SpringSecurity开发基于表单的认证

最新推荐文章于 2022-01-13 16:20:02 发布
最新推荐文章于 2022-01-13 16:20:02 发布
阅读量331 收藏
点赞数
分类专栏: Spring Security 文章标签: 权限认证授权

核心功能

  1. 认证(你是谁)
  2. 授权(你能干什么)
  3. 攻击防护(防止伪造身份)

一组过滤器链

//所有请求都需要认证 几乎是默认的
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.formLogin().and().authorizeRequests()
				.anyRequest().authenticated();  //vt. 批准,认可;授权给;委托代替
			
http.httpBasic();

在这里插入图片描述

#security.basic.enabled = false

使用密码加密

@Configuration
public class AuthenticationBeanConfig {

	/**
	 * 默认密码处理器
	 * @return
	 */
	@Bean
	@ConditionalOnMissingBean(PasswordEncoder.class)
	public PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}

定义认证授权 用户名密码

@Component
@Transactional
public class DemoUserDetailsService implements UserDetailsService

	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//		logger.info("表单登录用户名:" + username);
//		Admin admin = adminRepository.findByUsername(username);
//		admin.getUrls();
//		return admin;
		return buildUser(username);   //直接new User 也行
	}

	private SocialUserDetails buildUser(String userId) { //返回user也行
		// 根据用户名查找用户信息
		//根据查找到的用户信息判断用户是否被冻结
		String password = passwordEncoder.encode("123456");
		logger.info("数据库密码是:"+password);
		
		return new SocialUser(userId, password,
				true, true, true, true,
				AuthorityUtils.commaSeparatedStringToAuthorityList("xxx"));
	}

在这里插入图片描述

实现不同样式的请求,不同样式的转发

在这里插入图片描述

	@Override
	protected void configure(HttpSecurity http) throws Exception {

		http.formLogin()
				.loginPage("/imooc-signIn.html") //在resource 下简历 resource文件夹,里面有此html
				.loginProcessingUrl("/authentication/form")
				.and().authorizeRequests()
				.antMatchers("/imooc-signIn.html").permitAll()   //同理这里也要加入,自定义的登录页面,不需要权限认证
				.anyRequest().authenticated()
				.and().csrf().disable();

就是把html界面,换成请求,

@RestController
public class BrowserSecurityController {
	private Logger logger = LoggerFactory.getLogger(getClass());
	private RequestCache requestCache = new HttpSessionRequestCache();
	private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

	@Autowired
	private SecurityProperties securityProperties;

	@RequestMapping(SecurityConstants.DEFAULT__URL)
	@ResponseStatus(code = HttpStatus.UNAUTHORIZED)
	public SimpleResponse requireAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws IOException {

		SavedRequest savedRequest = requestCache.getRequest(request, response);

		if (savedRequest != null) {
			String targetUrl = savedRequest.getRedirectUrl();
			logger.info("引发跳转的请求是:" + targetUrl);
			if (StringUtils.endsWithIgnoreCase(targetUrl, ".html")) {
				redirectStrategy.sendRedirect(request, response, securityProperties.getBrowser().getSignInPage()); //如果用户配置了值,就用,没有用默认的值
			}
		}

		return new SimpleResponse("访问的服务需要身份认证,请引导用户到登录页");
	}

public class SimpleResponse {
	private Object content;
	}

配置文件

在这里插入图片描述

@ConfigurationProperties(prefix = "imooc.security")
public class SecurityProperties {
	 // 浏览器环境配置
	private BrowserProperties browser = new BrowserProperties();  //browser下面有loginPage 就能读取到下面的配置

在这里插入图片描述
在这里插入图片描述

让读取器生效:
@Configuration
@EnableConfigurationProperties(SecurityProperties.class)
public class SecurityCoreConfig {
}

自定义登录成功处理

在这里插入图片描述

SavedRequestAwareAuthenticationSuccessHandler 是 AuthenticationSuccessHandler 实现类,这里用AuthenticationSuccessHandler 
@Component("imoocAuthenticationSuccessHandler")
public class ImoocAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
	private Logger logger = LoggerFactory.getLogger(getClass());
	@Autowired
	private ObjectMapper objectMapper;
	@Autowired
	private SecurityProperties securityProperties;
	private RequestCache requestCache = new HttpSessionRequestCache();

