Spring Security如何上手,基础篇

最新推荐文章于 2024-06-19 13:38:26 发布
最新推荐文章于 2024-06-19 13:38:26 发布
阅读量397 收藏 1
点赞数 1
分类专栏: java 文章标签: java spring
该文章为 Fanx繁星原创文章,如需转载请注明来源
本文链接:https://blog.csdn.net/qq_32447361/article/details/110239356
版权

SpringSecurity

这个是Spring提供的一个用于防止常见攻击,权限校验以及授权的一个安全框架
本篇文章是教你如何快速的上手SpringSecurity基础,更深的使用教程还没编写,因为集合框架那一篇还没搞完等集合框架研究完了在接着往后整这个,今天先水一波,等明天了在发HashSet的手写教程

开始使用

版本

IDEA 2020
Java 1.8
Springboot 2.4.0

搭建项目

使用Spring initializr 搭建项目

在这里插入图片描述

Security默认配置

默认配置就是你项目创建好后,只要引入了安全框架的依赖后,就默认启动了

项目创建好后,我们啥也不动,就直接运行,然后随便访问一个地址(http://localhost:8080),看看会不会跳转到登录页面
在这里插入图片描述

然后会看到一个登录表单的页面,我们是刚创建的项目,连controller类都没创建,那这个页面怎么出来的?这个就是spring security自己带的一个表单页面,因为我们并没有给它任何配置。

当我们运行时,控制台会输出这个,这个就是默认生成的登录密码,用户名是user

Using generated security password: 4a0ccd30-3d11-46a5-8ecb-aa8a6056e6e5

接下来我们试着登录一下。

登录成功后会返回我们登录前跳转的那个网址,因为我们没有任何controller,所以就是404,但是我们登录成功了

在这里插入图片描述

这个时候Spring security已经是部署好了,那么如何用我们自己的表单呢??

创建WebSecurityConfig类

继承 WebSecurityConfigurerAdapter类

package com.example.security;

import org.springframework.beans.factory.annotation.Configurable;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configurable 
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) 

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        	http.authorizeRequests()
                .anyRequest()
                .authenticated()
            	.and()
                .formLogin()
                .loginPage("/login")  //设置登录页面
                .defaultSuccessUrl("/index") // 设置登录成功后跳转的页面
                .permitAll()
                .and()
                .logout().permitAll();
                
        	http.csrf().disable(); //关闭csrf跨域
    }
}

创建login.html与index.html

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录成功</title>
</head>
<body>
    登录成功后跳转页面
</body>
</html>

login.html (直接copy的它自带的那个表单的,改了几个字)

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <meta name="description" content="">
    <meta name="author" content="">
    <title>Please sign in</title>
    <link href="https://maxcdn.bootstrapcdn.com/bootstrap/4.0.0-beta/css/bootstrap.min.css" rel="stylesheet" integrity="sha384-/Y6pD6FV/Vv2HJnA6t+vslU6fwYXjCFtcEpHbNJ0lyAFsXTsjBbfaDjzALeQsN6M" crossorigin="anonymous">
    <link href="https://getbootstrap.com/docs/4.0/examples/signin/signin.css" rel="stylesheet" crossorigin="anonymous"/>
</head>
<body>
<div class="container">
    <form class="form-signin" method="post" action="/login">
        <h2 class="form-signin-heading">登录我们的程序</h2>
        <p>
            <label for="username" class="sr-only">Username</label>
            <input type="text" id="username" name="username" class="form-control" placeholder="Username" required autofocus>
        </p>
        <p>
            <label for="password" class="sr-only">Password</label>
            <input type="password" id="password" name="password" class="form-control" placeholder="Password" required>
        </p>
        <button class="btn btn-lg btn-primary btn-block" type="submit">登录</button>
    </form>
</div>
</body></html>

创建Controller: TestController

创建一个 com.example.security.controller包

package com.example.security.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class TestController {

    @RequestMapping("/login")
    public String login(){
        return "login";
    }

    @RequestMapping("/index")
    public String index(){
        return "index";
    }

}

接下来我们访问localhost:8080/index,来试一下,看看它登录页面长啥样

在这里插入图片描述

可以看到,页面已经是我们自定义的那个了

在这里插入图片描述

修改默认的用户名和密码

默认的用户名一直是 user
密码则是在启动时输出在控制台的那个

我们打开配置文件 application.properties(或者是application.yml),我们给它添加两个配置

spring.security.user.name=admin
spring.security.user.password=123456

然后重启项目,可以看到控制台已经不输出密码了,我们使用自定义的账号密码测试可以登上去。

接下来该用来关联我们的数据库了

创建数据库

运行下面sql文件,直接创建好表和字段

/*
 Navicat Premium Data Transfer

 Source Server         : localhost_3306
 Source Server Type    : MySQL
 Source Server Version : 80011
 Source Host           : localhost:3306
 Source Schema         : liveuser

