使用Spring Security

最新推荐文章于 2023-03-29 21:25:16 发布
最新推荐文章于 2023-03-29 21:25:16 发布
阅读量484 收藏
点赞数
分类专栏: javaweb学习 文章标签: springboot springsecuriry
小菜鸟博客出品,可学习,转载,改动,不可抄袭,商用
本文链接:https://blog.csdn.net/s1547156325/article/details/102014984
版权

文章目录


#使用Spring Security

简介

spring security是一个提供声明式的安全访问控制解决方案的安全框架,为应用系统提供声明式的安全访问功能,减少了为企业系统安全控制编写大量重复代码的工作。
其中,spring security提供了一下功能:
身份认证
授权
加密
会话管理
Session管理
支持HTTP/HTTPS
支持Basic和Digest认证
Remember-Me
CORS
等等等等…
下面是用spring security做简单的登录检测与权限控制

场景及初始化数据

数据库有user,role,menu三个实体,其中两两之间都是多对多的关系。而根据关系数据库设计原理,多对多关系会衍生一个新表,所以,表结构大致如下
图片一

依赖与配置文件点此查看
源码点此查看

@ManytoMany的使用

    @ManyToMany(fetch= FetchType.EAGER)
    @JoinTable(name = "UserRole", joinColumns = { @JoinColumn(name = "userId") },
    inverseJoinColumns ={@JoinColumn(name = "roleId") })
    private List<Role> roleList;

其中(fetch= FetchType.EAGER)的使用需要注意,两边只需要写一个,而不是两变都写,负责就会报错

字段的大小写

使用jpa,若有个属性为password,那么表中就是password,若表中是pass_word,那么就会报错,必须吧属性改成passWord才对。。。这个实在太坑了

MyUserDetailsService

使用数据库认证需要自定义一个类来实现UserDetailsService重写loadUserByUsername方法进行认证授权
也就是说,如果需要结合自己的数据库来进行认证,那么就必须自定义自己的DetailService,并实现loadUserByUsername。
类名前必须加上@Service注释
GrantedAuthority表示已授予的权限

    //username为从前端页面接收到的数据,然后使用jpa查询数据库进行验证

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUserName(username);
        System.out.println(user.getPassWord());
        System.out.println(user.getUserName());
        if (user == null){
            throw new UsernameNotFoundException("用户不存在!");
        }

        //再通过SimpleGrantedAuthority聚合该用户的所有role

        List<SimpleGrantedAuthority> simpleGrantedAuthorities = new ArrayList<>();
        for (Role role : user.getRoleList()) {
            simpleGrantedAuthorities.add(new SimpleGrantedAuthority(role.getRoleName()));
        }

        //然后返回
        return new org.springframework.security.core.userdetails.User(user.getUserName(), user.getPassWord(), simpleGrantedAuthorities);
    }

SecurityConfig

SecurityConfig用来进行相关配置
首先配置资源文件,哪些可以访问,哪些需要有权限访问

        //配置资源文件 其中/css/**,/index可以任意访问,/select需要USER权限,/delete需要ADMIN权限
        httpSecurity
                .authorizeRequests()
                .antMatchers("/css/**", "/index").permitAll()
                .antMatchers("/select").hasRole("USER")
                .antMatchers("/delete").hasRole("ADMIN");

接着聚合数据库中的角色权限

        //动态加载数据库中角色权限
        List<Role> roleList = roleRepository.findAll();
        for(Role role : roleList){
            List<Menu> menuList = role.getMenuList();
            for (Menu menu : menuList){
                //在SpringSecurity校验权限的时候,会自动将权限前面加ROLE_,所以我们需要 将我们数据库中配置的ROLE_截取掉。
                String roleName = role.getRoleName().replace("ROLE_","");
                String menuName = "/" + menu.getMenuName();
                httpSecurity
                        .authorizeRequests()
                        .antMatchers(menuName)
                        .hasRole(roleName);
            }
        }

然后配置登录请求,登录异常与注销登录等操作

       //配置登录请求/login 登录失败请求/login_error 登录成功请求/
        httpSecurity
                .formLogin()
                .loginPage("/login")
                .failureUrl("/login_error")
                .successForwardUrl("/");
        //登录异常,如权限不符合 请求/401
        httpSecurity
                .exceptionHandling().accessDeniedPage("/401");
        //注销登录 请求/logout
        httpSecurity
                .logout()
                .logoutSuccessUrl("/logout");
    }

NoOpPasswordEncoder设置密码不加密

    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

configureGlobal根据自己自定义的登录证明或者在内存中加入用户来实现登录
AuthenticationManagerBuilder允许轻松构建内存身份验证
userDetailsService使用自定义的登录证明

