityspring-boot-starter-security
04-28
spring-boot-starter-securitySpring Boot框架中提供的一个基础库,它提供了一些基本的安全认证功能,比如HTTP Basic、表单认证等。 而spring-cloud-starter-securitySpring Cloud框架中提供的一个库,它是在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值