SpringSecurity学习笔记

最新推荐文章于 2024-04-07 22:08:08 发布
最新推荐文章于 2024-04-07 22:08:08 发布
阅读量455 收藏 1
点赞数
分类专栏: 技术笔记 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42976486/article/details/120715220
版权

Spring Security

项目搭建使用流程

1. 搭建项目

  • 创建好springboot框架

  • 在pom文件导入springsecurity框架的依赖包

    <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

  • 编写一个controller类,测试方法

    @RestController
@RequestMapping("/test")
public class DemoController {

    @GetMapping("/demo")
    public String demo() {
        return "欢迎";
    }
}

  • 启动项目,浏览器访问当前项目地址:http://localhost:8080/test/demo

在这里插入图片描述

访问网址后会跳转到一个默认的登录页面

账号:user 密码会在控制台中随机生成出来
在这里插入图片描述

2. 设置登录的用户名和密码

  1. 第一种方法:通过配置文件

    server:
  port: 9999
spring:
  security:
    user:
      name: admin
      password: admin

  2. 第二种方式:通过配置类

    @Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        /*
            将账号和加密后的密码放入seciruty的容器中
            passwordEncoder:指定加密方式(MD5,BCrypt )
            withUser:账号
            password:加密后的密码
            roles:权限(角色)
         */
        authenticationManagerBuilder.inMemoryAuthentication()
                .passwordEncoder(new BCryptPasswordEncoder())
                .withUser("admin")
                .password(new BCryptPasswordEncoder().encode("123"))
                .roles("admin");
    }
}\

  3. 第三种方式:自定义编写实现类

    • 创建配置类,设置使用哪个userDetailsService实现类

      @Configuration
public class SecurityTestConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {

        authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }
}

    • 编写实现类,返回User对象,User对象有用户名密码和操作权限

      @Service("userDetailsService") //注入名称必须是userDetailsService
public class MyUserDetailsService implements UserDetailsService {

    //在下面的方法执行查询数据库,判断用户密码的操作
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        List<GrantedAuthority> authorities = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User("admin", new BCryptPasswordEncoder().encode("123"), authorities);
    }
}
3. 查询数据库完成用户认证
  1. 导入mybatis-plus和mysql依赖包
        <!--mybatis-plus-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>

        <!--mysql-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
  1. 创建数据库和表结构
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users`  (
  `id` int(11) NOT NULL COMMENT 'id主键',
  `user_name` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '用户名',
  `pass_word` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL,
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;
  1. 创建对应的实体类
@Data
@AllArgsConstructor
@NoArgsConstructor
public class Users {
    private Integer id;
    private String userName;
    private String passWord;
}
  1. 整合mybatis-plus,创建接口(mapper),继承mybatis-plus的接口
@Mapper
public interface UserMapper extends BaseMapper<Users> {
}
  1. 在MyUserDetailsService类调用mapper里面的方法查询数据库进行用户认证
@Service("userDetailsService") //注入名称必须是userDetailsService
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    //在下面的方法执行查询数据库,判断用户密码的操作
    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        //调用userMapper方法查询数据库
        QueryWrapper<Users> wrapper = new QueryWrapper<>();
        wrapper.eq("user_name", userName);
        Users users = userMapper.selectOne(wrapper);

        //判断数据库是否有查询的用户名
        if (users == null) {
            throw new UsernameNotFoundException("用户名不存在!");
        }

        //权限,不能为空
        List<GrantedAuthority> authorities =
                AuthorityUtils.commaSeparatedStringToAuthorityList("role");

        //得到数据库查询的账号密码,返回
        return new User(users.getUserName(),
                new BCryptPasswordEncoder().encode(users.getPassWord()),
                authorities);
    }
}
  1. 在启动类添加注解@MapperScan扫描mapper文件夹
@MapperScan("springsecurt.mapper")
@SpringBootApplication
public class SpringsecurtApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringsecurtApplication.class, args);
    }

}
  1. 配置数据库信息
spring:
  datasource:
    username: root
    password: root
    url: jdbc:mysql://localhost:3306/demo?useSSL=false&serverTimezone=GMT%2B8
    driver-class-name: com.mysql.cj.jdbc.Driver
4. 自定义配置信息