	@Override
	public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
			Authentication authentication) throws IOException, ServletException {

		logger.info("登录成功");

		if (LoginResponseType.JSON.equals(securityProperties.getBrowser().getSignInResponseType())) {
			response.setContentType("application/json;charset=UTF-8");
			String type = authentication.getClass().getSimpleName();
			response.getWriter().write(objectMapper.writeValueAsString(new SimpleResponse(type)));
		} else {
			// 如果设置了imooc.security.browser.singInSuccessUrl,总是跳到设置的地址上
			// 如果没设置,则尝试跳转到登录之前访问的地址上,如果登录前访问地址为空,则跳到网站根路径上
			if (StringUtils.isNotBlank(securityProperties.getBrowser().getSingInSuccessUrl())) {
				requestCache.removeRequest(request, response);
				setAlwaysUseDefaultTargetUrl(true);
				setDefaultTargetUrl(securityProperties.getBrowser().getSingInSuccessUrl());
			}
			super.onAuthenticationSuccess(request, response, authentication);
		}

	}

}

@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

@Component
public class FormAuthenticationConfig {
	@Autowired
	protected AuthenticationSuccessHandler imoocAuthenticationSuccessHandler;
	@Autowired
	protected AuthenticationFailureHandler imoocAuthenticationFailureHandler;
	public void configure(HttpSecurity http) throws Exception {
		http.formLogin()
			.loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL)
			.loginProcessingUrl(SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_FORM)
			.successHandler(imoocAuthenticationSuccessHandler)
			.failureHandler(imoocAuthenticationFailureHandler);
	}
}

错误的处理

@Component("imoocAuthenctiationFailureHandler")
public class ImoocAuthenctiationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

	private Logger logger = LoggerFactory.getLogger(getClass());
	
	@Autowired
	private ObjectMapper objectMapper;
	
	@Autowired
	private SecurityProperties securityProperties;
	
	/* (non-Javadoc)
	 * @see org.springframework.security.web.authentication.AuthenticationFailureHandler#onAuthenticationFailure(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse, org.springframework.security.core.AuthenticationException)
	 */
	@Override
	public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException exception) throws IOException, ServletException {
		
		logger.info("登录失败");
		
		if (LoginResponseType.JSON.equals(securityProperties.getBrowser().getSignInResponseType())) {
			response.setStatus(HttpStatus.UNAUTHORIZED.value());
			response.setContentType("application/json;charset=UTF-8");
			response.getWriter().write(objectMapper.writeValueAsString(new SimpleResponse(exception.getMessage())));
		}else{
			super.onAuthenticationFailure(request, response, exception);
		}
		
