六:Day06_Spring Security02

最新推荐文章于 2024-05-09 15:28:12 发布
最新推荐文章于 2024-05-09 15:28:12 发布
阅读量110 收藏
点赞数
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51318621/article/details/134898361
版权

一、访问控制(授权)

1. 基于资源访问控制

  • 查询用户的权限。

  • 访问资源时判断用户是否具有指定的权限。

1.1 修改UserServiceImpl
@Service
public class UserServiceImpl implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;
    @Autowired
    private MenuMapper menuMapper;

    /**
     * @param username  前端登录时提交的用户名
     * @return          用户的认证信息,要求必须为UserDetails接口的实现类
     * @throws UsernameNotFoundException  用户名没有找到时的异常
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUsername, username);
        User myUser = userMapper.selectOne(wrapper);
        if (myUser == null){
            throw new UsernameNotFoundException("用户名不存在");
        }
        
        //查询用户拥有的权限
        List<Menu> menus = menuMapper.selectByUserId(myUser.getId());
        ArrayList<GrantedAuthority> list = new ArrayList<>();
        menus.forEach(menu -> {
            //获取的权限为null时,将null添加到SimpleGrantedAuthority会出现
            //A granted authority textual representation is required异常信息
            String permission = menu.getPermission();
            if (permission != null && permission!=""){
                list.add(new SimpleGrantedAuthority(permission));
            }
        });

        //参数一:用户名  参数二:密码  参数三:权限
        /*
        * org.springframework.security.core.userdetails.User为UserDetails接口的实现类。
        * 也可以自定义的User实现UserDetail接口提供对应的属性。
        * */
        org.springframework.security.core.userdetails.User user = new org.springframework.security.core.userdetails.User(
                myUser.getUsername(), myUser.getPassword(), list);
        return user;
    }
}
1.2 修改配置类
	//请求授权设置。
        /*
        * antMatchers():对指定的请求url进行控制
        * permitAll():允许访问
        * anyRequest():任意一个请求url的控制
        * authenticated():认证后便可以访问
        * hasAuthority():存在指定的权限可以访问
        * hasAnyRole(String ...):存在指定的任意一个权限可以访问
        * */
        http.authorizeRequests()
                .antMatchers("/login.html").permitAll()  //login.html不需要被认证
                .antMatchers("/stu/select").hasAuthority("stu:select") //需要有指定的权限
                .antMatchers("/stu/insert").hasAuthority("stu:insert") //需要有指定的权限
                .antMatchers("/stu/update").hasAuthority("stu:update") //需要有指定的权限
                .antMatchers("/stu/del").hasAuthority("stu:del")       //需要有指定的权限
                .anyRequest().authenticated();                       //其它任意的请求都必须被认证,必须认证(登录成功)后就可以直接访问

2. 基于角色访问控制

2.1 修改UserServiceImpl

官网要求:角色前必须添加 ROLE_ 前缀,角色才会生效。例如:ROLE_admin。

@Service
public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService, UserDetailsService {
    @Autowired
    private UserMapper userMapper;
    @Autowired
    private MenuMapper menuMapper;
    @Autowired
    private RoleMapper roleMapper;

    /**
     * @param username 前端登录时提交的用户名
     * @return 用户的认证信息,要求必须为UserDetails接口的实现类
     * @throws UsernameNotFoundException 用户名没有找到时的异常
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUsername, username);
        User myUser = userMapper.selectOne(wrapper);
        if (myUser == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }
        /*
         * org.springframework.security.core.userdetails.User为UserDetails接口的实现类。
         * 也可以自定义的User实现UserDetail接口提供对应的属性。
         * */
        //查询用户拥有的权限
        List<Menu> menus = menuMapper.selectByUserId(myUser.getId());
        ArrayList<GrantedAuthority> list = new ArrayList<>();
        menus.forEach(menu -> {
            //获取的权限为null时,将null添加到SimpleGrantedAuthority会出现
            //A granted authority textual representation is required异常信息
            String permission = menu.getPermission();
            if (permission != null && permission != "") {
                list.add(new SimpleGrantedAuthority(permission));
            }
        });
        
        //查询用户所有角色
        List<Role> roles = roleMapper.selectByUserId(myUser.getId());
        roles.forEach(role -> {
            list.add(new SimpleGrantedAuthority("ROLE_" + role.getName()));
        });

