SpringBoot框架:集成Spring Security

最新推荐文章于 2024-07-01 07:30:30 发布
最新推荐文章于 2024-07-01 07:30:30 发布
阅读量841 收藏
点赞数
文章标签: spring 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51476114/article/details/122309162
版权

Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。

  • 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程
  • 用户授权指的是验证某个用户是否有权限执行某个操作

注意:每一个用户可以对应多个角色,一个角色可以对应多个可以访问的资源权限

步骤(2步)

  • 导入依赖
  • 编写配置类

导入依赖:新版的springboot 使用security需要引入3个依赖

<!--        security 核心依赖-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
        </dependency>
<!--        在web应用上使用security-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
        </dependency>
<!--        使用security注解及其配置-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
        </dependency>
<!--        thymeleaf、springsecurity整合包-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>

编写SecurityConfig :需要继承WebSecurityConfigurerAdapter

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //授权 什么角色可以访问什么资源
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //什么角色可以访问什么资源  antPatterns:访问路径
        http.authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("role1")
                .antMatchers("/level2/**").hasRole("role2")
                .antMatchers("/level3/**").hasRole("role3");
        //开启自动配置的登录功能
        http.formLogin()
                .loginPage("/login.html")//设置登录页(自定义登录页面)
                .usernameParameter("username")//如果表单的username的name不是username需要单独配置
                .passwordParameter("password")//如果表单的password的name不是password需要单独配置
                .loginProcessingUrl("/login");//登录表单提交请求路径
//        post请求发送
        http.csrf().disable();
        //注销功能 注销之后 返回至首页
        http.logout().logoutSuccessUrl("/");
        //请记住我 会将信息存入cookie中 默认保存14天
        http.rememberMe().rememberMeParameter("remember");

    }
//    认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        密码需要进行加密 不能使用明码
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("tom").password(new BCryptPasswordEncoder().encode("123456")).roles("role1").and()
                .withUser("tony").password(new BCryptPasswordEncoder().encode("123456")).roles("role1","role2").and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("role1","role2","role3");

    }
}

@EnableWebSecurity:自动装配WebSecurity

如果写http.formLogin();表示使用框架自带的登录页面

该示例没有使用数据库,所以使用了内存来存放认证信息

这个配置类是使用链式编程的思想

实现注销

  • 编写语句:http.logout().logoutSuccessUrl("/");
  • url:/logout 这个路径是springsecurity框架为我们提供的

实现自动登录

  • 编写语句:http.rememberMe();
  • 如果是自定义登录页面: http.rememberMe().rememberMeParameter("remember");(登录表单 多选框的name是remember)

thymeleaf与springboot进行整合

需要导入命名空间

xmlns:sec="http://www.thymeleaf.org/extras/spring-security"

关键字介绍

sec:authorize 表示判断用户的普通权限

具体的value:

  • isAuthenicated() 用户成功登录 则显示
  • hasRole("A")用户具有A权限,则显示

sec:authentication 表示当前用户对象

具体的value:

  • name:用户名
  • authentication:权限名称

示例代码

<!DOCTYPE html>
<html lang="en"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
    <style>
        .div_1{
            float: left;
        }
    </style>
</head>
<body>
<br/>
<!--判断是否登录,登录了则显示相关信息,没登录则显示登录连接-->
<div sec:authorize="!isAuthenticated()">
    <a th:href="@{/login.html}">登录</a>
</div>
<div sec:authorize="isAuthenticated()">
    用户:<span sec:authentication="name"/> 权限:<span sec:authentication="authorities"/>
    <a th:href="@{/logout}">注销</a>
</div>

<br/><br/>
<!--只显示 该用户已经授权的资源-->
<div class="div_1" sec:authorize="hasRole('role1')">
    <ul>
        <li><a th:href="@{/level1/1}">1-1</a></li>
        <li><a th:href="@{/level1/2}">1-2</a></li>
        <li><a th:href="@{/level1/3}">1-3</a></li>
    </ul>
</div>

<div class="div_1" sec:authorize="hasRole('role2')">
    <ul>
        <li><a th:href="@{/level2/1}">2-1</a></li>
        <li><a th:href="@{/level2/2}">2-2</a></li>
        <li><a th:href="@{/level2/3}">2-3</a></li>
    </ul>
</div>

<div class="div_1" sec:authorize="hasRole('role3')">
    <ul>
        <li><a th:href="@{/level3/1}">3-1</a></li>
        <li><a th:href="@{/level3/2}">3-2</a></li>
        <li><a th:href="@{/level3/3}">3-3</a></li>
    </ul>
</div>
</body>
</html>

运行结果

在没有登录时,是没有任何权限的,所以只显示登录链接

登录成功,页面会显示用户的相关信息

 

 注销后回到首页

 换一个账号登录 ,以验证 账号之间的区别

 

