springsecurity学习笔记-未完

已于 2023-11-06 00:40:10 修改
阅读量515 收藏
点赞数
分类专栏: java学习笔记 文章标签: springsecurity
于 2023-10-26 16:17:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41358151/article/details/134057924
版权

前言

记录一下学习springsecurity的过程

开发环境:IDEA,springsecurity6

一、概念

1.什么是springsecurity

spring提供的安全管理框架,核心功能是认证,授权

认证:验证当前用户是不是本系统注册的用户,识别具体是哪个用户

授权:通过认证的用户,需要判断是否具有权限进行某个操作

2.对比shiro

springsecurity功能更强大,shiro更容易上手应用

3.执行过程

初学阶段,从我的角度来说,最重要的是先用起来,底层逻辑在一开始我并不重视,但要知道的是整个执行过程是一组过滤器链,核心过滤器有三个

UsernamePasswordAuthenticationFilter:用户名密码认证过滤器,处理登录请求

ExceptionTranslationFilter:异常转换过滤器

FilterSecurityInterceptor:权限过滤器

二、开始项目

1.建立一个空项目,建立module,引入相关依赖

new Project->Empty Project

File->new module->Spring Initializr->Maven->选择需要加入的功能->生成项目,等待依赖导入

必须选择的包括springsecurity,springweb,注意右上角选择自己想要的springboot版本,springboot版本与jdk版本要匹配,否则可能会导致其他依赖的版本混乱

附上依赖pom

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>3.1.2</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>crm</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>17</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity6</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

2.启动项目,访问项目

控制台输出如下,意思是自动生成了密码,如果你要在生产环境使用,应该修改配置

Using generated security password: 7bc86ae1-30a1-435c-bc59-6d894a7ae0b6

This generated password is for development use only. Your security configuration must be updated before running your application in production.

访问项目localhost:8080,以往我们访问本地项目,直接会进入首页,但这次弹出了一个登录页面

这是springsecurity自带的过滤器,验证当前用户没有登陆,自动跳转到登录页面

这个页面是通过网络下载的bootstrap页面,如果下载的有问题,那么页面展示效果可能会不太好,可以忽略

输入账号密码登录,默认账号为user,密码为刚刚控制台输出的

登陆后跳转到error页面,这并不是登录失败了,只是没有识别到登陆成功后应该跳转到哪

我们可以自己写一个接口访问,比如http://localhost:8080/index,页面输出hello world!

@RestController
public class IndexController {

    @GetMapping("/index")
    public String index() {
        return "hello world!";
    }
}

3.自定义密码

如果我们不想使用默认生成的密码,可以自己配置密码application.yml

spring:
  security:
    user:
      name: admin
      password: 1234

那么刚才我们没有配置密码的时候,默认密码是怎么生成的呢,security的User类给name和password提供了默认值

private String name = "user";
private String password = UUID.randomUUID().toString();

4.自定义登陆页面

显然我们不可能使用security提供的登陆页面

如何让springsecurity能够跳转到我们自定义的登陆页面并验证呢

1.编写页面

注意:
1.这里@{/login},@{/logout}指的是springsecurity提供的认证和退出接口,不是我们自己手写的访问接口

2.这里使用了thymeleaf模板引擎,页面存放在templates目录下,如果不用引擎,应当作为静态页面存放在static下,或者通过spring.web.resources.static-locations配置

3.@{/login}的入参必须是username,password,切记不能自由发挥

login.html
<!DOCTYPE html>
<html lang="en" xmlns:th="https://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<h1>你好</h1>
<form th:action="@{/login}" method="post">
    用户名:<input type="text" name="username">
    密码:<input type="password" name="password">
    <input type="submit" value="登录">
</form>
</body>
</html>



index.html
<!DOCTYPE html>
<html lang="en" xmlns:th="https://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>
hello world!
<form th:action="@{/logout}" method="post">
    <input type="submit" value="退出">
</form>
</body>
</html>

2.编写跳转页面的接口

注意:
1.login.html也可写作login

2.使用@Controller,而不是@RestController,当然也不可以使用@ResponseBody,因为这样会使返回值成为一个字符串,而不是页面

@Controller
public class LoginController {

    /**
     * 登录页
     *
     * @return
     */
    @RequestMapping("/login")
    public String login() {
        return "login.html";
    }