	}
}

同理配置到 failureHandler

配置:
imooc.security.browser.signInResponseType = REDIRECT

天海华兮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity基于表单认证(上)
weixin_43090405的博客
10-10 3888
SpringSecurity基于表单认证(上) 核心功能 认证 授权 攻击防护 ##SpringSecurity基本原理 使用众多的拦截器对url拦截,以此来管理权限。 小案例 添加依赖以后,权限就会起作用,对所有url进行拦截,需要进行用户身份认证,填写用户名和密码,用户名默认user,密码会出现在控制台 Using default security password: f2e5...
spring security 开发 基于表单认证
whaleluo的博客
04-06 444
终于进入 spring security 的章节了 基本原理 实现用户名+密码认证 实现手机号+短信认证
02 SpringSecurity-表单认证
01-13 509
一、创建配置类 1.创建configuration包,新建一个WebSecurityConfig类,使其继承WebSecurityConfigurerAdapter 2.添加@EnableWebSecurity注解,让Spring发现并注入 3.可以看到WebSecurityConfigurerAdapter已经默认声明了一些安全特性 protected void configure(HttpSecurity http) throws Exception { this.logger.de
使用Spring Security开发基于表单认证(一)
程序员随笔
12-30 224
  使用Spring Security开发基于表单认证(一) SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 使用springsecurity的默认安全机制: 访问接口时,会弹框: 身份验证.png 用户名默认为user 密码为在日志中显示的密码: Using default security password: e66ae...
使用Spring Security开发基于表单认证(二)
程序员随笔
12-31 323
使用Spring Security开发基于表单认证(二)   个性化用户认证流程   一、自定义登录页面 ①加页面:定义该页面hcx-signIn.html为登录页面: ②配授权 @Configuration public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{ @Bean...
Java开发spring security实现基于MongoDB的认证功能
08-28
在Java开发中,Spring Security是一个强大的安全框架,用于处理应用程序的安全需求,如认证授权。在传统的JDBC环境中,Spring Security提供了内置的支持来处理基于数据库的用户认证。然而,随着NoSQL数据库的广泛...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
1. **Spring Boot**:这是一个基于Spring框架的快速开发工具,它简化了设置和配置,让开发者可以更快地启动新项目。 2. **Spring Security**:是Spring生态系统的安全模块,提供了全面的安全管理功能,包括身份验证...
Spring Security技术栈开发企业级认证授权
04-28
Spring Security技术栈开发企业级认证授权, ...使用Spring Security开发基于表单的登录 使用Spring Social开发第三方登录 Spring Security OAuth开发APP认证框架 使用Spring Security控制授权
SpringSecurity素材.rar
03-02
同时,可能会介绍基于表单登录、JWT令牌认证等多种认证方式。 4. **权限授权**:介绍如何实现基于角色的访问控制(RBAC),定义角色并赋予不同的权限。这通常涉及使用`@PreAuthorize`、`@Secured`等注解进行方法...
Spring Security开发文档.docx
03-04
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。它提供了一套全面的安全服务,包括用户认证授权、会话管理以及对常见攻击(如CSRF)的防护。Spring Security ...
源码:MVC中基于表单的用户身份验证与角色授权
07-08
1.示例代码完整可用,具备在MVC使用表单身份验证,角色授权功能。 并且支持cookie加密。 2.为了方便教学,整个项目末连接数据库,将用户名及角色名称写死了。使用时,自行调用数据库即可。 3.实际使用时将cookie角色写入部分放到Global.asax文件,可解决部分浏览器关闭后要重新登陆问题。如下所示: protected void Application_AuthenticateRequest(Object sender, EventArgs e) { if (HttpContext.Current.User != null) { if (HttpContext.Current.User.Identity.IsAuthenticated) { if (HttpContext.Current.User.Identity is FormsIdentity) { //Get current user identitied by forms FormsIdentity id = (FormsIdentity)HttpContext.Current.User.Identity; // get FormsAuthenticationTicket object FormsAuthenticationTicket ticket = id.Ticket; string userData = ticket.UserData; string[] roles = userData.Split(','); // set the new identity for current user. HttpContext.Current.User = new GenericPrincipal(id, roles); } } } }
spring-security注解开发
10-29
spring实战的的嘘唏,在第九章姐的嘘唏。对书中使用注解的方式开发进行了工程的创建学习。
SpringSecurity应用
最新发布
08-18
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于 Java 的应用程序。它提供了全面的安全解决方案,包括登录、授权、会话管理以及防止常见攻击等功能。在本篇文章中,我们将深入探讨...
springsecurity
07-23
Spring Security 提供了多种认证机制,如基于表单的登录、HTTP基本认证、OAuth2等。用户信息通常存储在内存、数据库或其他安全令牌中。 3. **Authorization**:授权是决定用户是否有权访问特定资源或执行特定操作的...
springSecurity.zip
06-23
总结,Spring Security开发人员提供了全面的Web安全解决方案,通过简单配置和灵活扩展,能有效保护你的应用程序免受各种安全威胁。在深入学习Spring Security时,理解其核心组件和工作流程是至关重要的,这将帮助...
[Spring Security] Spring Security基于表单的登录认证
ShotMoon的博客
05-13 1451
1.基本原理SpringSecurity 最核心的部分是由一系列的过滤器组成的过滤器链,每个过滤器都负责处理一种认证方式,请求经过任何一个过滤器过滤后,都会在请求上做一个标记,来记录认证是否成功,最后由FilterSecurityInterceptor根据我们配置的权限来决定是否能通过认证,从而访问我们的服务。今天我们主要使用的是用来处理表单登录的UsernamePasswordAuthentic...
Spring Security 实战 - 表单认证
blurooo的博客
09-01 566
在上一节中,我们初步引入了Spring Security,并使用了其默认生效的HTTP Basic认证形式保护url资源,本节我们将尝试使用表单认证来达到同样的目的。 说明 本章节摘自《Spring Security 实战》第二章 - 表单认证,更多内容请购书学习。 目前已经上线京东,首批仅需6.8折,猛搓购买:京东 -《Spring Security 实战》 默认表单认证 首先新建一个conf...
spring security表单认证过程
zm274310577的博客
12-26 169
表单认证过程 Spring security表单认证过程是由org.springframework.security.web.authentication. UsernamePasswordAuthenticationFilter类中实现。而在spring security3.0之前是在AuthenticationProcessingFilter类中实现的。 在UsernamePasswo...
SpringSecurity 3.0.2开发指南:入门与配置详解
SpringSecurity开发手册是一本由Ben Alex和Luke Taylor编写的指南,专为Spring Security 3.0.2.RELEASE版本提供深入的参考文档。Spring Security是一款强大的开源安全框架,用于保护Web应用程序免受未经授权的访问、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值