Spring Security

最新推荐文章于 2023-02-19 17:27:59 发布
最新推荐文章于 2023-02-19 17:27:59 发布
阅读量332 收藏
点赞数
分类专栏: springsecurity 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43761240/article/details/125444984
版权

Spring Security

入门案例

  1. 创建springboot项目

  2. 在pom.xml文件添加依赖

            <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

  3. 创建controller包并创建TestController类

    import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {
    @GetMapping("/add")
    public String add(){
        return "hello";
    }
}

  4. 启动后输入http://localhost:8080/test/add会出现登录页面

    image-20220622224816038

  5. 输入账户名为:user,密码在控制台里面找:Using generated security password: 5bc472f4-65d4-4db5-9ae6-2c6a078dfbba后才能访问页面。

用户认证

设置登录的用户名和密码

  • 第一种方式:通过配置文件

在application.properties写入配置

#spring.security.user.name=root
#spring.security.user.password=123456
#spring.security.user.roles=admin
  • 第二种方式:通过配置类

在config包创建SecurityConfig配置类

@Configuration
public class SecurityConfig {

    @Bean
    UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager users = new InMemoryUserDetailsManager();
        //因为security不支持明文密码格式,在这里给密码加密。
        BCryptPasswordEncoder bCryptPasswordEncoder=new BCryptPasswordEncoder();
        String password=bCryptPasswordEncoder.encode("123");
        users.createUser(User.withUsername("root").password(password).roles("admin").build());
        //不加密写法
        //users.createUser(User.withUsername("root").password("{noop}123").roles("admin").build());
        return users;
    }
    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

  • 第三种方式:自定义编写实现类

    • 第一步:编写配置类

      import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfigTest {

    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

    • 第二步:编写实现类,返回User对象,User对象有用户名密码和权限操作

      import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

@Service("UserDetailsService")
public class MyUserDetailService implements UserDetailsService {
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
        String password=passwordEncoder.encode("123");
        return new User("root",password,auths);
    }
}

通过数据库查询来实现用户登录

  • 引入依赖

            <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.23</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.18</version>
        </dependency>

  • 创建实体类

    import lombok.Data;

@Data
public class Users {
    private Integer id;
    private String name;
    private String pwd;
}

  • 整合mp

    import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.springsecurity.security.entity.Users;
@Repository
@Mapper
public interface UsersMapper extends BaseMapper<Users> {

}

  • 在MyUserDetailService调用mapper里面的方法

@Service("UserDetailsService")
public class MyUserDetailService implements UserDetailsService {
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Autowired
    private UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //调用usersmapper方法查询数据库
        QueryWrapper<Users> wrapper=new QueryWrapper<>();
        wrapper.eq("name",username);
        Users users=usersMapper.selectOne(wrapper);
        //判断
        if (users==null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
        String password=passwordEncoder.encode(users.getPwd());
        return new User(users.getName(),password,auths);
    }
}

自定义登录页面

配置类实现相关配置

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfigTest {

    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{

        http.formLogin() //自定义登录页面
                .loginPage("/login.html")  //设置登录页面
                .loginProcessingUrl("/user/login")  //登录访问路径
                .defaultSuccessUrl("/test/index").permitAll()  //登录成功后跳转路径
                .and().authorizeRequests()
                .antMatchers("/","/test/hello","/user/login").permitAll()  //设置哪些路径可以直接访问,不需要认证
                .anyRequest().authenticated()
                .and().csrf().disable();  //关闭csrf防护
        return http.build();
    }
}

修改controller类

@RestController
@RequestMapping("/test")
public class TestController {
    @GetMapping("/hello")
    public String hello(){
        return "hello security";
    }
    @GetMapping("/index")
    public String index(){
        return "hello index";
    }

}

添加静态页面

在resources目录新建static包,创建login.html页面

该页面下,name="username"和name="password"中username和password是固定的写法

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/user/login" method="post">
    用户名:<input type="text" name="username"/>
    <br/>
    密码:<input type="text" name="password"/>
    <br/>
    <input type="submit" value="登录"/>
</form>
</body>
</html>

基于权限访问控制

方法一:hasAuthority方法(一个权限)

  1. 在配置类设置当前 访问地址有哪些权限

                    //当前登录用户只有具有admins权限才可以访问这个路径
                .antMatchers("/test/index").hasAuthority("admins")

  2. 在UserDetailsService,对返回User设置权限

            List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("admins");

方法二:hasAnyAuthority方法(可以设置多个权限)

.antMatchers("/test/index").hasAnyAuthority("admins","manager")

基于角色访问控制

方法一:hasRole方法(一个角色)

