学习:security登陆、认证、授权

最新推荐文章于 2024-08-12 11:01:48 发布
最新推荐文章于 2024-08-12 11:01:48 发布
阅读量1.1k 收藏 3
点赞数 1
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq1609499603/article/details/119268424
版权

设置账号和密码

第一种方法:配置文件(不常用)
application

spring.security.user.name=admin
spring.security.user.password=123

第二种方法:配置类
需要继承WebSecurityConfigurerAdapter

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //密码加密
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String encode = bCryptPasswordEncoder.encode("456");
        //登录认证

        auth.inMemoryAuthentication()
                .withUser("user")
                .password(encode)
                .roles("user");
    }
    @Bean
    public PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

整体逻辑:在security登录中,认证只有两个步骤事需要编程人员来做的:
1、获取用户信息
2、返回用户信息以及权限。
剩下的认证、判断等,全部由security内部完成(没怎么看源码,所以具体怎么完成的不太清楚)
实现:
第一,我需要一个用来给security内部返回用户信息的类,config
第二,我需要一个获取用户信息的类,service

config

@Configuration
@EnableWebSecurity
public class ConfigTest extends WebSecurityConfigurerAdapter{


    @Autowired
    private MyService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }


    @Bean
    public PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

这里继承WebSecurityConfigurerAdapter类,重写configure方法,这是一个空方法,这里的具体要实现什么功能主要看括号中的AuthenticationManagerBuilder,这是一个身份验证管理器,既然是身份验证管理器,我就需要给它一个身份,所以就引出了userDetailsService用户详细信息,现在转到MyService类。

@Service
public class MyService implements UserDetailsService{


    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException{
        QueryWrapper<com.tan.pojo.User> wrapper = new QueryWrapper<>();
        wrapper.eq("username",s);
        com.tan.pojo.User user = userMapper.selectOne(wrapper);

        if(user==null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        return new User(user.getUsername(),new BCryptPaswordEncoder().encode(user.getPassword()),auths);  //模拟加密,return加密后的密码

这里主要用于获取用户,可以看到loadUserByUsername方法中的前三行,使用了mybatisPlus来查找数据库中用户的相关信息赋给user。接下来就是判断是该用户是否存在,不存在就直接报出异常。存在就把当前用户通过上面ConfigTest类给放到AuthenticationManagerBuilder中,剩下的对比操作就由security来完成。

设置认证

根据学习需要来设置哪些网址可以不用登录就能访问,哪些需要登录才能访问。
重写源码中的http安全方法

protected void configure(HttpSecurity http) throws Exception {
    this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
    http.authorizeRequests((requests) -> {
        ((AuthorizedUrl)requests.anyRequest()).authenticated();
    });
    http.formLogin();
    http.httpBasic();
}

根据当前学习需要,重写后的代码

@Override
protected void configure(HttpSecurity http) throws Exception {

    http.formLogin()   //启用自定义登录页面
            .loginPage("/login.html") //登录页面设置
            .loginProcessingUrl("/user/login").permitAll() //登录访问路径
            .defaultSuccessUrl("/test/index") //默认成功路径, 成功后跳转的地方.
            .and().csrf().disable(); //关闭csrf功能, security3默认关闭,security4默认开启

    http.authorizeRequests()
            .antMatchers("/test/index").permitAll()//给一些网站开绿灯,不需要认证也可以登录
            .anyRequest().authenticated(); //所有网站都要需要认证
    http.formLogin();

    http.httpBasic();
}

这里遇到了一个问题,我重写了此方法之后,原方法中的anyRequest().authenticated();就失效了,所以在设置认证登录的时候,要把这一句话给加上,而且要加在认证的最后面,不然会报错

Error creating bean with name 'springSecurityFilterChain' defined in class path resource 
[org/springframework/security/config/annotation/web/configuration/WebSecurityConfiguration.class]: 
Bean instantiation via factory method failed; nested exception is org.springframework.beans.BeanInstantiationException: 
Failed to instantiate [javax.servlet.Filter]: Factory method 'springSecurityFilterChain' threw exception; 
nested exception is java.lang.IllegalStateException: Can't configure antMatchers after anyRequest

