Spring Security笔记

最新推荐文章于 2022-07-26 12:28:45 发布
最新推荐文章于 2022-07-26 12:28:45 发布
阅读量503 收藏
点赞数 1
分类专栏: spring 文章标签: spring java 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43277718/article/details/122025470
版权

需求

  • 导入依赖
  • 配置
  • 应用

导入依赖

     <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>2.6.1</version>
        </dependency>

作用:

  • 所有的http请求都需要认证
  • 对不同的请求路径,执行不同的安全规则
  • 通过登录页面来提示用户进行认证
  • 认证过程是通过HTTP basic认证对话框实现的
  • 提供多个用户,并且设置权限

配置spring security

基于内存的配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("lei")
                    .password("123456")
                    .authorities("ROLE_USER")
             .and()
                .withUser("liu")
                .password("1233456")
                .authorities("ROLE_USER");
    }
}

在上面的代码中,通过inMemoryAuthentication()方法创建了两个用户,并且每个用户的权限都是ROLE_USER.

基于JDBC的用户存储

@Configuration
@EnableWebSecurity
public class SecurityConfigs {
    @Resource
    DataSource dataSource;

    protected  void  configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .jdbcAuthentication()
                .dataSource(dataSource)
                .usersByUsernameQuery(
                        "select username,password,enabled from Users" +
                                "where username = ?"
                )
                .authoritiesByUsernameQuery(
                        "select  username,authority from UserAuthorities "+
                                "where username =?"
                )
        .passwordEncoder(new StandardPasswordEncoder("53cr3t"));
    }
}

上述代码,配置了数据库,以及查询用户信息、解码的sql语句。

自定义用户认证

定义用户实体类

@Entity
@Data
@NoArgsConstructor
@AllArgsConstructor
public class User implements UserDetails {
     private  static final long serialVersionUID =1L;

     @Id
     @GeneratedValue(strategy = GenerationType.AUTO)
     private Long id;
     private String username;
     private String password;
     private String fullname;
     private String street;
     private String city;
     private String state;
     private String zip;
     private String phoneNumber;


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return Arrays.asList(new SimpleGrantedAuthority("ROLE_USER"));
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

上述代码实现了UserDeatils接口,这样我们能够提供更多信息给框架,比如用户都被授予了哪些权限以及用户的账号是否可用。

创建用户持久层

@Repository
public interface UserDao extends CrudRepository<User,Long> {
    User findByUsername(String username);
}

创建用户服务层

用户服务层·

@Service
public class UserRepositoryUserDetailsService implements UserDetailsService{

    @Autowired
    UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String username) {
        User user = userDao.findByUsername(username);
        if (user!=null){
            return user;
        }
        throw new UsernameNotFoundException("User"+username+"not found");
    }
}

配置类

@Configuration
@EnableWebSecurity
public class SecurityConfigss extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserRepositoryUserDetailsService userDetailsService;

    @Bean
    public PasswordEncoder encoder(){
        return new StandardPasswordEncoder("53cr3t");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)
                .passwordEncoder(encoder());
    }
}

保护请求

配置类

@Configuration
@EnableWebSecurity
public class SecurityConfigss extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserRepositoryUserDetailsService userDetailsService;

    @Bean
    public PasswordEncoder encoder(){
        return new StandardPasswordEncoder("53cr3t");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)
                .passwordEncoder(encoder());
    }

    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeHttpRequests()
                  .antMatchers("/design","/orders")
                    .hasRole("ROLE_USER")
                  .antMatchers("/","/*")
                    .permitAll()
                .and()
                    .formLogin()
                        .loginPage("/login")
                        .defaultSuccessUrl("/design",true)
                .and()
                    .logout()
                        .logoutSuccessUrl("/out")
                .and()
                    .csrf()
                        .disable();

    }
}
  • antMatchers("/design","/orders") 添加url
  • hasRole(“ROLE_USER”) 必须拥有ROLE_USER权限的才可以访问上面添加的url
  • antMatchers("/","/*") 添加所有url
  • .permitAll() 所有用户都可以访问的,但是基于前面的条件(必须拥有ROLE_USER权限的才可以访问("/design","/orders"))
  • formLogin().loginPage("/login") 添加用户登录界面,也就是用户如果没有登录,会自动跳转到这个界面
  • .defaultSuccessUrl("/design",true) 登录成功后,如果添加了true这个参数,则默认添加到这个界面。
  • .logout().logoutSuccessUrl("/out") 退出后默认跳转的页面
  • csrf() .disable(); 禁用csfr,容易造成“跨站请求伪造”。如果不禁用的情况下可以在前端中添加一个隐藏的token。

