SpringSecurity安全框架学习心得,避免踩坑。

最新推荐文章于 2024-03-19 15:08:06 发布
最新推荐文章于 2024-03-19 15:08:06 发布
阅读量917 收藏 5
点赞数 3
分类专栏: java 文章标签: 安全 java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46418539/article/details/125010265
版权

最近有一个项目需要用到SpringSecurity安全框架,特意简单学习了一下,中间也踩了很多坑,在这里记录一下避免以后踩坑。

1、引入:

在很多的项目中,都会遇到认证问题,就是管理员与用户等不同角色访问页面权限的问题,以及数据库密码加密问题,SpringSecurity能帮我们很好地解决这个问题,但它的作用要多得多,而且更深层,这里我只简单学习了一下。

2、导包:

要想使用框架,需要导入springsecurity的包:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>

第一个是引入框架而导的包,第二个则是因为sec:authorize在使用中,默认的springsecurity4是只支持2.0.9以下的springboot,所以要想使用的时候更好地支持我们导入这个包。

3、新建WebSecurityConfig配置类:

继承WebSecurityConfigurerAdapter类,之后我们就可以进行重写配置来自定义功能了,不要忘了加上配置注解

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  //  启用方法级别的权限认
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{


}

4、 自定义配置:

①拦截配置:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)  //  启用方法级别的权限认
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    //方法注解方式
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //请求规则(放行URL路径)
        http.authorizeRequests()
                .antMatchers("/index/registerBef").permitAll()
                .antMatchers("/index/register").permitAll();

        //没有权限就进入登录界面,定制登录页
        http.formLogin()
                //自定义登录页面(需要URL路径)
                .loginPage("/index/loginBef").usernameParameter("name").passwordParameter("password")
                .loginProcessingUrl("/index/login")
                .defaultSuccessUrl("/emp/list?page=1",true)
                .failureUrl("/index/loginError")
                .permitAll()
                .and().authorizeRequests().anyRequest().authenticated()
                .and().exceptionHandling().accessDeniedPage("/index/roleError")
                .and().headers().frameOptions().sameOrigin()
                .and().csrf().disable();
        //注销
        http.logout().logoutUrl("/index/logout");
        http.rememberMe();
    }
}

因为注册页面是不做拦截的,所以要放行两个URL,一个是加载页面的,一个是处理注册数据的。

如果不是放行的URL,那就要进入登录界面,利用http.formLogin属性可以自定义登录功能:

  • loginPage():  定义登录界面跳转的URL或者HTML,但是一般情况是不能直接访问HTML,而是通过controller来进行跳转的,所以一般这里配置跳转登录页面的URL。
  • usernameParameter():  定义登录用户名的名称,如果没有设置成username的话,springsecurity的loadUserByUsername是接收不了你前台定义的名称数据的,如果你想自定义设置,那么就需要在这里进行设置为前台上传的名称。
  • passwordParameter():  定义登录密码的名称,与上面同理,但是不是同一个地方进行接收的,但也要设置成相同才能接收。
  • loginProcessingUrl():  登录进程url,就是自定义登录页面时提交登录表单时的action地址,交给springsecurity来进行处理认证,不需要自己写登录处理认证方法。
  • defaultSuccessUrl():  默认登录成功后跳转的URL,这里可以自定义设置为自己想要跳转的第一个界面。
  • failureUrl():  登录认证失败跳转的URL,这里建议自己写一个对应的认证失败页面HTML来进行跳转,当然也是通过控制器来进行跳转。
  • permitAll():  对于所有人都应用这些规则。
  • authorizeRequests().anyRequest().authenticated():  设置其他所有的请求都需要验证。
  • exceptionHandling().accessDeniedPage():  设置权限验证失败后跳转的页面,这个权限验证是通过角色信息里的ROLE,springsecurity自行进行验证判断的。
  • headers().frameOptions().sameOrigin():  表示该页面可以在相同域名页面的 frame 中展示,多用于局部刷新。
  • csrf().disable():  关闭CSRF防护,因为从springsecurity4开始CSDF防护是默认开启的,默认会拦截请求,进行CSRF处理,作用是为了防止不是其他第三方网站访问,要求访问时数据携带参数名为_csdf值为token(token在服务端产生)的内容,如果token和服务器的token匹配成功,则正常访问。正常情况下,我们没必要用这种,所以要关闭的话,就设置csrf().disable()。
  • logout().logoutUrl():  设置注销时处理跳转的URL,会使springsecurity重新回到登录认证开始前的拦截状态。
  • rememberMe():  记住账号密码。