        //参数一:用户名  参数二:密码  参数三:权限
        org.springframework.security.core.userdetails.User user = new org.springframework.security.core.userdetails.User(
                myUser.getUsername(), myUser.getPassword(), list);
        return user;
    }
}
2.2 修改配置类
 //请求授权设置。
        /*
        * antMatchers():对指定的请求url进行控制
        * permitAll():允许访问
        * anyRequest():任意一个请求url的控制
        * authenticated():认证后便可以访问
        * hasAuthority():存在指定的权限可以访问
        * hasAnyRole(String ...):存在指定的任意一个权限可以访问
        * hasRole():存在指定的角色可以访问
        * hasAnyRole():存在指定的任意一个角色可以访问
        * */
        http.authorizeRequests()
                .antMatchers("/login.html").permitAll()  //login.html不需要被认证
                .antMatchers("/stu/select").hasAuthority("stu:select") //需要有指定的权限
                .antMatchers("/stu/insert").hasAuthority("stu:insert") //需要有指定的权限
                .antMatchers("/stu/update").hasRole("管理员")          //需要有指定的角色
                .antMatchers("/stu/del").hasRole("管理员")             //需要有指定的角色
                .anyRequest().authenticated();                        //其它任意的请求都必须被认证,必须认证(登录成功)后就可以直接访问

二、基于注解的访问控制

在Spring Security中提供了一些访问控制的注解。这些注解都是默认是都不可用的,需要通过@EnableGlobalMethodSecurity进行开启后使用

这些注解可以写到Service接口或方法上,也可以写到Controller或Controller的方法上。通常情况下都是写在控制器方法上的,控制接口URL是否允许被访问

1. 注解介绍

1.1 @PreAuthorize

  • @PreAuthorize:表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解。

  • 注意:必须在启动类@EnableGlobalMethodSecurity中设置prePostEnabled = true

1.2 @PostAuthorize

  • @PostAuthorize:表示方法或类执行结束后判断权限,此注解很少被使用到。

2 . 修改配置类

  • 配置类中不再需要配置基于资源和基于角色的权限控制。

3. 修改启动器

  • 在启动类中通过@EnableGlobalMethodSecurity开启@PreAuthorize注解。

  • @EnableGlobalMethodSecurity(prePostEnabled = true)

4. 修改控制器

  • 在控制器方法上添加@PreAuthorize。

@RestController
@RequestMapping("stu")
public class StudentController {

    @RequestMapping("insert")
    @PreAuthorize("hasAuthority('stu:select')")
    public String insert(){
        return "添加学生";
    }

    @RequestMapping("update")
    @PreAuthorize("hasAuthority('stu:update')")
    public String update(){
        return "修改学生";
    }

    @RequestMapping("del")
    @PreAuthorize("hasRole('ROLE_管理员')")
    public String del(){
        return "删除学生";
    }

    @RequestMapping("select")
    @PreAuthorize("hasRole('ROLE_管理员')")
    public String select(){
        return "查询学生";
    }
}

三、自定义403处理方案

在Spring Security 的 自定义配置类( WebSecurityConfigurerAdapter )中使用HttpSecurity 提供的 exceptionHandling() 方法用来处理异常。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口:

  1. AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常

  2. AccessDeniedHandler 该类用来统一处理 AccessDeniedException 异常

1. 新建类

新建类实现AccessDeniedHandler。

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        out.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员!\"}");
        out.flush();
     }
}

2. 修改配置类

配置类中重点添加异常处理器。设置访问受限后交给哪个对象进行处理。

@Autowired
private AccessDeniedHandler accessDeniedHandler;
//异常处理
http.exceptionHandling()
        .accessDeniedHandler(accessDeniedHandler);

四、Spring Security整合Thymeleaf使用

在项目中添加此jar包的依赖和thymeleaf的依赖。

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-thymeleaf</artifactId>
</dependency>

html添加命名空间。

<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">

1. 获取属性

根据源码得出下面属性:

  1. name:登录账号名称

  2. principal:登录主体,在自定义登录逻辑中是UserDetails

  3. credentials:凭证

  4. authorities:权限和角色

  5. details:实际上是WebAuthenticationDetails的实例。可以获取remoteAddress(客户端ip)和sessionId(当前sessionId)

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    登录账号:<span sec:authentication="name">123</span><br/>
    登录账号:<span sec:authentication="principal.username">456</span><br/>
    凭证:<span sec:authentication="credentials">456</span><br/>
    权限和角色:<span sec:authentication="authorities">456</span><br/>
    客户端地址:<span sec:authentication="details.remoteAddress">456</span><br/>
    sessionId:<span sec:authentication="details.sessionId">456</span><br/>
</body>
</html>

