Spring Security入门(一:基于内存认证+授权)

最新推荐文章于 2022-06-04 23:30:40 发布
最新推荐文章于 2022-06-04 23:30:40 发布
阅读量172 收藏
点赞数
分类专栏: spring security Java spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36908783/article/details/106123237
版权
Java 同时被 3 个专栏收录
9 篇文章 0 订阅
订阅专栏
spring
8 篇文章 0 订阅
订阅专栏
spring security
1 篇文章 0 订阅
订阅专栏

文章目录

一、搭建一个简单的项目

1、maven依赖配置

主要添加spring-boot-starter-security和spring-boot-starter-web

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>

	<groupId>com.jp</groupId>
	<artifactId>normal_security</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<packaging>jar</packaging>

	<name>normal_security</name>
	<description>a normal example for Spring Security</description>

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.0.6.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>

	<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>


</project>
2、创建security配置类

配置类中的方法对用户进行认证和授权,

  • 认证 (你是谁) 为用户建立一个他所声明的主体。主体一般是指用户,设备或可以在系统中执行动作的其他系统。
  • 授权 (你能干什么)指的是一个用户能否在应用中执行某个操作,在到达授权判断之前,身份的主体已经由身份认证过程建立。
    在这里插入图片描述
package com.jp.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /**
         * 在内存中创建一个名为 "user" 的用户,密码为 "pwd",拥有 "USER" 权限,密码使用BCryptPasswordEncoder加密
         */
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("user").password(new BCryptPasswordEncoder().encode("pwd")).roles("USER");
        /**
         * 在内存中创建一个名为 "admin" 的用户,密码为 "pwd",拥有 "USER" 和"ADMIN"权限
         */
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("admin").password(new BCryptPasswordEncoder().encode("pwd")).roles("USER","ADMIN");
    }

    /**
     * 匹配 "/","/index" 路径,不需要权限即可访问
     * 匹配 "/user" 及其以下所有路径,都需要 "USER" 权限
     * 匹配 "/admin" 及其以下所有路径,都需要 "ADMIN" 权限
     * 登录地址为 "/login",登录成功默认跳转到页面 "/user"
     * 退出登录的地址为 "/logout",退出成功后跳转到页面 "/login"
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/","/index","/error").permitAll()
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/admin/**").hasRole("ADMIN")
                .and()
                .formLogin().loginPage("/login").defaultSuccessUrl("/user")
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login");
    }
}
3、定义controller层
package com.jp.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * 主页和登录页面映射
 */
@Controller
public class HomeController {
    @RequestMapping({"/", "/index"})
    public String index(){
        return "index";
    }

    @RequestMapping("/login")
    public String login(){
        return "login";
    }
}

package com.jp.controller;

import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

import java.security.Principal;

/**
 * 定义用户相关网址映射的Controller
 */
@Controller
public class UserController {

    @RequestMapping("/user")
    public String user(@AuthenticationPrincipal Principal principal, Model model){
        model.addAttribute("username", principal.getName());
        return "user/user";
    }
    @RequestMapping("/admin")
    public String admin(@AuthenticationPrincipal Principal principal, Model model){
        model.addAttribute("username", principal.getName());
        return "admin/admin";
    }
}
4、视图页面

在这里插入图片描述
管理员页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Admin</title>
</head>
<body>
<h1>管理员页面,需要ADMIN权限</h1>
<p>已经成功登陆,你的用户名是:</p>
<p th:text="${username}" style="margin-top: 25px; color: crimson">wxb</p>
<form th:action="@{/logout}" method="post">
    <button class="btn btn-danger" style="margin-top: 20px">退出登录</button>
</form>
<a href="/index">主页</a>
<a href="/user">用户页面</a>
<a href="/admin">管理员页面</a>
<a href="/login">登录页面</a>
</body>
</html>

用户页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>User</title>
</head>
<body>
<h1>用户页面,需要USER权限</h1>
<p>已经成功登陆,你的用户名是:</p>
<p th:text="${username}" style="margin-top: 25px; color: crimson">wxb</p>
<form th:action="@{/logout}" method="post">
    <button class="btn btn-danger" style="margin-top: 20px">退出登录</button>
</form>
<a href="/index">主页</a>
<a href="/user">用户页面</a>
<a href="/admin">管理员页面</a>
<a href="/login">登录页面</a>
</body>
</html>

403页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>403</title>
</head>
<body>
<h1>403错误,权限不足,请使用合适用户登录</h1>
<a href="/index">主页</a>
<a href="/user">用户页面</a>
<a href="/admin">管理员页面</a>
<a href="/login">登录页面</a>
</body>
</html>