获取用户信息

@RestController
@RequestMapping("/get")
public class GetUserInfo {

    @ResponseBody
    @PostMapping
    public User getUserInfo(Authentication authentication){
        User user = (User) authentication.getPrincipal();
        return user;
    }
}
一个不会代码的搬砖人
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
paas平台中的应用自动重启问题(健康检查)
qq_39594499的博客
02-17 804
检查nacos中的配置文件发现有个无用的邮件配置,写在了spring的下面,这个邮件是无效的,导致了邮件检查失败("mail":{"status":"DOWN"}),整体返回失败。排查了一些配置的检查发现并没有自定义的,后来检查nacos中的配置文件发现有个无用的邮件配置,写在了spring的下面,这个邮件是无效的,导致了邮件检查失败("mail":{"status":"DOWN"}),整体返回失败。# 服务关闭打印的日志。
简易RPC框架实现——6、实现服务自动注销,引入心跳机制
fzzf__的博客
06-01 486
本章在前篇引入nacos的基础上,继续实现了对于服务下线时,服务自动注销的功能,而且基于Netty心跳机制,来实现服务端与客户端通道的保活。
Spring Security对用户权限进行管理
theVicTory的博客
11-03 2404
基于角色的访问控制 隐式访问控制:根据用户的角色判断是否具有某项操作 显示访问控制:为用户分配某种权限,根据权限判断是否可以进行某种操作。与具体角色无关,权限控制更加灵活 认证( authentication ):是建立主体( principal) 的过程。"主体"不仅指用户,还可以是其他执行操作的系统或设备。 授权(authorization ):或称为"访问控制(access-control), 是指决定是否允许主体在应用程序中执行操作 Spring SecuritySpring中常用的安全服务框架,
13、用户web层服务(一)
最新发布
qq23001186的博客
07-26 629
在之前的6、微服务架构分析中,我们会拆分出srv层的服务和web层的服务srv层的服务我们已经在12、用户微服务实现了接下来我们需要实现web层的用户服务Viper简介Viper适用于Go应用程序的完整配置解决方案;它被设计用于在应用程序中工作,并且可以处理所有类型的配置需求和格式Viper的特性设置默认值从JSON、TOML、YAML、HCL、envfile和Javaproperties格式的配置文件读取配置信息实时监控和重新读取配置文件(可选)从环境变量中读取https。.........
基于 Nacos 配置中心的动态日志配置方案
F7ANTY的专栏
09-26 2629
动态设置 log4j2 日志的级别不能落 SpringBoot 动态设置 logback 日志的级别 上面这两篇文章只是从技术角度说了,可以实现动态日志配置。但是并没有形成适用生产环境使用的方案。今天介绍一种基于 Nacos 配置中心的动态配置日志级别的方案。 0x01:安装 Nacos 配置中心 配置中心 Nacos 的官网 官网:https://nacos.io/zh-cn/docs/quick-start.html 下载安装包 需要注意一下 Nacos 需要 6..
互联网开发用户层和业务层技术了解
m0_60725291的博客
04-03 3268
目录用户层技术用户管理单点登录授权登录消息推送存储云、图片云 用户层技术 用户管理 单点登录 各个子系统统一登录。单点登录的技术实现手段较多,例如 cookie、JSONP、token 等,目前最成熟的开源单点登录方案当属 CAS,其架构如下 授权登录 允许第三方应用接入,现在最流行的授权登录就是 OAuth 2.0 协议,基本上已经成为了事实上的标准。 用户管理系统面临的主要问题是用户数巨大,用户数据量虽然大,但是不同用户之间没有太强的业务关联,A 用户登录和 B 用户登录基本没有关系。因此虽然数据量巨
Alibaba Java诊断利器Arthas实践--使用redefine排查应用奇怪的日志来源
weixin_34032792的博客
10-24 238
2019独角兽企业重金招聘Python工程师标准>>> ...
Arthas实践--使用redefine排查应用奇怪的日志来源
横云断岭的专栏
11-01 2384