可以看到最后一句,嵌套异常为无法在anyRequest之后配置antMatchers。


还有一点自己认为的疑问。。为什么不能把所有网站都需要认证这个条件默认开启,然后写一个关闭的方法,感觉这样更清晰一点。。


在WebSecurityConfigurerAdapter类中还有一些HttpSecurity的其他方法:

private void applyDefaultConfiguration(HttpSecurity http) throws Exception {
    http.csrf(); //csrf功能,默认开启
    http.addFilter(new WebAsyncManagerIntegrationFilter()); //过滤器
    http.exceptionHandling();  //异常处理
    http.headers(); //安全头
    http.sessionManagement(); //会话管理器
    http.securityContext();  //存储当前用户账号信息和相关权限
    http.requestCache(); //请求缓存
    http.anonymous(); //匿名
    http.servletApi(); //小服务程序API
    http.apply(new DefaultLoginPageConfigurer()); //默认登录页面配置器
    http.logout(); //退出
}

三、设置授权

授权的方式分为以下四种:
1、hasAuthority
实现:
设置访问权限:

List<GrantedAuthority> auths = 
AuthorityUtils.commaSeparatedStringToAuthorityList("admin");

设置用户权限:

http.authorizeRequests()
        .antMatchers("/test/hello").hasAnyAuthority("admin")

缺点:只能对一个用户添加一个权限。

2、hasAnyAuthority
hasAuthority的升级版,解决了hasAuthority的缺点。
实现:
设置访问权限:

List<GrantedAuthority> auths = 
AuthorityUtils.commaSeparatedStringToAuthorityList("admin");

设置用户权限:

http.authorizeRequests()
        .antMatchers("/test/hello").hasAnyAuthority("admin","user")

3、hasRole
与hasAuthority不同的是需要在设置访问权限的时候添加一个前缀:ROLE_**
实现:
设置访问权限:

List<GrantedAuthority> auths = 
AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_vvv");

设置用户权限:

http.authorizeRequests()
        .antMatchers("/test/hello").hasRole("vvv")

这里需要注意一下,当使用hasRole时,不能在用户权限中设置ROLE_ 为前缀的权限,会报嵌套异常。


4、hasAnyRole
相当于是hasRole和hasAnyAuthority的结合,一个用户可以有多个权限,但是设置访问权限的时候需要加前缀ROLE_**
实现:
设置访问权限:

List<GrantedAuthority> auths = 
AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin");

设置用户权限:

