SpringBoot 整合 SpringSecurity

最新推荐文章于 2023-12-11 19:52:01 发布
最新推荐文章于 2023-12-11 19:52:01 发布
阅读量137 收藏 1
点赞数
分类专栏: # SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37083863/article/details/119303863
版权

文章目录

SpringBoot 整合 SpringSecurity —— Basic 模式

步骤一:导入依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.4.9</version>
    <relativePath/> <!-- lookup parent from repository -->
  </parent>
  <groupId>com.yinxy</groupId>
  <artifactId>test-spring-security</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <name>test-spring-security</name>
  <description>Demo project for Spring Boot</description>
  <properties>
    <java.version>1.8</java.version>
  </properties>
  <dependencies>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
      <groupId>org.thymeleaf.extras</groupId>
      <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    </dependency>

    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-test</artifactId>
      <scope>test</scope>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-test</artifactId>
      <scope>test</scope>
    </dependency>
  </dependencies>

  <build>
    <plugins>
      <plugin>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-maven-plugin</artifactId>
      </plugin>
    </plugins>
  </build>

</project>

步骤二:创建可被访问的接口

@RequestMapping("/user")
@RestController
public class UserController {

  @GetMapping("/add")
  public String add() {
    return "add";
  }

  @GetMapping("/delete")
  public String delete() {
    return "delete";
  }

  @GetMapping("/update")
  public String update() {
    return "update";
  }

  @GetMapping("/query")
  public String query() {
    return "query";
  }
}

步骤三:配置 SpringSecurity

@EnableWebSecurity // 开启 SpringSecurity 的 Web 支持
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
  
  // 在这里设置用户的信息以及他们的权限
  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
        // 添加用户
        .withUser("admin").password("admin").authorities("add", "delete", "update", "query").and()
        .withUser("add").password("add").authorities("add").and()
        // 在 Spring 5.0 之后,必须要设置 PasswordEncoder,要不然在登录过程中会报错
        // 这里选用的 PasswordEncoder 是不做任何操作的一种现实,仅在我们学习的时候可以这么使用
        .passwordEncoder(NoOpPasswordEncoder.getInstance());
  }

  // 为 http 请求设置需要的权限
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        // 添加路径匹配规则
        // e.g. 访问 "/user/add" 这个接口时,必须要有 "add" 这个权限
        .antMatchers("/user/add").hasAuthority("add")
        .antMatchers("/user/delete").hasAuthority("delete")
        .antMatchers("/user/update").hasAuthority("update")
        .antMatchers("/user/query").hasAuthority("query")
        .antMatchers("/**").fullyAuthenticated().and()
        // 启用 Basic 模式
        .httpBasic();
  }
}

步骤四:访问接口

http://localhost:8080/user/add ,可以发现出现了一个弹出框,这就是 Basic 模式,利用浏览器的弹出框实现的认证授权。

请添加图片描述

输入用户名 add 密码 add 就可以访问目标接口了。
在这里插入图片描述

但是如果你访问其他的路径 http://localhost:8080/user/update,就会发现请求被拦截了。至于为什么显示的如下内容,是因为我们没有配置 error 这个页面导致的。如果将换成 admin 账号的话,4 个接口就都可以被访问了。

在这里插入图片描述

SpringBoot 整合 SpringSecurity —— Form 表单模式

在实际中 Basic 模式我们很少会用到,相较之下更常用的是 Form 表单模式。也就是出现一个登录的页面,让用户输入账号和密码。由于 SpringSecurity 框架设计的非常好,所以换一种模式也是特别简单的事情,只需要改动一行代码即可。

步骤一:修改配置

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/user/add").hasAuthority("add")
        .antMatchers("/user/delete").hasAuthority("delete")
        .antMatchers("/user/update").hasAuthority("update")
        .antMatchers("/user/query").hasAuthority("query")
        .antMatchers("/**").fullyAuthenticated().and()
        // 启用 Basic 模式
        // .httpBasic();
        // 启用 Form 表单模式
        .formLogin();
  }

步骤二:访问路径

http://localhost:8080/user/add,可以发现我们跳转到了 http://localhost:8080/login 这个路径,而这个路径在我们的代码中是没有声明的,并且这个页面也不是我们提供的,都是由 Spring Security 内部实现的。在老版本的 Spring Security 中这个登录界面并不好看。

