SpringSecurity前后端分离的安全管理实现(一)

已于 2022-06-20 23:47:27 修改
阅读量911 收藏 3
点赞数 3
分类专栏: springboot 文章标签: spring boot 后端 spring intellij idea java
于 2022-05-06 11:05:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56263094/article/details/124593712
版权

大家好 我是积极向上的湘锅锅💪💪💪  

(50条消息) 万字详解 SpringSecurity+Mybatis前后端分离的安全管理实现(二)_湘锅锅的博客-CSDN博客

目录

1.创建工程

2.配置工程

1.基础配置

2.pom.xml 配置

3.mybatis配置

4.springboot配置

3.数据库设计 

 1.创建表

 2.数据库表内容

4.springsecurity配置

 1.WebSecurityConfig

 2.MD5工具类 

 3.自定义密码校验器

 4.自定义登录校验

5. 开始测试

SpringSecurity 

SpringSecurity提供了一个权限的验证管理的快速搭建工具。

以Web开发为例,使用SpringSecurity框架后

  • 可以对前端发来的url请求进行拦截,从而验证用户的权限是否允许该用户进行此请求。
  • 提供了登录和登出的接口,当用户向接口传入账号密码信息后,框架会根据已知的用户列表验证账号密码,并读取该用户的权限,标记该用户的Session对象;登出时,也会销毁用户的JSessionID信息。
  • 这个用户列表既可以写在代码里面(基于内存访问),也可以通过Dao层和Service层从数据库里获取(基于JDBC的访问)。
  • 支持用户和权限直接对应,也支持RBAC(基于角色的控制管理),即用户和角色对应,角色再对应权限。

1.创建工程

 

勾选以下依赖 

 

 

 点击finish咱们的工程就创建好啦💪💪💪

2.配置工程

1.基础配置

先把不需要的先删掉

=====》 

 把application.properties改成application.yaml

这里采用yaml的写法

2.pom.xml 配置

加入德鲁伊 druid

<dependency>
       <groupId>com.alibaba</groupId>
        <artifactId>druid-spring-boot-starter</artifactId>
        <version>1.1.22</version>
 </dependency>

如果报错记得这俩个来回点一下

3.mybatis配置

在application.yaml种写入自己的mybatis配置

写入自己的账号密码还有url这些 

spring:
  datasource:
    username: root
    password: root
    url: jdbc:mysql://localhost:3306/springboot?serverTimezone=UTC&useUnicode=true&characterEncoding=utf-8&useSSL=false
    driver-class-name: com.mysql.jdbc.Driver
    type: com.alibaba.druid.pool.DruidDataSource
---
//注意看下一张图
mybatis:
  mapper-locations: classpath:mybatis/mapper/*.xml

 然后创建pojo,mapper,sevice

这些都是mybatis的操作 就不过多阐述

完成后如下

  4.springboot配置

        开启包扫描 扫描mapper

 然后可以自己用测试类测试一下是否连接成功

 如果报错估计就是配置或者路径不对

 实在不行可以clean一下 然后compile

3.数据库设计 

 1.创建表

        在数据库运行即可

/*
 Navicat Premium Data Transfer

 Source Server         : SSM
 Source Server Type    : MySQL
 Source Server Version : 80027
 Source Host           : localhost:3306
 Source Schema         : springboot

 Target Server Type    : MySQL
 Target Server Version : 80027
 File Encoding         : 65001

 Date: 05/05/2022 23:35:09
*/

SET NAMES utf8mb4;
SET FOREIGN_KEY_CHECKS = 0;

-- ----------------------------
-- Table structure for user
-- ----------------------------
DROP TABLE IF EXISTS `user`;
CREATE TABLE `user`  (
  `uid` int(0) NOT NULL AUTO_INCREMENT,
  `username` varchar(255) CHARACTER SET utf8 COLLATE utf8_bin NULL DEFAULT NULL COMMENT '用户名',
  `password` varchar(255) CHARACTER SET utf8 COLLATE utf8_bin NULL DEFAULT NULL COMMENT '密码',
  `roles` varchar(255) CHARACTER SET utf8 COLLATE utf8_bin NULL DEFAULT NULL COMMENT '角色',
  PRIMARY KEY (`uid`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 3 CHARACTER SET = utf8 COLLATE = utf8_bin ROW_FORMAT = Dynamic;

-- ----------------------------
-- Records of user
-- ----------------------------
INSERT INTO `user` VALUES (1, 'superadmin', '7175f5c5ea79851930b990a81bac06f9', 'ROLE_SUPER_ADMIN');
INSERT INTO `user` VALUES (2, 'admin', '7175f5c5ea79851930b990a81bac06f9', 'ROLE_ADMIN');
INSERT INTO `user` VALUES (3, 'ideal', '7175f5c5ea79851930b990a81bac06f9', 'ROLE_USER');

SET FOREIGN_KEY_CHECKS = 1;