http.authorizeRequests()
        .antMatchers("/test/hello").hasAnyRole("admin","aaa")
Museum__
关注
security实现账密、手机号和微信三种方式登陆
qq_39164603的博客
09-16 4976
security实现多种方式登陆 spring security 的核心功能主要包括 认证 授权 攻击防护 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 在说多种认证方式之前,咱们先简单过下单认证方式是如何配置的,也说下Spring Security的各个配置类的作用。 1、UsernamePasswordAuthenticationFilte
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3588
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Security安全登录
weixin_45534157的博客
04-30 907
Security配置类 使用SpringBoot整合Security安全登录配置 依赖 <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-start...
Spring Security实现多种登录方式
最新发布
eugene03的博客
08-12 691
依赖导入<parent></parent>1.自定义MyUsernamePasswordFilter/*** 10:30*/@Slf4j// 自定拦截路由} else {// 获取登录表单= null?= null?@Nullable@Nullable/*** 获取登录用户信息* @return*/try {throw new NullPointerException("获取不到登录信息");
security登录流程
weixin_48100716的博客
12-15 1149
用户发起登陆请求AdminController,然后调用我们自己的登录业务实现类AdminServiceImpl的登录方法去处理,调用security框架的核心接口方法authenticate开始认证,他会自动去调用我们实现security框架的UserDetailsService接口的登录认证方法,若是认证成功则向前端返回JWT数据,注:AuthenticationManager(接口是认证的核心接口),也是认证的出发点.我们通过security框架认证登录信息,若登陆成功,最终返回的是JWT数据。
security安全验证登录
EnlightenedNet的博客
05-10 893
一,简单的Secuity登录验证 1.导入依赖 <!-- security安全验证依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
Security登录图解
Shane_FZ_C的博客
09-08 320
Security登录验证图解介绍图示 介绍 因为业务需求变动,需要对已有的Security登录验证流程, 做自定义的处理,经过多番调查终于有了解决方案。 来此做个记录,方便下次使用 图示 图中内容有部分使用缩写,查看的小伙伴们理解为先。 ...
Springboot 整合 spring security,简单实现认证授权
weixin_40991408的博客
05-18 913
Springboot 整合 spring security,简单实现认证授权
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringSecurity提供了认证(Authentication)和授权(Authorization)功能,可以实现用户身份验证、访问控制、CSRF防护等功能。在前后端分离的架构下,通常前端负责用户界面交互,而后端则专注于业务逻辑和数据处理...
SpringSecurity(1)---认证+授权代码实现
weixin_44096353的博客
08-08 1026
安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 市面上存在比
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1579
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
spring security 4 多点登录
01-23
最近看了spring security 4的开发文档,登录权限拦截封装的相当好!!! 附件为简单的多点登录demo,给开发前后台的朋友们做参考,其中authentication-provider为框架自带的user-service,后续会在整个自定义user-service和AccessDecisionManager、SecurityMetadataSource的demo。 demo放在web服务器根目录(不带项目名)。 后台登录路径为http://localhost:8080/loginAdmin.html 后台登录后首页为http://localhost:8080/admin/home.html 账号密码为 admin:123456 前台登录路劲为http://localhost:8080/loginUser.html 后台登录后首页为http://localhost:8080/user/home.html 账号密码为 user:123456 希望对大家有帮助。
Security实现自动登录功能
weixin_41359273的博客
03-21 871
Security实现自动登录功能1.实现自动登录1.1 pom.xml1.2 application.properties1.3 建表1.4 controller1.5 security配置2.持久化令牌方案(解决自动登录安全问题方式一)2.1 security的配置2.2 其他同13.二次校验(解决自动登录安全问题方式一)3.1 security的配置,rememberme功能对/admin接口无效,再次访问/admin接口时需要再次登录3.2 其他同1 1.实现自动登录 1.1 pom.xml <
一、登录认证Security
weixin_44033897的博客
03-09 821
登录认证-Security 一.传统认证 用户登录流程原理 登录基本流程 用户发起登录请求——》LoginController响应请求拿到用户输入的账户密码——》调用Service层通过Dao层根据用户名从数据库查找用户对象——》service层对用户输入的信息和数据库查询的用户对象比较——》认证成功,通过UserContext用户上下文将用户对象信息保存到session 登录详细流程 service层判断输入信息是否为空——》 根据用户名调用mapper层到数据库中查询——》 判断查询对象对象是否
Spring Security登录
最佳 Java 编程
05-15 617
1.简介 本文将重点介绍使用Spring Security登录 。 我们将在前面的简单Spring MVC示例的基础上构建,因为这是设置Web应用程序和登录机制的必要部分。 2. Maven依赖 要将Maven依赖项添加到项目中,请参阅Spring Security with Maven文章 。 标准的spring-security-web和spring-security-config都...
springSecurity登录的全过程
XuDream的博客
08-12 3193
整个流程就是:进入接口—>进行验证—>获取用户信息—>创建token—>存入redis—>返回/*** 自定义权限实现,ss取自SpringSecurity首字母*/*** 所有权限标识/*** 管理员角色权限标识/*** 验证用户是否具备某权限** @param permission 权限字符串* @return 用户是否具备某权限System . out . println("拥用这个权限才能通过" + permission);...
Security 表单登陆
qq_42126105的博客
08-23 271
Spring security自定义表单登陆
Spring Security登录验证过程详解
qq_41375630的博客
11-17 4127
前端: 在前端页面输入username和password,通过地址login访问验证。 后台: 调用 AbstractAuthenticationProcessingFilter.doFilter()方法 原因:SpringSecuritySpring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的 2.在AbstractAuthenticationProcessingFilter.doFilter()调用UsernamePasswor
security实现多种登录方式 1
eugene03的博客
03-22 1293
​ 1.自定义MyUsernamePasswordFilter/*** 10:30// 自定拦截路由 private static final AntPathRequestMatcher DEFAULT_ANT_PATH_REQUEST_MATCHER = new AntPathRequestMatcher("/user/login" , "POST");} else {// 获取登录表单 getUser(request);= null?= null?
Spring Security 3.0 中文教程:入门与认证授权解析
读者将了解到如何配置安全过滤器链、如何实现自定义认证授权逻辑,以及如何利用 Spring Security 的事件发布机制来监控和响应安全事件。 Spring Security 3 中文教程为开发者提供了一个全面的学习资源,无论你是...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值