SpringSecurity-01 基于内存用户的示例

已于 2023-06-15 18:23:44 修改
阅读量96 收藏
点赞数
分类专栏: SpringSecurity 文章标签: java spring spring boot
于 2023-06-15 18:11:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37724144/article/details/131233444
版权

1导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
    <version>2.4.4</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.4.4</version>
</dependency>

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.83</version>
</dependency>

2新建CustomSecurityConfiguration类


import com.alibaba.fastjson.JSON;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.security.web.savedrequest.HttpSessionRequestCache;
import org.springframework.security.web.savedrequest.RequestCache;
import org.springframework.security.web.savedrequest.SavedRequest;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;
import java.util.Objects;

/**
 * @author junior_programmer
 * <p>
 * EnableGlobalMethodSecurity   启用前置注解
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class CustomSecurityConfiguration extends WebSecurityConfigurerAdapter {


    /**
     * spring security默认的登录接口,可自定义登录路径
     */
    private static final String DEFAULT_LOGIN_URL = "/login";


    /**
     * 定义密码加密bean,校验用户名密码需要用到
     *
     * @return 密码加密类
     */
    @Bean
    PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder();
    }

    /**
     * DEFAULT_LOGIN_URL设置进白名单,其余接口全部需要登录后访问
     * <p>
     * formLogin() 配置表单登录的一些信息
     * loginProcessingUrl 设置登录接口的url
     * successHandler 登录成功使用自定义的事件处理器 CustomAuthenticationSuccessHandler
     * failureHandler 登陆失败使用自定义的事件处理器 CustomAuthenticationFailureHandler
     * <p>
     * exceptionHandling() 统一的异常处理信息
     * accessDeniedHandler 权限不足使用自定义的事件处理器 CustomAccessDeniedHandler
     * <p>
     * logout() 登出的配置信息
     * logoutSuccessHandler 登出成功使用自定义的事件处理器 CustomLogoutSuccessHandler
     *
     * @param http http
     * @throws Exception ex
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .antMatchers(DEFAULT_LOGIN_URL).permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginProcessingUrl(DEFAULT_LOGIN_URL)
                .successHandler(new CustomAuthenticationSuccessHandler())
                .failureHandler(new CustomAuthenticationFailureHandler())
                .and()
                .exceptionHandling()
                .accessDeniedHandler(new CustomAccessDeniedHandler())
                .and()
                .logout()
                .logoutSuccessHandler(new CustomLogoutSuccessHandler());
    }

    /**
     * 使用内存中定义的用户进行登录校验,用户名和密码均设置为admin,给与ROLE_admin的权限
     *
     * @param auth auth
     * @throws Exception ex
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication()
                .withUser("admin")
                .password(passwordEncoder().encode("admin"))
                .authorities(new SimpleGrantedAuthority("ROLE_admin"));
    }

    private void write(HttpServletResponse response, Map<String, Object> params) throws IOException {

        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setStatus((int) params.get("code"));


        response.getOutputStream().write(JSON.toJSONString(params).getBytes());

        response.getOutputStream().flush();
    }

    /**
     * 自定义权限不足处理事件
     */
    private class CustomAccessDeniedHandler implements AccessDeniedHandler {

        @Override
        public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {

            Map<String, Object> params = new HashMap<>();

            params.put("code", HttpStatus.UNAUTHORIZED.value());
            params.put("error", accessDeniedException.getMessage());

            write(response, params);
        }
    }


    /**
     * 自定义登录成功触发事件
     */
    private class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

        @Override
        public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

            //登录成功后有两种处理方式,任选其一

            // 登出后返回json数据给前端显示
//            Map<String, Object> params = new HashMap<>();
//
//            params.put("code", HttpStatus.OK.value());
//
//            write(response, params);


            // 登出后跳转回未登录时访问的页面或 home页面

            String url = "/home";
            RequestCache cache = new HttpSessionRequestCache();

            SavedRequest savedRequest = cache.getRequest(request, response);
            if (Objects.nonNull(savedRequest)) {

                String callbackUri = savedRequest.getRedirectUrl();

                if (callbackUri != null && !"".equals(callbackUri.trim())) {

                    url = callbackUri;
                }
            }

            response.sendRedirect(url);
        }
    }


    /**
     * 自定义登录失败触发事件
     */
    private class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