  1. 在配置类设置当前 访问地址有哪些权限

    .antMatchers("/test/index").hasRole("sale")

  2. 在UserDetailsService,对返回User设置权限

List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");

方法二:hasAnyRole方法(可以设置多个角色)

类似

自定义403页面

创建没有权限访问的页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>没有权限!</h1>
</body>
</html>

在配置类中配置

        //配置没有权限访问跳转自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");

注解使用

@Secured

用户具有某个角色才可以访问该方法

  1. 在启动类或者配置类添加下面注解(开启注解功能)

    @EnableGlobalMethodSecurity(securedEnabled =true)

  2. 在controller的方法上面使用注解,设置角色

        @GetMapping("/update")
    @Secured({"ROLE_sale","ROLE_admin"})
    public String update(){
        return "hello update";
    }

  3. 在MyUserDetailService设置角色

    List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");

@PreAuthorize

进入方法前验证权限

  1. 在启动类或者配置类添加下面注解(开启注解功能)

    @EnableGlobalMethodSecurity(securedEnabled =true,prePostEnabled = true)

  2. 在controller的方法上面使用注解,设置角色

        @GetMapping("/update")
    //@Secured({"ROLE_sale","ROLE_admin"})
    @PreAuthorize("hasAnyAuthority('admins')")
    public String update(){
        return "hello update";
    }

  3. 在MyUserDetailService设置角色

    List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");

@PostAuthorize

在方法执行之后校验

  1. 在启动类或者配置类添加下面注解(开启注解功能)

    @EnableGlobalMethodSecurity(securedEnabled =true,prePostEnabled = true)

  2. 在controller的方法上面使用注解,设置角色

        @GetMapping("/update")
    @PostAuthorize("hasAnyAuthority('admins')")
    public String update(){
        System.out.println("没有权限");
        return "hello update";
    }

  3. 在MyUserDetailService设置角色

    List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("noadmin");

    使用该注解会先执行完方法里面的内容,然后再校验权限

@PostFilter

对方法返回的数据进行过滤

在controller的方法上面使用注解

    @GetMapping("/getall")
    @PostAuthorize("hasAnyAuthority('admins')")
    @PostFilter("filterObject.name=='admin6'")
    public List<Users> getAllUser(){
        ArrayList<Users> list=new ArrayList<>();
        list.add(new Users(6,"admin7","654321"));
        list.add(new Users(7,"admin6","123456"));
        System.out.println(list);
        return list;
    }

访问该方法后控制台输出

[Users(id=6, name=admin7, pwd=654321), Users(id=7, name=admin6, pwd=123456)]

浏览器页面显示

[{"id":7,"name":"admin6","pwd":"123456"}]

@PreFilter

对传入的数据进行过滤

和上面类似

用户注销

  1. 创建success.html页面

    <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>登陆成功</h1>
<a href="/logout">退出登录</a>
</body>
</html>

  2. 在配置类配置注销页面

            //配置注销页面地址
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();

  3. 修改登录跳转页面

    .defaultSuccessUrl("/success.html").permitAll()  //登录成功后跳转路径

自动登录实现

  1. 在配置类注入数据源和配置操作数据库对象

        //注入数据源
    @Autowired
    private DataSource dataSource;
    //配置对象
    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        return jdbcTokenRepository;
    }

  2. 配置自动登录

                    .and().rememberMe().tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(600)//设置有效时常

  3. 在login.html页面添加自动登录按钮(name值必须为"remember-me")

        <input type="checkbox" name="remember-me" />记住我

    该功能可以让我们在关闭浏览器后再次打开还能访问登录后才能访问的页面
    JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    return jdbcTokenRepository;
    }

  4. 配置自动登录

                    .and().rememberMe().tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(600)//设置有效时常

  5. 在login.html页面添加自动登录按钮(name值必须为"remember-me")