    /**
     * 首页
     *
     * @return
     */
    @RequestMapping("/index")
    public String index() {
        return "index.html";
    }
}


3.配置springsecurity
 

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity  //开启springsecurity,自动引入过滤器链SecurityFilterChain
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        /*
            security6
            authorizeHttpRequests():针对http请求的授权配置
                requestMatchers:匹配http请求url,此处指定为/login
                permitAll:给与所有权限,即允许匿名访问(不登陆直接访问)
                anyRequest:其它的所有的请求
                authenticated:需要认证
         */
        http.authorizeHttpRequests(authorizationManagerRequestMatcherRegistry ->
                authorizationManagerRequestMatcherRegistry
                        .requestMatchers("/login")
                        .permitAll()
                        .anyRequest()
                        .authenticated()
        );

        /*
            loginPage:登陆页面
            loginProcessingUrl:登录接口
            defaultSuccessUrl:登陆成功跳转
         */
        http.formLogin(httpSecurityFormLoginConfigurer ->
                httpSecurityFormLoginConfigurer
                        .loginPage("/login").permitAll()
                        .loginProcessingUrl("/login")
                        .defaultSuccessUrl("/index")
        );

        //关闭跨域漏洞防御
        http.csrf(Customizer.withDefaults());

        //退出
        http.logout(httpSecurityLogoutConfigurer -> httpSecurityLogoutConfigurer.invalidateHttpSession(true));

        //security5,已经被标记为过时,不建议
//        http.authorizeHttpRequests()
//                .requestMatchers("/public/**")
//                .permitAll()
//                .anyRequest()
//                .hasRole("USER")
//                .and()
//                .formLogin()
//                .permitAll();

        return http.build();
    }
}

5.前后端分离登录配置

此处不讨论前端页面,只关注security配置

与前后端不分的区别:去掉了登录页面和默认跳转页面,相当于入口由前端项目控制,前端页面拿到登录成功的返回值后,通过路由控制跳转首页

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity  //开启springsecurity,自动引入过滤器链SecurityFilterChain
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        /*
            security6
            authorizeHttpRequests():针对http请求的授权配置
                requestMatchers:匹配http请求url,此处指定为/login
                permitAll:给与所有权限,即允许匿名访问(不登陆直接访问)
                anyRequest:其它的所有的请求
                authenticated:需要认证
         */
        http.authorizeHttpRequests(authorizationManagerRequestMatcherRegistry ->
                authorizationManagerRequestMatcherRegistry
                        .requestMatchers("/login")
                        .permitAll()
                        .anyRequest()
                        .authenticated()
        );

        /*
            loginProcessingUrl:指定登录接口,即前端点击登陆时需要调用的接口名,默认值为/login
            successHandler:成功处理
            failureHandler:失败处理
         */
        http.formLogin(httpSecurityFormLoginConfigurer ->
                httpSecurityFormLoginConfigurer
                        .loginProcessingUrl("/login")
                        .successHandler(new LoginSuccessHandler())
                        .failureHandler(new LoginFailureHandler())
        );

        //关闭跨域漏洞防御,跨域拦截
        http.csrf(Customizer.withDefaults()).cors(Customizer.withDefaults());

        //退出
        http.logout(httpSecurityLogoutConfigurer -> httpSecurityLogoutConfigurer.invalidateHttpSession(true));

        //security5,已经被标记为过时,不建议
//        http.authorizeHttpRequests()
//                .requestMatchers("/public/**")
//                .permitAll()
//                .anyRequest()
//                .hasRole("USER")
//                .and()
//                .formLogin()
//                .permitAll();

        return http.build();
    }
}

import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;

import java.io.IOException;

public class LoginFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        response.setContentType("text/html;charset=UFT-8");
        response.getWriter().write("loginNo");
        exception.printStackTrace();
    }
}
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import java.io.IOException;

public class LoginSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        response.setContentType("text/html;charset=UFT-8");
        response.getWriter().write("loginYes");
        authentication.getPrincipal();
        authentication.getAuthorities();
        authentication.getCredentials();
    }
}

三、权限

在实际应用中,通常使用角色控制菜单的访问,通过权限控制接口的访问(即功能的访问)