  1. 在配置类(SecurityTestConfig类)实现相关配置

       @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.formLogin()    //自定义自己编写的登录页面
                .loginPage("/login.html")   //登录页面设置
                .loginProcessingUrl("/user/login")  //登录访问路径
                .defaultSuccessUrl("/test/hello")   //认证成功跳转访问路径
                .and().authorizeRequests()
                .antMatchers("/login.html", "/test/hello", "/user/login").permitAll() //设置哪些路径可以直接访问,不需要认证
                .anyRequest().authenticated()
                .and().csrf().disable(); //关闭csrf防护
    }

  2. 创建出相关的页面,controller

    login.html页面

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<form action="/user/login" method="post">
    用户名:<input type="text" name="username"/>
    <br>
    密 码:<input type="text" name="password">
    <br>
    <input type="submit" value="登录">
</form>
</body>
</html>

    (DemoController类)test/hello 请求方法

    @RequestMapping("/hello")
public String hello() {
    return "hello";
}

    访问http://localhost:9999/test/hello,正常访问,返回数据,这是前面已经把这个请求地址的权限公开了

在这里插入图片描述

访问一个普通的地址http://localhost:9999/test/demo,会拦截并跳转到自己配置的登录页面
在这里插入图片描述

输入数据库正确的账号密码后,正常跳转到要访问的地址

在这里插入图片描述

5. 角色或权限控制

如果当前的主体具有指定的权限,则返回true,否则返回false

权限不匹配或无权限访问地址,页面会返回403状态

hasAuthority和hashAnyAuthority的区别:

  • hasAuthority只支持一个权限角色(例:管理员)
  • hashAnyAuthority则支持多个权限角色(例:管理员,客户,普通用户)
设置了公开请求地址,并同时设置了权限控制必须要登录才行

  1. 第一种方法:hasAuthority

    1. 在配置类设置当前访问地址有哪些权限(在SecurityTestConfig类的configure方法里)

      //当前登录用户,只有具有admins权限才可以访问这个路径
.antMatchers("/test/hello").hasAuthority("admins")

    2. 在UserDetailService,把返回User对象设置权限(访问地址时需要的权限字符一致)

]

  1. 第二种方法:hasAnyAuthority

    支持多权限/角色 访问

    //当前登录用户,拥有admins和ordinary任意一个权限都可以访问
.antMatchers("/test/hello").hasAnyAuthority("admins","ordinary")

  2. 第三种方法:haseRole

    如果用户具备指定的角色,则返回true,对应的权限字符前缀必须是 ROLE_

    .antMatchers("/test/hello").hasRole("sale")

    List<GrantedAuthority> authorities =
        AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_sale");

  3. 第四种方法:hasAnyRole

    和第二种一样,支持多角色/资源访问,对应的权限字符前缀必须是 ROLE_

6. 自定义无权限页面(403)

  • 创建页面

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>当前是403页面</h1>
</body>
</html>

  • 配置信息

    //配置没有权限访问跳转自定义页面
httpSecurity.exceptionHandling().accessDeniedPage("/unauth.html");

在这里插入图片描述

7. 注解使用

@Securied

用户具有某个角色,可以访问方法,该注解支持多个角色权限

  • 启动类开启注解

    @EnableGlobalMethodSecurity(securedEnabled = true)

  • 在controller方法上面设置,设置角色

    @RequestMapping("/update")
@Secured({"ROLE_sale", "ROLE_manager"})
public String update() {
    return "hello update";
}

  • 在MyUserDetailsService设置角色

    //权限,不能为空
List<GrantedAuthority> authorities =
        AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_sale");

@PreAuthorize

在方法上面加上注解,指定需要访问的角色

@PreAuthorize("hasAnyAuthority('sale')")

在MyUserDetailsService设置对应的角色

//权限,不能为空
List<GrantedAuthority> authorities =
        AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_sale");

@postAuthorize

先执行完当前方法,再进行判断是否有当前方法的权限

@PostAuthorize("hasAnyAuthority('admins')")