2. 权限判断

如果用户具有指定的权限,则显示对应的内容;如果表达式不成立,则不显示对应的元素。

通过权限判断:
<button sec:authorize="hasAuthority('stu:insert')">新增</button>
<button sec:authorize="hasAuthority('stu:delete')">删除</button>
<button sec:authorize="hasAuthority('stu:update')">修改</button>
<button sec:authorize="hasAuthority('stu:select')">查看</button>
<br/>
通过角色判断:
<button sec:authorize="hasRole('管理员')">新增</button>
<button sec:authorize="hasRole('管理员')">删除</button>
<button sec:authorize="hasRole('管理员')">修改</button>
<button sec:authorize="hasRole('管理员')">查看</button>

五、Spring Security中CSRF

1. CSRF

CSRF英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。

CSRF 是致击者通过一些技术手段欺骗用户的浏览器,去访问一个用户曾经认证过的网站并执行恶意请求,例如发送邮件、发消息、甚至财产操作(如转账和购买商品)。由于客户端(浏览器)已经在该网站中认证过了,所以该网站会认为是真正用户在操作而执行请求(实际上并非用户的本意)。

2. Spring Security中CSRF

从Spring Security4开始CSRF防护默认开启。默认会拦截请求,以防止CSRF攻击应用程序处理。默认情况下会启用 CSRF 保护,,SpringSecurity CSRF 会针对 PATCH,POST,PUT 和 DELETE 方法进行防护。要求访问时携带参数名为_csrf值为token(token在服务端产生)的内容,如果token和服务端的token匹配成功,则正常访问。

注意,这里面不包括GET、HEAD、TRACE、OPTIONS请求,这些请求还是会存在这种问题的。

3. Spring Security中CSRF原理

  1. 当服务器加载登录页面,先生成csrf对象,并放入作用域中,key为_csrf。

  2. 用户在提交登录表单时,会携带csrf的token。如果客户端的token和服务器的token匹配说明是自己的客户端,否则无法继续执行。

  3. 用户退出的时候,必须发起POST请求,且和登录时一样,携带csrf的令牌。

4. 实现  

4.1 login.html

在项目resources下新建templates文件夹,并在文件夹中新建login.html页面。form表单中的第一行是必须存在的否则无法正常登录。

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action = "/login" method="post">
	<input type="hidden" th:value="${_csrf.token}" name="_csrf" th:if="${_csrf}"/>
    用户名:<input type="text" name="username"/><br/>
    密码:<input type="password" name="password"/><br/>
    <input type="submit" value="登录"/>
</form>
</body>
4.2 修改配置类