看一下增加了权限的SecurityConfig文件

authorizeHttpRequests:增加角色,权限配置

InMemoryUserDetailsManager:在内存中配置几个用户,后续可以改为读取数据库

PasswordEncoder:密码编码器,给密码加密

package com.example.crm.config.login;

import org.springframework.boot.autoconfigure.security.SecurityProperties;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity  //开启springsecurity,自动引入过滤器链SecurityFilterChain
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        /*
            security6
            authorizeHttpRequests():针对http请求的授权配置
                requestMatchers:匹配http请求url,此处指定为/login
                    permitAll:允许匿名访问(不登陆直接访问)
                    hasRole,hasAnyRole:指定访问角色
                    hasAuthority,hasAnyAuthority:指定权限
                anyRequest:其它的所有的请求
                    authenticated:需要认证
         */
        http.authorizeHttpRequests(authorizationManagerRequestMatcherRegistry ->
                authorizationManagerRequestMatcherRegistry
                        .requestMatchers("/login").permitAll()
//                        .requestMatchers("admin/*").hasRole("admin")
//                        .requestMatchers("user/*").hasAnyRole("admin", "user")
                        .requestMatchers("admin/*").hasAuthority("admin:get")
                        .requestMatchers("user/*").hasAnyAuthority("admin:get", "user:get")
                        .anyRequest().authenticated()
        );

        /*
            formLogin:针对登录的配置
                loginProcessingUrl:指定登录接口,即前端点击登陆时需要调用的接口名,默认值为/login
                successHandler:成功处理
                failureHandler:失败处理
         */
        http.formLogin(httpSecurityFormLoginConfigurer ->
                httpSecurityFormLoginConfigurer
                        .loginProcessingUrl("/login")
                        .successHandler(new LoginSuccessHandler())
                        .failureHandler(new LoginFailureHandler())
        );

        /*
         * 异常处理
         */
        http.exceptionHandling(httpSecurityExceptionHandlingConfigurer -> httpSecurityExceptionHandlingConfigurer.accessDeniedPage("/exception"));

        //关闭跨域漏洞防御,跨域拦截
        http.csrf(Customizer.withDefaults()).cors(Customizer.withDefaults());

        //退出
        http.logout(httpSecurityLogoutConfigurer -> httpSecurityLogoutConfigurer.invalidateHttpSession(true));

        return http.build();
    }

    //用户
    @Bean
    public InMemoryUserDetailsManager inMemoryUserDetailsManager() {
        UserDetails admin = User
                .withUsername("admin").password("1234")
//                .roles("admin", "user")
                .authorities("admin:get", "user:get")
                .build();
        UserDetails user = User.withUsername("user").password("1234").roles("user").build();
        return new InMemoryUserDetailsManager(admin, user);
    }

