学习的spring boot 2.0的记录(十二):SpringBoot关于security的配置

最新推荐文章于 2023-06-23 18:56:14 发布
最新推荐文章于 2023-06-23 18:56:14 发布
阅读量320 收藏
点赞数
分类专栏: springboot 文章标签: springboot2.0 security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_28198181/article/details/98632497
版权

前言:

学习的地址:https://www.majiaxueyuan.com/front/showcoulist 
SpringBoot的pom依赖(以2.0版本为例的)
本集记录的是security的权限框架  数据库结构和 shiro那节记录的数据库一样的 就不赘述了

目录

1.添加依赖

2.编写application的配置文件

3.编写security的配置类

4.连接数据库查询实现登录

5.测试

 

1.添加依赖

 

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.0.RELEASE</version>
    </parent>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <!-- 引入freeMarker的依赖包. -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-freemarker</artifactId>
        </dependency>

        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
            <version>3.4</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>


        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>1.1.1</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

    </dependencies>
    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

 

2.编写application的配置文件

使用的是application.yml类型的

server:
    port: 8080
    tomcat:
        uri-encoding: UTF-8
spring:
    freemarker:
        allow-request-override: false
        cache: true
        charset: UTF-8
        check-template-location: true
        content-type: text/html
        expose-request-attributes: false
        expose-session-attributes: false
        expose-spring-macro-helpers: false
        suffix: .ftl
        template-loader-path: classpath:/templates/
    datasource:
        url: jdbc:mysql://localhost:3306/bootdb?useUnicode=true&characterEncoding=utf-8
        username: root
        password: xxxx
        driver-class-name: com.mysql.jdbc.Driver

前端页面配置:

index:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/html">
<head lang="en">
    <meta charset="UTF-8"/>
    <title></title>
</head>
<body>
你好啊:${username}
</br>
</br>
</body>
</html>

login页面

<!DOCTYPE html>
<html>
<head lang="en">
    <meta charset="UTF-8"/>
    <title></title>
</head>
<body>
骚年 登录 SAO么
${msg}
<form action="/login" method="post">
    <input type="text" name="username"/><br/>
    <input type="password" name="password"/><br/>
    <input type="submit" name="submit"/><br/>
</form>
</body>
</html>

 

3.编写security的配置类

 

主要是处理两个东西:

1.WebSecurityConfig

//注意配置文件 否则会去访问自带的模版
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  //开启全局安全 就是pre之前 和 post结束之后的
public class WebSecurtiyConfig extends WebSecurityConfigurerAdapter {


    //需要自己创建的DetailUservice
    @Bean
    public MyUserDetailUservice myUserDetailUservice() {
        return new MyUserDetailUservice();
    }

    //配置 AuthenticationManagerBuilder 

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        System.out.println("项目启动执行 第一个 开始走configure auth了!!!!");
        //通过userService去处理
        //后面需要建立一个UserDetailUserService 密码使用的BCryptPasswordEncodeer加盐了的
        auth.userDetailsService(myUserDetailUservice()).passwordEncoder(new BCryptPasswordEncoder());

    }

    //写死的
    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

       
    //这个是去处理网站请求的配置

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        System.out.println("项目启动执行 第二个 开始走configure http了!!!!");
        http.csrf().disable();//关闭网站检测
        http.authorizeRequests().anyRequest().fullyAuthenticated();
        //login的方法和表单请求的方法一致 
    
        http.formLogin().loginPage("/login")
        .failureUrl("/errorLogin").defaultSuccessUrl("/index").permitAll();
        http.logout().permitAll();
    }
}

这个配置类是处理http请求以及用户认证的

2.MyUserDetialUserService

这个是用来去数据库查询数据的

@Service
public class MyUserDetailUservice implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Autowired
    private RoleUserMapper roleUserMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //通过用户名获取用户
        User dbUser = userMapper.getUser(username);
        System.out.println("得到请求后 开始走 MyUserDetailUservice !!!!");
        if (dbUser == null) {
            throw new UsernameNotFoundException("用户查询为空..");
        }
        
        //这个是得到用户角色
        List<Role> roleList = roleUserMapper.getRoleList(username);
        