 2.数据库表内容

4.springsecurity配置

 1.WebSecurityConfig

创建config文件夹==>创建WebSecurityConfig==>继承WebSecurityConfigurerAdapter

==>添加@Configuration和@EnableWebSecurity注解 

完成后如下

        重写以下方法 

  //权限
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
    }
    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        super.configure(auth);
    }

configure(HttpSecurity http)的实现

这个configure方法是核心的配置方法。鉴权的决定器、自定义的登录登出、匿名用户访问、会话管理都在在这里定义

configure(AuthenticationManagerBuilder auth)的实现

这个configure方法是进行身份验证的。也就是说需要用到我们所定义的UserDetailsService实现类

 同时,5.x以上的Security框架要求数据库中或内存中存放的用户密码必须经过加密!以密文形式存储,因此还需要通知configure方法我们使用的加密方法

 2.MD5工具类 

在config文件夹新建MD5Util==>CV代码


/**
 * MD5加密工具
 *
 */
public class MD5Util {

    private static final String SALT = "xhx";

    public static String encode(String password) {
        password = password + SALT;
        MessageDigest md5 = null;
        try {
            md5 = MessageDigest.getInstance("MD5");
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
        char[] charArray = password.toCharArray();
        byte[] byteArray = new byte[charArray.length];

        for (int i = 0; i < charArray.length; i++)
            byteArray[i] = (byte) charArray[i];
        byte[] md5Bytes = md5.digest(byteArray);
        StringBuffer hexValue = new StringBuffer();
        for (int i = 0; i < md5Bytes.length; i++) {
            int val = ((int) md5Bytes[i]) & 0xff;
            if (val < 16) {
                hexValue.append("0");
            }

            hexValue.append(Integer.toHexString(val));
        }
        return hexValue.toString();
    }

    public static void main(String[] args) {
        String encode = MD5Util.encode("123456");


        System.out.println(encode);


    }
}

说明一下 这是加盐的MD5 所以可以根据自己需要 改一下SALT就行 

 3.自定义密码校验器

在config文件夹新建MyPasswordEncoder


public class MyPasswordEncoder implements PasswordEncoder {
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return encodedPassword.equals(MD5Util.encode(rawPassword.toString()));
    }

    @Override
    public String encode(CharSequence rawPassword) {
        return MD5Util.encode(rawPassword.toString());
    }
}

然后在WebSecurityConfig注入这个bean 告诉springboot我使用自定义密码认证方式


 // 设置默认的加密方式(MD5方式加密)
    @Resource
    private PasswordEncoder passwordEncoder;

  4.自定义登录校验

在sevice的impl新建UserSevice 一定要implements UserDetailsService!!!

框架提供的UserDetail的Service接口,其中需要实现的方法是UserDetails loadUserByUsername(String username)


@Service
public class UserSevice implements UserDetailsService {
    @Autowired
    UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserExample example = new UserExample();
        UserExample.Criteria criteria = example.createCriteria();
        criteria.andUsernameEqualTo(username);
        List<User> users = userMapper.selectByExample(example);
        //以上调用自己的就好 不用复制


        User user = null;
        user = users.get(0);
        if(user==null){
            throw  new UsernameNotFoundException("用户名不存在");
        }
        
        List<SimpleGrantedAuthority> authorityList = new ArrayList<>();

        String role = user.getRoles();
        //ROLE是分辨是角色还是用户 以下划线分隔
        //权限就自动附加上去了
        if(role!=null){
            authorityList.add(new SimpleGrantedAuthority(role.trim()));
        }

        return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(),authorityList);
    }
}

在WebSecurityConfig注入这个sevice 然后在 configure(AuthenticationManagerBuilder auth) 里面调用

 @Autowired
 UserSevice userSevice;

     //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

       auth.userDetailsService(userSevice).passwordEncoder(passwordEncoder);
    }

5. 开始测试

在configure(HttpSecurity http)写入

 //首页所有人可以访问,功能页只有对应权限的人才能访问
        http.authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasAnyRole("USER","ADMIN","SUPER_ADMIN")
                .antMatchers("/level2/**").hasAnyRole("ADMIN","SUPER_ADMIN")
                .antMatchers("/level3/**").hasRole("SUPER_ADMIN")
                .and().authorizeRequests();