主页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Index</title>
</head>
<body>
<h1>主页,不需要任何权限即可访问</h1>
<a href="/index">主页</a>
<a href="/user">用户页面</a>
<a href="/admin">管理员页面</a>
<a href="/login">登录页面</a>
</body>
</html>

登录页面

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>index</title>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
</head>
<body>
<h1>登陆页面</h1>
<div style="text-align: center;margin:0 auto;width: 1000px; ">
    <form th:action="@{/login}" method="post">
        <div>
            用户名: <input type="text" name="username"/>
        </div>
        <div>
            密码: <input type="password" name="password"/>
        </div>
        <div th:if="${param.error}">
            <p style="text-align: center" class="text-danger">登录失败,账号或密码错误!</p>
        </div>
        <div th:if="${result}">
            <p style="text-align: center" class="text-success" th:text="${result}"></p>
        </div>
        <div>
            <input type="submit" value="登陆"/>
        </div>
    </form>
    <a href="/index">主页</a>
    <a href="/user">用户页面</a>
    <a href="/admin">管理员页面</a>
    <a href="/login">登录页面</a>
</div>
</body>
</html>
5、运行效果

在这里插入图片描述
在这里插入图片描述

二、总结

任何一个权限管理系统,主要都分为两个功能:验证和鉴权。验证就是确认用户的身份,一般采用用户名和密码的形式;鉴权就是确认用户拥有的身份(角色、权限)能否访问受保护的资源。这里面其实就涉及到了三个东西,用户、角色、受保护的资源。在上面的例子中,它们三者如下所示:

