springBoot集成springSecurity

最新推荐文章于 2024-07-01 07:30:30 发布
最新推荐文章于 2024-07-01 07:30:30 发布
阅读量933 收藏 10
点赞数
分类专栏: springBoot 文章标签: SpringBoot SpringSecurity SpringCloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35689573/article/details/87833696
版权

springSecurity属于spring的一个安全工具,为我们的应用程序做权限控制,spring cloud security就是基于springSecurity的一套安全工具包。下面我们就来讲解一下springBoot应该如何集成springSecurity。

假设此时你已经配置好了一个springBoot项目,请参考:https://blog.csdn.net/qq_35689573/article/details/80808726,并可以正常启动了,那只需要在pom.xml文件中加入

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

maven项目,写完别忘了右键项目,maven,reimport一下,我们在lib中看到security存在之后才是真正的导入了。

下面启动项目,观察启动日志:

07b25e71-7a9a-42c7-ba6b-845150947dc2是登录密码,此时我们随意访问该项目的任一路径会发现spring不允许,让我们先去进行权限验证:

User可以用springSecurity的默认用户user,Password要用我们上面的随机密码07b25e71-7a9a-42c7-ba6b-845150947dc2,登录成功。我们也可以通过在application.properties或application.yml中进行配置:

spring.security.user.name=hxj
spring.security.user.password=hxj123

至此简单的集成springSecurity我们已经完成了,但是实际项目中肯定不能这么敷衍,那我们会怎么做呢?

首先我们需要知道两个接口:UserDetailsService和WebSecurityConfigurerAdapter,UserDetailsService里面只有一个方法:

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

顾名思义就是通过用户名加载用户并返回一个UserDetails对象,

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    boolean isAccountNonExpired();

    boolean isAccountNonLocked();

    boolean isCredentialsNonExpired();

    boolean isEnabled();
}

UserDetails里面封装了用户的一些基本信息,如用户名,用户密码,用户权限集合之类的。

WebSecurityConfigurerAdapter这是一个抽象类,权限配置适配器,所有用户登录时做的权限处理应该都在这里面。

下面我们先来实现UserDetailsService:

import com.example.springBootDemo.config.datasource.DaoHelper;
import com.example.springBootDemo.model.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

@Component
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private DaoHelper daoHelper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = (User)daoHelper.queryOne("user.getUserByName",username);
        return new org.springframework.security.core.userdetails.User(username,user.getPassword(),AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRole()));
    }
}

我们通过username从数据库中查询出对应的用户并把它强转成我们自定义的User对象,从这个User对象中提取信息,最终返回一个UserDetails对象。

再来看WebSecurityConfigurerAdapter:

@Configuration
public class MyWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

    /**
     * 将我们在后台查询出来的用户信息配置成bean交给springSecurity的权限适配器
     * */
    @Bean
    public UserDetailsService userDetailsService(){
        return new MyUserDetailsService();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService());
    }

    /**
     * 对请求路径中带css,img,js的请求内容不进行权限拦截
     * 根据实际情况合理增删
     * */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**","/img/**","/js/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.headers().and().authorizeRequests()
                .anyRequest().authenticated()
                //登录路径,对应LoginController中的signIn方法,我们可以在这个方法中添加我们在进入登录页面前的一些逻辑
                .and().formLogin().loginPage("/signIn")
                //跳转到login页面,登录成功后默认跳转到index
                .loginProcessingUrl("/login").defaultSuccessUrl("/index",true)
                //登录失败跳转页面
                .failureUrl("/signIn?error").permitAll()
                //失效session跳转路径
                .and().sessionManagement().invalidSessionUrl("/signIn")
                //session失效时间
                .and().rememberMe().tokenValiditySeconds(1209600)
                //掉线之后的跳转路径
                .and().logout().logoutSuccessUrl("/signIn").permitAll()
                .and().csrf().disable();
    }

}

MyWebSecurityConfigurerAdapter中主要重写了WebSecurityConfigurerAdapter中的三个方法,定义了登录方法和登录页面的一下权限控制。

LoginController:

@Controller
public class LoginController {

    @RequestMapping("signIn")
    public String signIn(){
        return "/login";
    }

    @RequestMapping("index")
    public String index(){
        return "/index";
    }
}

login.html页面(我用的是thymleaf模板引擎):

图中圈中的地方注意一下,“/login”是在MyWebSecurityConfigurerAdapter中定义好的,其他都是springSecurity默认的。

访问:http://localhost:8080/index,会发现直接被拦截跳转到了http://localhost:8080/signIn

点击登录,观察后台日志:

