SpringBoot整合SpringSecurity(一)入门程序

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量2.5k 收藏 23
点赞数 6
分类专栏: SpringSecurity实战 文章标签: springboot springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32867467/article/details/93040319
版权

序言

Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。

Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要求。

这是Spring Security 官方的说明,早就听闻 Spring Security 功能强大但上手困难,于是上手学习了学习,在此整理出几篇文章,百度的坑是真的多。

代码请参考 https://github.com/AutismSuperman/springsecurity-example

首先依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

准备页面

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<h3>表单登录</h3>
<table>
    <tr>
        <td>用户名:</td>
        <td><input type="text" autocomplete="off" name="username"></td>
    </tr>
    <tr>
        <td>密码:</td>
        <td><input type="password" autocomplete="off" name="password"></td>
    </tr>
    <tr>
        <td colspan="2">
            <button type="button" onclick="login()">登录</button>
        </td>
    </tr>
</table>
<script src="https://cdn.bootcss.com/jquery/3.4.1/jquery.min.js"></script>
<script>
    function login() {
        var username = $("input[name=username]").val();
        var password = $("input[name=password]").val();
        if (username === "" || password === "") {
            alert("用户名或密码不能为空");
            return;
        }
        $.ajax({
            type: "POST",
            url: "/authentication/form",
            data: {
                "username": username,
                "password": password
            },
            success: function (e) {
                alert("登陆成功")
                setTimeout(function () {
                    location.href = '/hello';
                }, 1500);
            },
            error: function (e,a,b) {
                console.log(e.responseText);
                alert("登陆失败")
            }
        });
    }

</script>
</body>
</html>

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>hello</title>
</head>
<body>
<h2>hello world from fulinlin.</h2>
<a href="/logout">退出登录</a>
</body>
</html>

然后是controller

@Controller
@RequestMapping
public class TestController {


    @RequestMapping("/hello")
    public String hello() {
        return "hello";
    }

    @RequestMapping("/login")
    public String login() {
        return "login";
    }
}

准备测试用户

这里呢我们就不连数据库了,创造一些模拟的数据

首先呢是用户的实体类

@Data
public class SysUser  {

    private Long id;
    private String userName;
    private String password;
    private List<String> roles;
    
    public SysUser() {
    }
    public SysUser(Long id, String userName, String password, List<String> roles) {
        this.id = id;
        this.userName = userName;
        this.password = password;
        this.roles = roles;
    }
}

首先呢是接口

public interface IUserService {
    SysUser findByUsername(String userName);
}

然后实现类

@Service
public class UserServiceImpl implements IUserService {

    private static final Set<SysUser> users = new HashSet<>();


    static {
        users.add(new SysUser(1L, "fulin", "123456", Arrays.asList("ROLE_ADMIN", "ROLE_DOCKER")));
        users.add(new SysUser(2L, "xiaohan", "123456", Arrays.asList("ROLE_ADMIN", "ROLE_DOCKER")));
        users.add(new SysUser(3L, "longlong", "123456", Arrays.asList("ROLE_ADMIN", "ROLE_DOCKER")));
    }

    @Override
    public SysUser findByUsername(String userName) {
        return users.stream().filter(o -> StringUtils.equals(o.getUserName(), userName)).findFirst().orElse(null);
    }
}

配置SpringSecurity

找到谁

要想通过Security的用户认证的话 必须要实现一个UserDetailsService的接口

@Service
public class UserService implements UserDetailsService {
    @Autowired
    private  IUserService iUserService;
    
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        SysUser user = iUserService.findByUsername(s);
        if (user == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        //把角色放入认证器里
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        List<String> roles = user.getRoles();
        for (String role : roles) {
            authorities.add(new SimpleGrantedAuthority(role));
        }
        return new User(user.getUserName(), user.getPassword(), authorities);
    }

}

这里呢要实现一个返回 UserDetails 类的方法 ,

// Source code recreated from a .class file by IntelliJ IDEA
public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}

里面与有各种的用户状态 这里呢

security默认有一个org.springframework.security.core.userdetails.User的实现 我们返回的时候构建这个类即可,它有三个参数,分别是用户名、密码和权限集。