②配置拦截忽略文件夹:

@Override
    public void configure(WebSecurity web) throws Exception{
        // 设置拦截忽略文件夹,对资源放行
        web.ignoring().antMatchers("/bootstrap/**", "/js/**","/css/**","/js/**","/fonts/**","/views/register.html","/views/login.html","/views/loginError.html","/views/RoleError.html");
    }

web.ignoring().antMatchchers():  设置拦截忽略文件夹,对资源放行,主要针对一些静态资源,或者是一些不想被拦截的html。

③配置密码加密策略:

//配置采用哪种密码加密算法
    @Bean
    public PasswordEncoder passwordEncoder() {
        //不使用密码加密
        //return NoOpPasswordEncoder.getInstance();

        //使用默认的BCryptPasswordEncoder加密方案
        return new BCryptPasswordEncoder();

        //strength=10,即密钥的迭代次数(strength取值在4~31之间,默认为10)
        //return new BCryptPasswordEncoder(10);

        //利用工厂类PasswordEncoderFactories实现,工厂类内部采用的是委派密码编码方案.
        //return PasswordEncoderFactories.createDelegatingPasswordEncoder();

    }

有很多种加密策略,在注释中写的比较详细,一般会使用默认的BCryptPasswordEncoder加密策略。

④加入数据安全认证:

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    // 加入自定义的安全认证:数据库用户
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

使用上述的密码策略进行加密,我们要从数据库中提取这个密码进来,或者对传入的密码进行加密,所以就要实现一个接口实现,这个接口实现是springsecurity自带的,但我们需要重写里面的loadUserByUsername方法。

5、重写loadUserBuUsername方法:

①新建UserDetailsService:

@Component
public class UserDetailsServiceImpl implements UserDetailsService {

}

②重写loadUserByUsername方法:

@Component
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        // 从数据库中取出用户信息
        Power user = userService.findByUsername(name);
        if (user == null) {        // 判断用户是否存在
            throw new UsernameNotFoundException("用户名不存在");
        }
        // 添加角色
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority(user.getRole_code()));
        return new User(user.getUser_name(), user.getUser_password(), authorities);        // 返回UserDetails实现类
    }
}

先用前台登录页面上传的username,从数据库中将user对象取出来,如果用户不存在,则直接报异常,用户名不存在。如果存在那么就将角色权限添加进GrantedAuthority集合里面,可以添加很多权限进去,可以通过遍历添加,之后将数据库用户名、密码、权限集合进行返回,使用安全框架的密码验证明文密码是否与数据库对应,如果对应则安全验证通过,否则不通过。

6、权限验证方法:

权限是属于角色的,命名方式可以是ROLE_**,也可以是**,对于第一种最后在前台的验证方式这两种都可以成功,对于第二种则只能用第二种的验证名称。

例如:前端使用

    <th:block sec:authorize="${hasAnyRole('ADMIN','MANAGER')}">
        <a th:href="@{/user/list}" type="button" class="btn btn-primary"><span class="glyphicon glyphicon-user" aria-hidden="true"/> 角色界面</a>
    </th:block>
    <th:block sec:authorize="${hasAnyRole('ADMIN','MANAGER')}">
        <a th:href="@{/dep/list}" type="button" class="btn btn-primary"><span class="glyphicon glyphicon-user" aria-hidden="true"/> 部门界面</a>
    </th:block>
    <th:block sec:authorize="${hasAnyRole('EMPLOYEE','ADMIN','MANAGER')}">
        <a th:href="@{/emp/list(page=1)}" type="button" class="btn btn-primary"><span class="glyphicon glyphicon-user" aria-hidden="true"/> 员工界面</a>
    </th:block>
    <th:block sec:authorize="${hasRole('ADMIN')}">
        <a th:href="@{/role/list}" type="button" class="btn btn-primary"><span class="glyphicon glyphicon-user" aria-hidden="true"/>权限界面</a>
    </th:block>

hasRolehasAnyRole方法可以对当前角色的权限进行验证,如果有相应的权限,则该页面会显示,这也是前面我们导入第二个包的原因,不然sec:authorize不会生效。