    //根据用户名密码实现登录
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
        authenticationManagerBuilder
                .inMemoryAuthentication()
                //.passwordEncoder(new BCryptPasswordEncoder())
                .withUser("test").password("123").roles("USER")
                .and()
                .withUser("admin").password("123").roles("ADMIN","USER");
        authenticationManagerBuilder.userDetailsService(myUserDetailsService);
    }

@Controller和@RestController的区别

@RestController注解相当于@ResponseBody + @Controller合在一起的作用。

  1. 如果只是使用@RestController注解Controller,则Controller中的方法无法返回jsp页面,或者html,配置的视图解析器 InternalResourceViewResolver不起作用,返回的内容就是Return 里的内容。

  2. 如果需要返回到指定页面,则需要用 @Controller配合视图解析器InternalResourceViewResolver才行。
    InternalResourceViewResolver不起作用,返回的内容就是Return 里的内容。

  3. 如果需要返回到指定页面,则需要用 @Controller配合视图解析器InternalResourceViewResolver才行。
    如果需要返回JSON,XML或自定义mediaType内容到页面,则需要在对应的方法上加上@ResponseBody注解。

总结

一杯茶一包烟,一个小小的bug就能让你改一天,如果不明白过程或者原理,那么总有一个地方,哪怕是照着敲上去,都会出错。

CGSX
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用SpringSecurity.md
09-12
适合初学SpringSecurity人群
Spring Boot2.0使用Spring Security的示例代码
08-27
Spring Boot 2.0 使用 Spring Security 的示例代码 Spring Security 是一个基于 Spring 框架的安全性解决方案,提供了用户认证和用户授权两个主要功能。用户认证指的是验证某个用户是否为系统中的合法主体,而用户...
使用spring security框架实现权限以及登录,loadUserByUsername这个方法与authenticate这个方法执行顺序
weixin_35756637的博客
01-09 1344
Spring Security 是一个用于为 Java 应用程序提供安全保护的框架。 在使用 Spring Security 时,当用户尝试登录时,会执行以下步骤: 调用 authenticate() 方法进行身份验证,该方法需要用户提供的用户名和密码来尝试进行身份验证。 在进行身份验证之前,Spring Security 会调用 loadUserByUsername() 方法来获取用户信息。该...
Spring Security怎么从数据库加载我们的用户?
BASK2311的博客
12-31 310
记住怎么自定义, 注意自定义的User需要实现哪些接口, 还有脱敏问题。
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析
weixin_45630446的博客
09-16 4358
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析 文章目录SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析1、分析原因2、解决方式2.1、方式一2.2、方式二 SpringSecurity 相信大家对它都不陌生,这是一个令我又爱又恨的框架,配置不简单,但是功能却异常强大。下面我们就一起来分析一下loadUserByUsername 里抛出自定义异常无法捕获的原因吧 嗯,话不多说,自定义异常,全局异常处理拦截器、Securit
Spring Security loadUserByUsername传递多个参数
愤怒的苹果ext的博客
08-16 4244
我们使用Spring Security做登录,一般来说都要实现接口,代码如下。}是的,方法仅有一个username参数,如果我们是做SaaS平台,多渠道登录,名称允许重复的话,这可怎么玩儿。下面提供2种方法。新建,其实是把代码抄下来,修改了和。把的details属性作为扩展参数传入新的方法。...
SpringSecuritySpringSecurity+vue前后端面分离项目中使用 自定义登录逻辑出现的问题:loadUserByUsername接收的数据是空的 - Java
qq_43751336的博客
12-09 1724
@TOC 1. 问题描述 使用SpringSecurity的自定义逻辑方法loadUserByUsername时后端接收的数据username是空的, 2. 前端发送的数据如下 3. 结果及分析 4. 分析及解决 分析:因为前端这样发送的请求数据格式是json格式的数据,而SpringSecurity的配置则是需要提交的数据形式是表单格式的 解决:需要在前端发送的axios请求中设置成表单提交的格式,并且提交的数据要进行转换成字符串的形式。 修改原代码: axios表单形式提交需要在heard中添加C
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
使用Spring Security控制会话的方法
08-26
使用 Spring Security 控制会话的方法 Spring Security 是一个功能强大且灵活的身份验证和授权框架,它提供了多种方式来控制 HTTP 会话。本文将详细介绍如何使用 Spring Security 控制会话,包括会话的创建、管理和...
详解使用Spring Security进行自动登录验证
08-29
详解使用Spring Security进行自动登录验证 作为一名IT行业大师,我将详细介绍使用Spring Security进行自动登录验证的知识点。 一、Spring Security的登录验证的关键步骤 1. 在数据库中建立三张表:users、...
