简单的使用SpringBoot整合SpringSecurity

最新推荐文章于 2024-02-06 19:35:57 发布
最新推荐文章于 2024-02-06 19:35:57 发布
阅读量7.2k 收藏 20
点赞数 6
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_59570311/article/details/123157577
版权

spring-security简介

Spring-Security是针对Spring项目的安全框架,也是Spring-Boot底层安全模块默认的技术类型,他可以实现强大的Web安全控制,对于安全控制,提供身份验证授权针对常见攻击的保护。它具有对保护命令式反应式应用程序保护的一流支持,是保护基于Spring的应用程序的事实标准。我们仅需要引入spring-boot-start-security模块,进行少量的配置,即可实现强大的安全管理!

Spring-Security的两个主要目标是“认证”和“授权”(访问控制)

  • 认证 (你是谁)

  • 授权 (你能干什么)

  • 攻击防护 (防止伪造身份)

    其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。

image-20211226140715356

使用SpringSecurity

目录结构

image-20211226140715356

  • SecurityController
@Controller
public class SecurityController {
    @RequestMapping({"/","/index"})
    public String Hello(){
        return "index";
    }
    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }
    @RequestMapping("/admin/test")
    public String admin(){
        return "views/admin/admin";
    }
    @RequestMapping("/user/test")
    public String user(){
        return "views/user/user";
    }
}

1. 导入依赖并启动项目

新建一个带web的SpringBoot项目,然后再pom.xml配置文件中导入依赖,这边不需要指定版本号,security的版本会跟随springboot的版本

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

启动主启动类就能看到一个SpringSecurity默认的登录页面,默认的登录名是user,密码在输出在控制台上面

image-20211225232858906

SpringSecurity默认登录页面在DefaultLoginPageGeneratingFilter类里面的generateLoginPageHtml产生的

image-20211225234941847

2. 自定义登录页

自定义登录页首先我们要创建一个类来继承WebSecurityConfigureAdapter类,并且实现他的configure(HttpSecurity http)设置一些跟网页请求相关的设置,在类的上面添加@EnableWebSecurity启动web安全注解

这个方面在设置参数的时候可以使用链式编程,在后面添加 . 就能不断的进行配置,我们用http下面的formLogin下面的方法来设置我们的登录页

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable(); //关闭csrf,默认是开启的,开启后会导致我们的登录被拦截,导致登录失败
        http.formLogin()
                .loginPage("/toLogin") //设置默认登录页
                .usernameParameter("username") //设置从前端提交过来的用户名参数
                .passwordParameter("password") //设置从前端提交过来的密码参数
                .defaultSuccessUrl("/index") //设置默认登录页面,会跳转到登录前的路径
//                .successForwardUrl("/index") //登录成功后页面,无论前面为什么请求,都会跳转到这个路径
                .failureForwardUrl("/toLogin") //设置登录失败后的请求
                .loginProcessingUrl("/login"); //设置登录请求路径
    }
}
  • 启动项目访问

image-20211226120018448

3. 用户授权

在网页中有些特定的页面只能有对应的权限才能访问,比如说要开通vip才能查看相应的页面,还有就是看视频的时候只有vip才能跳过广告等等,不同的请求可以设置不同的访问权限

在之前的自定义登录页面前加入代码

//antMatchers括号里面可以输入多个请求路径,用逗号隔开
http.authorizeRequests() //设置访问请求的权限
        .antMatchers("/") //默认首页允许所有用户都可以访问,不登录也能访问
            .permitAll()
        .antMatchers("/admin/*") //admin下面的页面只有拥有admin角色的用户才能访问
            .hasRole("admin")
        .antMatchers("/user/*") //user下面的页面只有拥有user角色的用户才能访问
            .hasRole("user");
  • 启动项目可以访问index.html,所有人都可以访问,但是下面的admin和user的测试页面在没有登录的情况下无法访问,会直接跳转到登录页面

4. 用户认证

用户认证是用户在登录的时候验证用户的用户名和密码并赋予他们相应的权限,从数据库中查看全部用户的信息,然后将所有的用户信息进行认证,然后登录用户就能获得相应的权限去访问相应的页面。

这里没有进行连接数据库,如果正常开发需要连接数据库,通过数据库查找到用户的信息进行认证并赋予权限 (注:在进行密码验证的时候不能使用明文密码验证,不安全,所以需要进行加密)

