十.Spring Boot整合springSecurity

最新推荐文章于 2021-12-02 20:21:24 发布
最新推荐文章于 2021-12-02 20:21:24 发布
阅读量98 收藏
点赞数
分类专栏: springBoot security rbac
springBoot 同时被 3 个专栏收录
14 篇文章 0 订阅
订阅专栏
security
2 篇文章 0 订阅
订阅专栏
rbac
2 篇文章 0 订阅
订阅专栏

一.创建工程

在这里插入图片描述
这里选上security

二.编写配置类

具体配置方法参照:springSecurity(SSM)

package com.miracle.config;

import com.miracle.security.ImageCodeAuthenticationFilter;
import com.miracle.security.MyAuthenticationFailureHandler;
import com.miracle.security.MyAuthenticationSuccessHandler;
import com.miracle.security.MyUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import javax.sql.DataSource;

/**
 * springSecurity配置类
 * @EnableWebSecurity:启动springSecurity过滤器链,这个注解已经包含@Configuration
 */
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    // 注入数据源
    @Autowired
    private DataSource dataSource;

    /**
     * 该方法的作用就是代替:<security:http> 标签的配置
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        /**
         * 定制过滤器(登录时,在验证账号密码前,先验证用户输入验证码是否正确):
         *    第一个参数:指定filter
         *    第二个参数:指定在哪个filter之前
         */
        http.addFilterBefore(imageCodeAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);

        /**
         * 使用formLogin的方式进行认证
         *      loginPage:指定获取登录页面的url(需要编写controller返回登录页面)
         *      loginProcessingUrl:指定登录页面中post请求提交到哪里的url(不需要编写controller,框架已实现)
         *      default-target-url:指定登录成功后,跳转到哪个url(需要编写controller)
         *      successHandler:指定登录成功后,由哪个类来进行处理
         *      failureHandler:指定登录失败后,由哪个类来进行处理
         *      username-parameter:指定登录表单中用户名的input中name值,如果这里不配置,则默认为username
         *      password-parameter:指定登录表单中密码的input中name值,如果这里不配置,则默认为password
         */
        http.formLogin().loginPage("/login").loginProcessingUrl("/securityLogin")
                .successHandler(myAuthenticationSuccessHandler())
                .failureHandler(myAuthenticationFailureHandler());

        // 关闭跨域请求
        http.csrf().disable();

        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry interceptUrlRegistry = http.authorizeRequests();

        // 配置页面拦截规则 begin
        /**
         * pattern:需要拦截的资源  /* 代表根目录下的一级目录  /** 代表根目录下的所有目录
         *             注意!!!:由于是拦截器链机制,<security:intercept-url> 的编写顺序要求
         *             access:拦截方式
         *                 isFullyAuthenticated():该资源需要认证才可以访问
         *                 isAnonymous():只有匿名用户可以访问,登录用户不可访问
         *                 permitAll():该资源可以所有用户访问
         */

        // 放行静态资源
        interceptUrlRegistry.antMatchers("/js/**").permitAll();

        // 放行首页,登录页,验证码
        interceptUrlRegistry.antMatchers("/login","/imageCode","/product/index").permitAll();

        interceptUrlRegistry.antMatchers("/product/add").hasAuthority("ROLE_ADD_PRODUCT");
        interceptUrlRegistry.antMatchers("/product/update").hasAuthority("ROLE_UPDATE_PRODUCT");
        interceptUrlRegistry.antMatchers("/product/list").hasAuthority("ROLE_LIST_PRODUCT");
        interceptUrlRegistry.antMatchers("/product/delete").hasAuthority("ROLE_DELETE_PRODUCT");

        // 拦截剩余所有页面 需要登录
        interceptUrlRegistry.antMatchers("/**").fullyAuthenticated();

        // 配置页面拦截规则 end

        /**
         * 加上Remember Me功能
         *    tokenRepository:指定持久层对象操作 存放 Remember Me 数据表信息
         *    tokenValiditySeconds:有效时间(秒)
         */
        http.rememberMe().tokenRepository(jdbcTokenRepository()).tokenValiditySeconds(604800);

        /**
         * 注销功能
         *    logoutUrl("/logout"):springSecurity内LogoutFilter要拦截的url(向这个url发送请求来注销)
         *    logoutSuccessUrl("/login"):用户退出后要被重定向的url
         *    invalidateHttpSession:默认为true,用户在退出后Http session失效
         *    logoutSuccessHandler():指定一个bean(需要实现LogoutSuccessHandler接口),用来自定义退出成功后的操作
         */
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/login").invalidateHttpSession(true);