springSecurity 实现传参
11-04
springSecurity 实现登陆验证、传参,包括源代码和MYSQL的建库脚本。 传参的功能可以实现记录登陆之前打开的页面,登陆之后自动跳转到之前打开的页面。
springboot结合spring security,loadUserByUsername参数name为空解
ML_MovingBricks的博客
01-13 1974
loadUserByUsername参数username为空
前后端分离spring security中loadUserByUsername参数name为空
God__is__a__girl的博客
10-06 2318
检查前端传回的参数名称是否是username和password,spring security默认的参数名称是username和password,如果不是,可能更改前端的形参,也可以在WebSecurityConfigurerAdapter的configure实现接口里面添加你的参数名称 在后端设置前端传回的参数名称 http. ...//省略 .formLogin() .usernameParameter("username") .passwordParameter("passwor.
Spring Security
风生的博客
03-29 587
permitAll():表示所匹配的URL任何人都允许访问authenticated():表示所匹配的URL都需要被认证才能访问 :表单提交认证+rememberMe()anonymous():表示可以匿名访问匹配的URL 必须不用认证 如果已经认证 无法访问 :登录页面需要指定当前权限denyAll():表示所匹配的URL都不允许被访问。rememberMe():被“remember me”的用户允许访问。
SpringSercurity笔记
球球你被学了的博客
08-24 950
SpringSercurity 1. 概述 1. 简介 Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义要求。 特点: 对身份验证和授权的全面且可扩展的支持 防止会话固定、点击劫持、跨站点请求伪造等攻击 Servlet API 集成 与 Spring Web MVC 的可选集成 2. 安全方面两大核心 用户认证(Authentication) 验证某个用
SpringSecuriyt
记录点滴
08-21 620
认证 -- 登录大致流程: 首先会找userDetailsServese类里边的loadUserByUsername 方法 -> 参数传递用户名 -> 拿着用户名,去数据库中查找,如果用户名存在 -> 会返回UserDetails,而UserDetails 是一个接口,对应实现类是User,User类中的参数有用户名、密码、权限,也就是说返回的有用户名、密码和权限,接着会对前端传过来的密码和数据库返回的密码进行比对。 登录逻辑 内部通过 loadUserByUser...
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2552
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
spring -security进阶
weixin_44331613的博客
03-16 263
spring -security进阶 1、概括 ​ 这是一篇对于spring-security的总结,包含了自己在写spring-security-demo所有的问题。spring-security的底层其实是用了过滤器。对于请求的过滤。并且将认证好的信息存储session中。这一篇中只是简单的使用他的认证和授权。其中认证重写了AbstractAuthenticationProcessingFilter过滤器,而授权则使用了注解的方式开发。并没有对认证成功后的处理进行重写,也没有对没有权限的用户访问页面的
JAVA——springSecurity——自定义配置的一些补充:Anonymous匿名用户、重写loadUserByUsername()方法、自定义WebSecurityConfig配置等
weixin_56039103的博客
07-16 901
publicstaticResponseResultSUCCESS=newResponseResult(200,"成功");publicstaticResponseResultINTEVER_ERROR=newResponseResult(500,"服务器错误");主要有三项1.SpringSecurity自带HttpBasic基础认证模式2.默认formLogin表单模式。
如何使用springsecurity
最新发布
09-05
使用Spring Security可以帮助我们实现应用程序的身份验证和授权功能。下面是使用Spring Security的一般步骤: 1. 添加Maven或Gradle依赖项:在项目的构建文件中,添加Spring Security的相关依赖项。通常,需要添加`spring-boot-starter-security`或`spring-security-web`和`spring-security-config`依赖项。 2. 配置Spring Security:创建一个配置类,该类扩展自`WebSecurityConfigurerAdapter`,并覆盖必要的方法来配置安全性设置。您可以使用`@EnableWebSecurity`注解来启用Spring Security。 3. 配置用户和角色信息:在配置类中,您可以使用自定义的用户详细信息服务(实现`UserDetailsService`接口)来加载用户信息,并使用密码编码器(如BCryptPasswordEncoder)对密码进行加密和验证。 4. 配置URL访问规则:使用`http.authorizeRequests()`方法来配置URL路径的访问规则。您可以指定哪些URL需要身份验证,哪些URL不需要身份验证,以及哪些URL需要特定的角色或权限。 5. 配置登录和注销功能:通过覆盖默认的登录和注销行为,您可以自定义登录页面、处理登录请求以及注销操作。 6. 配置访问拒绝处理:如果用户尝试访问他们没有权限的页面,您可以配置一个访问拒绝处理器,以便为他们显示适当的错误页面或重定向。 这只是使用Spring Security的基本步骤,您可以根据您的应用程序需求进行更详细的配置和自定义。您可以参考Spring Security的官方文档和示例代码来获取更多信息和示例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值