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    //使用BCryptPasswordEncoder对密码进行加密
    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("zhu") //给zhu用户添加admin和user权限
                .password(new BCryptPasswordEncoder().encode("123456")).roles("admin","user")
            .and()
            .withUser("admin") //给admin用户添加admin权限
                .password(new BCryptPasswordEncoder().encode("123456")).roles("admin")
            .and()
            .withUser("user") //给user用户添加user权限
                .password(new BCryptPasswordEncoder().encode("123456")).roles("user");
}
  • 启动项目,我们用admin账户进行登录,分别访问admin测试用户和user测试用户的结果

image-20211226132500315

image-20211226132534356

可以看到我们访问admin测试页面是可以的,但是访问user测试页面显示我们没有权限,说明测试是正确的。用user用户和zhu用户登录也能看到对应的效果

5. 注销以及按钮显示

注销就是将用户的信息从网站的cookie中删除,并且该用户没有了权限。注销操作也不需要我们来做,我们只需要定义一个a标签,然后链接的路径设置为’ /logout ',SpringSecurity就会自动帮我们完成注销

//注销用户,注销成功后跳转到/请求
http.logout().logoutSuccessUrl("/");

<a th:href="@{/logout}">注销</a>
  • 但是我们在实际的开发中,如果用户没有登录,我们就显示登录按钮,如果用户登录了,我们就显示' 用户名, '欢迎你 以及注销按钮,并且不同角色登录显示出来的功能模块也不一样,我们可以使用Thymeleaf标签来完成

在html的头部添加xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5",通过sec标签来完成对应的显示

<h1>首页</h1>
<div id="container">
    <div>
        <!--判断用户是否登录,没有登录就显示登录按钮-->
        <a sec:authorize="!isAuthenticated()" th:href="@{/toLogin}">
            登录
        </a>
        <span sec:authorize="isAuthenticated()">
            <span sec:authentication="name"></span>用户,欢迎你
        </span>
        <!--判断用户是否登录,登录了就显示注销按钮-->
        <a sec:authorize="isAuthenticated()" th:href="@{/logout}">
            注销
        </a>
    </div>
    <div>
        <!--判断用户的角色,并显示相应的模块-->
        <a sec:authorize="hasRole('admin')" th:href="@{/admin/test}">
            admin测试页面
        </a>
        <a sec:authorize="hasRole('user')" th:href="@{/user/test}">
            user测试页面
        </a>
    </div>
</div>
  • 我们启动项目之后,访问index.html,在我们默认没有登录的情况下,只有登录按钮

image-20211226134406485

  • 接着我们用admin用户登录一下,可以看到首页下面显示了’ admin用户,欢迎你 '和注销按钮以及对应的模块。登录user用户显示的界面功能模块跟admin相反

image-20211226134504745

  • 注销后我们用zhu用户登录查看,发现两个功能模块都能显示

image-20211226134626190

6. 记住我

在网页的登录界面中,通过会有一个记住我的功能,他的目的就是将我们的用户长时间的保存在cookie中,避免短时间内用户进行登录

实现记住我功能很简单,去http中开启记住我的功能

//开启记住我功能,设置保存时间为一天
http.rememberMe().tokenValiditySeconds(60*60*24).rememberMeParameter("rememberMe");
  • 接着只需要在前端添加一个复选框,然后将name与后端的rememberMeParameter中的参数一致即可
<input type="checkbox" name="rememberMe">记住我<br>

7. 放行静态资源

在项目的开发中,我们通常会把静态资源放在static里面,比如说我这里的css包下面有一个main.css,我们要对它进行放行,我们只需要重写config方法,然后通过antMatchers对对应的静态资源进行放行

image-20211226135702453

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/css/**");
}

这里就是简单的进行SpringSecurity与SpringBoot整合,更加详细的过程与内容还是请参考官方文档:Spring Security,之后也会再分享点SpringSecurity的使用,感谢您的观看!!!