这一骤只是为了让security找到你是谁。

登陆成功怎么办

security提供了一个AuthenticationSuccessHandler 的接口默认实现是跳转url,因为程序走ajax了所以我们返回json

@Component
@Slf4j
public class SuccessAuthenticationHandler implements AuthenticationSuccessHandler {
    private final ObjectMapper objectMapper;

    public SuccessAuthenticationHandler(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
    }

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        log.info("登录成功");
        httpServletResponse.setStatus(HttpStatus.OK.value());
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        httpServletResponse.getWriter().write(objectMapper.writeValueAsString(authentication));
    }
}

登陆失败怎么办

与成功处理器对应的还有一个失败处理器

@Component
@Slf4j
public class FailureAuthenticationHandler implements AuthenticationFailureHandler {
    private final ObjectMapper objectMapper;

    public FailureAuthenticationHandler(ObjectMapper objectMapper) {
        this.objectMapper = objectMapper;
    }

    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        log.info("登录失败");
        httpServletResponse.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        httpServletResponse.getWriter().write(objectMapper.writeValueAsString(e.getMessage()));
    }
}

WebSecurityConfig

上面做的那么多但是并没有跟security关联上

这时候我们要继承WebSecurityConfigurerAdapter 这个类来实现security的个性化配置

把我们自定义的 userDetailsServiceSuccessAuthenticationHandlerFailureAuthenticationHandler注入进来

这里我们还指定了密码的加密方式(5.0 版本强制要求设置),因为我们构造的数据是明文的,所以明文返回即可,如下所示:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private FailureAuthenticationHandler failureAuthenticationHandler;
    @Autowired
    private SuccessAuthenticationHandler successAuthenticationHandler;
    @Autowired
    private UserService userService;


    /**
     * 注入身份管理器bean
     *
     * @return
     * @throws Exception
     */
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    /**
     * 把userService 放入AuthenticationManagerBuilder 里
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(
                new PasswordEncoder() {
                    @Override
                    public String encode(CharSequence charSequence) {
                        return charSequence.toString();
                    }

                    @Override
                    public boolean matches(CharSequence charSequence, String s) {
                        return s.equals(charSequence.toString());
                    }
                });
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //http.httpBasic()  //httpBasic 登录
        http.formLogin()
                .loginPage("/login")// 登陆的url
                .loginProcessingUrl("/authentication/form") // 自定义登录路径
                .failureHandler(failureAuthenticationHandler) // 自定义登录失败处理
                .successHandler(successAuthenticationHandler) // 自定义登录成功处理
                .and()
                .logout()
                .logoutUrl("/logout")
                .and()
                .authorizeRequests()// 对请求授权
                 // 这些页面不需要身份认证,其他请求需要认证
                .antMatchers("/login", "/authentication/require",
                        "/authentication/form").permitAll()
                .anyRequest() // 任何请求
                .authenticated() // 都需要身份认证
                .and()
                .csrf().disable();// 禁用跨站攻击
    }
    @Override
    public void configure(WebSecurity web) throws Exception {
        // 设置拦截忽略文件夹,可以对静态资源放行
        web.ignoring().antMatchers("/css/**", "/js/**");
    }

}

如果你想要将密码加密,可以修改 configure() 方法如下

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
     auth.userDetailsService(userDetailsService)
         .passwordEncoder(new BCryptPasswordEncoder());
 }