        /**
         * accessDeniedPage:当用户访问权限不足时,跳转到指定url(需要编写controller返回权限不足的页面)
         * accessDeniedHandler:定义bean来处理当用户访问权限不足时的情况
         */
        http.exceptionHandling().accessDeniedPage("/accessDeny");
    }

    /**
     * 该方法的作用就是代替:<security:authentication-manager>
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /*
            userDetailsService:设置认证用户提供类
            passwordEncoder:设置密码配置的实现类
         */
        auth.userDetailsService(myUserDetailsService()).passwordEncoder(bCryptPasswordEncoder());
    }

    // springSecurity登录失败处理类,注册到IOC容器
    @Bean
    public MyAuthenticationFailureHandler myAuthenticationFailureHandler(){
        return new MyAuthenticationFailureHandler();
    }

    // springSecurity登录成功处理类,注册到IOC容器
    @Bean
    public MyAuthenticationSuccessHandler myAuthenticationSuccessHandler(){
        return new MyAuthenticationSuccessHandler();
    }

    /**
     * 创建 springSecurity 密码加密工具类
     *   是 PasswordEncoder 接口的实现,也可以使用其他实现
     */
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     *  springSecurity实现 remember me 功能:
     *      如果用户登录选择 remember me ,springSecurity会将其cookie值存入数据库,来实现remember me 功能
     *      JdbcTokenRepositoryImpl 用来存取cookie值
     *
     *      jdbcTokenRepository.setDataSource(dataSource):指定数据源
     *      jdbcTokenRepository.setCreateTableOnStartup(true):当项目启动时,springSecurity创建表存储remember me相关信息,第二次启动时要注释这个属性
     */
    @Bean
    public JdbcTokenRepositoryImpl jdbcTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        // jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }

    /**
     * 添加过滤器,加入到springSecurity过滤器链之前,处理用户输入的验证码是否正确
     * 如果用户验证码输入正确:拦截放行,交给springSecurity过滤器链处理
     * 如果用户验证码输入错误:转向MyAuthenticationFailureHandler进行处理
     */
    @Bean
    public ImageCodeAuthenticationFilter imageCodeAuthenticationFilter(){
        return new ImageCodeAuthenticationFilter();
    }

