Spring Security 4.X 零配置,草稿记录

最新推荐文章于 2020-12-27 09:45:27 发布
最新推荐文章于 2020-12-27 09:45:27 发布
阅读量2.2k 收藏
点赞数
分类专栏: Spring Security 文章标签: java Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq519805712/article/details/51317004
版权 

 

 

"org.springframework.security:spring-security-web:4.1.0.RELEASE","org.springframework.security:spring-security-taglibs:4.1.0.RELEASE","org.springframework.security:spring-security-config:4.1.0.RELEASE"
 

 

configure(WebSecurity web) 
 

 

 @Override
    public void configure(WebSecurity web) throws Exception {
        // 设置不拦截规则
        web.ignoring().antMatchers("/pm/**","/common/**","/*.ico");
    }
 

 

 

 


 
 

configure(HttpSecurity http)
 

 

 
 

protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests().antMatchers("/login").anonymous();//指定登录界面容许匿名登录 
http.authorizeRequests() .anyRequest().authenticated() 
//容许嵌入框架iframe
.and().headers().frameOptions().disable() .and() .httpBasic()
//defaultSuccessUrl:指定登录成功后界面, loginPage:指定登录界面
.and().formLogin().defaultSuccessUrl("/main.to").loginPage("/login") .permitAll();
}

 


 
 

 

 

1.容许嵌入框架iframe跳转
 

 

.and().headers().frameOptions().disable()
 

 

 

 

2.指定登录界面
 

 

.and().formLogin().loginPage("/login")
 

 

 

 

3.指定登录成功后返回界面
 

 

.and().formLogin().defaultSuccessUrl("/main.to")
 


 
 

进入后台时进行权限验证
 
 

 

package com.framework.security;

import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
/****
 * @author tzz
 * @功能描述
 * @date 2016/5/5
 * 修改人    修改时间   修改说明
 ****/
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig{

}
 

后台函数权限验证(范例)
 

@PreAuthorize("hasRole('002_02_202')")
@ResponseBody
@RequestMapping(value="/company.add", method = RequestMethod.POST,params={"nameShort","name","remark"})
public Map<String,Object> add(String name,String nameShort, String remark) {
	....
}
 

 

 

 

 


 
 
configure(AuthenticationManagerBuilder auth) 

 

 

 

1.自定义盐值加密配置
 

 

 

 DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
 ReflectionSaltSource saltSource = new ReflectionSaltSource();
//UserInfo.salt 盐值数据字段
 saltSource.setUserPropertyToUse("salt");
 authProvider.setPasswordEncoder(new Md5PasswordEncoder());
 auth.authenticationProvider(authProvider);
 

 2.自定义用户权限信息 

 

 

自定义用户信息SQL
private String usersByUsernameQuery = "SELECT account,pwd,stat,salt,id,company_id,name,login_stat,login_date ,login_ip FROM USER_ACCOUNT WHERE ACCOUNT = ?"

自定义权限信息SQL
private String authoritiesByUsernameQuery = "SELECT NAME,POWER_CODE FROM VW_USER_POWER WHERE ACCOUNT_ID = ?"
 

自定义用户权限信息对 configure(AuthenticationManagerBuilder auth)进行修改
 

 

 

@Override
    protected void configure(AuthenticationManagerBuilder auth)
            throws Exception {
        DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider();
        ReflectionSaltSource saltSource = new ReflectionSaltSource();
        saltSource.setUserPropertyToUse("salt");
        authProvider.setSaltSource(saltSource);
        authProvider.setUserDetailsService(userDetailsService());
        authProvider.setPasswordEncoder(new Md5PasswordEncoder());
        auth.authenticationProvider(authProvider);

    }
 

 