然后启动项目会进入登陆页面,输入正确的用户名和密码即可。

本博文是基于springboot2.x 和security 5 如果有什么不对的请在下方留言。

MelancholyCat
关注
专栏目录
SpringBoot~Spring Security入门
fengruiqi的博客
08-17 560
Spring Security简介 Spring Security 是专门针对基于Spring的项目安全框架,充分利用了依赖注入和AOP来实现安全的功能,安全框架主要用的是认证(Authentication)和授权(Authorization)。 SpringBoot 对其的支持关于Spring Security 的自动配置在SpringBoot 中在org.springframework.boo
SpringBoot整合SpringSecurity超详细入门教程
2401_83977357的博客
04-30 673
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
spring-security结合spring boot超简单的例子
01-23
spring-security结合spring boot超简单的例子,仅仅只是验证登录,并且权限不同显示的内容也不同。非常适合新手入门
SpringBootSpringSecurity 快速入门
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-17 470
文章目录一、简介二、使用SpringSecurity1、导入依赖2、基础环境搭建3、编写SecurityConfig配置类①、重写configure(HttpSecurity http)方法②、重写configure(AuthenticationManagerBuilder auth)方法 一、简介 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。 Spring Security 是一个专注于为 Java 应用程序
Spring Security 详解
最新发布
As_Yua的博客
07-31 3464
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringBoot集成SpringSecurity入门级)
Myth的博客
12-30 1041
目录 Springboot集成SpringSecurity Demo 快速上手-初步入门: 创建单用户单角色的安全控制 多用户多角色的实现思路 每个身份都使用一个登录实体类 另一种思路: 实现细节 关于注解的几种使用方式 @Secured @RolesAllowed SpringSecurity3.0 开始提供了 SpEL表达式 保护方法应用 目录创建于2017-12-18Springb
Spring Boot整合Spring Security
weixin_34250434的博客
12-18 135
前言:安全框架目前有两大主流,一个是apache的Shiro,一个是SpringSecurity, 曾经用过Shiro,又想看一下security和Shiro的不同,又加上Spring Boot可以无缝对接Security,所以在此使用Security作为安全组件。 安全框架主要功能为:身份认证,权限控制,预防漏洞攻击 所以接下来我们围绕如果配置身份认证,权限控制去整合Security。 环...
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
通过以上步骤,我们可以构建一个基本的SpringBoot + Spring Security入门程序,实现用户登录和自动登录功能。这个程序结合了数据库集成、安全配置以及IDEA的使用,为开发者提供了一个完整的实践案例。在实际开发中,...
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7835
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
springboot整合springsecurity入门
weixin_48524739的博客
08-01 252
springsecurity入门
SpringBoot Security 入门
weixin_42555971的博客
10-20 627
init
SpringbootSecurity 快速入门
weixin_68193389的博客
11-07 374
通过配置文件@Service@Override。
spring security入门程序----登录
qq_22979925的博客
08-03 351
spring security spring security是一款安全访问控制解决方案的安全框架,就是限制没有登录的用户和没有权限的用户不能访问某些页面,也就是常说的权限控制。 spring security官网 http://projects.spring.io/spring-security/配置文件 开发环境是 spring boot ,maven。spring security版本
SpringBoot集成Spring Security(1)——入门程序
SKT_T1_Faker的博客
11-20 577
因为项目需要,第一次接触Spring Security,早就听闻Spring Security强大但上手困难,今天学习了一天,翻遍了全网资料,才仅仅出入门道,特整理这篇文章来让后来者少踩一点坑(本文附带实例程序,请放心食用) 本篇文章环境:SpringBoot 2.0 + Mybatis + Spring Security 5.0 源码地址:https://github.com/wzy010/...
spring-security整合springboot入门案例
比坚持更厉害的是把坚持日常化
03-08 953
首先先说明一下我测试用到的web模板引擎是thymeleaf 我们先导入相应的start,如thymeleaf、security、web: &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-t...
SpringBoot + Spring Security 简单入门
JEECG官方博客
05-24 1165
这篇文章主要介绍了SpringBoot + Spring Security 简单入门 Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式 ..
简单入门SpringBootSpringSecurity
L_xs_123的博客
09-08 550
SpringSecurity 安全应该在最开始的地方就考虑 功能权限 , 访问权限 , 菜单权限 这些都是需要有一定的规则去配置安全规则的 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity:开启WebSecurity模式 Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。 “认证”(Authenticati
SpringBoot集成SpringSecurity(一) 入门
罗伯特是疯子丶
03-21 1833
需求 公司打算重构权限系统,主要因为现有的系统存在这些问题: 查询用户步骤繁琐:选系统(主要是这一点)——用户名——查询按钮; 简化权限只分配到角色:现在权限全部汇总到一起,不知道权限从何而来; 角色承担职责过多,杂而乱; 登录名不唯一,无账号找回功能 … 总之就是一个很乱的权限系统,考虑到security的强大功能,灵活易拓展(各种自定义),耦合性低,所以打算用securi...
springboot整合security(一)入门
作为一个长者,有必要记录下人生经验
12-14 464
spring security主要功能: 1.认证——是什么身份 2.授权——有哪些权限
SpringBootSpringSecurity集成:入门与默认认证设置
"Spring Security整合Spring Boot的集中式部署在Spring Boot 2.1.3版本下进行探讨。本教程主要涉及Spring Security的基本配置、与Spring Boot的集成以及认证机制。首先,我们从创建一个基础Spring Boot项目开始,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值