SpringBoot SpringSecurity 登录、登出自定义与HttpSecurity配置

最新推荐文章于 2024-05-06 16:09:45 发布
最新推荐文章于 2024-05-06 16:09:45 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: 安全与认证 文章标签: Mr.chenyb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/scdncby/article/details/107105976
版权

SpringBoot SpringSecurity 登录、登出自定义与HttpSecurity配置 

  • yml中的变量配置
  ############################ --  认证 -- ############################
security-fig:
  login-url:  /login
  login-processing-url: /loginProcess
  error-url:  /loginFail
  logout-url: /signout
  swagger-url:  /doc
  • HttpSecurity配置 
package com.config.security;

import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

/**
 * Security fig
 */
@Slf4j
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)//开启方法控制注解 @Secured、@PreAuthorize、@PostAuthorize
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Value( "${security-fig.login-url}" )
    private String loginUrl;
    @Value( "${security-fig.login-processing-url}" )
    private String loginProcessingUrl;
    @Value( "${security-fig.error-url}" )
    private String errorUrl;
    @Value( "${security-fig.logout-url}" )
    private String logoutUrl;

    @Autowired
    private CustomLogoutService customLogoutService;

    @Bean
    UserDetailsService customUserService(){
        return new CustomLoginService();
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .portMapper(  )
                .http( 80 )
                .mapsTo( 443 )
                .and()
                .authorizeRequests()//登录配置
                .antMatchers( "/sys/**" ).permitAll()//允许访问匹配的路径
                .antMatchers( "/public/**" ).permitAll()
                .antMatchers( "/static/**" ).permitAll()
                .antMatchers( "/templates/**" ).permitAll()
                .anyRequest().authenticated()//以上配置除外,其它需要认证
                .and()
                .csrf().disable()//关闭post限制
                .formLogin()
                .loginPage( loginUrl )//登录页面
                .loginProcessingUrl(loginProcessingUrl)//登录action 提交地址
//                .defaultSuccessUrl( "/index.html" )//这里指定的是静态页面,必须加后缀,如果不指定,就走路径为“/”的方法
//                .failureUrl( "/login?error" )
                .failureUrl(errorUrl)//登录失败处理方法
                .permitAll()
                .and()
                .logout()//登出配置
                .logoutUrl(logoutUrl)
                .deleteCookies("JSESSIONID")//登出清理cookie
                .logoutSuccessHandler( customLogoutService )//登出实现类
                .permitAll();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        //设置静态资源不要拦截
        web.ignoring().antMatchers( "/public/**","/static/**","/templates/**");
    }

    @Autowired
    private SecurityAuthenticationProvider provider;//注入我们自己的AuthenticationProvider

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //走默认认证
//        auth.userDetailsService( customUserService() ).passwordEncoder( new PasswordConfig() );
        //走自定义认证
        auth.authenticationProvider(provider);
    }


@Autowired
    private SecurityAuthenticationProvider provider;//注入我们自己的AuthenticationProvider

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //走默认认证
//        auth.userDetailsService( customUserService() ).passwordEncoder( new PasswordConfig() );
        //走自定义认证
        auth.authenticationProvider(provider);


}
  • 登录逻辑实现类
package com.config.security;


import java.util.Collection;
import java.util.Date;

import com.ll.admin.dao.LoginRepository;
import com.ll.admin.domain.Login;
import com.utils.EncryptionUtil;
import com.utils.MD5;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.WebAuthenticationDetails;
import org.springframework.stereotype.Component;


/**
 * 登录逻辑实现
 */
@Component
@Slf4j
public class SecurityAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    private UserDetailsService userDetailService;
    @Autowired
    private LoginRepository loginRepository;

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        WebAuthenticationDetails details =(WebAuthenticationDetails) authentication.getDetails();
        String remoteAddress = details.getRemoteAddress();
        remoteAddress = "0:0:0:0:0:0:0:1".equals( remoteAddress ) ? "127.0.0.1" : remoteAddress; //访问IP
        String userName = authentication.getName();	// 这个获取表单输入中返回的用户名;
        String password = authentication.getCredentials().toString();	// 这个是表单中输入的密码;
        Login loginData = (Login) userDetailService.loadUserByUsername(userName);
Collection<? extends GrantedAuthority> authorities = loginData.getAuthorities();
        // 构建返回的用户登录成功的token

        return new UsernamePasswordAuthenticationToken(loginData, password, authorities);
    }

