spring security权限与认证(一)之配置篇

最新推荐文章于 2023-05-01 23:11:06 发布
最新推荐文章于 2023-05-01 23:11:06 发布
阅读量434 收藏 2
点赞数
文章标签: spring jwt java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44195558/article/details/108012991
版权

导入包:spring-boot-starter-security(注意导入spring统一的版本)
导入这个包之后,就会启动认证功能,凡是未认证的访问都会转到login页面去,并且这个页面不是我们自己写的,是security它内置的
login

配置开始

1、配置基本配置类SecurityConfig【放入ioc容器中,自定义类】 继承WebSecurityConfigurerAdapter
重写其中的configure方法

package com.neuedu.security;

import com.neuedu.security.RestNoToken;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.annotation.Resource;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Resource
    RestNoToken restNoToken;
    @Resource
    JWTAuthentication jwtAuthentication;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //注册器 registry
        ExpressionUrlAuthorizationConfigurer<HttpSecurity>.ExpressionInterceptUrlRegistry registry = http.authorizeRequests();
       //.antMatchers(METHOD.post,"/user/login") 
       //.permitAll()    //指定什么方法下的什么请求
        registry.antMatchers("/index")    //不用验证
                .permitAll()                //获取所有
                .anyRequest()            //任何请求
                .authenticated();        //开启验证
        //前后分离特殊设置
        registry.and()        //返回一个httpSecurity
                .csrf()
                .disable()            
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);  //让csrf和httpSession都不可用
        // 自定义没有认证返回的内容 配置完自定义类之后,在这里启动下
        registry.and()
                .exceptionHandling()
                .authenticationEntryPoint(restNoToken);
        // 自定义验证
        registry.and()
                .addFilterBefore(jwtAuthentication, UsernamePasswordAuthenticationFilter.class);

    }
}

2、自定义当没有权限时候返回的内容【自定义、放入ioc】
写完这个类RestNoToken之后,要在基本配置类【1】中的方法设置启用这个类

package com.neuedu.security;

import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class RestNoToken implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
        response.setHeader("Access-Control-Allow-Origin","*");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=utf-8");
        response.getWriter().write("notoken");
    }
}

3、自定义实现认证的方式(怎样才算认证通过?)
自定义类JWTAuthentication【自定义、放入ioc】,实际是过滤器,继承父类重写方法
之后同样需要在基本配置类中启用这个类

package com.neuedu.security;

import com.neuedu.pojo.UmsUser;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;
//这里强行通过验证了
@Component
public class JWTAuthentication extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, FilterChain filterChain) throws ServletException, IOException {
        System.out.println("进入过滤器");
        UmsUser user = new UmsUser(); //pojo中的bean
        user.setUsername("admin");
        user.setPassword("123456");
        UserDetails details = new UmsUserDetails(user);  //需要新建类实现这个UserDetails接口 这个里面有用户详细信息(包括配置)
		//用户名密码权限认证
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(details,null,details.getAuthorities()); //参数1:用户信息  参数3:权限列表
        SecurityContextHolder.getContext().setAuthentication(token);//有这句就表示有身份认证了
        filterChain.doFilter(httpServletRequest,httpServletResponse);//传出去给下面servlet/controller
    }
}

4、 上面需要自定义类实现UserDetails接口,同时要重写其中的所有方法(一键生成);这个是用户的详细信息以及一些配置,需要传pojo中user对象。

package com.neuedu.security;

import com.neuedu.pojo.UmsUser;
import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class UmsUserDetails implements UserDetails {
    private static final long serialVersionUID = 1643942226986503464L;
    private UmsUser umsUser;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return umsUser.getPassword();
    }

    @Override
    public String getUsername() {
        return umsUser.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return false;
    }

    @Override
    public boolean isAccountNonLocked() {
        return false;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return false;
    }

