1.SpringSecurity入门系列(一)

最新推荐文章于 2022-01-20 09:05:10 发布
最新推荐文章于 2022-01-20 09:05:10 发布
阅读量389 收藏
点赞数
分类专栏: springboot系列 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shanggushenlong/article/details/115190809
版权

1、spring security入门

idea + springboot + spring security 依赖

2、搭建步骤

  • pom文件加入依赖:springboot最方便就是,需要什么就直接加入依赖即可,无需配置
<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
</dependencies>

idea创建项目,加入以上依赖之后,那么整个项目就被 spring security 这个安全框架接管了,现在访问任何接口都需要权限

3. 启动项目

  • 编写接口
@RestController
@RequestMapping("/loginController")
public class LoginController {

    @RequestMapping("/hello")
    public String loginTest(){
        return "hello spring security";
    }
}
  • 浏览器访问接口:http://localhost:8080/loginController/hello
    浏览器地址会自动跳转为 http://localhost:8080/login
    在这里插入图片描述
    这是因为没有权限,所以会自动跳转到spring security框架自带的登录页面,需要你登录,默认用户名 user ,密码后台随机自动生成的,如下图表示:c1e6e20e-d142-475e-9e2d-50fb4bd11263 在这里插入图片描述
    登录成功:
    在这里插入图片描述

4. spring security说明

spring security中有一个很重要的接口: UserDetailsService;当系统什么也没有配置的时候,账号和密码都是由 spring security定义生成的。但是在实际项目中账号和密码都是存放在数据库中。所以一般都需要用户自定义逻辑控制认证逻辑。

当用户需要自定义逻辑的时候,用户只需要实现 UserDetailService 接口即可

接口中方法:返回 UserDetails

// 表单提交
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

// 表示获取登录用户所有权限 
Collection<? extends GrantedAuthority> getAuthorities(); 
// 表示获取密码 
String getPassword();
// 表示获取用户名
String getUsername(); 
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定 
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用 
boolean isEnabled();

5. spring security web权限的几种方案

  1. 方案一:通过配置文件设置登录的用户名 密码(放弃spring security自动生成),实现步骤如下:
    • 配置文件设置用户名和密码: application.properties
    spring.security.user.name=admin
spring.security.user.password=123456
    • 启动项目,请求接口
      可以看到,系统此时没有生成 随机登录密码
      在这里插入图片描述
      浏览器访问:用户名 admin 密码: 123456,登录成功在这里插入图片描述
  2. 方案二:编写类的实现接口: 实现 UserDetailsService 接口
/**
 * 自定义逻辑控制:实现 UserDetailsService接口,重写 loadUserByUsername方法
 */
// 加上此注解,表示此类为一个配置类,让系统走此逻辑
@Configuration
public class MyUserDetailsServiceConfig implements UserDetailsService {

    // spring security的加密方式
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        
        
        if (!"admin".equalsIgnoreCase(username)){
            throw new UsernameNotFoundException("用户不存在");
        }

        List<GrantedAuthority> list = new ArrayList<>();
        list.add(new SimpleGrantedAuthority("admin"));

       return new User(username, passwordEncoder().encode("123456"), list);
    }
}

说明:

  • PasswordEncoder :spring security推荐的加密方式
  • username:登录表单框内输入的用户名
  • 最终返回一个 User,里面包含 用户名 和 加密后的密码 还有这个用户的权限
  1. 方案三:通过数据库请求验证用户名和密码,此处和方案二中代码基本没有什么区别,稍微需要修改的就是
  • pom 文件中加入 数据库连接的驱动
  • pom 文件中加入数据库的连接池 数据源
  • 配置文件中加入连接:连接数据库的账号密码等
  • 通过 service 查询用户名,比较

6. Spring Security中静态资源类 WebSecurityConfigurerAdapter

public class MyConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        
    }
}

继承该类,重写 configure 方法,此方法种可以配置很多有关于界面交互所需的方法,如下

// 配置认证
http.formLogin() .loginPage("/index") // 配置哪个url为登录页面 
.loginProcessingUrl("/login")  // 设置哪个是登录的url。 
.successForwardUrl("/success") // 登录成功之后跳转到哪个url 
.failureForwardUrl("/fail"); // 登录失败之后跳转到哪个url 
http.authorizeRequests() 
.antMatchers("/layui/**","/index")  //表示配置请求路径 
.permitAll()   // 指定URL无需保护。 
.anyRequest() // 其他请求 
.authenticated(); //需要认证 
// 关闭csrf 
http.csrf().disable();