        @Override
        public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {

            Map<String, Object> params = new HashMap<>();

            params.put("code", HttpStatus.INTERNAL_SERVER_ERROR.value());
            params.put("error", exception.getMessage());

            write(response, params);
        }
    }


    /**
     * 自定义登出成功触发事件
     */
    private class CustomLogoutSuccessHandler implements LogoutSuccessHandler {

        @Override
        public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
            Map<String, Object> params = new HashMap<>();

            params.put("code", HttpStatus.OK.value());

            write(response, params);
        }
    }
}

3 新建Controller进行测试



    /**
     * 普通接口,登录即可访问
     *
     * @return
     */
    @GetMapping("/hello")
    public String hello() {
        return "hello";
    }

    /**
     * admin接口 需要有ROLE_admin的权限才能访问
     *
     * @return
     */
    @PreAuthorize("hasRole('ROLE_admin')")
    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }

    /**
     * admin接口 需要有ROLE_user的权限才能访问
     *
     * @return
     */
    @PreAuthorize("hasRole('ROLE_user')")
    @GetMapping("/user")
    public String user() {
        return "user";
    }

4测试

使用admin admin进行登录

http://localhost:8080/user

{"code":401,"error":"不允许访问"}

http://localhost:8080/admin

admin

http://localhost:8080/hello

hello

基于内存用户模式以及自定义的一些配置,实现登录以及接口的授权管理

gitee https://gitee.com/junior_programmer/spring-security-series

junior~programmer
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-test
07-13
标签 项目 弹簧数据 jpa 弹簧数据-jpa 目录 本指南将引导您完成构建应用程序的过程,该应用程序使用 Spring Data JPA 在关系数据库中存储和检索数据。 你将构建什么 您将构建一个将Customer POJO 存储在基于内存的数据库中的应用程序。 你需要什么 定义一个简单的实体 在此示例中,您存储 Customer 对象,注释为 JPA 实体。 src/main/java/hello/Customer.java link : complete / src / main / java / hello / Customer . java[] 这里有一个包含三个属性的Customer类,即id 、 firstName和lastName 。 您还有两个构造函数。 默认构造函数只是为了 JPA 而存在。 您不会直接使用它,因此将其指定为protected 。 另一个构
Spring Security-3.0.1中文官方文档(翻译版)
03-08
另:Spring Security 从2010-01-01 以后,版本控制从SVN 换成了GIT,我们在翻译文档的 时候,主要是根据SVN 的变化来进行文档内容的比对,这次换成GIT 后,感觉缺少了之前 那种文本比对工具,如果有对GIT 熟悉的...
Spring Boot整合Spring Security(七)基于内存用户认证
时雨吹雪的博客
02-09 652
关于Spring Security中如何使用内存管理用户名和密码的
后端进阶之路——浅谈Spring Security用户、角色、权限和访问规则(三)
Why_does_it_work的博客
08-04 3769
通过定义用户、角色、权限和访问规则 可以在SpringSecurity中实现灵活的访问控制和权限管理。可以使用内存方式或数据库方式定义用户,设置用户名、密码和角色等信息。角色可以用来组织和控制权限,可以将一组权限赋予特定角色,并将角色分配给用户。权限是指用户可以执行的特定操作或访问的资源,可以细化到每个功能或数据级别。可以使用Ant风格的路径匹配规则或表达式语言编写更复杂的访问规则,以限制用户对特定路径或功能的访问权限。 通过定义这些元素,可以确保系统的安全性和可靠性。
Spring Security - 07 在内存中认证(添加用户内存中)
qq_29761395的博客
02-06 2979
文章目录环境项目结构添加用户内存中测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) Firefox Browser 96.0.3 (64 位) Microsoft Edge 版本 98.0.1108.43 (官方内部版本) (64 位)