 Target Server Type    : MySQL
 Target Server Version : 80011
 File Encoding         : 65001

 Date: 27/11/2020 18:42:16
*/

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for li_role
-- ----------------------------
DROP TABLE IF EXISTS `li_role`;
CREATE TABLE `li_role`  (
  `id` int(11) NOT NULL,
  `name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

-- ----------------------------
-- Table structure for li_user
-- ----------------------------
DROP TABLE IF EXISTS `li_user`;
CREATE TABLE `li_user`  (
  `id` int(11) NOT NULL,
  `user` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `pass` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  `role` int(255) NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

SET FOREIGN_KEY_CHECKS = 1;

-- 添加权限

INSERT INTO `liveuser`.`li_role`(`id`, `name`) VALUES (1, 'ROLE_ADMIN')
INSERT INTO `liveuser`.`li_role`(`id`, `name`) VALUES (2, 'ROLE_USER')

-- 添加用户
INSERT INTO `li_user`(`id`, `user`, `pass`, `role`) VALUES (1, 'admin', '12345', 1)
INSERT INTO `li_user`(`id`, `user`, `pass`, `role`) VALUES (2, 'user', '12345', 2)

俩表没有外键也没有主键自增,有需要可以自己添加下

权限表(li_role)中权限名称前 必须要加 “ROLE_” ,这个是Security要求的

设计SQL语句

数据库创建完后,我们该思考一下需要什么sql

因为我们只写登录,所以我们就一个功能

SELECT U.ID,U.USER,U.PASS,R.NAME ROLE FROM LI_USER U LEFT JOIN LI_ROLE R ON R.ID = U.ROLE WHERE U.USER = 'ADMIN'

这个语句可以直接将用户信息,还有权限名称一块查出来

项目链接数据库,并使用Mybatis

导入依赖

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>		
		<dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
		<dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.3</version>
        </dependency>

配置

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.name=defaultDataSource
spring.datasource.url=jdbc:mysql://localhost:3306/liveuser?serverTimezone=UTC
spring.datasource.username=root
spring.datasource.password=123456

#Mybatis配置
mybatis.mapper-locations=classpath:/mapper/*.xml

#开启Mybatis下划线命名转驼峰命名
mybatis.configuration.map-underscore-to-camel-case=true

创建用户实体类

package com.example.security.pojo;

public class User {
    Integer id;
    String user;
    String pass;
    String role;

    public Integer getId() {
        return id;
    }

    public void setId(Integer id) {
        this.id = id;
    }

    public String getUser() {
        return user;
    }

    public void setUser(String user) {
        this.user = user;
    }

    public String getPass() {
        return pass;
    }

    public void setPass(String pass) {
        this.pass = pass;
    }

    public String getRole() {
        return role;
    }

    public void setRole(String role) {
        this.role = role;
    }
    
    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", user='" + user + '\'' +
                ", pass='" + pass + '\'' +
                ", role='" + role + '\'' +
                '}';
    }
}

创建Dao

由于时间问题,这里我们使用select注解,就不创建mapper了

package com.example.security.dao;

import com.example.security.pojo.User;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;

@Mapper
@Repository
public interface TestDao {
    @Select("SELECT U.ID,U.USER,U.PASS,R.NAME ROLE FROM LI_USER U LEFT JOIN LI_ROLE R ON R.ID = U.ROLE WHERE U.USER = #{username}")
    User login(@Param("username") String username);
}

创建CustomUserDetailsService类

package com.example.security;

import com.example.security.dao.TestDao;
import com.example.security.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.CustomAutowireConfigurer;
import org.springframework.jdbc.datasource.UserCredentialsDataSourceAdapter;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.Collection;

@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    TestDao testDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User us = testDao.login(username);
        if(us == null){
            throw new UsernameNotFoundException("用户查找失败");
        }
        Collection<GrantedAuthority> authorities = new ArrayList<>();

        authorities.add(new SimpleGrantedAuthority(us.getRole()));

        //因为我们有user实体类了,下面返回创建的user不是我们的实体类,挂上包名区分
        return new org.springframework.security.core.userdetails.User(username,us.getPass(),authorities);
    }