@PostFillter

方法返回数据进行过滤

  • PostFilter的参数指定了 users对象里面的 userName的值必须是**‘admins1’**
  • 返回的数据只返回带有admins1的数据
    @RequestMapping("/update")
    @PostAuthorize("hasAnyAuthority('admins')")
    @PostFilter("filterObject.userName=='admin1'")
    public Object update() {
        List<Users> list = new ArrayList<>();
        list.add(new Users(11,"admin1","123"));
        list.add(new Users(22,"admin2","123"));
        return list;
    }

@PreFilter

对请求参数进行过滤

PreFilter的参数指定了id大于10才可以请求,否则就无权限

@RequestMapping("/update")
@PostAuthorize("hasAnyAuthority('admins')")
@PreFilter("filterObject.id<10")
public Object update(User user) {
    return hello;
}
8. 用户注销

  1. 在配置类添加退出的配置

    //退出登录请求路径
httpSecurity.logout().logoutUrl("/logout")
        .logoutSuccessUrl("/test/hello").permitAll();

  2. 在页面写上退出的请求地址

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
登录成功
<a href="/logout">退出</a>

</body>
</html>

  3. 正常登陆后,进入这个页面,然后点击退出按钮,再去访问其他接口发现需要重新登录,测试完成

9. 自动登陆

思路:登录 -->认证成功 -->surice将tokend写入数据库,并返回浏览器,写入cookie -->下次请求 -->读取浏览器cookie中的token发送到surice -->在数据库查找token,有页面正常访问,无需要登录

实现过程:

  1. 创建数据库表

    表名必须是persistent_logins,字段名也是一个都不能改,springsecurity默认的方法只认这些

    DROP TABLE IF EXISTS `persistent_logins`;
CREATE TABLE `persistent_logins`  (
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '用户名',
  `series` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '系列',
  `token` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '令牌',
  `last_used` varchar(255) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '最后的时间'
) ENGINE = InnoDB CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Dynamic;

  2. 配置类,注入数据源,配置操作数据库对象

    //注入数据源
@Autowired
private DataSource dataSource;

@Bean
public PersistentTokenRepository persistentTokenRepository() {
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    return jdbcTokenRepository;
}

  3. 配置类配置自动登陆

    .and().rememberMe().tokenRepository(persistentTokenRepository())
.tokenValiditySeconds(60) //设置有效时长
.userDetailsService(userDetailsService)

  4. 在登录页面添加复选框

    name名字必须是remember-me

    <input type="checkbox" name="remember-me"/>自动登录

    在页面登陆后,数据库就会存入信息

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-RdIRDbdK-1633972776480)(C:\Users\27175\AppData\Roaming\Typora\typora-user-images\image-20211004172927898.png)]