整个 WebSecurityConfig就为这样

 授权操作已经在自定义登录时完成了

所以权限那块就只需要我们设置权限就好 这里做个参考

要访问leve1下的内容 必须要USER,ADMIN,SUPER_ADMIN

而要访问level2下的内容 需要ADMIN,SUPER_ADMIN,有USER权限的就不行

好啦 一个简单的mybatis整合就完成啦

接下来就是实现多自定义模块化处理

(50条消息) 万字详解 SpringSecurity+Mybatis前后端分离的安全管理实现(二)_湘锅锅的博客-CSDN博客

欢迎点赞关注收藏💪💪💪

owensweat
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security登录认证【前后端分离
Y390d的博客
08-31 4519
1. 导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId
SpringBoot集成Security前后端分离SecurityConfig配置
qq_41910048的博客
03-20 7986
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
SpringSecurity框架教程-Spring Security+JWT实现项目级前端分离认证授权
最新发布
m0_45209551的博客
05-10 904
SpringSecurity框架使用到讲解
SpringBoot整合Spring Security实现前后端分离登录权限处理
z132411的博客
04-29 3141
前言 首先要感谢这位博主得分享,根据他的博客,直接就可以依照参考将权限模块处理成功,这里我就不讲述spring Security的一些概念了,相信有的博主写的更好,或者直接去官网查看Spring Security,想看这位博主连接的直接跳转查看,原文连接: Springboot + Spring Security 实现前后端分离登录认证及权限控制_I_am_Rick_Hu的博客-CSDN博客_springsecurity前后端分离登录认证 目录结构: 首先这是我的目录结构: 前期工作: 1.
spring security 配置
liu911025的博客
09-12 1655
转载文章链接:http://blog.csdn.net/u012367513/article/details/38866465spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库
SpringSecurity框架
Mr_Jin的博客
06-20 4896
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截设计"项目中,我们将探讨如何将这两者结合,实现一个高效的登录拦截系统。 首先,SpringBoot的核心是简化Spring应用的创建和管理,它通过内置的Tomcat服务器、...
《Vue Spring Boot前后端分离开发实战》源码Vue+Spring Boot前后端分离开发实战教学课件(PPT)
08-09
在现代Web应用开发中,Vue.js和Spring Boot的结合已经成为了一种常见的前后端分离架构模式。这本《Vue Spring Boot前后端分离开发实战》的源码提供了深入学习和实践这一技术栈的机会。以下是对其中涉及知识点的详细...
前后端分离 -- Spring Boot + Spring Security + Vue + ElementUI 实现用户认证
01-24
在现代Web开发中,前后端分离已经成为一种常见的架构模式,它可以提高开发效率,增强系统的可维护性和可扩展性。本文将深入探讨如何使用Spring BootSpring Security、Vue.js以及Element UI来实现用户认证功能,...
springboot-security 前后端分离开发
09-05
本文将详细介绍如何利用 `SpringBoot` 集成 `SpringSecurity` 实现基于JWT(Json Web Token)的认证机制,以适应前后端分离的开发需求。 **一、SpringBoot简介** SpringBootSpring 框架的一个子项目,旨在简化 ...
如何基于spring security实现在线用户统计
08-19
Spring Security 是一个基于Spring Framework的安全框架,它提供了一个灵活、可扩展、可配置的安全解决方案。Spring Security 提供了许多功能,包括身份验证、授权、加密、会话管理等。 在线用户统计的重要性 在线...
Spring Framework 学习笔记(4) Spring Security
张云飞Vir的专栏
07-08 264
1. 背景 本节我们学习 Spring Security 。 2.知识 Spring Security 是一个提供身份验证、授权和针对常见攻击的保护的框架。 Spring Secrity 能够在Web请求级别和方法调用级别处理身份认证和授权。 Spring Secrity 通过 filter 来实现认证,DelegatingFilterProxy是一个特殊的Servlet Filter,它本身...
SpringSecurity安全框架简介
xsgnzb的专栏
03-29 1576
我们介绍了Spring Security的基本概念和常见功能,分析了Spring Security扩展机制的实现原理,最后对比了Spring Security6.0的一些改动。可见,使用Spring Security我们通过提供自己的业务过滤器,很容易实现功能的扩展。
Spring——Security安全框架使用详解(基于内存认证)
专注写bug
02-22 6486
文章目录前言Security简介Security相关模块配置和初试父项目依赖引入创建子项目工程security 登录账户密码修改、配置配置文件指定账户密码编写配置类获取登录账户、密码 前言 在日常开发中,几乎所有的项目都需要进行请求的安全校验操作。 通常会采取以下几种方式来实现安全校验和过滤。 1、实例化HandlerInterceptor接口,配置其中的preHandle、postHandle、afterCompletion属性信息。 具体可以参考博客: springboot实践----拦截器的配置
Spring——security安全框架使用详解(基于内存认证)
zyy030616的博客
01-03 1173
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正威力在于它可以多么容易地扩展以满足定制需求。它是Spring家族中的一个安全管理框架。相比于另一个安全框架shiro,它提供了更丰富的功能,社区资源也比shiro丰富官方文档地址。
SpringSecurity安全框架整理
qq_41951891的博客
12-15 3148
一:简单介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 spring security 的核心功能主要包
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2928
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
Spring Security5+ 用户认证、授权及注销
静水流深,沧笙踏歌
04-16 2834
Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求。虽然拦截器、过滤器也可以在一定程度上起到安全认证的作用,但是对码农来说,大量原生的代码及代码冗余,十分的不友好。本文以Spring Security5.6.2版本来对用户认证、授权、注销及权限控制做个说明。 一、Spring Security简单介绍 1、到博主写博客的时间为止,Spring Secur
初步理解Spring Security并实践
weixin_44742132的博客
06-06 126
Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.x...
前后端分离项目使用spring security
05-27
具体来说,可以使用Spring Security提供的JWT(JSON Web Token)机制来实现前后端分离项目的安全认证。JWT是一种轻量级的跨域认证方式,通过在用户登录成功后生成一个JWT令牌,然后在后续的API请求中将令牌携带在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

owensweat

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值