    @Override
    public boolean isEnabled() {
        return false;
    }
}

最后建成了这四个类,注意他们要放到跟Controller同级或者子包下
啊啊

别做杠精!
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security --SecurityConfig的详细配置
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
SecurityConfiguration安全认证与授权
weixin_49302930的博客
07-06 416
这意味着在配置中关闭CSRF保护后,应用程序将不会验证请求是否包含有效的CSRF令牌。禁用CSRF保护可能会有一定的风险,因此在禁用之前应该仔细评估应用程序的安全需求。CSRF是一种常见的Web攻击,攻击者通过利用用户在访问恶意网站时的身份验证信息,发送伪造的请求来执行非法操作。需要注意的是,在禁用CSRF保护时,我们需要确保应用程序有其他有效的安全措施来防止CSRF攻击。这段代码是在使用Spring Security配置CSRF(跨站请求伪造)保护时的一个配置方法。方法用于禁用CSRF保护。
springboot集成springsecurity简单权限管理与logout退出,@AuthenticationPrincipal
热门推荐
老专家的博客
04-24 1万+
springsecurity主要是 认证 (密码登录) 与 授权 (角色权限管理) 下面一个简单项目例子,使用springsecurity MyUserDetailsService#loadUserByUsername 用户登录 SecurityConfig#configure 配置springsecurity行为 Controller中的@PreAuthorize就是用户权限 对照上图看,权限...
SpringSecurity认证流程小白详解
qq_28987919的博客
10-12 550
最近在看三更的SpingSecurity的视频,详细理了一下代码流程,就写个blog记录一下好了。
spring-security中重写WebSecurityConfigurerAdapter问题
qq_21499541的博客
04-30 436
继承WebSecurityConfigurerAdapter重写里面的方法,运行一直报这个错误,有没有知道的,指点指点。
java学习之SpringSecurity配置了登录链接无权限
06-16
由于SpringSecurity的异常处理和mvc的异常处理是不一样的,认证类异常和权限异常了,并不会被全局异常捕获,而是SpringSecurity内部自己做了处理逻辑。 思路分析 我已经将本次请求的url添加到忽略名单里面了,起始...
基于SSM框架的健康项目管理源码,整合Dubbo分布式与SpringSecurity权限认证
最新发布
03-25
项目整合了Dubbo分布式服务框架,以及SpringSecurity进行权限认证,确保系统的安全性和高效性。技术栈多元,主要使用JavaScript进行开发,同时涵盖了CSS、HTML、Java、PHP等多种语言。 文件构成:项目共包含3390个...
SpringBoot+SpringSecurity整合(实现了登录认证权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
Java基于springboot+SpringSecurity的一款权限认证系统(源码+数据库).zip
01-15
开发基于Spring Boot和Spring Security权限认证系统可以按照以下步骤进行: 1. 确定需求:明确权限认证系统的功能和特性,比如用户管理、角色管理、权限管理等。 2. 数据库设计:设计数据库表结构,包括用户表、...
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
SpringSecurity前后端分离Header中添加Authorization的设置以及跨域问题踩坑记录
qq_61887118的博客
05-01 5227
OPTIONS请求即为预检请求,用于判断后端服务是否能接受OPTIONS请求,注意这个请求是没有Auh字段的。OPTIONS请求失败,我全局配置的CORS应该是晚于自定义的handler,所以出现了即使CORS配置了OPTIONS操作的许可,还是出现跨域问题了。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于我向请求头中添加了自定义的属性,所以发送请求时就属于非简单请求。的方法为执行,所以造成了跨域问题,即使自己已经全局配置了跨域。
spring security 使用示例
红衣女妖仙的博客
08-19 1921
用户名密码认证、短信验证码认证、踢人下线、 AuthorizationFilter 授权、FilterSecurityInterceptor url / expression 授权、登出、分布式配置。 2、SecurityConfig   先添加一个 SecurityConfig 配置类,作为整个 spring security 的核心配置,后续的认证、授权等功能都将在整个配置类中完成。 3、用户名密码认证   用户名密码认证主要是自定义实现 UserDetails、UserDetailsService、A
Spring Boot Security
weixin_33766805的博客
06-08 210
如图,是一种通用的用户权限模型。一般情况下会有5张表,分别是:用户表,角色表,权限表,用户角色关系表,角色权限对应表。 一般,资源分配时是基于角色的(即,资源访问权限赋给角色,用户通过角色进而拥有权限);而访问资源的时候是基于资源权限去进行授权判断的。 Spring Security和Apache Shiro是两个应用比较多的权限管理框架。Spring Security依赖Spring,其...
Spring Security(02)认证配置
愤怒的菜鸟博客
02-23 787
前面只是简单使用了springsecurity的登录控制功能,当然实际使用中是一定需要写一些自定义配置的;本节将通过springsecurity配置一些功能: 通过数据库用户密码完成认证 使用自定义登录页面 实现记住我功能 增加验证码功能 添加配置配置的一个比较重要的类是 WebSecurityConfigurerAdapter 新建一个配置类去继承WebSecurityConfigurerAdapter,同时开启 @EnableWebSecurity @EnableWebSecurity publ
SpringBoot添加SSL证书,开启HTTPS(单向认证服务端)
生命的意义在于创造和毁灭
08-24 1万+
SpringBoot项目配置SSL证书,同时开启Http和Https协议,服务器单向认证
SpringBoot配置https(SSL证书)
qq_40902067的博客
06-23 7639
SpringBoot配置https(SSL证书)
SpringBoot+Vue2前后端项目配置ssl证书
weixin_45974277的博客
07-29 6711
springboot项目配置ssl证书
SpringSecurity系列 之 认证失败处理流程
向心行者
06-25 6853
1、常见用法   我们使用SpringSecurity进行配置的时候,有三种方式实现认证失败时的后续处理:其一,通过failureUrl()配置认证失败的重定向路径(Redirect);其二,我们还可以通过failureForwardUrl()配置认证失败的转发路径(Forward),和重定向效果类似,区别主要在于前者是重定向(默认),后者是转发;其三,自定义认证失败处理器,主要通过实现AuthenticationFailureHandler接口实现,其实前面两种方式也是通过实现该接口实现的。   fail
spring security权限认证
05-09
Spring Security中,权限认证可以通过以下步骤实现: 1. 配置Spring Security,包括创建安全配置类和定义安全规则; 2. 实现UserDetailsService接口,重写loadUserByUsername方法,从数据库或其他数据源中获取...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值