是因为我们一般存在数据库中的密码是加密的,但是我们在这里没有设置解密方式,所以我们还需要在MyWebSecurityConfigurerAdapter添加如下代码

   /**
     * 定义解码器
     * */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

并将定义的密码器注入到

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService()).passwordEncoder(passwordEncoder());
    }

此时我们再次访问http://localhost:8080/signIn,输入账号密码之后成功登入系统。

我们也可以自己定义加密规则:

@Component
public class MypasswordEncoder implements PasswordEncoder {

    @Override
    public String encode(CharSequence charSequence) {
        //定义加密规则并返回加密后的密码
        return charSequence.toString();//此处我们就不加密了,直接返回明文
    }

    @Override
    public boolean matches(CharSequence charSequence, String s) {
        return charSequence.equals(s);//上面没有加密,此处也就不用解密了
    }
}

并注入MyWebSecurityConfigurerAdapter中:

   /**
     * 定义解码器
     * */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new MypasswordEncoder();
    }

此时我们将数据库中的密码换成明文,登录成功。至此springSecurity的简单应用完成,其他配置请参考官方文档:

http://www.mossle.com/docs/springsecurity3/html/springsecurity.html

Sara2018
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot 简单集成 spring security(一)
aimeng555的博客
04-10 2172
1、spring security 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。(转自百度百科) 2、spri
SpringBoot集成Spring Security的方法
08-18
至此,我们完成了基础的Spring Security 集成。但Spring Security的功能远不止于此,它还可以进行更复杂的配置,比如支持OAuth2、JWT、Remember Me 功能、自定义过滤器、AOP式权限控制等。Spring Security的灵活性...
SAML单点登录-spring-security-saml 整合使用
LuckyTHP
07-07 6979
springboot security saml2
Spring Boot如何集成Spring Security
最新发布
学Java,找哪吒
07-01 1224
根据需要,你可以添加更多的安全配置,如密码策略、记住我功能、CORS 过滤器、自定义权限验证等。
SpringBoot 整合 SpringSecurity
Lyndon的专栏
10-23 4686
SpringBoot整合Spring Security实现ajax登录
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1463
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全方
Spring Boot中开启Spring Security
Yestar123456的博客
12-27 218
Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。 这里我们使...
springboot 集成 spring security 详细 附代码
wyhhahaha的博客
11-12 173
一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
1. **SpringBoot集成Spring Security**: 在SpringBoot项目中集成Spring Security,我们通常需要以下几个步骤: - 添加Spring Security依赖到`pom.xml`文件。 - 配置Spring Security,创建一个`...
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录。 SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作时,应根据...
springBoot 集成 springSecurity
z978807137的博客
05-16 227
学习springBoot security总结
Spring集成SpringSecurity
WUQING233的博客
05-17 856
Spring集成SpringSecuritySpringSecurity简介SpringSecurity特征1.引入starter到maven依赖2.实体类3.Serice层4.SecurityConfig配置类4.1 继承WebSecurityConfigurerAdapter4.2 重写configure方法(WebSecurity) 忽略静态资源的访问4.3 重写configure方法(AuthenticationManagerBuilder)实现认证自定义认证规则4.4 重写configure方法(
SpringBoot集成SpringSecurity
蛋饼吧的博客
01-04 1077
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。
Spring Boot:整合Spring Security
2401_83384536的博客
05-09 821
Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。
springboot整合springSecurity
Zxs4212的博客
12-28 285
以及用于用户校验操作的UserDetailsService接口,实现方法 public UserDetails loadUserByUsername(String username)继承类WebSercuityConfigurerAdapter,对serurity进行配置,可实现其中的三个配置方法。目前只使用一个作为入门操作。springSecurity默认采用BCryptPasswordEncoder作为密码的加密操作;需要在启动类获取配置类上打上@EnableWebSecurity注解。
Spring Boot——集成Spring Security安全框架
万里顾一程的博客
06-02 453
文章目录Spring Boot——集成Spring Security1、什么是Spring Security2、实验环境搭建3、用户认证和授权4、注销功能5、权限控制功能6、记住我及登录页定制7、总结 Spring Boot——集成Spring Security 1、什么是Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 spring Security是一个专注于为Java应用程序、功能强大且高度可定制的身份
SpringBoot - 简单集成 SpringSecurity
业精于勤荒于嬉
08-02 445
SpringBoot - 简单集成 SpringSecurity
springboot集成springSecurity
05-10
Spring Boot 基于 Spring,自然也集成Spring Security。下面是 Spring Boot 集成 Spring Security 的步骤: 1. 在 pom.xml 中添加 Spring Security 的依赖: ```xml <groupId>org.springframework.boot ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值