Spring Security:基于内存的角色授权
wh柒八九的博客
05-22 487
本文来说下Spring Boot+Spring Security:基于内存的角色授权 文章目录概述 概述
SpringSecurity - 基于 Servlet 的应用程序
铠の魂博客
07-18 542
SpringSecurity 学习指南大全Spring Security 使用标准的 Servlet Filter(过滤器) 来与 Servlet 容器进行集成。也就是说它可以与运行在 Servlet 容器中的任何应用程序一起工作。更具体地说,您可以在基于 Servlet 的应用程序中不使用 Spring 来整合 Spring Security。本节将介绍如何在 SpringBoot 中快速使用 SpringSecurity。 除了 Web 其它可以按需引入即可。 编写 Hello 接口和 SpringB
spring security入门--基于权限实现用户登录访问简单示例
浅时光|初如梦
09-15 478
1.说明 此处只做spring security 实现不同角色访问不同地址的简单示例代码,只为说明spring security的简单使用方法 基本的登录可查看---spring security入门--实现用户名密码登录简单示例一 地址:https://blog.csdn.net/qq_32224047/article/details/107921387 2.代码示例 项目结构 AdminController 中的代码,做访问跳转测试用 import org.springframe
spring security入门--基于角色实现用户登录访问简单示例
浅时光|初如梦
09-15 662
1.说明 此处只做spring security 基于角色实现用户登录访问简单示,只为说明spring security的简单使用方法 基于权限实现用户登录访问简单示例 可以查看上一篇文章 地址:https://blog.csdn.net/qq_32224047/article/details/108597820 2.用户结构的RBAC权限模型 在任何有认证授权逻辑的系统,都需要决定用户的权限,RBAC(ROLE-BASED-ACCESS-CONTROLLER)基于角色的权限控制模型,应用最广泛.
Spring Boot 整合 Spring Security(配置用户/角色-基于内存
程序员35
04-02 1193
Spring Boot 整合 Spring Security 之后,默认用户名为 user ,密码在项目启动时打印在控制台。这个随机生成的密码,每次项目启动时都会变,不是很方便。我们可以自己配置 Spring Security用户和角色,有三种方式可以实现: 通过 application.properties 配置文件配置在内存中。 通过 Java 代码配置在内存中。 配置在数据库中,然后通...
spring-boot-realworld-example-app:示例Spring代码库,包含遵循RealWorld API规范的真实示例(CRUD,auth,高级模式等)
01-30
Spring Boot + MyBatis代码库包含遵循规范和API的真实示例(CRUD,auth,高级模式等)。 创建该代码库的目的是演示使用Spring Boot + Mybatis构建的完整的全栈应用程序,其中包括CRUD操作,身份验证,路由,分页等...
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
jersey-jwt-springsecurity:具有JWT身份验证的REST API的示例,该示例使用Spring BootSpring Security,Jersey和Jackson
02-06
示例应用程序演示了如何使用以下方法执行基于令牌的身份验证: Spring Boot:用于创建独立Java应用程序的框架。 Spring Security:认证和授权框架。 Spring Data JPA:用于实现JPA存储库的框架。 H2:在内存...
Springboot - 13.spring-boot-starter-security集成
yueerba126的博客
09-04 689
使用方法,你可以定义哪些 URL 需要被保护、哪些不需要被保护、需要哪种角色等。@Overridehttp.antMatchers("/public/**").permitAll() // 公共路径,任何人都可以访问.antMatchers("/admin/**").hasRole("ADMIN") // 只有ADMIN角色的用户可以访问/admin/路径下的所有资源.anyRequest().authenticated() // 任何请求都需要经过身份验证.and()
进阶2 探索图形化编程:扩展图形组件与切片开发的魅力
优树搭的博客
05-30 1497
当这些切片成功地通过图形程序串联起来后,在后续进行程序升级或维护时,大家会惊喜地发现,图形程序就如同清晰的路标一般,可以非常便捷地通过图形程序准确地定位到相关切片,并对这些切片进行在线查看、编辑和执行等操作。而且,这些切片的代码长度通常不会太长,相比传统开发的代码,阅读起来要容易得多,这无疑会给系统后续的工作带来极大的便利。
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
2301_80653026的博客
05-29 1531
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 1062
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 898
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
springboot springsecurity示例
06-19
Spring BootSpring Security示例程序的好处在于它可以为初学者提供完整的代码示例,使学习者在实践中掌握Spring BootSpring Security结合的基本原理和操作方法。同时,示例程序还包含了许多安全问题的处理方法,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值