爱笑男孩424
关注
  • 6
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot-搭建SpringSecurity(保姆级别)
disrm84160的博客
04-18 311
各位读者,由于本篇幅度过长,为了避免影响阅读体验,下面我就大概概括了整理了《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!朋友,同时减轻大家的负担。**[外链图片转存中…(img-d6GHzIc7-1713402908122)][外链图片转存中…(img-Uhbkqo5g-1713402908122)][外链图片转存中…(img-FrpfpUlG-1713402908123)]
SpringBoot:集成SpringSecurity
qq_43161404的博客
01-05 1398
前言:B站狂神说JavaSpringBoot笔记,传送门 UP很nice,课程生动形象,欢迎支持。 一、认识SpringSecurity Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Se
springboot整合spring-security(权限框架)
豆豆的博客
01-03 808
前面我们的登录页面都是使用SpringSecurity默认的,我们可以在配置类中修改成我们自定义的登录页面这里的name属性默认是username和password,这里我们采用自定义的方式,/login是SpringSecurity默认的处理登录的Controller用户名:密码:
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8758
SpringSecurity整合基础
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2799
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1450
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全方
使用springboot简单整合springsecurity和mybatis-plus
remember_DL的博客
10-27 1314
1、概述 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。 它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。 与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求 springboot对于springSecurity提供了自动化配置方案,可以使用更少的配置来使用springsecurity 而在项目开发中,主要用于对用户的认证和授权
SpringBoot整合Spring Security的详细教程
08-18
SpringBoot 整合 Spring Security 的详细教程 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,提供了完善的认证机制和方法级的授权功能。下面是 SpringBoot 整合 Spring Security 的详细...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
springboot整合springSecurity
04-19
以上是SpringBoot整合SpringSecurity的基础知识要点,实际应用中可能还需要结合具体的业务需求进行更细致的配置和定制。在项目开发中,确保理解并熟练运用这些知识点,能够有效提高应用的安全性和健壮性。
SpringBoot整合SpringSecurity+Mybatis实现自定义登录
Lazyyyy的博客
04-14 1107
文章目录配置文件配置Maven配置Mysql相关的配置数据接口的实现数据表数据表对应的实体类数据访问类服务类控制类SpringSecurity认证处理类认证成功处理类用户认证接口类合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的K...
SpringSecurity教程】认证 1.Basic认证
热门推荐
terrybg
06-10 1万+
Basic 认证是在请求接口之前要输入账号密码,是简单的Http验证模式。本章主要描述:SpringBoot如何整合Basic认证、后端Okhttp和前端Vue Axios如何请求Basic认证的接口。pom.xml 启动类 控制层 Basic基本验证配置类。 测试 浏览器访问:http://localhost:8080/test输入用户名:terry,密码:terry123,即可访问接口。以Okhttp为例默认情况下请求会报错401无权限,如下: OkHttpTest整合Basic如下: 打印如下:...
Spring bootSpring Security 使用改造5部曲
weixin_30919235的博客
11-17 1379
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
(十三)springboot实战——springboot前后端分离方式项目集成spring securtity安全框架
最新发布
厉害哥哥的博客
02-06 1866
Spring Security 是一款强大且高度可定制的认证和访问控制框架,它是为了保护基于Spring的应用程序提供安全性支持。Spring Security 提供了全面的安全服务,主要针对企业级应用程序的需求。其核心组件主要包含:Authentication(认证)、Authorization(授权)、Principal(主体)、Granted Authority(授予的权限)、Security Context(安全上下文),可提供方法级别的权限认证。其底层主要通过Filter拦截器实现,关于其实现原理
SpringBoot实战(十四)集成 Admin
ACGkaka的博客
03-24 3022
SpringBoot实战(十四)集成 Admin
springboot配置springsecurity
qq_41048799的博客
01-16 543
1、引进依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <dependency> <groupId>org.thymeleaf</groupId> <ar
SpringBoot整合SpringSecurity(通俗易懂)
qq_34874784的博客
01-07 522
注重版权,转载请注明原作者和原文链接 作者:码农BookSea 原文链接: https://blog.csdn.net/bookssea/article/details/109262109 先看后赞,养成习惯。 点赞收藏,人生辉煌。 基于数据库的身份认证 一、创建项目 创建一个 SpringBoot 模块项目,选择相关依赖: 先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释 <dependency> <groupId>org.spri..
springboot整合springsecurity登录
07-27
要在Spring Boot项目中整合Spring Security实现登录功能,首先需要在pom.xml配置文件中导入相关依赖。可以使用以下依赖来导入Spring Security: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 这样就可以将Spring Security整合Spring Boot项目中了。接下来,你需要进行一些配置来实现登录功能。具体的配置步骤可以参考Spring Security官方文档,其中包括了详细的过程和内容。\[2\] Spring Security是一个针对Spring项目的安全框架,它提供了强大的Web安全控制功能,包括身份验证、授权和常见攻击的防护。它是保护基于Spring的应用程序的事实标准,可以用于保护命令式和反应式应用程序。通过引入spring-boot-starter-security模块并进行少量的配置,你就可以实现强大的安全管理。\[3\] #### 引用[.reference_title] - *1* *2* *3* [简单使用SpringBoot整合SpringSecurity](https://blog.csdn.net/qq_59570311/article/details/123157577)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值