二、SpringSecurity+auth2.0系列(form 表单模式)

最新推荐文章于 2023-10-03 17:44:13 发布
最新推荐文章于 2023-10-03 17:44:13 发布
阅读量329 收藏
点赞数
分类专栏: SpringSecurity+auth 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38132995/article/details/120111608
版权

此模块基于模块一,读者可阅读本专栏

Form 表单模式 适合于传统模式项目 前端和后端都是我们java开发
修改配置完整代码如下

package com.thunisoft.spring_security.config;

import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpStatus;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /**
         * 新增 HttpSecurity基础配置配置
         */
        // http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();


        /**
         * 新增HttpSecurity formLogin模式
         */
        //http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin();
        http.authorizeRequests().antMatchers("/addMember").hasAnyAuthority("addMember")
                .antMatchers("/delMember").hasAnyAuthority("delMember")
                .antMatchers("/showMember").hasAnyAuthority("showMember")
                .antMatchers("/editMember").hasAnyAuthority("editMember").
               // antMatchers("/**").fullyAuthenticated().and().formLogin()
                antMatchers("/login").permitAll().antMatchers("/**").fullyAuthenticated().and().formLogin()
                .loginPage("/login").and().csrf().disable();

    }


    /*
    * 新增授权账户
    * */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //新增一个用户为orange和admin用户,权限不一样
        auth.inMemoryAuthentication().withUser("admin").password("admin").authorities("addMember","delMember","editMember","showMember");
        auth.inMemoryAuthentication().withUser("orange").password("orange").authorities("showMember");
    }


    /**
     * 密码不做任何处理
     * @return
     */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder(){
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }





}

配置权限策略
在企业管理系统平台中,会拆分成n多个不同的账号,
每个账号对应不同的接口访问权限,
比如
账号admin所有接口都可以访问;
orange账户 只能访问/addMember接口;
代码如上代码中所示

如何修改403权限不足页面
在config包下新建配置类,代码如下

package com.thunisoft.spring_security.config;


import org.springframework.beans.factory.annotation.Configurable;
import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;

@Configuration
public class WebServerAutoConfiguration {
    /**
     * 授权失败调转页面
     * @return
     */
    @Bean
    public ConfigurableServletWebServerFactory webServerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        ErrorPage errorPage400 = new ErrorPage(HttpStatus.BAD_REQUEST, "/error/400");
        ErrorPage errorPage401 = new ErrorPage(HttpStatus.UNAUTHORIZED, "/error/401");
        ErrorPage errorPage403 = new ErrorPage(HttpStatus.FORBIDDEN, "/error/403");
        ErrorPage errorPage404 = new ErrorPage(HttpStatus.NOT_FOUND, "/error/404");
        ErrorPage errorPage415 = new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE, "/error/415");
        ErrorPage errorPage500 = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500");
        factory.addErrorPages(errorPage400, errorPage401, errorPage403, errorPage404, errorPage415, errorPage500);
        return factory;
    }
}

在controller包下新建errorcontroller类
代码如下:

package com.thunisoft.spring_security.controller;


import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class ErrorController {



    @RequestMapping("/error/403")
    public String error403() {
        return "您当前访问的接口权限不足!";
    }


    @RequestMapping("/error/400")
    public String error400() {
        return "您当前请求异常!";
    }

    @RequestMapping("/error/401")
    public String error401() {
        return "您的状态未认证!";
    }

    @RequestMapping("/error/404")
    public String error404() {
        return "页面未查询到!";
    }

    @RequestMapping("/error/415")
    public String error415() {
        return "请求格式错误!";
    }

    @RequestMapping("/error/500")
    public String error500() {
        return "服务器内部错误!";
    }

}

登陆页面
包controller新建登录类
代码如下

package com.thunisoft.spring_security.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class LoginController {
    @RequestMapping("/login")
    public String login() {
        return "login";
    }
}

导入freemarker依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>

自定义登录页面login.ftl
在resource下新建templates,新建这个文件

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html;
            charset=ISO-8859-1">
    <title>Insert title here</title>
</head>
<body>

<h1>权限控制登陆系统</h1>
<form action="/login" method="post">
    <span>用户名称</span><input type="text" name="username"/> <br>
    <span>用户密码</span><input type="password" name="password"/> <br>
    <input type="submit" value="登陆">

</form>

<#if RequestParameters['error']??>
用户名称或者密码错误
</#if>
</body>
</html>

配置application.yml
次数为配置页面的参数

spring:
  freemarker:
    settings:
      classic_compatible: true
      datetime_format: yyy-MM-dd HH:mm
      number_format: 0.##
    suffix: .ftl
    template-loader-path: classpath:/templates