 

	
protected UserInfoService userDetailsService() {
     return new UserInfoService().setAuthoritiesUsernameQuery(this.authoritiesByUsernameQuery)
                    .setUsersUsernameQuery(this.usersByUsernameQuery).dataSource(dataSource);
}
 

package com.framework.security;
import org.apache.commons.logging.Log;
import org.apache.commons.logging.LogFactory;
import org.springframework.context.support.MessageSourceAccessor;
import org.springframework.dao.DataAccessException;
import org.springframework.jdbc.core.RowMapper;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.SpringSecurityMessageSource;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.provisioning.JdbcUserDetailsManager;
import javax.sql.DataSource;
import java.util.*;
/****
 * @author tzz
 * @功能描述
 * @date 2016/5/3
 * 修改人    修改时间   修改说明
 ****/
public class UserInfoService  extends JdbcUserDetailsManager implements UserDetailsService {


    private Map<String, UserInfo> userMap = null;
    protected final Log logger = LogFactory.getLog(getClass());
    protected final MessageSourceAccessor messages = SpringSecurityMessageSource
            .getAccessor();
    private String usersByUsernameQuery;
    private String authoritiesByUsernameQuery;
    public UserInfoService() {
        userMap = new HashMap<>();
    }


    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException, DataAccessException {
        List<UserDetails> users = loadUsersByUsername(username);
        if (users.size() == 0) {
            logger.debug("Query returned no results for user '" + username + "'");
            throw new UsernameNotFoundException(messages.getMessage(
                    "JdbcDaoImpl.notFound", new Object[] { username },
                    "Username {0} not found"));
        }
        UserInfo user = (UserInfo)users.get(0);
        Set<GrantedAuthority> dbAuthsSet = new HashSet<GrantedAuthority>();
        if (getEnableAuthorities()) {
            dbAuthsSet.addAll(loadUserAuthorities(user.getId()));
        }
        if (getEnableGroups()) {
            dbAuthsSet.addAll(loadGroupAuthorities(user.getUsername()));
        }
        List<GrantedAuthority> dbAuths = new ArrayList<GrantedAuthority>(dbAuthsSet);
        addCustomAuthorities(user.getUsername(), dbAuths);
        if (dbAuths.size() == 0) {
            logger.debug("User '" + username
                    + "' has no authorities and will be treated as 'not found'");


            throw new UsernameNotFoundException(messages.getMessage(
                    "JdbcDaoImpl.noAuthority", new Object[] { username },
                    "User {0} has no GrantedAuthority"));
        }
        return createUserDetails(username,user,dbAuths);
    }


    protected UserDetails createUserDetails(String username,
                                            UserInfo userFromUserQuery, List<GrantedAuthority> combinedAuthorities) {
        String returnUsername = userFromUserQuery.getUsername();
        if (!isUsernameBasedPrimaryKey()) {
            returnUsername = username;
        }
        UserInfo user = new UserInfo(returnUsername,userFromUserQuery.getPassword(), userFromUserQuery.isEnabled(), true, true, true,
                combinedAuthorities);


        user.setId(userFromUserQuery.getId());
        user.setCompanyId(userFromUserQuery.getCompanyId());
        user.setName(userFromUserQuery.getName());
        user.setLoginStat(userFromUserQuery.getLoginStat());
        user.setLoginDate(userFromUserQuery.getLoginDate());
        user.setLoginIP(userFromUserQuery.getLoginIP());
        user.setSalt(userFromUserQuery.getSalt());
        return user;
    }
    /**
     * Loads authorities by executing the SQL from
     * <tt>groupAuthoritiesByUsernameQuery</tt>.
     *
     * @return a list of GrantedAuthority objects for the user
     */
    protected List<GrantedAuthority> loadUserAuthorities(int userId) {
        try {
            return getJdbcTemplate().query(this.authoritiesByUsernameQuery,
                    new Object[] { userId },(RowMapper<GrantedAuthority>) (rs,rowNum)-> {
                            String roleName = getRolePrefix() + rs.getString(2);
                                return new SimpleGrantedAuthority(roleName);
                    });
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }
    /**
     * Loads authorities by executing the SQL from <tt>authoritiesByUsernameQuery</tt>.
     *
     * @return a list of GrantedAuthority objects for the user
     */
    protected List<UserDetails> loadUsersByUsername(String username)  {
        try {
            return getJdbcTemplate().query(this.usersByUsernameQuery, new Object[] { username},
                    (RowMapper<UserDetails>) (rs, rowNum) -> {
                        String username1 = rs.getString(1);
                        String password = rs.getString(2);
                        boolean enabled = rs.getBoolean(3);
                        UserInfo user = new UserInfo(username1, password, enabled, true, true, true,
                                AuthorityUtils.NO_AUTHORITIES);
                        user.setSalt(rs.getString(4));
                        user.setId(rs.getInt(5));
                        user.setCompanyId(rs.getInt(6));
                        user.setName(rs.getString(7));
                        user.setLoginStat(rs.getInt(8));
                        user.setLoginDate(rs.getLong(9));
                        user.setLoginIP(rs.getString(10));
                        return user;
                    }
            );
        } catch (Exception e) {
            e.printStackTrace();
        }
        return null;
    }


