Springsecurity课程笔记-06-13-基于数据库的方法授权【动力节点】

最新推荐文章于 2024-07-28 19:41:52 发布
最新推荐文章于 2024-07-28 19:41:52 发布
阅读量83 收藏
点赞数
分类专栏: Java 微服务 Springsecurity 文章标签: java 后端 spring boot 笔记 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qwsrfss/article/details/130284045
版权

6 密码处理

6.1 为什么要加密?

csdn 密码泄露事件
泄露事件经过:https://www.williamlong.info/archives/2933.html
泄露数据分析:https://blog.csdn.net/crazyhacking/article/details/10443849

6.2加密方案

密码加密一般使用散列函数,又称散列算法,哈希函数,这些函数都是单向函数(从明文到密文,反之不行)
常用的散列算法有MD5和SHA
Spring Security提供多种密码加密方案,基本上都实现了PasswordEncoder接口,官方推荐使用BCryptPasswordEncoder

6.3 BCryptPasswordEncoder类初体验

拷贝springsecurity-04-inmemory工程,重命名为springsecurity-05-password-encode
test/java 下新建包com.powernode.password,在该包下新建测试类PasswordEncoderTest,如下

@Slf4j
  public class PasswordEncoderTest {
   
    @Test
    @DisplayName("测试加密类BCryptPasswordEncoder")
    void testPassword(){
   
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        //加密(明文到密文)
        String encode1 = bCryptPasswordEncoder.encode("123456");
        _log_.info("encode1:"+encode1);
        String encode2 = bCryptPasswordEncoder.encode("123456");
        _log_.info("encode2:"+encode2);
        String encode3 = bCryptPasswordEncoder.encode("123456");
        _log_.info("encode3:"+encode3);
        //匹配方法,判断明文经过加密后是否和密文一样
        boolean result1 = bCryptPasswordEncoder.matches("123456", encode1);
        boolean result2 = bCryptPasswordEncoder.matches("123456", encode1);
        boolean result3 = bCryptPasswordEncoder.matches("123456", encode1);
        _log_.info(result1+":"+result2+":"+result3);
        _assertTrue_(result1);
        _assertTrue_(result2);
        _assertTrue_(result3);
    }
}

查看控制台发现特点是:**相同的字符串加密之后的结果都不一样,但是比较的时候是一样的,因为加了盐(**salt)了。

上面简单看下即可
小提示:
Ø 开发代码时不允许使用main方法测试,而是使用单元测试来测试
Ø 代码中一般不允许使用System.out.println 直接输出,而是使用日志输出
Ø 单元测试尽量使用断言,而不是使用System.out.println输出

6.4 使用加密器并且加密

修改MySecurityUserConfig类中的加密器bean

@Bean

  public PasswordEncoder passwordEncoder(){
   
    //使用加密算法对密码进行加密
    return new BCryptPasswordEncoder();
  }

启动程序测试,发现不能正常登录
原因是输入的密码是进行加密了,但是系统中定义的用户密码没有加密
将系统定义的用户密码修改成密文,如下

@Configuration
  public class MySecurityUserConfig {
   
    @Bean
    public UserDetailsService userDetailService() {
   
  //        使用org.springframework.security.core.userdetails.User类来定义用户
        //定义两个用户
        UserDetails user1 = User._builder_()
                .username("eric")
                .password(passwordEncoder().encode("123456"))
                .roles("student")
                .build();
        UserDetails user2 = User._builder_()
                .username("thomas")
                .password(passwordEncoder().encode("123456"))
                .roles("teacher")
                .build();
        //创建两个用户
        InMemoryUserDetailsManager userDetailsManager = new InMemoryUserDetailsManager();
        userDetailsManager.createUser(user1);
        userDetailsManager.createUser(user2);
        return userDetailsManager;
    }
    /*
     * 从 Spring5 开始,强制要求密码要加密
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
   
        //使用加密算法对密码进行加密
        return new BCryptPasswordEncoder();
    }
  
}

重启程序,再次测试即可,发现登录和访问没问题了

7 查看当前登录用户信息及配置用户权限

复制springsecurity-05-password-encode,复制后为springsecurity-06-loginuser-info

7.1 获取当前登录用户信息

新建一个controller

@RestController
  public class CurrentLoginUserInfoController {
    
    _/**
     * 从当前请求对象中获取
     */
    _@GetMapping("/getLoginUserInfo")
    public Principal getLoginUserInfo(Principal principle){
   
            return principle;
    }
    _/**
     *从当前请求对象中获取
     */
    _@GetMapping("/getLoginUserInfo1")
    public Authentication getLoginUserInfo1(Authentication authentication){
   
        return authentication;
    }
    _/**
     * 从安全应用上下文(SecurityContextHolder)获取安全应用上下文(SecurityContext),从安全应用上下文中获取认证信息
     * **@return
     ***/
    _@GetMapping("/getLoginUserInfo2")
    public Authentication getLoginUserInfo(){
   
        Authentication authentication = SecurityContextHolder._getContext_().getAuthentication();
        return authentication;
    }