在这里插入图片描述

开启记住我功能

在登录一些网站的时候,都会有 记住我 让用户进行勾选,选中之后,重启了浏览器再打开这个页面,就不需要用户再次登录了。

步骤一:修改配置

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/user/add").hasAuthority("add")
        .antMatchers("/user/delete").hasAuthority("delete")
        .antMatchers("/user/update").hasAuthority("update")
        .antMatchers("/user/query").hasAuthority("query")
        .antMatchers("/**").fullyAuthenticated().and()
        // 启用 Basic 模式
        // .httpBasic();
        // 启用 Form 表单模式
        .formLogin().and()
        // 开启记住我功能
        .rememberMe();
  }

步骤二:访问路径

http://localhost:8080/user/add,可以看到已经有了 RememberMe 的复选框了,输入用户名密码,然后勾选记住我,登录成功后,重启浏览器就可以发现不需要重新登录了。

在这里插入图片描述

实现原理:RememberMe 的实现原理就是通过 Cookie,将会话ID保存到用户本地。

自定义登录页面

在正常情况下,我们会在登录界面上加很多东西,例如 Logo 之类的,这时候 SpringSecurity 自带的页面就已经不能满足我们的需求了,所以我们需要自定义登录页面。

步骤一:添加登录页面跳转接口

@Controller
public class IndexController {
  
  @GetMapping("/login")
  public String login() {
    return "login";
  }
}

步骤二:编写登录页面 login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录页面</title>
</head>
<body>
    <form method="post" action="/login">
        <label>
            <input type="text" name="username" />
        </label> 用户名
        <label>
            <input type="password" name="password" />
        </label> 密码
        <input type="submit">
    </form>
</body>
</html>

步骤三:修改配置

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/user/add").hasAuthority("add")
        .antMatchers("/user/delete").hasAuthority("delete")
        .antMatchers("/user/update").hasAuthority("update")
        .antMatchers("/user/query").hasAuthority("query")
        .antMatchers("/login").permitAll()
        .antMatchers("/**").fullyAuthenticated().and()
        .formLogin()
        // 设置登录页面的路径
        .loginPage("/login").and().csrf().disable();
  }

步骤四:访问任意路径

http://localhost:8080/user/add,就会跳转到我们自定义的登录页面了。

项目结构

在这里插入图片描述

SpringSecurity 整合数据库

在实际的项目中,我们不会将用户信息和路径需要的权限直接写在代码中,而是从数据库中查询。所以在这一小节中我就来教大家如何将 SpringSecurity 整合数据库。

步骤一:创建数据库表

我选用的权限模型是 RBAC 模型。

CREATE TABLE `user` (
  `id` int(32) NOT NULL AUTO_INCREMENT COMMENT '主键ID',
  `username` varchar(32) NOT NULL DEFAULT '' COMMENT '用户',
  `password` varchar(64) NOT NULL DEFAULT '' COMMENT '密码',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8 COMMENT='用户表';

CREATE TABLE `role` (
  `id` int(32) NOT NULL AUTO_INCREMENT COMMENT '主键ID',
  `role_name` varchar(64) NOT NULL COMMENT '角色名称',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8 COMMENT='角色表';

CREATE TABLE `permission` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '权限ID',
  `url` varchar(255) DEFAULT NULL COMMENT '路径',
  `perm_tag` varchar(255) DEFAULT NULL COMMENT '权限标签',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8 COMMENT='权限表';

CREATE TABLE `user_role` (
  `id` int(32) NOT NULL AUTO_INCREMENT COMMENT '主键ID',
  `role_id` int(32) DEFAULT NULL COMMENT 'roleid',
  `user_id` int(32) DEFAULT NULL COMMENT 'userid',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8 COMMENT='角色用户表';

CREATE TABLE `role_permission` (
  `id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '主键',
  `role_id` bigint(20) DEFAULT NULL COMMENT '角色ID',
  `permission_id` bigint(20) DEFAULT NULL COMMENT '权限ID',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB AUTO_INCREMENT=0 DEFAULT CHARSET=utf8 COMMENT='角色权限表';

步骤二:动态设置接口需要的权限

  @Autowired
  private PermissionMapper permissionMapper;

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry
        registry = http.authorizeRequests();
    // 从数据库中获取所有的权限
    List<PermissionEntity> permissions = permissionMapper.findAllPermission();
    permissions.forEach(p -> {
      // 动态设置接口需要的权限
      registry.antMatchers(p.getUrl(), p.getPermTag());
    });
    registry.antMatchers("/login").permitAll()
        .antMatchers("/**").fullyAuthenticated().and()
        .formLogin().and().csrf().disable();
  }