    public UserInfoService setAuthoritiesUsernameQuery(String authoritiesByUsernameQuery) {
        this.authoritiesByUsernameQuery = authoritiesByUsernameQuery;
        return this;
    }
    public UserInfoService setUsersUsernameQuery(String usersByUsernameQuery) {
        this.usersByUsernameQuery = usersByUsernameQuery;
        return this;
    }
    public  UserInfoService dataSource(DataSource dataSource) {
        super.setDataSource(dataSource);
        return  this;
    }
}
 

package com.framework.security;


import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;


import java.util.Collection;


/****
 * @author tzz
 * @功能描述
 * @date 2016/5/3
 * 修改人    修改时间   修改说明
 ****/
public class UserInfo extends User {
    private int id;
    private int companyId;//所属公司
    private int loginSystemId = 0;//当前登录系统ID
    private String name;//用户名称
    private int loginStat;//登录状态 1:登录 2:未登陆
    private String loginIP;//登录IP
    private long loginDate;//登录时间
    private String salt;
    public UserInfo(String username, String password, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, authorities);
    }


    public UserInfo(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);


    }


    public String getSalt() {
        return salt;
    }


    public void setSalt(String salt) {
        this.salt = salt;
    }


    public int getId() {
        return id;
    }


    public void setId(int id) {
        this.id = id;
    }


    public int getCompanyId() {
        return companyId;
    }


    public void setCompanyId(int companyId) {
        this.companyId = companyId;
    }


    public int getLoginSystemId() {
        return loginSystemId;
    }


    public void setLoginSystemId(int loginSystemId) {
        this.loginSystemId = loginSystemId;
    }


    public String getName() {
        return name;
    }


    public void setName(String name) {
        this.name = name;
    }


    public int getLoginStat() {
        return loginStat;
    }


    public void setLoginStat(int loginStat) {
        this.loginStat = loginStat;
    }


    public String getLoginIP() {
        return loginIP;
    }


    public void setLoginIP(String loginIP) {
        this.loginIP = loginIP;
    }


    public long getLoginDate() {
        return loginDate;
    }


    public void setLoginDate(long loginDate) {
        this.loginDate = loginDate;
    }
}

 


                

        

        

    




    

      

        

            

              
                
                  会飞de鱼
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    0
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Spring Security 4+Spring MVC+Spring4 构建健壮且安全的web应用

				
			

			

				

					陈鹏万里
				

				

					08-02
					
					3765
					
				

			

		

		

			
				
Spring Security可谓是在权限管理领域中公认的最强框架,只是学习难度稍微有点大,要想拥有强大的功能总得付出点代价,是吧 :)
 
现在我们就用用 Spring Security 4+Spring MVC+Spring4 来构建一个web应用。
首先需要创建一个Spring4+Spring MVC 的web工程,可以参考我的另一篇博文:http://blog.csdn.net/qq

			
		

	



                

              
                



	

		

			

				
					
Spring Security Filter详解

					
热门推荐

				
			

			

				

					icarusliu的专栏
				

				