}

注意Authentication接口继承自 Principal
重启程序,访问

http://localhost:8080/getLoginUserInfo
http://localhost:8080/getLoginUserInfo1
http://localhost:8080/getLoginUserInfo2

运行结果

{
“authorities”: [{
“authority”: “ROLE_teacher”
}],
“details”: {
“remoteAddress”: “0:0:0:0:0:0:0:1”,
“sessionId”: “34E452050095348E6306CF95B2025CD9”
},
“authenticated”: true,
“principal”: {
“password”: null,
“username”: “thomas”,
“authorities”: [{
“authority”: “ROLE_teacher”
}],
“accountNonExpired”: true,
“accountNonLocked”: true,
“credentialsNonExpired”: true,
“enabled”: true
},
“credentials”: null,
“name”: “thomas” }

Principal 定义认证的而用户,如果用户使用用户名和密码方式登录,principal通常就是一个UserDetails(后面再说)
Credentials:登录凭证,一般就是指密码。当用户登录成功之后,登录凭证会被自动擦除,以防泄露。
authorities:用户被授予的权限信息。

7.2 配置用户权限

配置用户权限有两种方式:
配置roles
配置authorities
注意事项:
如果给一个用户同时配置roles和authorities,哪个写在后面哪个起作用
配置roles时,权限名会加上ROLE_。
修改WebSecurityConfig代码中的

    // 注意 1 哪个写在后面哪个起作用 2 角色变成权限后会加一个ROLE_前缀,比如ROLE_teacher
        //        UserDetails user2 = User.builder()

//                .username("thomas")

//                .password(passwordEncoder().encode("123456"))

//                .authorities("teacher:add","teacher:update")

//                .roles("teacher")

//                .build();
        UserDetails user2 = User._builder_()
                .username("thomas")             .password(passwordEncoder().encode("123456"))
                .roles("teacher")
                .authorities("teacher:add","teacher:update")
                .build();

重启程序使用thomas登录,然后查看用户认证信息

http://localhost:8080/getLoginUserInfo

可以看到authorities的情况。
从设计层面讲,角色和权限是两个完全不同的东西
从代码层面来讲,角色和权限并没有太大区别,特别是在Spring Security中

8 授权(对URL进行授权)

上面讲的实现了认证功能,但是受保护的资源是默认的,默认所有认证(登录)用户均可以访问所有资源,不能根据实际情况进行角色管理,要实现授权功能,需重写WebSecurityConfigureAdapter 中的一个configure方法
复制springsecurity-06-loginuser-info 工程,然后改名为springsecurity-07-url
新建WebSecurityConfig类,重写configure(HttpSecurity http)方法
WebSecurityConfig 完整代码如下:

@Configuration

@Slf4j

  public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
   
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        http.authorizeRequests()
                //角色student或者teacher都可以访问/student/** 这样的url
                .mvcMatchers("/student/*").hasAnyRole("student", "teacher")
                // 角色teacher 可以访问teacher/**
                .mvcMatchers("/teacher/**").hasRole("teacher")
                //权限admin:query 可以访问/admin**

//                .mvcMatchers("/admin/**").hasAuthority("admin:query")
                //角色teacher 或者权限admin:query 觉可以访问admin/**
                .mvcMatchers("/admin/**").access("hasRole('teacher') or hasAuthority('admin:query')")
                //任何请求均需要认证
                .anyRequest().authenticated();
        //使用表单登录
        http.formLogin();
    }
  
}

使用admin登录,访问

http://localhost:8080/teacher/query
http://localhost:8080/student/query
http://localhost:8080/admin/query

分别查看效果,实现权限控制
上面是对URL资源进行控制,就是哪些权限可以访问哪些URL。

9 授权(方法级别的权限控制)

上面学习的认证与授权都是基于URL的,我们也可以通过注解灵活的配置方法安全,我们先通过@EnableGlobalMethodSecurity开启基于注解的安全配置。

9.1 新建模块springsecurity-08-method

9.2 添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

9.3 新建启动类并复制 CurrentLoginUserInfoController类

新建启动类Application,学员自行创建

9.4 新建service及其实现

com.powernode.service 新建教师接口

public interface TeacherService {
   
    String add();
    String update();
    String delete();
    String query();
  }

com.powernode.service.impl 实现接口

@Service

@Slf4j

  public class TeacherServiceImpl implements TeacherService {
   
    @Override
    public String add() {
   
        _log_.info("添加教师成功");
        return "添加教师成功";
    }
    @Override
    public String update() {
   
        _log_.info("修改教师成功");
        return "修改教师成功";
    }
    @Override
    public String delete() {
   
        _log_.info("删除教师成功");
        return "删除教师成功";
    }
    @Override
    public String query() {
   