        <input type="checkbox" name="remember-me" />记住我

    该功能可以让我们在关闭浏览器后再次打开还能访问登录后才能访问的页面

沐雨~橙风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring cloud Oauth2中@PreAuthorize安全表达式hasRole、hasAnyRole、hasAuthority区别
灰太狼
12-21 7233
使用授权时可以使用注解进行权限控制,比较常用的有hasRole,hasAnyRole,hasAuthority 。 通过添加角色授权码: List<SysRole> sysRoleList = sysRoleService.listByUserId(userInfo.getId()); List<SimpleGrantedAuthority> authorities = new ArrayList<>(); sysRole..
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring——Security安全框架之权限限定
专注写bug
02-22 1999
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
一篇文章轻松搞定SpringSecurity权限框架!
路漫漫其修远兮,吾将上下而求索
01-07 2390
Spring Security是非常流行的安全(权限)框架,Web应用框架。主要有两大作用:一个是认证,一个是授权。本质上,它就是Filter过滤器。而且是过滤器链。SpringSecurity与Shiro的区别Spring Security的特点:Spring家族的,能很好的整合Spring。专门为Web应用开发设计的。提供专业全面的权限。重量级的。依赖于很多其他组件。在SSM中整合比Shiro麻烦。但在springboot中提供了自动配置方案。
SpringSecurity入门
傻了积威的博客
09-18 304
SpringSecurity springsecurity本质上是一个过滤器链(多个过滤器组成) 过滤器加载 配置DelegatingFilterProxy、在doFilter中调用initDelegate()获取过滤链(FilterChainProxy)对象,在过滤链对象中获取Security的所有过滤器 UserDetailsService 通过数据库查询用户信息 PasswordEncoder 对密码进行加密 设置用户名和密码 通过配置文件 spring: security: user:
SpringCloud】Spring Security解决跨域问题、自定义校验方法
See_Star的博客
04-03 1830
SpringSecurity前后端解决跨域问题、权限校验方法等
springSecurity
最新发布
10-14
springSecurity
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
springsecurity
07-23
springsecurity
springboot+shiro+layuimini实现后台管理系统的权限控制(三)利用shiro实现对用户的授权
superyu1992的专栏
07-27 1217
用户成功登入我们系统之后,下一步就是要根据用户的角色给用户授予相应的权限。Shiro支持的权限控制范围很广,大到一个模块的权限,小到一个按钮的操作权限都可以通过shiro来进行控制。一、shiro基于权限的访问控制主要有三种调用方式:1、编码: 2、注解: 3、标签: 无论是哪一种访问控制的调用方式,都会从主体(Subject)委托给SecurityManager,最终委托给Realm下的doGetAuthorizationInfo()中来执行授权操作,并把授权结果返回到上层。二、shiro的授
security安全表达式介绍
wh柒八九的博客
10-27 921
本文来说下security中常见的概念,在学习security的时候,可能觉得security上手比较难,一个关键的原因就是security中有比较多的概念,增加了理解上的难度。再加上RBAC等权限控制,进一步提高了security框架的门槛。 ...
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthority和hasAnyAuthority_hasRole和hasAnyRole
m0_51955470的博客
02-28 2364
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
Shiro之urls配置多个角色
幻想家
05-15 4308
Shiro之urls配置多个角色使用shiro时想在一个url上配置多个角色,就是说多个角色都可以访问这一个url 尝试了三种方法,全部失败: /see=roles[admin, teacher](此为正确的配置方式) /see=roles[admin], roles[teacher] /see=roles[admin]    /see=roles[teacher] 下面说一下正确的方法 rol
SpringCloud之Eureka注册中心安全校验
亚索@哈塞给
02-19 281
Security默认启用了csrf检验,CSRF一般指跨站请求伪造攻击,需要在Eureka Server端配置关闭csrf检验,否则Eureka Client无法访问注册中心。启动Eureka Server服务,在浏览器上访问注册中心地址,会发现页面先跳转到登录页,输入配置文件上配置的用户名和密码,登录成功,并跳转到管理界面,说明安全验证机制已经生效。(5)在Eureka Client端application.yml配置文件中修改注册中心地址,启动客户端服务,服务正常注册。为了避免恶意服务被注册到。
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority的使用区别
质量不太好的博客
03-13 9210
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
Spring Security 中分离角色和权限
allway2的博客
09-21 1194
但是 Spring Security 参考文档中的示例倾向于将授予的权限视为角色,甚至 hasRole() 和 hasAnyRole() 谓词也引导我们直接使用角色,由于已经给出的原因,这充其量是一个值得怀疑的做法。该规则并不完美——我们可能会决定不存在“一般论坛的阅读权限”之类的东西(也就是说,访问权限存在于逐个论坛的基础上)——但显然它更加灵活,尤其是如果我们可以在代码本身之外建立角色和权限之间的关系。因此,作为一般规则,与基于角色的规则相比,更喜欢基于权限的规则。图 1 将角色与权限分开的用户模式。
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 1711
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
SpringSecurity原理剖析及其实战(五)
weixin_43934626的博客
11-08 776
SpringSecurity原理剖析及其实战(五)1、用户授权(访问控制)2、基于权限的访问控制3、基于表达式的访问控制4、方法授权5 、授权原理6、授权流程 1、用户授权(访问控制) 什么是授权? 授权的方式常分为两种,web授权和方法授权,web授权是通过url拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurity

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值