					12-06
					
					2万+
					
				

			

		

		

			
				
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题:
默认Filter的作用及配置
默认Filter的配置及生效示例分析

			
		

	



                


  
              

                


	

		

			

				
					
Springboot集成Security设置defaultSuccessUrl()不起作用问题

				
			

			

				

					jia__的专栏
				

				

					10-21
					
					1万+
					
				

			

		

		

			
				
defaultSuccessUrl()无论怎么设置都不起作用,登录成功后都会跳转到"/",如果没有“/”路由就会提示404找不到路径。

			
		

	





	

		

			

				
					
Spring boot+Spring security5+Thymeleaf集成项目登陆后一直处于匿名用户和defaultSuccessUrl无效问题的分析解决

				
			

			

				

					Maskkiss的博客
				

				

					09-12
					
					8344
					
				

			

		

		

			
				
一、前言

    前两天帮同事解决代码bug发现的问题,当天没有解决,把涉及到的代码抽出来单独放在一个项目里研究。当时在网上并没有合适的解决方案,经过不断调试,现在解决了问题,把问题处理方案贴出来供大家学习。

二、问题描述与解决

    点击登录后,后台service重写的loadUserByUsername方法显示已经根据提交的表单信息成功找到了对应的用户信息以及用户所对应的角色信息。代码...

			
		

	



		

			
		



	

		

			

				
					
defaultsuccessurl 无法跳转 html页面_网站改版页面如何做301重定向跳转

				
			

			

				

					weixin_31496135的博客
				

				

					12-27
					
					287
					
				

			

		

		

			
				
我的网站之前是用wordpress系统搭建的,后来因为垃圾评论,安全性以及功能局限等原因,我改用蝉知系统重新做了一个,主题界面还是仿的之前的WP主题。但新站上线后,问题就来了,因为这两款建站系统的的URL设计不同,导致旧站除首页外所有的页面都无法访问了,用新地址重新编辑发布,又不利于SEO优化。所以最后就想到了301跳转。什么是301重定向301重定向(或叫301跳转)是用户或搜索引擎蜘蛛向网站服...

			
		

	





	

		

			

				
					
vblog-master.zip

				
			

			

				

					03-26
				

			

		

		

			
				
7. **用户认证与授权**: 系统可能包含了用户注册、登录功能,使用Spring Security等框架实现身份验证和权限控制,确保只有授权用户才能进行文章管理操作。  8. **前端路由**: Vue Router是Vue.js的官方路由库,用于...

			
		

	





	

		

			

				
					
QuizZz:Spring Boot Quiz应用程序

				
			

			

				

					02-01
				

			

		

		

			
				
 然后,它将Spring SecuritySpring AOP用于身份验证和授权。 要求用户开设一个帐户以创建和编辑自己的测验,但无需帐户即可玩游戏。 此外,用户可以将测验另存为草稿,并在以后发布,前提是测验在发布时格式正确。...

			
		

	





	

		

			

				
					
基于SSM的网上招投标系统源码.zip

				
			

			

				

					08-31
				

			

		

		

			
				
4. 评标管理:专家进行在线评标,系统记录评标过程和结果,支持匿名评审。 5. 合同管理:中标后,系统生成合同草稿,双方在线确认并签署电子合同。 6. 日志记录:系统应记录所有关键操作,便于追溯和审计。  在源码...

			
		

	





	

		

			

				
					
基于springboot-vue的毕业论文管理系统.zip

					
最新发布

				
			

			

				

					03-09
				

			

		

		

			
				
SpringBoot是Spring框架的一个扩展,它简化了Java Web应用的开发过程,通过预配置的starter pom文件,可以快速搭建项目结构,同时提供了自动配置的功能,使得开发者能够更专注于业务逻辑。在本系统中,SpringBoot...

			
		

	





	

		

			

				
					
【计算机专业Springboot2-毕业设计100套之】springboot电子招投标系统等

				
			

			

				

					04-05
				

			

		

		

			
				
 - **Security**:Spring Security提供身份验证和授权功能,保障系统的安全性。  4. **关键模块**  - **用户管理**:用户注册、登录、权限控制等功能,支持角色分配,确保不同用户访问相应权限的页面。  - **招标...