8. csrf,跨站请求伪造

注释掉配置的关闭crsf的防护

//                .and().csrf().disable(); //关闭csrf防护

在前端请求加一串代码

在这里插入图片描述

补充

  • 本技术基于SpringBoot技术完成使用

  • 核心功能:认证,授权

  • 重量级框架,需要依赖其他组件,需要配置很多信息

大叔叔哦
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring——Security安全框架之权限限定
专注写bug
02-22 2022
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1237
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
Spring Security——10,其他权限校验方法
最新发布
weixin_42858422的博客
04-07 404
hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更。hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上。
SpringSecurity(十一)--配置权限以及相关限制(下)
学习不止境的博客
10-24 1587
本章我们将承接上篇文章的项目为基础学习,所以没有搭建好项目的小伙伴请先去查看上一篇文章把项目理解并且搭建好,当然大家也可以用自己的方式进行搭建学习,不用啥都按部就班,尤其是编程这块儿,具有极大的灵活性,没准你的方法才是最适合的。但是对于后面的代码,我将以上篇搭建好的代码为架构基础进行展示。
Spring Security】安全框架学习(十二)
Jerry‘s word
09-06 1675
这个就是我们之前在filter中存入到holder当中的对象,即UsernamePasswordAuthenticationToken,可以知道这里userAuthorities拿到了我们的权限对象,最终就调用到了我们自己在LoginUser类中重写的方法里去。但是回到hasAnyAuthorityName 方法中,传进去的prefix前缀的值实际上是null,也就是说实际上并没有做一个拼接,没有前缀,最终的结果也就是原本的字符串。但是我们并不用关心它在内部的调用链路,只需要关注核心的实现代码就可以了。
Spring Security设置用户信息
w759826115的博客
03-06 1590
Spring Security设置用户信息 spring security默认情况下存在一个名为user的账号,对应的密码会在控制台输出 2022-02-26 22:35:32.825 INFO 10816 --- [ main] .s.s.UserDetailsServiceAutoConfiguration : Using generated security password: 5a709d3a-0c45-4ff7-a294-8a5a1e8b1c54 可以通过以下三种方法修
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
Spring Security笔记.rar
05-07
Spring Security学习笔记
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
spring security学习资料
06-09
spring security方面的学习资料,包含:Spring+Security+3+与+CAS单点登录配置;Spring+Security3中文教程;Spring-Security安全权限管理手册;Spring+Security文库;还有一个学习笔记
玩转SpringBoot安全管理:SpringSecurity之UserDetailService身份认证
Xmumu_的博客
08-03 3621
SpringSecurity身份认证之UserDetailsService
SpringSecurity学习总结
qq_44185887的博客
04-12 918
一、spring security 简介 认证:(你是谁)身份认证,使用系统的任何用户,系统对于他来讲必须要能够进行识别,这个识别的过程我们就称之为认证。在此过程中牵涉到两个表,用户表和角色表,他们能够确定用户的权限。 授权(你能干什么):对于一个指定的用户,系统必须能够知道他具体有什么权限。权限表能够确定用户拥有什么权限。一个完整的系统,必须能够进行认证和鉴权,否则系统不具有安全性,系统的功能也不具有任何意义! 攻击防护:(防止伪造身份) <!--设置不拦截这个页面!-->
SpringSecurity用户认证设置用户名和密码的三种方式
怪咖@的博客
05-29 3197
目录方式一:配置文件方式二:设置配置类方式三:自定义实现类设置账号密码自定义登录接口基于token前后端分离的示例 温馨提示: 本章测试基本上都是使用的SpringSecurity提供的默认登录页和登录接口进行测试的 方式一:配置文件 spring.security.user.name=lisi spring.security.user.password=12345 方式二:设置配置类 1)、编写一个类继承WebSecurityConfigurerAdapter抽象类 2)、重写configure(Aut
Spring Security如何上手,基础篇
Fanx繁星
11-27 392
SpringSecurity 这个是Spring提供的一个用于防止常见攻击,权限校验以及授权的一个安全框架 本篇文章是教你如何快速的上手SpringSecurity基础,更深的使用教程还没编写,因为集合框架那一篇还没搞完等集合框架研究完了在接着往后整这个,今天先水一波,等明天了在发HashSet的手写教程 开始使用 版本 IDEA 2020 Java 1.8 Springboot 2.4.0 搭建项目 使用Spring initializr 搭建项目 Security默认配置 默认配置就是你
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2476
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
SpringBoot中使用Spring Security实现权限控制
s297485987的专栏
11-27 819
https://www.jianshu.com/p/defa75b65a46 只是这里需要改下: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSe...
SpringSecurity默认用户名密码从哪来,为什么要写UserDetails...
butcher的博客
09-10 7248
1、创建一个普通的Spring boot项目 创建好项目后,直接启动,在控制台上会打印密码: 此时在浏览器输入http://localhost:8080,会跳转到登录页面: 默认用户名为user,密码就是控制台打印的。 这就说明spring security生效了! 2、自定义用户名密码 首先我们需要先了解,为什么会有默认的用户名和密码,这说明肯定是有一个自动配置类。 在idea中,双击shift键,输入UserDetailsServiceAutoConfiguration我们会发现: @Bean
Spring Security框架配置及使用
m0_72106802的博客
09-08 586
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。Spring Security框架是目前认证和授权的主流应用框架,用以划分用户管理员权限,自身也提供BCrypt算法用于密码的加密处理,并且这种算法更加安全。
springsecurity笔记
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大叔叔哦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值