    @Override
    public boolean supports(Class<?> authentication) {
        // TODO Auto-generated method stub
        // 这里直接改成retrun true;表示是支持这个执行
        return true;
    }
}
  • 登出逻辑实现
package com.config.security;

import com.ll.admin.dao.LoginRepository;
import com.ll.admin.domain.Login;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.WebAuthenticationDetails;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Date;

/**
 * 登出
 * 默认被 /signout 请求
 */
@Slf4j
@Component
public class CustomLogoutService implements LogoutSuccessHandler {

    @Value( "${server.servlet.context-path}" )
    private String contextPath;
    @Value( "${security-fig.login-url}" )
    private String loginUrl;

    @Autowired
    private LoginRepository loginRepository;

    @Override
    public void onLogoutSuccess(HttpServletRequest request,
                                HttpServletResponse response,
                                Authentication authentication)
            throws IOException, ServletException {

        //默认被 /signout 请求,这里写登出前要做的事 
        response.sendRedirect( contextPath + loginUrl );
    }
}
  •  成功与错误跳转
  • Controller 用 
    @AuthenticationPrincipal UserDetails userDetails 获取当前用户信息
  • 也可以在session中提取当前用户信息 
    HttpSession session = request.getSession();
SecurityContextImpl ssc = (SecurityContextImpl) session.getAttribute( "SPRING_SECURITY_CONTEXT" );
Authentication authentication = ssc.getAuthentication();
Login details =(Login) authentication.getPrincipal();
  • 错误跳转中 运用session获取异常信息
  • HttpSession session = request.getSession();
    Object badCredentialsException = session.getAttribute( "SPRING_SECURITY_LAST_EXCEPTION" );
package com.config.security;

import com.ll.admin.dto.Msg;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

/**
 * 登录跳转配置
 */
@Slf4j
@Controller
public class RequestController {

    /**
     * 成功首页
     * @param userDetails
     * @param model
     * @return
     */
    @RequestMapping("/")
    public String index (@AuthenticationPrincipal UserDetails userDetails, Model model){
        Msg msg = new Msg( "测试标题", "测试内容", "额外信息,只有管理员可以看到!" );
        model.addAttribute( "msg",msg );
        return "index";
    }

    /**
     * 登录失败返回接口
     * @param request
     * @param model
     * @return
     */
    @RequestMapping("/loginFail")
    public String loginFail (HttpServletRequest request, Model model){
        HttpSession session = request.getSession();
        Object badCredentialsException = session.getAttribute( "SPRING_SECURITY_LAST_EXCEPTION" );
        String badCredentialsExceptionStr = badCredentialsException.toString();
        String msg = badCredentialsExceptionStr.split( ":" )[1];
        //错误消息提示
        model.addAttribute( "msg",msg);
        return "login";
    }


}

随笔记录,方便学习

2020-07-03

 