在配置类中注释掉CSRF防护失效。

新手小菜鸟上路
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security 6.x 系列【23】源码篇之异常处理机制
记录知识、锤炼自我
08-10 1158
Spring Security中的异常主要是AuthenticationException、AccessDeniedException。AuthenticationException认证异常,它是所有认证时发生异常的抽象超类,它有很多子类
SpringSecurity_day02.pdf
05-09
SpringSecurity_day02.pdf
SpringSecurity权限控制
Curtisjia的博客
10-31 310
权限控制 Spring Security配置文件中添加如下注解: @Configuration @EnableGlobalMethodSecurity(prePostEnabled = true) public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter { ... } 在UserDetailService中,我们给当前登录用户授予了admin的权限,我们将这块代码改造一下:当登录用户为admin的时候,其拥有”a
SpringSecurity学习()CORS跨域、异常处理
Huathy的博客
03-12 2766
CORS是W3C的一种跨域资源共享技术标准,目的是为了解决前端跨域请求(浏览器同源策略会对跨域请求进行拦截)。早期方案由JSONP(仅支持GET),而CORS支持多种http请求,目前主流方案。cors中新增了一组 http请求头字段,通过这些字段告诉浏览器,那些网站通过浏览器有权限访问那些资源。
SpringSecurity OAuth2 (6) 自定义: ClientDetailsService, 异常处理以及一致性响应
热门推荐
O_o
07-07 1万+
本文介绍 Spring Security OAuth2 的自定义数据结构以及 ClientDetailsService.
Day47_Spring SecuritySpring Security的微服务使用
weixin_45014721的博客
07-13 2616
文章目录一、知识补充1.单点登录:2.认证授权过程分析3.使用token的流程二、分析p21讲了本案例的需求说明p22讲了本案例用到的5张表p24搭建了项目工程p26后没有看· 学习视频:SpringSecurity 一、知识补充 1.单点登录: 单点登录:微服务中有众多模块,你在某一个模块完成登录验证后就不需要在其它模块进行登录验证了 2.认证授权过程分析 (1)基于 Session,如果基于 Session,那么 Spring-security 会对 cookie 里的 sessionid 进行解析,找
SpringSecurity_day02
Firstlucky77的博客
06-16 461
Spring Security想必大家也在网上也看到过许多博客讨论,对于它的概念我就不再细说了。由于Spring SecuritySpring生态系统中的一员,它伴随着整个Spring生态系统不断修正、升级,所以使用Spring Security 能最大程度减少企业系统安全控制编写大量重复代码的工作。但据有关数据表示,现在大多数开发人员对于Spring Security仅仅停留在会用的阶段,对于其核心原理却不知其所以然。所以今天互联网雷锋(小编我)就把前段时间从百度一位好大哥手上拿到的Spring Sec
品优购_day04_Spring Security_V1.31
08-08
品优购电商系统开发第4章安全框架与商家入驻审核传智播客.黑马程序员 课程目标目标1:实现SpringSecurity入门小Demo目标2:完成运营商登陆与安全控
SpringSecurity_day03.pdf
05-09
SpringSecurity_day03.pdf
SpringSecurity_day04.pdf
05-09
SpringSecurity_day04.pdf
SpringSecurity_day01.pdf
05-09
SpringSecurity_day01.pdf
Spring Security):自定义登录成功与失败处理
zhujunjun6的专栏
03-20 1047
基本思路:实现AuthenticationSuccessHandler或AuthenticationFailureHandler接口,并进行相应的配置就可以了。当然框架有默认的实现类,也可以继承实现类再来自定义自己的业务。 操作流程 1、【zjj-security-demo 工程】修改application.yml 屏蔽属性loginPage,为后面一会测试使用,新增属性loginTyp...
Spring——Security安全框架之没有权限访问处理
专注写bug
02-23 6708
文章目录前言本篇博客做的内容项目创建环境、配置等增加未认证跳转页面配置类中增加无权访问页面跳转配置请求测试前后分离配置先创建无权监测类修改配置类测试代码下载 前言 前面的博客中,针对基于内存、基于数据库的方式实现了用户的校验操作。 同时也对于基于内存、针对部分请求设定访问权限的操作,也做了大致的配置和测试展示。 本篇博客做的内容 自定义403 无权访问的页面; 以及前后分离 403的提示。 项目创建 springboot-security-07。 环境、配置等 参照springboot-security-0
springboot redis token_SpringBoot前后端分离项目,集成Spring Security(完整版)
weixin_39583162的博客
11-21 762
本文讲解使用SpringBoot版本:2.2.6.RELEASE,Spring Security版本:5.2.2.RELEASEJava流行的安全框架有两种Apache Shiro和Spring Security,其中Shiro对于前后端分离项目不是很友好,最终选用了Spring SecuritySpringBoot提供了官方的spring-boot-starter-security,能够方便的...
springboot和html怎么实现文件上传
m0_74749208的博客
05-07 516
文件怎样上传
Spring之Bean生命周期源码解析
dzend的专栏
05-08 840
Spring框架中,Bean的生命周期是非常重要的,它涉及到Bean的创建、初始化、销毁等过程。通过对Spring之Bean生命周期源码的解析,我们可以更好地理解Spring容器是如何管理Bean的生命周期的。
SpringBootWeb案例
kussm_的博客
05-08 984
主要写一些学到的知识。
RuoYi-Vue-Plus (SpringCache、CacheManager、@Cacheable、缓存雪崩、击穿、穿透)
最新发布
javaxueba的博客
05-09 886
*** 2-自定义缓存管理器 整合spring-cache*/@Bean自定义 管理器PlusSpringCacheManager,实现CacheManager 接口,基于redssion操作缓存/***//*** <p>* 修改 RedissonSpringCacheManager 源码* 重写 cacheName 处理方法 支持多参数*///是否自动配置name//是否允许null//事务提交之后执行// 常用缓存配置 ttl;
Spring Security
程序员碎像的博客
05-08 986
/ 默认URL路径跳转到/login, 此url为spring security所提供@Override// 当用户访问根路径时,将会被重定向到登录页面@Bean// 这里返回一个PasswordEncoder实例,用于密码编码。// 在实际应用中,应该使用BCryptPasswordEncoder来对密码进行加密。// 下面这行代码是用于测试的,它不对密码进行加密,这在生产环境中是不安全的。@Bean。
Failed to execute goal on project day77_nPortal: Could not resolve dependencies for project com.qf:day77_nPortal:jar:1.0-SNAPSHOT: Could not find artifact com.qf:day77_nService:jar:1.0-SNAPSHOT
05-24
这个错误提示意味着你的项目找不到依赖的 `com.qf:day77_nService:jar:1.0-SNAPSHOT` 包。这可能是因为: 1. 你忘记在项目的 pom.xml 文件中添加依赖。 2. 你的依赖配置错误,导致 Maven 没有从正确的仓库中获取到...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值