步骤三:用户实体类实现 UserDetails 接口

public class UserEntity implements UserDetails, Serializable {

  private static final long serialVersionUID = -1677058108638628245L;

  @TableId
  private Long id;
  // 用户名
  private String username;
  // 密码
  private String password;

  private List<PermissionEntity> authorities;

  @Override
  public Collection<? extends GrantedAuthority> getAuthorities() {
    return authorities;
  }

  // 账号是否没有过期
  @Override
  public boolean isAccountNonExpired() {
    return true;
  }

  // 账号是否没有被冻结
  @Override
  public boolean isAccountNonLocked() {
    return true;
  }

  // 账号密码是否没有过期
  @Override
  public boolean isCredentialsNonExpired() {
    return true;
  }

  // 账号是否启用
  @Override
  public boolean isEnabled() {
    return true;
  }
    
  // get 和 set 方法
}

步骤四:权限实体类实现 GrantedAuthority 接口

public class PermissionEntity implements Serializable,
    GrantedAuthority {

  private static final long serialVersionUID = 8313212656939191264L;

  @TableId
  private Long id;
  // 接口路径
  private String url;
  // 访问该接口路径需要的权限 Tag
  private String permTag;

  @Override
  public String getAuthority() {
    return permTag;
  }
        
  // get 和 set 方法
}

步骤五:创建获取能获取用户信息的服务类

@Component
public class UserDetailsServiceImpl implements UserDetailsService {

  @Autowired
  private UserMapper userMapper;

  @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    UserEntity user = userMapper.findByUsername(username);
    if (user == null) {
      return null;
    }
    
    // 通过用户名获取所有的权限
    List<PermissionEntity> permissions = userMapper.findPermissionByUsername(username);
    user.setAuthorities(permissions);

    return user;
  }
}

步骤六:创建用户密码加密规则

这里大家可以使用任意的加密算法,我这里采用的是 MD5,使用的是 hutool 工具集。

public class MyPasswordEncoder implements PasswordEncoder {

  private final Digester DIGESTER = MD5.create().setSalt("123456".getBytes());

  @Override
  public String encode(CharSequence rawPassword) {
    return DIGESTER.digestHex(rawPassword.toString());
  }

  @Override
  public boolean matches(CharSequence rawPassword, String encodedPassword) {
    return encodedPassword.equals(DIGESTER.digestHex(rawPassword.toString()));
  }

}

步骤七:实现动态查询用户信息

  @Autowired
  private UserDetailsServiceImpl userDetailsService;

  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService)
        .passwordEncoder(new MyPasswordEncoder());