当然后端也可以使用,如果出现权限不允许的情况,后端就会加载到RoleError界面去:

@RequestMapping("dep")
@Controller
@PreAuthorize("hasAnyRole('ADMIN','MANAGER')")
public class DepartmentController {

}

假如是权限为ROLE_EMPLOYEE的员工角色进行访问,则会访问失败,跳转权限不足界面。

而权限为ROLE_ADMIN的管理员和ROLE_MANAGER的经理角色,那就会成功加载相应界面。

自此,springsecurity的基本使用就可以正常进行,还有更深层的作用之后会继续进行学习。

很菜的小jiang
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Springsecurity安全框架案例+多页面登录+redis+token
12-08
Springsecurity安全框架案例+多页面登录+redis+token
SpringBoot安全框架(Spring Security)
06-26
SpringBoot安全框架(Spring Security)
Parameter ‘username‘ not found问题,@Param的用法,服务端报错500
最新发布
qq_63542700的博客
03-19 250
在跟着黑马学javaWeb的时候用postman总是报错500,于是做出了以下个人总结,希望对你们有帮助。1.在传递一个对象参数时,用param会报错500(服务器问题),格式都没问题。2.在多参数的情况下,用Param不报错500,没有@Param会报错。3.传递集合时用@Param也没有报错500了。4.传递单个参数时不用@Param也没有报错。在去掉param后,成功运行。
解决在项目里引入Spring Security后iframe或者frame所引用的页无法显示的问题
02-07 1万+
出现这个问题的原因是因为Spring Security默认将header response里的X-Frame-Options属性设置为DENY。 如果页面里有需要通过iframe/frame引用的页面,需要配置Spring Security允许iframe frame加载同源的资源,方法为在Spring Security的配置类里将header response的X-Frame-Options属
SpringSecurity默认限制iframe引用页面,导致X-Frame-Options deny
点滴记录
10-15 5699
Spring Security环境下X-Frame-Options默认为DENY 非Spring Security环境下X-Frame-Options的默认大多也是DENY 这种情况下,浏览器拒绝当前页面加载任何Frame页面 X-Frame-Options 有三个值: DENY 表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 S...
web 点击劫持 X-Frame-Options
whatday的专栏
04-07 2451
原理解释 点击劫持,clickjacking,也被称为UI-覆盖攻击。这个词首次出现在2008年,是由互联网安全专家罗伯特·汉森和耶利米·格劳斯曼首创的。 它是通过覆盖不可见的框架误导受害者点击。 虽然受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 这种攻击利用了HTML中<iframe>标签的透明属性。 就像一张图片上面铺了...
springboot,shiro跨域CORS请求,拿不到headers中的token值解决
m0_67402774的博客
08-25 1310
最近在做一个后台用Spring boot、Shiro、Mybatis plus 、Oauth2,前台用layui的项目.前端在调后台接口的时候需要在浏览器中的headers头中添加token和userId的值(根据业务不同可能传值不一样),后台有一个过滤器,获取到headers中的token和userId,并去验证token是否在有效期内,在进行其他操作,在这个过程中,shiro的过滤器中一直接收不到token和userId的值,并且前端会报跨域问题。所以我们要做的就是把所有的OPTIONS请求统统放行。
spring-boot集成spring-security
一个有梦想的混子
03-06 4513
这篇文章介绍下security在spring-boot中如何进行集成配置。 之前在学习Spring-security的时候还是使用传统的xml进行配置。基本上需要单独建一个xml文件来配置security,内容很多,也有小伙伴给我反馈说太复杂了。一头晕啊。 下面就来看看spring-boot下如何把复杂的配置简单化。 由于官网的文档讲述的是各个组件是如何使用的,每个组件讲的非常细致,但是对于...
SpingBoot+SpringSecurity跨域访问,在请求头headers中加token后,跨域访问请求失败
热门推荐
小小的人儿的博客
11-07 1万+