修改WebSecurityConfig类

package com.example.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Configurable;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.PasswordEncoder;
import sun.security.util.Password;

@Configurable
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    CustomUserDetailsService customUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserDetailsService).passwordEncoder(getPasswordEncoder());
    }

    public PasswordEncoder getPasswordEncoder(){
        return  new PasswordEncoder() {
            @Override
            public String encode(CharSequence charSequence) {
                return charSequence.toString();
            }

            @Override
            public boolean matches(CharSequence charSequence, String s) {
                return s.equals(charSequence.toString());
            }
        };
    }

    
    //---------------------------------------------------------------
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated().and().formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/index").permitAll()
                .and()
                .logout().permitAll();
                http.csrf().disable();
    }
}

接下来就可以用我们数据库中的数据登录了

给路径加权限

@PreAuthorize("hasRole('ROLE_ADMIN')") //可以在路径上加这个注解,例如

 @RequestMapping("/index")
 @PreAuthorize("hasRole('ROLE_ADMIN')")
 public String index(){
      return "index";
 }

上面是在路径上做权限,还有一种在配置类里面加权限

  .antMatchers("/test").hasRole("ADMIN")
      
      
  http.authorizeRequests()
                .antMatchers("/test").hasRole("ADMIN")  //添加权限
                .anyRequest().authenticated()

                .and().formLogin()
                .loginPage("/login")

                .defaultSuccessUrl("/index").permitAll()
                .and()

                .logout().permitAll();
                http.csrf().disable();