背景 随着应用越来越复杂,依赖越来越多,日志系统越来越混乱,有时会出现一些奇怪的日志,比如: [] [] [] No credential found 那么怎样排查这些奇怪的日志从哪里打印出来的呢?因为搞不清楚是什么logger打印出来的,所以想定位就比较头疼。 下面介绍用Alibaba开源的应用诊断利器Arthas的redefine命令快速定位奇怪日志来源。 Arthas: https://...
nacos1.4.1修复鉴权漏洞报longPolling错误,动态刷新失败解决方法(建议修复到最新版)
a346509495的博客
01-29 6018
名称 版本 spring-cloud-alibaba-dependencies 2.2.4.RELEASE spring-cloud-dependencies 2020.0.0 spring-boot-dependencies 2.4.2 nacos-docker 1.4.1 父程序POM <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www....
hsf(ali-tomcat)安装使用
sidongxue2的专栏
03-10 1万+
官网: https://help.aliyun.com/document_detail/90754.html?spm=a2c4g.11186623.6.599.771f41d9MaMUqF ali-tomcat概述: 注意: 第二步需要将下载的Pandora容器taobao-hsf.tgz放到/data/ilucky/hsf/taobao-tomcat-7.0.59/deploy目录下, 同...
7、服务层(上)
WelanCF的博客
07-15 1986
服务层是基础软件层的最高层,可以实现与应用层软件的关联。I/O信号可以通过ECU抽象层进行获取,另外服务层还提供:操作系统功能、汽车网络通信服务以及管理服务、内存服务、诊断服务,包含统一诊断服务(Unified Diagnostic Service,UDS)、错误记忆和故障处理、ECU状态和模式管理、逻辑与暂时程序流程监管(Watchdog管理)、加密等。............
业务层 、服务层、数据层、表现层
ios_xumin的专栏
09-28 1万+
一般说来,业务逻辑层中的模块包含了系统所需要的所有功能上的算法和计算过程,并与数据访问层和表现层交互。抽象的说,业务逻辑层就是处理与业务相关的部分,一般来说,业务层包含一系列的执行与数据的操作,例如,开具发票、添加客户或下订单等。 服务层就是相当于中间类的作用,中间的工厂类提供了另一个通用放任接口让调用者可以使用接口暴漏的方法,而无需关注架构或底层发生的怎样的变化,服务层的原理和
分层架构中的服务层-服务层的相关模式
virusswb的专栏
09-07 272
      服务层的相关模式        1 引言     我们把服务层看做是暴露给用户界面的一个服务集合。大多数时候,我们会发现服务层的方法很容易满足用户的行为。在大多数企业应用中,CRUD是常用的操作。有的时候在一次操作中会处理多个实体。   服务层包括角色管理,数据验证,通知,调整返回给用户界面的数据,或者是整合系统可能的需求。   在谈到这些的时候,一些设计模式可能会有帮助。下面是一些...
[好文分享]Userservice是什么?Dao层和Service层的区别是什么?
qq_45072109的博客
08-31 1802
首先解释面上意思,service是业务层,dao是数据访问层。 呵呵,这个问题我曾经也有过,记得以前刚学编程的时候,都是在service里直接调用dao,service里面就new一个dao类对象,调用,其他有意义的事没做,也不明白有这个有什么用,参加工作久了以后就会知道,业务才是工作中的重中之重。 我们都知道,标准主流现在的编程方式都是采用MVC综合设计模式,MVC本身不属于设计模式的一种,它描述的是一种结构,最终目的达到解耦,解耦说的意思是你更改某一层代码,不会影响我其他层代码,如果你会像sprin
架构:高可用的网站架构——应用层、服务层、数据层。
热门推荐
孤芳不自赏
08-24 4万+
通常企业级应用系统为提高系统可用性,会采用较昂贵的软硬件设备,如IBM的小型机及至中型机大型机及专有操作系统、Oracle数据库、EMC存储设备等。互联网公司更过的采用PC级服务器、开源的数据库和操作系统,这些廉价的设备在节约成本的同时也降低了可用性,特别是服务器硬件设备,低价的商业级服务器一年宕机一次是一个大概率事件,而那些高强度频繁读写的普通硬盘,损坏的概率则要更高一些。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值