  • 用户:user(角色为USER)、admin(角色为USER、ADMIN)
  • 受保护的资源:user/(需要USER角色),admin/(需要ADMIN角色)
程序小记
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 参考手册中文版
02-01
9.5 Spring Security中的访问控制(授权) 84 9.5.1安全和AOP建议 84 9.5.2安全对象和AbstractSecurityInterceptor 85 什么是配置属性? 85 RunAsManager 86 AfterInvocationManager 86 扩展安全对象模型 87 9.6本地...
Spring Security - 07 在内存认证(添加用户到内存中)
qq_29761395的博客
02-06 2956
文章目录环境项目结构添加用户到内存中测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) Firefox Browser 96.0.3 (64 位) Microsoft Edge 版本 98.0.1108.43 (官方内部版本) (64 位)
Spring——Security安全框架使用详解(基于内存认证)
专注写bug
02-22 6302
文章目录前言Security简介Security相关模块配置和初试父项目依赖引入创建子项目工程security 登录账户密码修改、配置配置文件指定账户密码编写配置类获取登录账户、密码 前言 在日常开发中,几乎所有的项目都需要进行请求的安全校验操作。 通常会采取以下几种方式来实现安全校验和过滤。 1、实例化HandlerInterceptor接口,配置其中的preHandle、postHandle、afterCompletion属性信息。 具体可以参考博客: springboot实践----拦截器的配置
Spring Security:基于内存认证信息
wh柒八九的博客
05-22 1031
本文来说下Spring Boot+Spring Security:基于内存认证信息 文章目录概述 概述 需求缘起 上面我们简单体验了下Spring Security,但是现在只能有一个用户信息,我们这里希望可以配置多个账号信息,本节主要讲解下如何在内存中配置认证信息。 ...
SpringBoot中使用SpringSecurity基于内存认证的简单实现
BlackJoyful
05-17 940
SpringBoot中使用SpringSecurity基于内存认证的简单实现 我的开发环境: Win10、IDEA、SpringBoot 2.1.5、SpringSecurity 2.1.5 第一步:到pom.xml中引入相关依赖 第二步:配置用户名和密码 第一种方式(使用properties配置文件进行配置): ​ 打开application.properties: 进行如下配...
Security+ 学习笔记21 认证
tushanpeipei的博客
09-25 1854
一、认证因素(Authentication factors) 一旦我们向一个系统表明了自己的身份,接下来就必须证明它。这就是认证发挥作用的地方。数字系统提供了许多不同的认证技术,使用户能够证明他们的身份。我们将看一下三种不同的认证因素: Something you know:第一个认证因素是”你知道的东西“,这最常见的认证因素。通常情况下,基于认知(Knowledge-based)的认证是以密码的形式出现的,用户在认证过程中记住并输入到系统中。用户应该选择由尽可能多的字符组成的强密码,他们应该结合多个类别
Spring Security 中文教程.pdf
12-06
6.2.1. 内存认证 6.2.2. JdbcDaoImpl 6.2.2.1. 权限分组 6.3. 密码加密 6.3.1. 什么是散列加密? 6.3.2. 为散列加点儿盐 6.3.3. 散列和认证 III. web应用安全 7. 安全过滤器链 7.1. ...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
6.2.1. 内存认证 6.2.2. JdbcDaoImpl 6.2.2.1. 权限分组 6.3. 密码加密 6.3.1. 什么是散列加密? 6.3.2. 为散列加点儿盐 6.3.3. 散列和认证 III. web应用安全 7. 安全过滤器链 7.1. DelegatingFilterProxy ...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
6.2.1. 内存认证 6.2.2. JdbcDaoImpl 6.2.2.1. 权限分组 6.3. 密码加密 6.3.1. 什么是散列加密? 6.3.2. 为散列加点儿盐 6.3.3. 散列和认证 III. web 应用安全 7. 安全过滤器链 7.1. ...
JAVA上百实例源码以及开源项目
01-03
在有状态SessionBean中,用累加器,以对话状态存储起来,创建EJB对象,并将当前的计数器初始化,调用每一个EJB对象的count()方法,保证Bean正常被激活和钝化,EJB对象是用完毕,从内存中清除…… Java Socket 聊天...
Spring Boot+Spring Security:基于内存的角色授权 - 第4篇
热门推荐
悟纤学院
03-02 2万+
需求缘起 之前我们基于内存的方式,构建了两个账号admin和user,对于这两个账号在实际项目中会有不同的角色,比如管理员角色和普通用户角色,对于不同的角色,那么允许访问的方法会不一样。 编码思路 对于不同角色具有不同方法的权限的问题,主要需要思考几个点: (1)如何给指定的用户指定角色 通过AuthenticationManagerBuilder的ro...
Spring Security 入门 基于内存存储认证信息
SheTing'Blog
04-16 315
基于内存存储认证信息 @Configuration public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { /** * authentication [ɔːˌθentɪˈkeɪʃn] n. 身份验证; 认证;鉴定; */ @Override protected void configure(AuthenticationManagerBuilder auth) thro
4-内存中身份认证
姑苏的博客
08-10 160
内存中的身份认证 @Bean public UserDetailsService userDetailsService() throws Exception{ InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager(); manager.createUser(User.withUsername("user").password("password").roles("USER").build()); manager..
SpringBoot+Spring Security基于内存用户认证
oyc的博客
01-29 3142
一、Spring Security框架 1. 框架简介         官方介绍:Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足...
SpringBoot 整合 SpringSecurity 之基于内存认证(一)
小灰灰blog的专栏
01-15 494
SpringBoot 整合 SpringSecurity 之基于内存认证(一) 在第一篇的教程中,我们简单的了解了一下 SpringSecurity 的使用姿势,添加依赖,在application.yml文件中加几行配置,就可以实现一个基本的登录认证; 默认的配置只能设置一个账号,那么如果需要多个账号可以怎么支持呢? 本文将介绍一下基于内存认证方式 I. 内存认证 基于内存保存认证信息的...
如何解决Collectors#toMap报Duplicate key xxx错误问题
qq_36908783的博客
06-03 3516
文章目录前言方法介绍总结 前言 工作中经常要写一些业务代码,但如何写好却是一件不那么容易的事情,特别是需要灵活运用设计模式去代码进行重构,本篇文章只通过利用spring的配置去实现策略模型,相信会对大家有所帮忙。 方法介绍 1、首先需要定义接口,描述策略的关键方法 2、定义接口的实现类,也就是策略的具体实现 3、将每个策略的具体实现类加载spring容器中 4、利用ApplicationContextAware的作用是可以方便获取Spring容器ApplicationContext,从
++i与i++在数组中的用法区别
qq_36908783的博客
06-26 3082
一、i++ i++为先参与运算,再赋值,例如array[i++],先计算array[i],再赋值i=i+1; public class Main { public static void main(String[] args) { int[] array= {1, 2, 3, 4, 5, 6, 7}; int i=1; System.out.println(array[i++]+",i="+i); } } 二、++i ++i为先参与赋值,再
函数式接口Supplier的用法
qq_36908783的博客
06-04 1446
最近看到公司写的rpc框架中,运用到了大量的函数式接口Supplier,下面将对supplier接口的具体使用简单介绍。
为什么可以直接使用 ServletContext context=getServletConfig().getServletContext();
qq_36908783的博客
04-27 506
一、问题 最近在重新学习JavaWeb,对于以下代码不是很理解: public class HelloServlet2 extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { System.out.println("HelloServlet2的doGe
SpringSecurity+Gateway+openFeign 登录认证授权
最新发布
06-13
在一个微服务架构中,登录认证授权是非常关键的一环。下面是一个简单的流程: 1. 用户访问前端应用程序并输入用户名和密码。 2. 前端应用程序将用户名和密码发送到后端Gateway。 3. Gateway将用户名和密码发送到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值