        //这里是得到角色 然后将放到一个认证的collection当中,然后使用userdetials的用户中    
        Collection<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        for (Role r : roleList) {
            GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_"+r.getRname());
            grantedAuthorities.add(grantedAuthority);
        }
        try {
            org.springframework.security.core.userdetails.User detailUser = new org.springframework.security.core.userdetails.User(username, dbUser.getPassword(), grantedAuthorities);
            return detailUser;
        } catch (Exception e) {
            throw new UsernameNotFoundException("用户密码错误..");
        }
    }
}

可以看到上面需要通过mapper去查询数据过去。所以这里我需要连接数据库

4.连接数据库查询实现登录

首先是需要三个实体类 分别是 用户 角色  和 权限

用户:

@Data
public class User {

    private Integer uid;

    private String name;

    private String password;

    private Integer age;
}

角色:

@Data
public class Role {

    private Integer rid;

    private String rname;

    private String rdescription;

}

权限:

@Data
public class Permission {

    private Integer pid;

    private String pname;

}

接着是创建mapper接口

用户接口

@Mapper
@Repository
public interface UserMapper {

    @Select("SELECT * FROM users WHERE name LIKE #{username} limit 1;")
    User getUser(@Param("username") String username);

    @Insert("INSERT users INTO(name,password,age) VALUES(#{username},#{password},1);")
    void inserUser(@Param("username") String username, @Param("password") String password);

}

角色接口

@Mapper
@Repository
public interface RoleUserMapper {

    @Select("SELECT r.rid, r.rname,r.rdescription FROM users u,role r,role_user ru WHERE u.name =#{userName} and u.uid = ru.uid and ru.rid = r.rid;")
    List<Role> getRoleList(@Param("userName") String userName);

}

权限查询接口

@Mapper
@Repository
public interface RolePermissionMapper {


    @Select("SELECT p.pid,p.pname FROM permission p , permission_role pr ,role r WHERE r.rname = #{roleName} and r.rid =pr.rid and p.pid=pr.pid;")
    List<Permission> getPermissions(@Param("roleName") String roleName);
}

这样所需要的接口和上面的UserDetailService就对上了

然后将使用到的controller写上

登陆用的controller

@Controller
public class loginController{

    @Autowired
    private UserMapper userMapper;

    @GetMapping("/login")
    public String login(Map<String, String> maps) {
        maps.put("msg", "");
        return "login";
    }

    @GetMapping("/errorLogin")
    public String errorLogin(Map<String, String> maps) {
        maps.put("msg", "帐号和密码错误");
        return "login";
    }

}

登陆成功进入的页面

@Controller
public class IndexController {

    @GetMapping("/index")
    public String toIndex(Map<String, Object> maps) {
        //通过上下文获得数据
        SecurityContext context = SecurityContextHolder.getContext();
        //拉取角色数据
        Authentication auth = context.getAuthentication();
        Object userDeatils = auth.getPrincipal();
        System.out.println(userDeatils);
        User securityUser = (User) userDeatils;
        maps.put("username", securityUser.getUsername());
        return "index";
    }
}

在写一个展现角色权限的controller

@RestController
@RequestMapping("/role")
public class RoleController {

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    @GetMapping("/admin")
    public String getAdmin() {
        return "admin SUCCESS!!!";
    }

    @PreAuthorize("hasRole('ROLE_USER')")
    @GetMapping("/user")
    public String getUser() {
        return "user SUCCESS!!!";
    }

    @PreAuthorize("hasRole('ROLE_SUPERMAN')")
    @GetMapping("/superman")
    public String getSuperMan() {
        return "superman SUCCESS!!!";
    }
}

 

5.测试

通过前台登录看是否能登录到index页面

会跳转到login

因为从

这里看出 他默认是login页面 失败后会跳转到errorLogin请求去,

我们输入一个存在的用户名和密码(这里的密码是加盐了的, 这个加盐方式和md5的不一样)

我们用姬子阿姐的登录试试(密码是123)

说明是成功的。

看后台日志:

得到请求后 开始走 MyUserDetailUservice !!!!
org.springframework.security.core.userdetails.User@2a49a155: Username: 姬子阿姐; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ADMIN,USER