黑小白~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
详解Springboot2.3集成Spring security 框架(原生集成)
08-18
在本文中,我们将深入探讨如何在Spring Boot 2.3应用程序中集成Spring Security框架,以实现原生的安全管理。Spring Security是一个强大且高度可配置的安全框架,为Java应用提供了全面的安全解决方案。 首先,我们...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
SSM整合SpringSecuritysecurityConfig
qq_42953529的博客
06-28 745
#SSM整合SpringSecuritysecurityConfig web.xml <!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN" "http://java.sun.com/dtd/web-app_2_3.dtd"&...
springsecurity整合
weixin_44295084的博客
08-21 546
写在前面:仅用于记录自己的学习 SpringSecuritySpringSecurity众筹整合SpringSecurity授权配置-初始简单配置授权配置-首页登录页面静态资源授权配置-登录注销配置csrf防跨站点攻击认证配置-主体创建 SpringSecurity SpringSecurity融合了Spring技术栈,提供javaEE应用的整体安全解决方案,提供全面的安全服务。 目前市面上受欢迎的两个安全框架:Apacho Shiro(市场逐渐减小), SpringSecurity 用户提交登录请求的时候
Spring Boot如何集成Spring Security
最新发布
学Java,找哪吒
07-01 1223
根据需要,你可以添加更多的安全配置,如密码策略、记住我功能、CORS 过滤器、自定义权限验证等。
Spring Security应用详解(集成SpringBoot)
mry6的博客
10-24 1860
基于Session的认证方式认证流程认证流程认证流程认证流程认证流程认证流程 认证流程 认证流程 认证流程 认证流程 认证流程 认证流程
SpringBoot集成Spring Security安全认证框架
Apeopl的博客
02-06 3196
从事WEB开发以来,一般用的安全认证框架,最多就是有两种:Apache Shrio和Spring Security,而Spring Security作为Spring全家桶中的一员,相对于Spring集成起来更具有优势和更好的支持! Spring Security是一个强大且可定制的身份验证和访问控制框架,完全基于Spring的应用程序标准,它能够为基于Spring的企业应用系统提供...
10. Spring Security 退出登录logout
一个人的人生
11-29 3034
要实现退出登录的功能我们需要在http元素下定义logout元素,这样Spring Security将自动为我们添加用于处理退出登录的过滤器LogoutFilter到FilterChain。当我们指定了http元素的auto-config属性为true时logout定义是会自动配置的,此时我们默认退出登录的URL为“/j_spring_security_logout”,可以通过logout元素的l
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
在本文中,我们将深入探讨如何在SpringBoot项目中集成Spring Security来实现角色继承,并提供一个完整的源码示例。这将特别适用于初学者和开发者,帮助他们更好地理解Spring Security的安全特性。 首先,让我们理解...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
Spring Security 使用logoutUrl和logoutSuccessUrl跳转显示404异常错误
Geek_Dream
04-30 4551
解决方案 因为 spring security 在开启 csrf 防护的情况下,/logout 必须是以 POST 方法提交才行,<a> 标签请求是 GET 方法,所以报 404 1.很有可能开启了CSRF防护,可以关闭【不建议】 http.csrf().disable(); 2.以 form 表单的形式请求 /logout 接口 <form th:action="@{/logout}" method="post"> <input type="hidden" name=
SpringBoot使用SpringSecurity(三)_登录及退出管理
DreamsArchitects的博客
11-11 985
学习SpringSecurity 第三集一、自定义认证成功、失败处理CustomAuthenticationSuccessHandlerCustomAuthenticationFailureHandlerSpringSecurityConfig配置类测试二、退出登录SpringSecurityConfig配置类LogoutSuccessHandler微信公众号 学习SpringSecurity 第一集 学习SpringSecurity 第二集 一、自定义认证成功、失败处理 在SpringSecurityCo
Spring Security(十):登出Logout
人不风流枉少年
05-26 1万+
退出处理逻辑 使当前session失效 清楚与当前用户相关的remember-me记录 清空当前的SecurityContext 重定向到登录页 http.csrf().disable() .antMatchers("/login", "/session/invalid", "/logout", "/signOut").permitAll() .logout() .logoutUrl(...
史上最简单的Spring Security教程(七):用户登出成功url配置
银河架构师的博客
07-01 2637
Spring Security框架默认的用户登出成功url为/login?logout,大多数情况下,由于种种原因,这都不满足我们的业务场景,都需要自定义。 Spring Security框架自定义用户登出成功url也比较简单。 http.logout().logoutSuccessUrl("/logout_success").permitAll() 这里的permitAll()非常重要,还记得之前Spring Security框架默认的用户登出成功url为/login?log...
Spring Security Config : HttpSecurity安全配置器 LogoutConfigurer
Details Inside Spring
06-08 1984
概述 介绍 作为一个配置HttpSecuritySecurityConfigurer,LogoutConfigurer的配置任务如下 : 配置如下安全过滤器Filter LogoutFilter 会根据所设置的logoutUrl,logoutRequestMatcher,以及配置器CsrfConfigurer中是否启用csrf保护等信息构建最终所使用的退出LogoutRequestMat...
spring security起步四:退出登录配置以及logout属性详解
热门推荐
小鱼儿的专栏
07-15 5万+
用户退出登录实质是使当前登录用户的session失效的操作。一般来说,用户退出后,将会被重定向到站点的非安全保护页,比如登录页面.用户退出功能实现增加hader.jsp<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="c" uri="htt
SpringSecurity退出登录报错,logout,404,CSRF防护
质量不太好的博客
03-15 2001
SpringSecurity退出登录报错,logout,404,CSRF防护
SpringSecurity(九)退出管理
lizc_lizc的博客
11-16 692
实现退出 SpringSecurityConfig .and() .logout() .logoutUrl("/user/logout") // .logoutSuccessUrl("") // 设置退出成功后跳转的页面 .logoutSuccessHandler(new LzcLogoutSuccessHandler()) // 设置退出处理器 .and...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值