    //密码编码器
    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
}

_我的天哪
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
SpringSecurity系列——授权架构day4-1(源于官网5.7.2版本)
qq_51553982的博客
07-22 1075
源于官方最新5.7.2文档,若你觉得官方文档阅读起来很枯燥,内容复杂,我提供了解析概括在每个部分的结尾,我对官方文档的内容做了一些改变,实例代码我会在后续进行更新,请查看如SpringSecurity系列——认证架构实例代码的文章但是如果你有能力,还是推荐直接阅读官方文档显然,您还可以实现自定义AuthorizationManager,并且您可以在其中放入几乎任何您想要的访问控制逻辑。它可能特定于您的应用程序(与业务逻辑相关),或者它可能实现一些安全管理逻辑。...
SpringBoot3 - Spring Security 6.0 Migration
java scala
03-27 4382
最近在做SpringBoot2.x到3.0的升级。其中最主要的一部分是packageName的变更,另外一部分是对一些废弃/删除的类进行替换。大部分升级都比较顺利,但是在SpringSecurity上遇到了不少坑。先看一下下面的代码这段代码在6.0有两个问题,一是标记为废弃,二是方法被移除,这两个问题我们一个个看。
搭建新版security-oauth2协议,流程代码详解,源码分析
zzztimes的博客
07-05 861
最近在学习搭建oauth2协议的开放平台,把搭建框架时的思路以及遇到的问题记录下来。
Spring Security系列之授权(Authorization)架构
Carroll的博客
06-17 1193
【代码】Spring Security系列之授权(Authorization)架构。
Spring Security bug记录:antMatchers找不到符号(已解决)
weixin_51937688的博客
08-31 880
antMatchers()找不到符号(已解决)
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-...
Spring Security OAuth2 Client】基本介绍以及定制开发
太空眼睛的专栏
04-29 5039
开头的配置项可以参考这个类OAuth2协议响应的标准参数字段可以参考这个类重定向到,并且会携带client_idscopestatenonce参数和会对回调地址(携带了code和state)进行处理,调用进行认证背后会进行连续token-uri请求,最后返回全填充的缓存跳转登录前的请求由于类是final,不能继承,所以我们创建一个,然后把源码copy过来,主要修改accessTokenType为空的情况@Override。
Security源码学习笔记&OAuth2
pscool的博客
08-16 686
SecurityConfigurer用来配置安全对象构建器(SecurityBuilder),典型的有:FormLoginConfigurer、CsrfConfigurer等。SecurityBuilder用来构建安全对象,安全对象包括:HttpSecurity、FilterChainProxy、AuthenticationManager
Spring Security 源码解读:权限控制
weixin_41866717的博客
02-09 905
本文样例代码地址:。本文使用Spring Boot 2.7.4版本,对应Spring Security 5.7.3版本。
Spring Security之基于HttpRequest配置权限
Evan_L的博客
03-24 1245
前面我们探索了基于方法的权限配置方式,今天我们聊聊最为常用的基于HttpRequest的权限配置方式。
Spring Security】根据请求路径判断当前登录用户是否拥有访问权限
太空眼睛的专栏
05-13 1291
开发依赖版本3.0.6功能很强大,对安全认证这一块提供了非常丰富的支持,篇幅有限,只是演示了非常基础的功能。相信通过这篇文章的介绍,可以帮助大家解决一定的困惑。本人对的研究非常深入,几乎翻看了底层所有的源码,熟悉运行的机制、原理,如果大家在使用的过程中遇到什么难题,欢迎进一步沟通、交流。
后端开发是一个涉及广泛技术和工具的领域.docx
最新发布
04-30
后端开发是一个涉及广泛技术和工具的领域,这些资源对于构建健壮、可扩展和高效的Web应用程序至关重要。以下是对后端开发资源的简要介绍: 首先,掌握一门或多门编程语言是后端开发的基础。Java、Python和Node.js是其中最受欢迎的几种。Java以其跨平台性和丰富的库而著名,Python则因其简洁的语法和广泛的应用领域而备受欢迎。Node.js则通过其基于JavaScript的单线程异步I/O模型,为Web开发提供了高性能的解决方案。 其次,数据库技术是后端开发中不可或缺的一部分。关系型数据库(如MySQL、PostgreSQL)和非关系型数据库(如MongoDB、Redis)各有其特点和应用场景。关系型数据库适合存储结构化数据,而非关系型数据库则更适合处理大量非结构化数据。 此外,Web开发框架也是后端开发的重要资源。例如,Express是一个基于Node.js的Web应用开发框架,它提供了丰富的API和中间件支持,使得开发人员能够快速地构建Web应用程序。Django则是一个用Python编写的Web应用框架,它采用了MVC的软件设计模式,使得代码结构更加清晰和易于维护。
华为数字化转型实践28个精华问答glkm.pptx
04-30
华为数字化转型实践28个精华问答glkm.pptx
新员工入职培训全流程资料包gl.zip
04-30
新员工入职培训全流程资料包(100+个文件) 1入职流程指引 万科新职员入职通知书 万科新职员入职引导手册 新进员工跟进管理表 新员工入职报到工作单(文职) 新员工入职报到流程 新员工入职流程表 新员工入职手续办理流程(工厂 新员工入职手续清单 新员工入职须知 新员工入职训流程 新员工入职引导表(导师用) 2 入职工具表格 3 培训方案计划 4培训管理流程 5培训教材课件 6 培训效果检测 7 员工管理制度 8 劳动合同协议 9 新员工培训PPT模板(28套)
三菱PLC通讯程序实例
04-30
FX5U PLC作为主、从站的通讯方式程序实例,以及包含详细说明文件...
spring security 整合mybatis-plus
10-23
<artifactId>spring-boot-starter-security <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter <version>latest version ``` 2. 接下来,在项目的配置文件 application....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值