可以看到最后是转成了 security的User类,以及包含了一些常用的参数

是从MyUserdetailUserService中处理的,

得到后 转成了 UserDetail 对象

然后controller通过SecurityContextHolder得到的上下文 拉取到角色对象

这样就展示到前台了。

还有个权限和角色的展示,如下:

有一个rolecontroller

我们去访问 role/admin 可以看到拥有admin权限,

User 权限也有:

但是没有生成superman 的权限

所以前台会报forbidden

这里 springSecurity的一个机制 就是 显示权限必须加上" ROLE_ "的前缀 

可以看到前面在加权限的时候有一个ROLE_+name

是为了在注解   @PreAuthorize("hasRole('ROLE_xxxxx)") 这里使用 这个是 spirng的机制 为了不修改数据库 就在这里加上了一个前缀

记录如上。

Gin_Zou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-boot-security-saml-sample:SBS3 —基于Spring Boot构建的示例SAML 2.0服务提供程序
01-30
[SBS3] Spring Boot示例SAML 2.0服务提供程序 项目描述 该项目代表完全基于Spring Framework构建的SAML 2.0 Service Provider的示例实现。 特别是,它展示了如何通过集成Spring BootSpring Security SAML开发为联合身份验证设计的Web解决方案。 使用Java注释(无XML)已完全定义了配置。 SSOCircle ( )用作测试的公共身份提供者。 作者: Vincenzo De Notaris( ) 网站: 版本: 2.3.1.RELEASE 最后更新:2020年2月15日 感谢VladimírSchäfer ( )支持我的工作。 参考文献 Sprint Boot 通过Spring Boot,可以轻松创建具有Spring支持的生产级应用程序和服务,而不必大惊小怪。 它从Spring平台的角度出发,以便新老用户都能快速找到所需的信息。 参考: : Spring Security SAML扩展 Spring SAML扩展允许在Spring应用程序中无缝包含SAML 2.0服务提供程序功
Spring Boot2.0使用Spring Security的示例代码
08-27
主要介绍了Spring Boot2.0使用Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
简单的枚举类构建
li15974168626的博客
03-18 152
public enum CustomerRoleEnum { ROLE_CUSTOMER(0, "xxx", "gk"), ROLE_DR_MEMBER(1, "xxxx", "hy"), ROLE_SALESMAN(2, "xxxxx", "dxy"), ROLE_AGENCY(3, "xxxxxx", "jxs"), ROLE_MANAGER_AND_OVER(4, "xxxxxxxx", "jlover"); private CustomerRo...
spring-boot-starter-security的简单使用
python15397的博客
04-03 1万+
spring-boot-starter-security的简单使用
SpringBoot入门 -Security安全控制
我爱编程持之以恒
11-15 1130
本文记录SpringBoot使用SpringSecurity进行安全访问控制。 一 什么是Security   Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减
学习分享】SpringBoot ResourceProperties变更
清风唱诗人的博客
07-04 1553
Spring Boot 默认的source文件路径:这个从之前的版本就一致如此定义,只是since2.4.x之后,ResourceProperties被打上了@Deprecated标识,并且明确的指引到: 最新的项目,使用的是2.6.x的版本,故已经没有ResourceProperties文件了,需要找的话,可以去WebProperties.Resources静态内部类找...
Spring Boot 如何使用 Spring Security 进行认证和授权
it_xushixiong的博客
06-23 4467
在 Web 应用程序中,认证和授权是非常重要的功能。Spring Security 是一个基于 Spring 框架的强大的安全框架,它提供了完整的认证和授权解决方案,并且可以轻松地集成到 Spring Boot 应用程序中。本文将介绍如何在 Spring Boot 中使用 Spring Security 进行认证和授权,并提供示例代码。
Spring Boot安全管理
weixin_62907807的博客
06-15 4423
formLogin()⽤户登录⽅法中涉及⽤户登录的主要⽅法及说明如下表所示。rememberMe()记住我功能相关涉及记住我的主要⽅法及说明如下表所示。例如,只有唯⼀的默认登录⽤户user。开始,⾃定义⽤户认证必须设置密码编码器⽤于保护密码,否则控制台会出现。⾃定义⽤户认证时,可以为某个⽤户⼀次指定多个⻆⾊或权限,例如,安全管理功能来说,则还需要额外引⼊⼀些其他安全依赖。⾃定义⽤户认证时,可以定义⽤户⻆⾊。⽤户请求控制相关的主要⽅法及说明。⽤户登录失败后的跳转地址,默认。登录⽤户的⽤户名参数, 默认为。
spring-boot-starter-security与应用安全
热门推荐
吴声子夜歌的博客
11-21 1万+