    /**
     * 用户信息提供类
     */
    @Bean
    public MyUserDetailsService myUserDetailsService(){
        return new MyUserDetailsService();
    }
}
qq_39013701
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Boot整合Security系列步骤及问题排查(九)—— 记住我功能
成长笔记
04-02 231
1.BrowserProperties增加超时属性配置: /** * 记住我过期时间(默认1小时) */ private int rememberMeSeconds = 3600; 2.更新WebSecurityConfig: /** * SpringSecurity配置 * * @author zhaohaibin */ @Configuration public class We...
Spring Boot整合Spring Security的示例代码
08-27
主要介绍了Spring Boot整合Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring-boot mybaits spring security redis整合
05-14
主要功能如下: ===== 1、数据库 ====== Druid数据库连接池,监控数据库访问性能,详细统计SQL的执行性能,这对于线上分析数据库访问性能有帮助。 数据库密码加密。 2、持久层 ====== mybatis持久化,PageHelper分页。Transtraction注解Jta事务。 3、MVC ====== 基于spring mvc注解。Exception统一管理。 spring security权限管理。 aop日志记录。 4、调度 ====== Spring task, 可以查询已经注册的任务。立即执行一次任务。 5、缓存和Session =========== 注解redis缓存数据,Spring-session和redis实现分布式session同步(建议按功能模块划分系统)。 6、日志 =========== logback打印日志,业务日志和调试日志分开打印。同时基于时间和文件大小分割日志文件。 9、项目构建 =========== mybatis generator生成mybatis映射文件。 请先安装eclipse mybatis-generator插件。 10、其它 =========== >####说明:启动项目前请安装Redis,并启动服务,系统中均使用默认配置。 打war包:(dev、test、prod)指定配置文件 mvn clean package -Dmaven.test.skip=true -P test
Spring Boot整合JWT
10-16
一个学习Spring Boot整合JWT的demo,使用的IDE是idea。
springboot 整合security 实现基于内存管理资源,数据库管理token
liukangjie520的博客
08-08 413
如题security管理权限的方式有很多,这里我采用的是使用内存管理资源权限,token存放到数据库中返回前端cookie的是 remember-me信息. pom.xml 主要用的到jar. 这里不再添加数据库部分(就是很常规的用户,角色,权限 五张基本表. 要说的是如果业务需求权限和资源必须分开的话就加张资源表即可, 具体看业务. 我这里权限和资源是放到一起的. 资源主要就是控住url的,如果想拥有某个路径下的所有权限使用 (例:/user/**) 即可访问user下所有的方法). ...
SpringSecurity实现记住我
初栀的博客
09-12 339
一、实现原理 当浏览器登录认证成功后,RememberMeService会加密一串Token传给浏览器,存入cookie中,再写入数据库,下一次浏览器访问时,RememberMeAuthenticationFilter就会读取cookie中的Token,由RememberMeService从数据库查找对应的Token来进行比较,相同则自动登录 二、实现代码 2.1、配置类:注入数据源,配置操作数据对象 注:如果没有创建表,第一次运行使用setCreateTableOnStartup这个方法自.
Spring security中配置自动登录
godkzz的博客
09-11 163
一、原理 二、实现 以下为jdbc实现案例 1.创建数据库表 2.在配置类中配置数据源 @Autowired private DataSource dataSource; @Bean public PersistentTokenRepository persistentTokenRepository(){ JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRe.
SpringSecurity(五):RememberMe以及源码分析
MJ丶的博客
10-30 1913
1.原理:参考博文:http://blog.csdn.net/fangchao2061/article/details/51179393 2.Security的实现 添加remember功能之前,先启动项目进行测试。 授权登录后,访问localhost:8080/user1可以得到用户信息,关闭浏览器,再次访问localhost:8080/user1会跳到鉴权页面。 修改项目,添加reme
(六)--ActiveMQ的消息存储和持久化
西门飘雪,东门飞︿( ̄︶ ̄)︿的博客
02-19 576
1. 官网 https://activemq.apache.org/persistence 面试题: MQ的高可用? (1.事务, 2.持久,3. 签收MQ自带)-可持久化 2. 是什么 说明: -------为了避免意外宕机以后丢失信息, 需要做到重启后可以恢复消息队列, 消息系统一般都会采用持久化机制 ActiveMQ的消息持久化机制有JDBC,AMQ, KahaBD和LevelDB, 无论使...
SpringSecurity(七)添加记住我功能
lizc_lizc的博客
11-14 1587
记住我基本原理 用户认证成功后调用RemeberMeService服务,这个服务里有一个TokenRepository,它会生成一个Token写入浏览器Cookie,同时它还会使用TokenRepository将Token和用户名写入到数据库中。 当用户再次访问系统时,过滤器链如下所示,请求会经过RememberMeAuthenticationFilter过滤器,该过滤器会读取cookie...
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
主要给大家介绍了关于Spring Boot整合Spring Security简单实现登入登出从零搭建的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起看看吧
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
Springsecurity-Remember me(四)
a1290320893的博客
12-02 500
实现Remember me功能; 1、创建临时登录的数据库 CREATE TABLE `persistent_logins` ( `username` VARCHAR(64) NOT NULL, `series` VARCHAR(64) NOT NULL, `token` VARCHAR(64) NOT NULL, `last_used` TIMESTAMP NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE C
Spring Security技术栈学习笔记()开发记住我功能
脚踏实地,慢慢来
04-08 4819
“记住我”几乎在登陆的时候都会被用户勾选,因为它方便地帮助用户减少了输入用户名和密码的次数,本文将从三个方面介绍“记住我”功能,首先介绍“记住我”功能基本原理,然后对“记住我”功能进行实现,最后简单解析Spring Security的“记住我”功能的源码。 一、Spring Security的记住我功能基本原理 Spring Security的“记住我”功能的基本原理流程图如下所示...
spring全家桶系列之spring boot 2.2-spring security 基础登录配置(一)
吕小小布的博客
07-02 1850
简介 未更新此文档为spring boot2.2以下版本,因为内容较多,整理更新 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满...
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
新员工入职培训全流程资料包gl.zip
04-30
新员工入职培训全流程资料包(100+个文件) 1入职流程指引 万科新职员入职通知书 万科新职员入职引导手册 新进员工跟进管理表 新员工入职报到工作单(文职) 新员工入职报到流程 新员工入职流程表 新员工入职手续办理流程(工厂 新员工入职手续清单 新员工入职须知 新员工入职训流程 新员工入职引导表(导师用) 2 入职工具表格 3 培训方案计划 4培训管理流程 5培训教材课件 6 培训效果检测 7 员工管理制度 8 劳动合同协议 9 新员工培训PPT模板(28套)
三菱PLC通讯程序实例
04-30
FX5U PLC作为主、从站的通讯方式程序实例,以及包含详细说明文件...
Spring Boot 整合 Spring Security简单
09-07
Spring Boot整合Spring Security可以帮助我们实现应用程序的身份验证和授权功能。以下是一个简单的示例代码,演示了如何在Spring Boot项目中使用Spring Security。 首先,我们需要在`pom.xml`中添加Spring Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值