8-2 spring-security学习

最新推荐文章于 2024-01-27 07:00:00 发布
最新推荐文章于 2024-01-27 07:00:00 发布
阅读量231 收藏
点赞数
分类专栏: 学习笔记 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43876243/article/details/119332666
版权

Spring -Security学习

本质上是一个过滤链
SpringSecurity主要包括认证和授权两大功能。
认证:确实是否登录
授权:限制访问权限

认证授权注解使用

1、@Secured

使用方法:在启动类添加 开启此注解使用

添加注解

@EnableGlobalMethodSecurity(securedEnabled = true)

2、在controller方法的注解上添加注解。

示例:

    @RequestMapping("/level3/{id}")
    @Secured({
   "ROLE_ADMIN","ROLE_MANAGER"})
    public String level3(@PathVariable("id") int id){
   
        return "views/level3/"+id;
    }
2、@PreAuthorize

使用方法:在启动类上添加以下注解:

@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)

PreAuthorize该注解源码注释,值是一个el表达式,在调用之前被调用

public @interface PreAuthorize {
   

   /**
    * @return the Spring-EL expression to be evaluated before invoking the protected
    * method
    */
   String value();

}

controller中

3、@PostAuthorize

在方法执行之后进行验证,可以进行一些处理

使用方法:在启动类上添加以下注解:

@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-rxLKj0bQ-1627905031861)(C:\Users\admin\AppData\Roaming\Typora\typora-user-images\image-20210802152437702.png)]

4、@PostFilter

权限验证之后对数据进行过滤

自动登录技术

使用token

实现

1、创建数据表(或者在代码中自动创建)

create table learn.persistent_logins
(
    username  varchar(64)                         not null,
    series    varchar(64)                         not null
        primary key,
    token     varchar(64)                         not null,
    last_used timestamp default CURRENT_TIMESTAMP not null on update CURRENT_TIMESTAMP
);

2、修改配置类

注入数据源,配置操作数据对象

@Autowired
DataSource dataSource;
//配置对象
@Bean
public PersistentTokenRepository persistentTokenRepository(){
   
    JdbcTokenRepositoryImpl jdbcTokenRepository= new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    //jdbcTokenRepository.setCreateTableOnStartup(true);  //启动的时候创建一个数据表
    return jdbcTokenRepository;

}

3、配置类中配置自动登录

 @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        // 定制请求的授权规则
        // 首页所有人可以访问
        http.and()
        .rememberMe()                   //记住我
        .tokenRepository(persistentTokenRepository())   //配置token仓库
        .userDetailsService(userDetailsService)       //配置查询的用户数据服务
        .tokenValiditySeconds(60)                  //配置有效时间,单位秒
;
    }

4、页面添加记住我复选框

<div><input type="checkbox" name="remember-me" title="记住密码"></div>

name属性必须是remember-me

完整项目

1、导入pom依赖
<!--        JDBC-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
<!--      spring security  -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.0</version>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.3</version>
        </dependency>
        <dependency>
            <groupId>p6spy</groupId>
            <artifactId>p6spy</artifactId>
            <version>3.8.0</version>
        </dependency>
        <!--        代码生成器-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-generator</artifactId>
            <version>3.4.1</version>
        </dependency>
        <!--        模板依赖-->
        <dependency>
            <groupId>org.apache.velocity</groupId>
            <artifactId>velocity-engine-core</artifactId>
            <version>2.2</version>
        </dependency>
        <!-- https://mvnrepository.com/artifact/io.springfox/springfox-swagger2 -->
        <dependency>
            <groupId>io.springfox</groupId>
            <artifactId>springfox-swagger2</artifactId>
            <version>2.7.0</version>
        </dependency>

