SpringSecurity:基本用法

最新推荐文章于 2024-07-21 10:42:02 发布
最新推荐文章于 2024-07-21 10:42:02 发布
阅读量546 收藏 1
点赞数 1
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s_zero/article/details/101030250
版权

文章目录

一:创建项目与简单实现

  1. 创建一个spring boot项目,倚赖如下:
<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>
  1. 创建一个简单的接口如下:
package com.example.springsecurity01.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @Auther: 洺润Star
 * @Date: 2019/9/19 17:37
 * @Description:
 */
@RestController
public class HelloController {
    @GetMapping("/hello")
    public String hello(){
        return "Hello";
    }
}

  1. 访问 http://localhost:8080/hello出现登陆界面,用户名默认为user,密码每次随机生成,启动项目时日志当中会有打印,登陆成功后会返回我们想要的结果

  2. 要想自定义用户名和密码我们可以在application.properties中实现

#下面分别为用户名,密码,和用户的角色
spring.security.user.name=root
spring.security.user.password=root
spring.security.user.roles=admin

二:基于内存的认证

package com.example.springsecurity01.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @Auther: 洺润Star
 * @Date: 2019/9/19 18:00
 * @Description: 基于内存的认证配置了两个用户,继承了WebSecurityConfigurerAdapter
 */
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder(){
   		 //不对密码进行加密
        return NoOpPasswordEncoder.getInstance();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin").password("123").roles("admin")
                .and()
                .withUser("zhang").password("123").roles("user");
    }

}

三:登陆表单详细配置

以下代码配置了三个用户,不同路径所需要用户的权限,登陆(登出)和及其执行成功后的逻辑处理(本处可返回数据,便于前后端分离开发)

package com.example.springsecurity01.config;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.*;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;
//@EnableGlobalMethodSecurity(prePostEnabled = true)

@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean
    PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("root").password("123").roles("ADMIN", "DBA")
                .and()
                .withUser("admin").password("123").roles("ADMIN", "USER")
                .and()
                .withUser("sang").password("123").roles("USER");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //authorizeRequests()方法开启了HttpSecurity配置
        http.authorizeRequests()
                //以下六行配置了访问路径所需要的角色
                .antMatchers("/admin/**")
                .hasRole("ADMIN")
                .antMatchers("/user/**")
                .access("hasAnyRole('ADMIN','USER')")
                .antMatchers("/db/**")
                .access("hasRole('ADMIN') and hasRole('DBA')")
                //下面两行定义了其它url访问必须通过登陆才能访问
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                //登陆界面(自定义的界面)
                //.loginPage("/login_page")
                //登陆处理接口
                .loginProcessingUrl("/login")
                //认证所需的用户名和密码的参数名
                .usernameParameter("name")
                .passwordParameter("passwd")
                //登陆成功的处理逻辑
                .successHandler((req, resp, auth) -> {
                    Object principal = auth.getPrincipal();
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    resp.setStatus(200);
                    Map<String, Object> map = new HashMap<>();
                    map.put("status", 200);
                    map.put("msg", principal);
                    ObjectMapper om = new ObjectMapper();
                    out.write(om.writeValueAsString(map));
                    out.flush();
                    out.close();
                })
//                .successForwardUrl("/hello")
                //登陆失败的处理逻辑
                .failureHandler((req, resp, e) -> {
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    resp.setStatus(401);
                    Map<String, Object> map = new HashMap<>();
                    map.put("status", 401);
                    if (e instanceof LockedException) {
                        map.put("msg", "账户被锁定,登录失败!");
                    } else if (e instanceof BadCredentialsException) {
                        map.put("msg", "账户名或密码输入错误,登录失败!");
                    } else if (e instanceof DisabledException) {
                        map.put("msg", "账户被禁用,登录失败!");
                    } else if (e instanceof AccountExpiredException) {
                        map.put("msg", "账户已过期,登录失败!");
                    } else if (e instanceof CredentialsExpiredException) {
                        map.put("msg", "密码已过期,登录失败!");
                    } else {
                        map.put("msg", "登录失败!");
                    }
                    ObjectMapper om = new ObjectMapper();
                    out.write(om.writeValueAsString(map));
                    out.flush();
                    out.close();
                })
                .permitAll()
                //注销登陆配置
                .and()
                //开启注销登陆的配置
                .logout()
                //注销登陆请求的URL
                .logoutUrl("/logout")
                //是否清除个人身份认证信息
                .clearAuthentication(true)
                //是否使session失效
                .invalidateHttpSession(true)
                //可添加注销的操作,如cookie的清除
                .addLogoutHandler((req, resp, auth) -> {

                })
                //注销成功之后的业务逻辑,可添加页面的跳转
                .logoutSuccessHandler((req, resp, auth) -> resp.sendRedirect("/login_page"))
                .and()
                .csrf()
                .disable();
    }
}

添加Controller进行测试

package com.example.springsecurity01.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @Auther: 洺润Star
 * @Date: 2019/9/19 17:37
 * @Description:
 */
@RestController
public class HelloController {
    @GetMapping("/admin/hello")
    public String admin() {
        return "hello admin!";
    }

    @GetMapping("/admin/db/hello")
    public String admin2() {
        return "/admin/db/hello";
    }

    @GetMapping("/user/hello")
    public String user() {
        return "hello user!";
    }

    @GetMapping("/db/hello")
    public String dba() {
        return "hello dba!";
    }
    
}

四:方法安全

首先要开启基于注解的安全配置

package com.example.springsecurity01.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;

/**
 * @Auther: 洺润Star
 * @Date: 2019/9/20 14:34
 * @Description:
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
public class WebSecurityConfig {
}