			
		

	





	

		

			

				
					
spring security 4.1.x入门

				
			

			

				

					学无止境 -- homer.zhang
				

				

					07-16
					
					3642
					
				

			

		

		

			
				
权限控制在网页开发中是很重要的一部分,最基本的就是用form进行账号密码的认证,更复杂的可能控制的粒度会更细一些,spring securty相关的信息在网上可以搜到很多,入门的例程更是多不胜数,但是在我学习了解的过程中,却发现没有一个简单易懂的,给学习之路带来了诸多不便,所以我希望可以用一种更简单的方式来帮助其它想要学习spring securty的人更快的学会使用spring securty。关

			
		

	





	

		

			

				
					
spring security 基础入门(配置详解)

				
			

			

				

					chndata的专栏
				

				

					09-09
					
					1万+
					
				

			

		

		

			
				
Spring Security 是为Java EE项目提供全面安全服务的框架。支持基于配置文件,JDBC,LADP和自定义的验证方式。能够通过URL路径等途径提供安全服务。本文将介绍通过自定义的验证方式,通过URL拦截来使用springsecurity提供的安全服务。

			
		

	





	

		

			

				
					
认证、授权攻略三(4)、spring security数据库认证JdbcDaoImpl(密码加密)

				
			

			

				

					java爱分享
				

				

					07-26
					
					676
					
				

			

		

		

			
				
上一篇:【认证、授权攻略三(3)、spring security核心类】
spring-security.xml配置如下:
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2...

			
		

	





	

		

			

				
					
Spring Security学习笔记二

				
			

			

				

					DingZuoHeng的博客
				

				

					02-23
					
					367
					
				

			

		

		

			
				
说明:本文是在上篇入门的基础上的强化。包含了Spring Security的核心类信息、怎么才能使用自定义UserDetailsService、AuthenticationProvider、怎样对密码进行加密、怎样缓存 UserDetails 。AuthenticationAuthentication 是一个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为一个 Authentica...

			
		

	





	

		

			

				
					
基于java config的springSecurity(四)--启用全局方法安全

				
			

			

				

					xiejx618的专栏
				

				

					01-15
					
					2万+
					
				

			

		

		

			
				
参考资料:http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle
前面实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.

1.使用@EnableGlobalMethodSecurity注解

			
		

	





	

		

			

				
					
Spring Security(五) 访问控制 url 匹配及 内置访问控制方法介绍

				
			

			

				

					奥迪的博客
				

				

					09-28
					
					6914
					
				

			

		

		

			
				
一、 访问控制 url 匹配制

在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests()也支持连缀写法,总体公式为:

url 匹配规则. 权限控制方法

通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。

在所有匹...

			
		

	





	

		

			

				
					
spring3 升级4 spring security4.2.x配置

				
			

			

				

					princeLLM的博客
				

				

					06-15
					
					3185
					
				

			

		

		

			
				
为了体验一下java8,只好把spring3升级到了4,因为Spring3对java8不能完全支持。工程采用了maven,因此简单的更改了pom.xml,这个没什么好解释的了,至于spring.xml,spring-mvc.xml,spring-hibernate.xml等文件,只需要把版本改成4.0即可,不贴源码了,改动最大的是spring-security.xml(网上有多种配置方式),如果像

			
		

	





	

		

			

				
					
springboot/springsecurity】session超时时间设置

				
			

			

				

					nrsc
				

				

					09-21
					
					2万+
					
				

			

		

		

			
				
文章目录1 springboot项目session超时时间设置2 springsecurity下如何通知用户session超时2.1 在配置文件BrowserSecurityConfig里加上session超时跳向的url2.2 在配置文件BrowserSecurityConfig里为指定session超时跳向的url授权2.3 写一个controller方法来处理session超时的提示逻辑2....

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值