应用安全属于安全防护体系中的重要一环,但也是最薄弱的一环,究其原因,或许是应用的核心职责是完成业务和产品的功能需求,而安全确实非功能性需求,在资源有限的情况下,企业一定是更加注重将有限的资源投入到“开疆扩土”上去,否则,穷家破瓦的,也真没有什么值得安全防护的。 大部分应用开发者对应用安全知之甚少,而且安全一般属于一个企业或者业界秘而不宣的信息,所以,在没有一个专职的安全团队负责推动整个安全防护体系...
SpringBoot最新版本Security配置(2023年),亲测成功
ns3405453840的博客
05-12 2941
application.properties SecurityConfig: 配置默认登录用户(即用数据库的用户和密码登录): 1:UserDetailsServiceImpl 2:UserDetailsImpl: 3:配置完,记得更改SecurityConfig配置,添加前端密码加密验证, 这里就可以使用security自带登录对数据库信息进行验证登录了通过该工具类根据用户id生成jwt
spring security 2.0 的简单配置使用
03-01
博文链接:https://snz.iteye.com/blog/221280
Learning Spring Boot 2.0 - Second Edition (mobi) English version
01-31
英文原版第二版,Spring Boot 2.0 by Greg L. Turnquist (Author) Key Features Get up to date with the defining characteristics of Spring Boot 2.0 in Spring Framework 5 Learn to perform Reactive ...
springbootspring security、Oauth2.0的授权配置代码
最新发布
08-17
springbootspring security、Oauth2.0的授权配置代码 1、项目架构 springbootspring security、Oauth2.0 2、主要功能 (1)允许客户端token调用 (2)允许客户端token调用 (3)数据库存储令牌
Spring Cloud 填坑 Fegin调用接口出现异常: java.lang.IllegalStateException
GinChou的萌新博客
10-12 2439
最近调用cloud的Fegin服务的时候出现了一个异常: Cannot convert value of type 'java.lang.String' to required type 'xxx.xxx.xxx.xxx': no matching editors or conversion strategy found","path":"/xxxx/yyy" } 出现这个异常 最开始是以为我的数据内容有问题,后来发现不是。 原因是在于数据接收时的配置出现错误: 原来的Fegin客户端配置为: .
Spring boot 了解(八)(修改appcation.properties以及配置多环境)
GinChou的萌新博客
01-02 1187
现在的boot项目好多都是用的applicatoin.yml所以我们需要将后缀properties改为yml格式的 (学习地址:https://www.majiaxueyuan.com/front/couinfo/36) 目录 1.修改application.properties后缀为yml 2.配置多环境 1.修改application.properties后缀为yml 这种配置文件...
ElasticSearch6 学习(三) Spring boot 整合 elasticSearch 并进行简单的操作
GinChou的萌新博客
08-09 1039
前言: 学习路径:https://www.bilibili.com/video/av45584656 码家学院的视频 这次是记录Spring Boot 整合 ElasticSearch
rabbitMq部署(三) SpringBoot整合rabbitMQ收发数据
GinChou的萌新博客
05-05 897
因要求需要部署一套rabbitmq,以前没接触过,所以在网上找到了方法: 以下是提供思路的大佬的原文: 1.Centos7 离线安装RabbitMQ,并配置集群___擎正义之旗 https://blog.csdn.net/Alger_magic/article/details/82868267 2.Caused by: com.rabbitmq.client.ShutdownSignal...
Spring boot 了解(七)(定时任务,自定义参数,异步调用Async,启动端口和访问路径)
GinChou的萌新博客
01-02 714
后面讲的东西比较少,所以就整合了一下 (学习地址:https://www.majiaxueyuan.com/front/couinfo/36) 目录 1.定时任务 2.自定义参数 3.异步调用Async 4.启动端口和访问路径 1.定时任务 使用注解 @Scheduled 可以避免去启动一个timer,直接使用注解到方法上就可以使用了。 比如定时打当前时间 @Com...
Spring Boot 2.0 利用 Spring Security 实现简单的OAuth2.0认证方式1
05-17