  }

小结:经过这 7 步就实现了 接口权限用户权限 的动态获取。

三岁丫
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
security-test:Spring安全测试
05-08
安全测试 Spring安全测试 功能科 -自定义登录页面 -记得我 -403和404错误页面 -通过JDBC验证用户和密码 -BCrypt保护密码 -Https支持 -运行时重载权限 -启用Csrf Https支持 要启用https,请执行以下步骤: 本示例假设您使用的是Tomcat服务器。 打开一个终端,转到TOMCAT_HOME / bin并执行: keytool -genkey -alias tomcat -keyalg RSA -keystore C:\ Temp \ tomcat 询问时,输入密码和证书的详细信息 编辑server.xml并更改以下行: <Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol" maxThreads="150" SSLEnabled="tru
spring-security-test
07-13
标签 项目 弹簧数据 jpa 弹簧数据-jpa 目录 本指南将引导您完成构建应用程序的过程,该应用程序使用 Spring Data JPA 在关系数据库中存储和检索数据。 你将构建什么 您将构建一个将Customer POJO 存储在基于内存的数据库中的应用程序。 你需要什么 定义一个简单的实体 在此示例中,您存储 Customer 对象,注释为 JPA 实体。 src/main/java/hello/Customer.java link : complete / src / main / java / hello / Customer . java[] 这里有一个包含三个属性的Customer类,即id 、 firstName和lastName 。 您还有两个构造函数。 默认构造函数只是为了 JPA 而存在。 您不会直接使用它,因此将其指定为protected 。 另一个构
SpringBoot整合SpringSecurity(通俗易懂)
BookSea的博客
10-24 4万+
先看后赞,养成习惯。 点赞收藏,人生辉煌 基于数据库的身份认证 一、创建项目 创建一个 SpringBoot 模块项目,选择相关依赖: 先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释 <!--<dependency>--> <!--<groupId>org.springframework.boot</groupId>--> <!--<artifactId>spring-bo.
SpringBoot集成Spring Security(1)——入门程序
热门推荐
Jitwxs
05-09 7万+
因为项目需要,第一次接触Spring Security,早就听闻Spring Security强大但上手困难,今天学习了一天,翻遍了全网资料,才仅仅出入门道,特整理这篇文章来让后来者少踩一点坑(本文附带实例程序,请放心食用) 预警: 如果你仅仅是学习一个安全框架,不推荐使用Spring Security!!!!推荐学习Apache Shiro,配置简单易上手,该有功能它都有,可以...
Spring-security-test
03-22
Spring-security-test
springboot整合springSecurity
04-19
以上是SpringBoot整合SpringSecurity的基础知识要点,实际应用中可能还需要结合具体的业务需求进行更细致的配置和定制。在项目开发中,确保理解并熟练运用这些知识点,能够有效提高应用的安全性和健壮性。
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
SpringBoot整合Spring Security的详细教程
08-18
SpringBoot 整合 Spring Security 的详细教程 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,提供了完善的认证机制和方法级的授权功能。下面是 SpringBoot 整合 Spring Security 的详细...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringSecurity 测试实战
08-25
主要介绍了SpringSecurity 测试实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring-security-test-5.6.1-API文档-中文版.zip
05-09
赠送jar包:spring-security-test-5.6.1.jar; 赠送原API文档:spring-security-test-5.6.1-javadoc.jar; 赠送源代码:spring-security-test-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-test-5.6.1.pom; 包含翻译后的API文档:spring-security-test-5.6.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-test:5.6.1; 标签:springsecurity、test、springframework、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
spring-security单元测试
qq_34796981的博客
07-28 1463
1、简介 spring-security进行单元测试,从而自动化测试埋下伏笔。也无需频繁在在浏览器进行测试,也加快了开发人员的调试速度。 2、无验证单元测试 由于spring-security进行的都是安全方面的校验,而与实际的逻辑并没有太大关系。 如果单单想测试逻辑的可靠性,那么可以使用MockMvc来进行测试,这样大大减少了测试成本。 代码 @RunWith(SpringRunner.class) @SpringBootTest public class SpringSecurityTest {
Spring Security教程(2)----SpringSecurity简单测试
z69183787的专栏
03-13 1万+
前面讲到了SpringSecurity的简单配置,今天做一个简单的测试,先看配置文件 [html] view plaincopy xml version="1.0" encoding="UTF-8"?>   beans xmlns="http://www.springframework.org/schema/beans"       xmln
Spring Security 实战干货:Spring Security中的单元测试
码农小胖哥
04-23 2645
今天组里的新人迷茫的问我:哥,Spring Security弄的我单元测试跑不起来,总是401,你看看咋解决。没问题,有写单元测试的觉悟,写的代码质量肯定有保证,对代码质量重视的态度,这种...
2539-SpringSecurity系列--在有安全验证的情况下做单元测试Test
weixin_30357231的博客
07-24 233
在有安全验证的情况下做单元测试Test 版本信息 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.5.14.RELEA...
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
Spring Security 详解与实操第六节 响应式编程及最后总结
fegus的博客
05-01 1830
技术趋势:如何为 Spring Security 添加响应式编程特性? 对于大多数日常业务场景而言,软件系统在任何时候都需要确保具备即时响应性。而响应式编程(Reactive Programming)就是用来构建具有即时响应性的是一种新的编程技术。随着 Spring 5 的发布,我们迎来了响应式编程的全新发展时期。而 Spring Security 作为 Spring 家族的一员,同样实现了一系列的响应式组件。今天我们就将围绕这些组件展开讨论。 什么是响应式编程? 在引入响应式 Spring Securit
springboot 整合Spring Security
最新发布
07-05
Spring Boot整合Spring Security主要是为了提供安全控制功能,帮助开发者快速地在Spring Boot应用中添加身份验证、授权和会话管理等安全性措施。以下是基本步骤: 1. 添加依赖:首先,在Maven或Gradle项目中添加...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值