开启后即可在service层进行配置,添加注解后即可对方法的调用进行权限控制

package com.example.springsecurity01.service;

import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

/**
 * @Auther: 洺润Star
 * @Date: 2019/9/20 14:40
 * @Description:
 */
@Service
public class MethodService {
    //表示需要ADMIN权限(注意要加前缀ROLE_)
    @Secured("ROLE_ADMIN")
    public String admin() {
        return "hello admin";
    }
    //需要ADMIN和DBA两种权限
    @PreAuthorize("hasRole('ADMIN') and hasRole('DBA')")
    public String dba() {
        return "hello dba";
    }
    //表示需要ADMIN或DBA或USER
    @PreAuthorize("hasAnyRole('ADMIN','DBA','USER')")
    public String user() {
        return "user";
    }
}
洺润
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity的使用
Roronna_Zoro的博客
09-08 497
SpringSecurity的使用 学习目标 SpringSecruity简介 安全框架概述 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问 控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 常用安全框架 Spring SecuritySpring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访 问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了 Spring IoC
深入 Spring Security:探索高级特性
wen_linfeng的专栏
07-27 259
Spring Security 中除了传统的用户名密码认证及上面介绍的几种认证方式外,还支持许多其他认证方式。比如 OpenID、SAML、OAuth、X509、LDAP、CAS等。
如何使用SpringSecurity
weixin_41553701的博客
08-17 4159
如何使用Spring Security
新版SpringSecurity5.x使用与配置
最新发布
Alphamilk的博客
07-21 1706
了解SpringSecurity,并进行简单使用与配置
Spring Security 的使用
weixin_42679286的博客
12-01 1380
*** 提供给 security 的用户信息的 service,要复写 loadUserByUsername 方法返回数据库中的用户信息*/@Service@Autoware/*** 加载数据库中的认证的用户的信息:用户名、密码、用户的权限列表* 通过username查询用户的信息,(密码,权限列表等)封装成 UserDetails 返回,交给 security。*/@Overridethrow new UsernameNotFoundException("无效的用户名");
SpringSecurity基本用法
学习学习学习学习
10-12 223
SpringSecurity 1. 部署项目 1.1 导包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.4.5</version> </dependency>
安全框架Spring Security基本用法
ABestRookie的博客
08-12 859
一.入门案列 1.在pom.xml中导入maven坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <grou
Spring Security基本配置方法解析
08-25
Spring Security基本配置方法解析 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。Spring Security是一个专注于为Java应用程序提供身份验证...
spring-security:Spring安全测试项目
06-20
通过深入研究这个“Spring Security”测试项目,开发者不仅能了解Spring Security基本用法,还能学习到如何在实际项目中应用和扩展这个框架,以满足复杂的安全需求。无论是初学者还是经验丰富的开发者,都能从中...
Spring-Security:安全攻击对策
05-13
Spring Security模块配置 模组名称 解释 Spring安全核心 由核心组件组成,以实现身份验证和授权功能 Spring安全网 包含实现Web应用程序安全功能的组件 弹簧安全配置 由组件组成,以支持每个模块提供的组件配置(支持...
Spring Boot+Spring Security:基于MySQL数据库的身份认证和角色授权
weixin_45863786的博客
03-15 886
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 需求缘起 在前面使用的是内存数据库,本节使用...
SpringSecurity 简单使用
qq_43560701的博客
01-25 5074
SpringSecurity 简单使用 在 Web 开发中安全是不可忽视的问题(软件安全技术!),现在从 SpringSecurity 和 Shiro 两个框架来学习一下安全框架在 Web 应用中的使用。 Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based
SpringSecurity简单使用
你我皆是黑马
08-22 1225
SpringSecurity简单使用 前言 1、什么是spring security 一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制)。 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。 用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 用户授权指的是验证某个用户是否有权限执行某
Spring Security的基础使用
m0_48972623的博客
03-10 8317
目录 一. 什么是spring security 二. Spring security 的使用 1.创建springboot项目 2.主启动类 2.配置controller层 3.配置config类 4.配置多用户登录以及注入权限及登录config注入 5.配置config层 6.登录成功处理类及无权限处理类 7.配置工具类 8.启动测试 三. 总结 一. 什么是spring security Spring Security是一个能够为基于Spring的企业应用系统提供声明.
SpringSecurity基本使用
richpersion的博客
03-25 165
SpringSecurity: 1.WebSecurityConfigurereAdapter 自定义Security策略 2.AutherticationManagerBuilder 自定义认证策略 3.@EnableWebSecutity 开始交给Spring托管 开启WebSecurity模式 SpringSecurity的两个主要目标是认证和授权 认证:Authentication 授权:Authorization SpringSecurity主要是横切 AOP思想 @EnableWebSe
servlet中文传值乱码_学习JavaWeb这一篇就够了 Servlet (4/8)
weixin_39945523的博客
11-22 351
学习java这一篇就够了,从入门到精通,由浅至深,共8章,此篇为第四章中第2小节。附带安装包下载。配套资料,免费下载链接:https://pan.baidu.com/s/1G1YUANaBvGjzE-c-Z0xUWw 提取码:txnf4.5、Servlet继承体系其实我们不难发现,现有的Servlet它的方法比较多,而且大多需要我们自己来实现,那有没有一种它的实现子类,把大部分方法都是实现了,而我...
Spring Security 基本使用
qq_36700462的博客
01-07 2676
一、Spring Security是什么? Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。
SpringSecurity使用
丑小鸭
04-22 760
这里写一下SpringSecurity官网的常用操作,主要结合Thymeleaf来实现用户登录过滤和权限管理来描述其应用。基于 Idea 操作。 首先明确SpringSecurty主要用来干什么的? 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值