运行项目,进行登录测试

@我不是大鹏
关注
专栏目录
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8090
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring SecurityAuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
Springboot+Spring Security+Thyme+JPA实现用户注册登录
Going to Fly
11-06 3314
文章目录 前言 准备 Model层 服务层 Web层 认证配置 视图层 运行验证 踩过的坑 前言 网络上关于Spring Security实现登录注册的文章很多,但大多存在2个问题,一是讲的不清不楚,看完文章还是没明白怎么使用;是比较陈旧。本文在前文基础上做了些的改进,尽量讲清楚如何使用。(请注意,本文是入门教程,只讲如何使用,不涉及源码分析) 准备 IDEA Spring Boot 2....
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
一、SpringSecurity+auth2.0系列(Basic基础认证)
qq_38132995的博客
09-04 997
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 **Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(.
SpringSecurity配置form表单登录
weixin_45633353的博客
11-04 369
SpringSecurity 依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 几个重要的接口 一. passwordEncoder encode 方法用来对明文密码进
java微服务 Spring Security+oauth2form提交 鉴权
最新发布
wangmj518的专栏
10-03 230
场景:微服务系统中使用oauth2 的 Bearer 方式鉴权,对于from提交的数据,无法鉴权,百度的富文本编辑器 ueditor 中上传图片都是使用form 伪ajax提交,导致401。1、修改百度富文本编辑器的源码ueditor.all.min.js,在调用上传图片方法的时候,加入额外参数。4、在后台的过滤器中进行处理,针对接收到的额外参数,5、重写 getHeaders 方法。3、修改复制的图片自动上传的方法。2、还有修改doAjax方法。
认证中心(单点登陆)之SpringSecurity+OAuth2
hukehukehukehuke的博客
08-25 850
认证中心(单点登陆)之SpringSecurity+OAuth2
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1093
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3647
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
SpringSecurity 自定义表单登录的实现
08-25
SpringSecurity 自定义表单登录的实现 SpringSecurity 是一个功能强大且灵活的安全框架,用于保护基于 Spring 的应用程序。其中,自定义表单登录是SpringSecurity 中的一个重要组件,本文将详细介绍如何在 Spring...
Auth2.0 java方式实现代码
qililong88的博客
04-27 6111
在对接的时候用到了Auth2.0,对方用的C#写的项目并给我发了如下的demo: 官网:https://getkong.org/plugins/oauth2-authentication/ 会linux的应该能看懂,直接在linux里执行却不通,后来在¥ curl 后加  "-k"之后就访问通了,原来是因为他用的HTTPS,需要认证,但是没有证书,所以要加上忽略 服务器认证证书,
SpringSecurity(一)表单登录之登录认证
黄沙客栈
08-17 587
SpringSecurity(一)表单登录之登录认证 springsecurityspring推荐的安全权限框架,今天我们来看看它的原理,后面会放github地址 springsecurity包含了两部分:登录认证和访问授权 1.登录认证 –首先我们来看看表单登录,表单登录需要在security配置类里面配置HttpSecurityformLogin @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnable
OAuth 2.0 构建微服务身份认证():java实现过程
kylin058的博客
08-23 1万+
Spring Boot 有了Spring Boot这样的神器,可以很简单的使用强大的Spring框架。你需要关心的事儿只是创建应用,不必再配置了,“Just run!”,这可是Josh Long每次演讲必说的,他的另一句必须说的就是“make jar not war”,这意味着,不用太关心是Tomcat还是Jetty或者Undertow了。专心解决逻辑问题,这当然是个好事儿,部署简单了很
oauth2.0 mysql表设计_OAuth2.0系列之信息数据库存储实践(六)
weixin_35822534的博客
02-19 1032
@1、OAuth2.0信息存储方式在前面文章中我们学习了OAuth2的一些基本概念,对OAuth2有了基本的认识,也对OAuth2.0的几种授权模式进行了实践,比如授权码模式在前面的学习中,我们配置客户端信息,一般会如下配置,如果有多个客户端的话,就复制一遍,修改一些参数,很显然,这种在生产环境是不适应的,所以Spring Security OAuth2是有提供几种存储方式的,默认是基于内存存储@...
OAuth2.0中表结构以及字段说明
xiangjunyes的博客
11-27 3131
官方sql地址 https://github.com/spring-projects/spring-security-oauth/blob/master/spring-securityoauth2/src/test/resources/schema.sql github 访问的比较缓慢。sql贴在下面了 /* SQLyog Ultimate v12.08 (64 bit) MySQL - 8.0.16 : Database - security_authority *********************
Spring常用的接口和类(三)
caomiao2006的专栏
07-10 939
一、CustomEditorConfigurer类      CustomEditorConfigurer可以读取实现java.beans.PropertyEditor接口的类,将字符串转为指定的类型。更方便的可以使用PropertyEditorSupport。PropertyEditorSupport实现PropertyEditor接口,必须重新定义setAsText。     
oauth2.0 搭建 java_[JavaWeb]SpringSecurity-OAuth2.0 统一认证、资源分离的配置,用于分布式架构、模块化开发的认证体系...
weixin_36128239的博客
02-13 295
首先是 Dao 的配置文件:application-dao.xml1 2 3 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"4 xmlns:context="http://www.springframework.org/schema/context"5 xsi:schemaLocation="http://www.springframew...
Spring Security)OAuth2认证详解
热门推荐
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
Springboot2.0 oauth2 jwt 认证服务器和资源服务器(代码可用)
小石潭记丶
06-07 3113
概念 1、oauth2各个角色 resource owner:资源所有者(指用户) resource server:资源服务器存放受保护资源,要访问这些资源,需要获得访问令牌 client:客户端代表请求资源服务器资源的第三方程序,客户端同时也可能是一个资源服务器 authrization server:授权服务器用于发放访问令牌给客户端2、四种授权模式 授权码模式(授权码模式是功能最完整、流程最严密的授权模式,它的特点是通过客户端的后台服务器,与“服务器提供”的认证服务器进行互动) 密码模式 (密码模式
spring security Oauth2.0写一个授权登录的详情步骤流程
05-26
使用 Spring Security OAuth2.0 实现授权登录的步骤如下: 1. 添加 Spring Security OAuth2.0 依赖:在 `pom.xml` 文件中添加以下依赖: ```xml <groupId>org.springframework.security.oauth <artifactId>...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@我不是大鹏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值