OAuth2.0是一种常用的认证授权机制,Spring SecuritySpring框架中的安全模块,可以实现OAuth2.0认证。本文将介绍如何利用Spring Boot 2.0Spring Security实现简单的OAuth2.0认证方式1。 1. 添加依赖 在项目的pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.7.RELEASE</version> </dependency> ``` 其中,spring-boot-starter-securitySpring Boot中包含Spring Security的依赖,spring-security-oauth2是Spring Security中实现OAuth2.0的依赖。 2. 配置Spring SecuritySpring Boot应用中,可以通过application.properties或application.yml文件来配置Spring Security。在本文中,我们将使用application.yml文件来配置Spring Security。 ``` spring: security: oauth2: client: registration: custom-client: client-id: custom-client-id client-secret: custom-client-secret authorization-grant-type: authorization_code redirect-uri: '{baseUrl}/login/oauth2/code/{registrationId}' scope: - read - write provider: custom-provider: authorization-uri: https://custom-provider.com/oauth2/auth token-uri: https://custom-provider.com/oauth2/token user-info-uri: https://custom-provider.com/userinfo user-name-attribute: sub ``` 其中,我们定义了一个名为custom-client的OAuth2.0客户端,它的客户端ID和客户端密钥分别为custom-client-id和custom-client-secret,授权方式为authorization_code,重定向URI为{baseUrl}/login/oauth2/code/{registrationId},授权范围为read和write。 同时,我们定义了一个名为custom-provider的OAuth2.0提供者,它的授权URI、令牌URI、用户信息URI和用户名属性分别为https://custom-provider.com/oauth2/auth、https://custom-provider.com/oauth2/token、https://custom-provider.com/userinfo和sub。 3. 配置OAuth2.0登录 在Spring Security中,可以通过配置HttpSecurity对象来定义登录、授权等行为。在本文中,我们将使用configure方法来配置HttpSecurity对象。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .oauth2Login() .loginPage("/login") .defaultSuccessURL("/dashboard") .and() .logout() .logoutSuccessUrl("/") .permitAll(); } } ``` 其中,我们使用了authorizeRequests方法来设置授权规则,任何请求都需要进行认证,除了根路径和home路径。我们还使用了oauth2Login方法来设置OAuth2.0登录的相关配置,包括登录页面、默认成功URL等。最后,我们使用了logout方法来设置登出的相关配置,包括成功URL等。 4. 配置用户信息 在OAuth2.0认证中,用户信息通常由OAuth2.0提供者来维护。在Spring Security中,可以通过实现UserInfoRestTemplateFactory接口来获取用户信息。 ``` @Configuration public class OAuth2Config { @Bean public OAuth2UserService<OAuth2UserRequest, OAuth2User> oAuth2UserService() { return new DefaultOAuth2UserService(); } @Bean public UserInfoRestTemplateFactory userInfoRestTemplateFactory() { return new CustomUserInfoRestTemplateFactory(); } } ``` 其中,我们使用了DefaultOAuth2UserService来获取用户信息,同时使用了CustomUserInfoRestTemplateFactory来创建RestTemplate对象。 5. 编写测试 最后,我们可以编写一个简单的测试来验证OAuth2.0认证是否生效。 ``` @RunWith(SpringRunner.class) @SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT) @AutoConfigureMockMvc public class OAuth2Test { @Autowired private MockMvc mockMvc; @Test public void testOAuth2Login() throws Exception { mockMvc.perform(get("/login")) .andExpect(status().isOk()) .andExpect(content().string(containsString("Login with custom-provider"))) .andReturn(); } } ``` 在测试中,我们使用MockMvc对象模拟访问/login路径,期望返回200状态码,并且页面内容中包含“Login with custom-provider”的字符串。 至此,我们已经成功地利用Spring Boot 2.0Spring Security实现了简单的OAuth2.0认证方式1。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值