        <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-log4j -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
最低0.47元/天 解锁文章
明日何其多!
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
velocity-engine-core-2.3-API文档-中文版.zip
03-30
赠送jar包:velocity-engine-core-2.3.jar 赠送原API文档:velocity-engine-core-2.3-javadoc.jar 赠送源代码:velocity-engine-core-2.3-sources.jar 包含翻译后的API文档:velocity-engine-core-2.3-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.apache.velocity,artifactId:velocity-engine-core,version:2.3 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
史上最简单的Spring Security教程(十二):@PreAuthorize注解实现权限控制
银河架构师的博客
07-17 2万+
我们前面讲的所有的例子,都是没有权限控制的,也就是只要登录就可以访问任何资源,不需要其它的权限。但是,现实生活中肯定不是这样。 比如你是普通员工,只能查看自己的工作记录;而部门经理作为领导,则可以查看整个部门员工的工作记录;再如企业老板,作为最大的权限拥有者,可以查看整个公司员工的工作记录。这就是所谓的权限控制,不同角色拥有的不同资源。 而Spring Security框架最大的功用就在于此。当然,实现权限控制体系非常复杂,我们一步一步来,本次先讲一个如何通过注解实现权限控制需求。 Spri...
Spring Security 之方法级的安全管控@PreAuthorize
weixin_42030357的博客
03-07 2726
文章目录1. JSR-205 注解2.@Secured 注解3.@PreAuthorize 类型的注解(支持 Spring 表达式)3.1SPEL表达试(bean引用)3.2 @PreAuthorize 表达式1. returnObject 保留名2. 表达式中的 # 号3. 内置表达式有:例子SecurityConfig 配置类BookService 配置类 原博文,点击这里 默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同
详细分析SpringSecurity中的@PreAuthorize注解
最新发布
码农研究僧的博客
01-27 8047
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring Boot、Spring Security与OAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
springBoot-springSecurity-OAuth2
01-16
SpringBoot、SpringSecurity和OAuth2是Java开发领域中非常重要的技术组件,它们分别在Web应用的快速开发、安全控制和授权认证方面发挥着关键作用。本文将深入探讨这些技术的结合使用,以及如何在实际项目中实现它们...
Spring-security学习ppt
11-01
Spring-security配置文档教程,能够满足日常的开发配置。个人总结。
spring-security-oauth2详细配置demo
09-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供安全认证和授权服务。这个详细配置的Demo旨在帮助开发者理解并实现OAuth2在Spring Security中的应用。在这个Demo中,我们将探讨OAuth2的核心概念、...
spring-security-demo.zip
08-10
这个示例对于学习和理解Spring Security的工作原理以及如何在实际开发中应用它非常有帮助。通过分析源代码和运行示例,你可以更好地掌握Spring Security的精髓,并将其应用于自己的项目中,提升Web应用的安全性。
SpringSecurity安全框架学习——@PreAuthorize的实现原理
笔落墨成&博客
11-23 3789
Spring Security 预处理实现原理
springSecurity标签,特别是@PreAuthorize
qq_37857224的博客
08-08 2万+
spring security中可以通过表达式控制方法权限: @PreAuthorize @PostAuthorize @PreFilter @PostFilter 其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。 使用@PreAuthorize和@PostAuthorize进行访问控制 @PreAuthorize可以用来控制一个方法是否能够被调用 Controller层 /** * 根据用户编号获取详细信息 */
SpringSecurity使用@PreAuthorize、@PostAuthorize实现Web系统权限认证
u011930054的博客
07-17 4770
SpringSecurity可以使用@PreAuthorize和@PostAuthorize进行访问控制,下面进行说明。 项目使用Springboot2.3.3+SpringSecurtiy+Mbatis实现。 首先先引入pom.xml <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artif
Spring Security权限注解@PreAuthorize通俗讲解
m0_53370922的博客
05-20 5969
写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑) 图1 简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访
说一下Spring Security中@PermitAll和@PreAuthorize的使用
qq_55754838的博客
11-25 2236
本文主要来自于看Java开源项目,方便理解开源项目的代码是怎么实现的,加深自己的基本功。
Spring-security
weixin_44962939的博客
07-16 224
hasRole: 角色授权:授权代码,在我们返回的UserDetails的Authority需要加ROLE_前缀,Controller上使用时不要加前缀; hasAuthority: 权限授权:用户自定义的权限,返回的UserDetails的Authority只要与这里匹配就可以,这里不需要加ROLE_,名称保持一至即可 另外的安全表达式还有: 表达式 说明 permitAll 永远返回true denyAll 永远返回false anonymous 当前用户是anonymous时返回true rememb
具有PreAuthorizeSpring方法安全性
最佳 Java 编程
06-13 1233
朋友不允许朋友写用户身份验证。 厌倦了管理自己的用户? 立即尝试Okta的API和Java SDK。 在几分钟之内即可对任何应用程序中的用户进行身份验证,管理和保护。 本教程将探讨使用Spring SecuritySpring Boot中配置身份验证和授权的两种方法。 一种方法是创建WebSecurityConfigurerAdapter并使用流畅的API覆盖HttpSecurity对象...
15.Spring Boot 使用Spring security
热门推荐
编码语言Codelang
01-03 3万+
玩转Spring Boot 使用Spring security Spring Boot与Spring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。
Spring Security 3.0.1中文官方文档翻译版
2. **获取Spring Security** 开发者可以从官方仓库或Maven仓库下载Spring Security的jar包,包括Core、Web、Config、LDAP、ACL、CAS和OpenID等模块。同时,也可以通过Git获取源代码进行自定义开发。 3. **安全命名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值