ajax跨域访问header代token headers : { &quot;token&quot; : localStorage.getItem(&quot;tft_user_token&quot;) }, 在请求头上加入token后,跨域请求被拦截!注释掉header后,跨域请求成功,但是我们的要求是要用token做验证,所以header的token不能注释,那怎么办呢? 不急,SpringSecurit...
【开发心得】解决iframe 请求security出现X-Frame-Options
清风唱诗人的博客
07-30 1477
在开发SpringSecurity配置的项目时,返回带有iframe的页面时,无法显示。 报错截图: 打开页面工具看到提示 Refused to display in a frame because it set 'X-Frame-Options' to 'DENY' >>>>> Springboot 2.x 要在继承了WebSecurityConfigurerAdapter 的配置类中配置。 结合SpringBoot只要在页面访问控制的配置中加上 http.
ruoyi-vue版本(十三)若依项目里面,spring security 框架的使用
一天不写代码难受的博客
01-20 2436
若依
SpringSecurity安全框架基础Demo
01-02
SpringSecurity安全框架基础Demo,
SpringSecurity安全框架案例
09-23
完整的认证授权流程,没有验证码校验
动力节点最新SpringSecurity框架教程配套资料分享
07-25
课程内容主要分为: 安全入门,认证授权的概念,在SpringBoot中使用Security,加密处理,基于数据库的认证和授权,Spring Security中使用Thymeleaf自定义登录页面,通过过滤器集成图片验证码,Base64和JWT的学习,...
HTTP 响应头 X-Frame-Options
sayyy的专栏
10-14 3186
HTTP协议 - X-frame-options
frag0910的专栏
06-28 2054
防止某些重要网页被其他网站框架(iframe)导入,可以给页面增加X-Frame-Options响应头,这样浏览器会依据X-Frame-Options的值来控制iframe框架的页面是否允许加载显示出来。 修改web服务器配置,添加X-frame-options响应头。赋值有如下三种: (1)DENY:不能被嵌入到任何iframe或frame中。 (2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 (3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 如果不
利用 HTTP Security Headers 提升站点安全
码代码的陈同学
11-05 8777
欢迎访问陈同学博客原文 产品不断迭代,安全却很少关注,这在小团队司空见惯吗? 前两天拿到一份站点的安全检测报告: 例举几点: 你是否将 Mysql、Redis、Mongo 等端口暴露在公网? 你是否采用 22、3306这种极易被扫描的默认端口? 你是否强制使用 HTTPS?是否将HTTP重定向到了HTTPS? 你是否设置了 HTTP Security Headers? … 还有检测不出来的...
java xframeoptions,Header:X-Frame-Options开启与关闭方法
weixin_39772388的博客
03-13 2350
X-Frame-Options头主要是为了防止站点被别人劫持,iframe引入一、nginx配置形式:add_header X-Frame-Options ALLOWALL; #允许所有域名iframeadd_header X-Frame-Options DENY; #不允许任何域名iframe,包括相同的域名add_header X-Frame-Options SANEORIGIN; #允许相同...
Refused to display 'url' in a frame because it set 'X-Frame-Options' to 'deny'.
YangFanJ的博客
06-29 1万+
说明:前端使用layui。tab嵌套iframe,在加入security之前并无异常。springmvc 在整合spring security时,浏览器发送请求,出现解决:在继承WebSecurityConfigurerAdapter的子类的覆盖方法configure(HttpSecurity)里面添加:http.headers().frameOptions().sameOrigin();百度查找...
Spring Security6自定义放行不生效笔记
01-07
根据提供的引用内容,以下是关于Spring Security 6自定义放行不生效的笔记: 1. 确保@EnableWebSecurity注解正确配置 在Spring Security 6中,使用@EnableWebSecurity注解来启用Web安全功能。确保该注解正确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

很菜的小jiang

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值