        _log_.info("查询教师成功");
        return "查询教师成功";
    }
}

9.5 修建TeacherController

@RestController

@RequestMapping("/teacher")

  public class TeacherController {
   
    @Reso
最低0.47元/天 解锁文章
qwsrfss
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
动力节点Springsecurity笔记06-13基于数据库方法授权
f5465245的博客
04-21 208
Spring Security提供多种密码加密方案,基本上都实现了PasswordEncoder接口,官方推荐使用B
Springsecurity课程笔记06-13章基于数据库方法授权
Java___interview的博客
04-21 248
动力节点Springsecurity视频课程,密码加密一般使用散列函数,又称散列算法,哈希函数,这些函数都是单向函数(从明文到密文,反之不行) 常用的散列算法有MD5和SHA Spring Security提供多种密码加密方案,基本上都实现了Pas
动力节点Springsecurity视频笔记06-13基于数据库方法授权
Javanewspaper的博客
04-21 336
密码加密一般使用散列函数,又称散列算法,哈希函数,这些函数都是单向函数(从明文到密文,反之不行) 常用的散列算法有MD5和SHA Spring Security提供多种密码加密方案,基本上都实现了PasswordEncoder接口,官方推荐使用B
SpringSecurity-数据库认证-简单授权
06-03
SpringBoot项目中,你可以通过`spring-security-config`依赖来引入SpringSecurity。在`application.properties`或`yaml`文件中,设置数据库连接和用户信息查询的相关属性。在主配置类中,启用SpringSecurity,并...
动力节点-java教程-Spring4
07-22
教程名称:动力节点-java教程-Spring课程简介:动力节点推出的本套Java视频教程内容主要讲解的Spring版本号为4.2.1,是目前Spring比较新的一个版本,与之前的Spring3相比,有一些技术上的更新,内容涵盖了实际...
grpc-spring-security-demo:基于Spring Boot的gRPC服务器,具有受Spring Security保护的gRPC端点
01-31
该项目演示了如何使用Spring Security的基于方法的安全性机制来保护gRPC服务。 这是一个用Java编写并基于Spring Boot构建的gRPC服务器。 它使用gRPC拦截器与Spring Security集成,并支持两种身份验证机制:...
spring-boot spring-security-oauth2 完整demo
11-22
本篇文章将围绕“spring-boot spring-security-oauth2 完整demo”这一主题,详细阐述这三个框架如何协同工作,以及如何通过类似微信的方式获取token并访问资源。 首先,Spring Boot是基于Spring框架的快速开发工具...
spring-boot-security-添加数据库-注册用户添加权限.zip
08-03
spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot2.0
golang 接口
m0_70982551的博客
07-24 965
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 519
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 658
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
訾博(ZiBo)的博客
07-27 595
Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
Java代码基础算法练习-数的特性-2024.07.25
Sakurapaid的博客
07-25 367
小A喜欢两种性质都成立的数字,小B喜欢至少符合一种性质的数字,小C喜欢不符合这两种性质的 数字。给出一个数字,请输出三个人是否喜欢这个数字。如果喜欢输出1,否则输出0,用空格分隔。输入数字 num,先定义三个整型代表三个人的喜欢与否,先默认设为 0。之后判断num对于性质1、2的条件,分别用 boolen 类型标识。对于每个整型进行判断,是否改为 1 代表喜欢。性质2:大于4且不大于12;
Java修炼 2024.7.26 0:24
2301_80011650的博客
07-26 429
问题:编写一个方法,找出一个数组中的众数(出现次数超过数组长度一半的元素)。例如,输入 [2, 2, 1, 1, 2],输出 2。编写一个方法,找出一个整数数组中的第二大元素。例如,输入 [3, 5, 1, 8, 7],输出 7。例如,输入 5,输出 5。问题:编写一个方法,将给定的字符串逆转。问题:使用数组实现栈,并提供基本操作(push、pop、peek、isEmpty)。问题:实现一个单向链表,并提供基本的操作(添加、删除、查找元素)。问题:编写一个方法来查找一个给定字符串的所有子串。
学习笔记---java篇(0723)
m0_70630166的博客
07-23 863
java、数据类型、循环、选择等
新建springboot项目找不到java版本8?
最新发布
weixin_74009895的博客
07-28 103
新建springboot项目找不到java版本8?
SSM框架整合——常用方式整合SSM框架(三)Spring和MyBatis整合
PAP
07-26 188
SSM框架整合——常用方式整合SSM框架(三)Spring和MyBatis整合
c++ 智能指针shared_ptr与make_shared
Txwtech笛克特科
07-25 274
shared_ptr是C++11引入的一种智能指针,‌它允许多个shared_ptr实例共享同一个对象,‌通过引用计数来管理对象的生命周期。‌当最后一个持有对象的shared_ptr被销毁时,‌它会自动删除所指向的对象。‌这种智能指针主要用于解决资源管理问题,‌避免内存泄漏。make_shared是C++标准库中的一个函数,‌用于创建一个shared_ptr智能指针,‌它接受一个或多个参数来构造一个对象,‌并返回一个指向该对象的shared_ptr。类SerialModbus的成员指针。
Spring4框架技术讲义-北京动力节点Reyco郭
Java开发领域,Spring框架是一个广泛应用的轻量级开源框架,它由Reyco郭在北京动力节点教育培训公司主讲的课程中详细讲解。Spring4作为其一个重要版本,主要目标是降低代码之间的耦合度,提高系统的可维护性和可...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值