当我们给这个路径加入admin权限后,使用user登录会看到403,这说明没有权限

在这里插入图片描述

但是我们用admin账号登录后,则会显示登录

在这里插入图片描述

结束

本篇是入门篇,适合刚学到spring security的朋友看

如果有错的地方,希望各位大佬同行在评论区指正,知错就改,避免带歪看这篇文文章的人,谢谢

欢迎大家访问:http://www.fanxing.live

Fanx繁星
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列【1】基础之概述及入门案例
记录知识、锤炼自我
03-23 9022
Spring组织提供的一个开源安全框架,目前最新的版本为6.0.2,基于Spring开发,所以非常适合在中使用。提供认证、授权、抵御常见攻击等功能,将认证与授权分离,并提供了扩展点。对保护命令式(Spring MVC)和响应式()应用程序有一流的支持,是保护基于Spring开发的应用程序的事实标准。认证为身份验证提供了全面的支持,身份验证是验证进行访问的主体身份。常用方法是要求用户输入用户名和密码。一旦执行身份验证,就知道身份并可以执行授权。授权授权指的是验证某个用户是否有权限执行某个操作。
SpringSecurity - 基础
境里婆娑
06-19 313
文章目录一、SpringSecurity能做什么二、SpringSecurity替代方案三、权限管理中的相关概念四、SpringSecurity 入门案例 前言:通常我们写http接口是不会用到SpringSecurity框架,但是当我们做一个后台管理系统,需要引入权限控制的时候需要引入安全框架,这时候我们有两个框架可以选择SpringSecurity和Shiro。目前主流是使用SpringSecurity。 一、SpringSecurity能做什么 spring security 的核心功能主要包括:
SpringSecurity详细解读与应用
最新发布
CTZL123456的博客
06-19 574
执行完loadUserByUsername后会返回数据库的用户密码,此信息会经过PasswordEncode类,和用户输入的密码来进行校验,但是原生的PasswordEncode比较糟糕(略),所以我们在配置中修改一下PasswordEncode的校验方式,使用 BCrypt。通常,我们习惯于将原生的用户认证修改为基于数据库字段的(例如username和password)进行登录校验的业务逻辑,这就需要我们进入Secuirty的认证流程中,修改源代码来解决。二、代码实现-用户认证。
Java基础——SpringSecurity
m0_47946173的博客
12-04 1940
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security 详解
wynn的博客
08-10 1276
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3277
SpringSecurity 中的请求路径匹配接口 RequestMatcher
学习SpringSecurity这一就够了
怪咖@的博客
05-25 7092
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
SpringSecurity升级
蓝影铁哥的博客
01-08 1571
SpringSecurity
Spring Security基础教程:从入门到实战
Yaml4的博客
05-06 1255
无论你选择以何种方式进行身份验证--是使用 Spring Security 提供的机制和提供商,还是与容器或其他非 Spring Security 身份验证机构集成--你都会发现授权服务可以以一致而简单的方式在你的应用程序中使用。在上面的示例中,都是基于配置文件进行用户的配置角色的设置,都是静态的信息,而实际工作中,都是需要从数据库中进行查询的。当环境中引入上面的依赖后,默认情况会对所有的请求都进行拦截,同时启动服务时会输出随机密码,而用户则默认是"user"。推荐订阅精彩专栏 👇🏻 避免错过下次更新。
灵异问题,使用EasyConnect后,用navicat可以访问数据库,但是用Idea跑项目连接超时怎么办?
Fanx繁星
12-10 3696
背景 用EASY CONNECT连公司内网后,使用navicat和其他的数据库管理工具可以连接成功,但是使用Idea跑项目时,却一直报连接超时。(不过mac下却不用任何配置就能正常访问) 解决办法 一.在运行前,设置 Jvm Options,加入以下参数配置 -Djava.net.preferIPv4Stack=true 二. 配置网络的IPV4地址 有的可能不用配置,加上上面参数就可以连接 操作步骤 Control Panel\Network and Internet\Network Conne
Java如何监控一个文件目录,当作出新增,删除,修改文件等操作时,第一时间对文件作出响应
Fanx繁星
12-03 2996
前言 最近在开发制药lims的数据采集程序,因为一些硬件设备,没有和lims直连的方式,而且将数据存放到了数据库中,也不知道数据库的账号密码,只能拿到他们的备份文件或者在软件内导出excel,pdf,xml,txt等一些文件,所以想到的办法就是,让操作员将文件导出到一个指定的目录,数采程序通过监听这个目录,来判断是否是新添加的文件。 准备工作 环境 Maven 3.6.3 SpringBoot 现成的轮子 commons-io ApacheCommons IO库包含实用程序类、流实现、文件过滤器、文件比
SpringBoot学习(一) 使用STS 4搭建一个新的SpringBoot项目
Fanx繁星
05-08 1779
使用STS 4搭建一个新的SpringBoot项目 这个sts下载好了,我整了半年没打开,导入eclipse的plugin里面也没反应,然后我就试了下用解压软件打开,然后就有了下面的故事。。。 STS(spring tools suite)下载地址:https://spring.io/tools windows 64位直接下载:Spring Tools 4 for Eclipse 下载完后直接把jar包解压了,里面有个contents.zip,这个压缩包里面放的就是Sts 1.找到右上角 F..
No Assembler service found - please make sure that the right jars are in your classpath
Fanx繁星
11-30 1639
报错信息 [ERROR]2021-11-30 09:53:35.439[org.springframework.scheduling.support.TaskUtils$LoggingErrorHandler:95] - Unexpected error occurred in scheduled task com.atomikos.icatch.SysException: No Assembler service found - please make sure that the right jars a
手把手带你开发SpringBoot的starter插件
Fanx繁星
10-24 1121
一、开始 SpringBoot与Spring一个很大的区别,就是Springboot有了starter插件这个东西,通过我们引入的一些maven坐标文件来看,像下面这种⬇️ <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency>
SpringBoot学习(三)@RestController 和 @Controller 分别是做什么的,有什么区别
Fanx繁星
05-11 956
注解使用
Spring Security使用(三) 安全框架内使用QQ登录以及不加安全框架使用QQ登录
Fanx繁星
11-30 875
本文章的代码在第二Spring Security使用(二) 异步登录 | 代码日志 (fanxing.live))的代码上继续完成 腾讯互联 申请地址:QQ互联官网首页 接入教程:网站应用接入概述 创建QQLoginUtil类 application.properties 在配置文件内添加下面几个配置 这些配置的内容在腾讯互联申请的应用就能看到 qq.appid=****** qq.appkey=****** qq.redirect_uri=http://127.0.0.1:8080/QQLogin.
Spring Security使用(二) 异步登录
Fanx繁星
11-29 863
上一文章写了同步的权限校验,今天发一异步请求的 目标 现在做项目大部分都是前后端分离的,不是以前那种垂直的,后端的使用都是调用的接口,比如登录,注册等一些操作,今天的目标就是,用SpringSecurity写一个使用接口登录以及登录成功后返回登录的信息,以及当访问没有权限的接口时,返回json,提示它没权限操作 项目 JDK 1.8 IDEA 2020 Springboot 2.4.0 一、创建新项目 1.使用Spring Initializr创建 填写完项目的包名后,在选依赖时,选中这几个就行了 2
Spring Security权限开发指南:从基础到高级实战
该手册共分为两大部分:基础和保护web。 在基础中,首先介绍了如何通过配置过滤器实现一个简单的HelloWorld示例,包括设置过滤器、使用命名空间配置、以及逐步完善项目的权限体系。章节2探讨了数据库管理用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值