斯普润布特
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
springboot整合springSecurity
04-19
SpringBootSpringSecurity整合是Java后端开发中的常见实践,旨在提供安全的Web服务。Spring Security是一个强大且高度可配置的安全框架,它可以帮助开发者保护应用程序免受常见的安全威胁。Spring Boot则通过简化...
使用AccessDecisionManager实现HttpSecurity自定义动态路由鉴权
最新发布
CodeCattle的博客
05-06 1074
1. 使用AccessDecisionManager实现HttpSecurity自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
security自定义登陆
weixin_46156090的博客
09-01 404
新增发送短信controller 拦截器中不拦截短信相关controller 新增不去拦截自定义的登陆界面和发送短信验证码相关服务。 自定义登陆界面 Name与filter中的名称保持一直才可以获取到 编写自定义的SmsCodeAuthenticationFilter publicclassSmsCodeAuthenticationFilter extendsAbstractAuthenticationProcessingFilter{ pub...
springboot 集成 spring security 自定义登录
吴振照
06-23 1558
Spring Security是什么?   Spring Security 提供了基于javaEE的企业应有个你软件全面的安全服务。这里特别强调支持使用SPring框架构件的项目,Spring框架是企业软件开发javaEE方案的领导者。如果你还没有使用Spring来开发企业应用程序,我们热忱的鼓励你仔细的看一看。熟悉Spring特别是一来注入原理两帮助你更快更方便的使用Spring S...
security自定义登录页面
qq_45489665的博客
05-25 1166
1.首先登录页面form表单,要写上action连接,提交方式必须为post 注意事项: action链接与@RequestMapping一致 input要写name属性,后端才获取到数据,也是为了得到下面的参数 http.formLogin() .usernameParameter(“username”) .passwordParameter(“password”) 注意button的type属性是submit,不是button,否则点击会没反应 <!--登录页面--> &lt
SpringBoot--配置多个HttpSecurity
吴声子夜歌的博客
02-08 1584
配置多个HttpSecurity 如果业务比较复杂,开发者也可以配置多个HttpSecurity,实现对WebSecurityConfigurerAdapter的多次扩展: @Configuration public class MultiHttpSecurityConfig { @Bean PasswordEncoder passwordEncoder(){ ...
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
在这个入门程序中,我们将深入理解如何将SpringBootSpring Security整合,以实现用户身份验证和授权功能,并通过自动登录功能提升用户体验。 首先,Spring Security的核心功能包括身份验证(Authentication)和...
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
在本教程中,我们将探讨如何使用Spring Boot与Spring Security整合,构建一个简单的登录登出功能。Spring Security是一个强大的安全框架,它可以为基于Spring的应用提供安全控制,包括认证、授权等核心功能。通过...
springboot整合springsecurity小demo
07-19
总的来说,SpringBootSpringSecurity的整合为我们提供了一个高效且灵活的安全管理解决方案。通过上述步骤,你可以快速搭建一个具有基本安全功能的应用,然后再逐步细化和扩展,以满足复杂的安全需求。
springboot security学习笔记【自定义登录验证方法和登录界面】
qq_21327945的博客
12-28 913
最近在学习spring boot,想要自己做一个项目,然后就去研究权限验证的框架,找来找去,也就springboot security能看得懂一些,但是有个问题,框架里边自己提供了登录页面,提供了登录验证,网上找的一堆资料,讲得都云里雾里,花了一天的时间一点点的摸索,最后终于是成功了。 自定义登录页面和登录成功失败的处理 需要定义一个类继承 WebSecurityConfigurerAdapter...
spring security自定义登录页面
远方的少年
03-16 2199
    上次我们讲到,spring security会为我们创建一个默认的登录界面,但是一个全英文,普通化的登录界面很明显不适合所有的应用场景,所有就有必要来自定义登录界面,恰巧spring security也给我们提供了配置自定义登录界面的功能。    首先,需要加上的就是配置让一些静态资源,登录页,获取验证码啥的这些不参与spring security的拦截范畴。   &lt;!-- 配置静态...
Security自定义处理程序篇
qq_43654581的博客
10-25 298
1.自定义登录成功、登录失败处理程序 2.自定义匿名访问无权、已认证无权访问处理程序 3.自定义记住我认证、退出登录成功处理程序
oauth2 出现 cannot be cast to .security.oauth2.provider.authentication.OAuth2AuthenticationDetails
My52Hz
02-09 2659
一、问题背景 在使用oauth2获取用户登录信息的时候,如果用户未登录,就会出现 org.springframework.security.web.authentication.WebAuthenticationDetails cannot be cast to org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationDetails; 问题如下: 二、原因 问题出现在以下两句代码: Authent
springboot使用security+token认证完成注册登录和权限管理
xiaodaopei的博客
11-30 3452
security实现加密和匹配密码 导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> ...
Spring Security登录验证中增加额外数据(如验证码)
weixin_34248849的博客
07-13 975
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2597
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
Springboot实现登录功能(token、redis、登录拦截器、全局异常处理)
qq_64680177的博客
10-06 3922
1、前端调用登录接口,往接口里传入账号,密码2、根据账号判断是否有这个用户,如果有则继续判断密码是否正确3、验证成功后,则是根据账号,登录时间生成token(用JWT)4、将token存入Redis当中,用于token过期策略5、将token和用户信息返回给前端6、此后调用后端任何接口都会先判断发来请求里token是否存在、有效(拦截器实现)7、然后继续接下来的正常调用。
spring boot 单体项目 集成 spring security 实现 登录认证 权限认证 jwt token认证
weixin_40773253的博客
05-06 1708
这篇博文讲述的是不集成oath,通过自己编写jwt 的 token 生成器 实现 spring security登录权限token认证的实现方法。 目录结构如下: pom文件 加入 springsecurity 和 JWT的引用包 <!-- spring security --> <dependency> <groupId&gt...
SpringBoot整合SpringSecurity element 自定义登录页面如何写
08-16
要在SpringBoot中整合SpringSecurity实现自定义登录页面,你可以按照以下步骤进行操作: 1. 首先,确保你的项目中已经引入了Spring Security和OAuth2的相关依赖,可以使用Maven或Gradle进行添加。<span class="em">1...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值