其它的方法:比如 判断是否有权限请求,获取表单的用户名和密码等等

7. hasRole hasAuthority

注意: 若通过 spring security 给用户授用户角色的话,必须要记住一点的是 角色之前要带 ROLE_

底层源码截图:
在这里插入图片描述
给用户添加角色:在这里插入图片描述

8. 注解: @Secured : 判断是否具有角色,匹配的字符串需要添加前缀“ROLE_“

注:若要使用spring security的注解,必须先开启注解功能

  • 首先在springboot的启动类上加开启注解的功能 @EnableGlobalMethodSecurity(securedEnabled=true)
@SpringBootApplication 
// 加上此注解,开启全局注解功能
@EnableGlobalMethodSecurity(securedEnabled=true) 
public class DemosecurityApplication { 
    public static void main(String[] args) { 
        SpringApplication.run(DemosecurityApplication.class, args); 
    } 
}
  • 在控制器方法上添加注解:这里匹配的字符串需要添加前缀“ROLE_“
// 测试注解: 
@RequestMapping("testSecured") 
@ResponseBody 
@Secured({"ROLE_normal","ROLE_admin"}) 
public String helloUser() { 
    return "hello,user"; 
}
上古神龙
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security4.1.3实现拦截登录后向登录页面跳转方式(redirect或forward)返回被拦截界面
honghailiang的专栏
09-27 4万+
一、看下内部原理 简化后的认证过程分为7步: 用户访问网站,打开了一个链接(origin url)。 请求发送给服务器,服务器判断用户请求了受保护的资源。 由于用户没有登录,服务器重定向到登录页面 填写表单,点击登录 浏览器将用户名密码以表单形式发送给服务器 服务器验证用户名密码。成功,进入到下一步。否则要求用户重新认证(第三步) 服务器对用户拥有的
SprngSecurity报错直接跳转到登陆地址并且没有任何提示
无需有太多~
11-30 674
今天在SpringSecurity框架 弄个验证码生成的功能,然后就一直不行,一直跳向登陆地址,也没有报错信息,找了大半天什么都试过,后来才发现时你认证时如果你得代码抛出了AuthenticationException及其子类时他会跳像登陆地址,异常信息也会丢掉!遇到这种坑B问题只能傻眼了! 首先我得代码是这样的 /** * 根据类型获取验证码处理器 * @para...
spring security登陆时,不跳转登陆页面改为返回JSON字符串
weixin_34148340的博客
03-08 5142
集成spring security时,因为是前后端分离,所以不能跳转到登陆页面,而是返回登陆的JSON串。 解决办法如下: 重写LoginUrlAuthenticationEntryPoint方法,将该方法里的commence改成返回json串 public class MacLoginUrlAuth...
spring security如果登录返回JSON数据
lichuangcsdn的博客
07-08 8829
默认情况下,spring security如果检测到登录,会返回一个登录页面。对于前后端分离的项目,我们一般是希望能返回自定义的JSON数据。这时候,就需要继承类LoginUrlAuthenticationEntryPoint,并重写其 public void commence(HttpServletRequest request, HttpServletResponse response, ...
Security 登录返回Json 而非跳转登录页面
bll1992的博客
07-02 1540
jie最近使用vue做前后端分离的项目,每次重启服务或者session失效之后,导致Security 302 到登录页面,而且前端无法获取到302的状态,没法拦截后自己跳转,所以需要我们返回Json; 首先我们需要实现AuthenticationEntryPoint接口,重写它的commence方法, /** * @Description: * @author: lulu * @date: 2021/7/2 4:44 下午 */ public class CustomAuthenti...
解决Spring Boot 整合Security后,所有接口提示Unauthorized、返回401、 跳转到登陆页面
看山不是山
02-02 7830
SpringBoot只要依赖了Spring Security包后(pom.xml中多了spring-boot-starter-security的jar包),默认就已经开启了权限验证,如果当前工程是不需要纳入权限管理的话,就可以直接禁用掉Security的认证。下面是方法: Spring Boot 2.x和Spring Security 5.x前禁用认证 在application.yml或...
spring security 入门demo
08-11
在这个"Spring Security 入门demo"中,我们将会探讨一系列关键概念和功能,通过提供的压缩包文件,我们可以看到不同方面的实现示例。 1. **Spring Security RESTful服务**: - `spring-security-rest-full` 模块...
Spring Security入门
04-11
**Spring Security 入门** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用和Web应用程序中。它为开发者提供了安全功能,包括用户认证、授权、会话管理以及防止常见...
springSecurity.zip
06-23
1. **Filter Chain**: Spring Security通过一系列预定义的过滤器来处理HTTP请求,每个过滤器负责特定的安全任务,如检查HTTP基本认证头、处理CSRF令牌等。 2. **AuthenticationManager**: 负责处理用户的登录请求,...
springsecurity入门实例
11-20
3. **过滤器链**:Spring Security 使用一系列过滤器来拦截请求并执行安全逻辑,如 `AuthenticationFilter` 和 `AuthorizationFilter`。 **二、设置项目** 1. **添加依赖**:在 Maven 或 Gradle 项目中添加 Spring...
Spring Security 新手入门级maven实例
07-02
Spring Security的工作原理是通过一系列过滤器来处理HTTP请求。了解这些过滤器的工作机制可以帮助你更好地理解Spring Security如何保护你的应用。 通过这个入门级实例,你可以掌握Spring Security的基础用法,包括...
Spring security/Shiro ---登陆成功后返回登陆前界面<页面重定向>
koooooooo5的博客
04-08 1297
Spring security ---登陆成功后返回登陆前界面<页面重定向> 问题:在登陆/退出成功后,我们往往通过http.formLogin().successForwardUrl()和http.logout().logoutSuccessUrl()设定操作成功后的回跳页面。我们现在希望在任意界面跳转到登陆界面后,一旦登录成功便会返回登陆前的界面。 解决方法:我们自定义一个过滤器,在Spring security将当前页面(假设为P)重定向到登录页面之前,先将当前页面P的url存入对应的Be
处理spring security 自定义 登录 页面 直接返回登录页面,不走验证登录流程
mynameisyaxuan的博客
01-17 3778
自己在配置spring security自定义的登录页面时,出现 页面直接返回登录页面,不走验证登录流程的问题 解决办法: 图中1 的位置必须注意,2、3的位置可以自己配置,配置的话在这里不用多说,如果想尽快看到效果,那么就直接使用默认的配置 若2、3使用默认的配置 那么 SecurityConfig 里面的 configure(AuthenticationManagerBuilder ...
Security 登录返回Json 而非跳转登录页面
qq_33850661的博客
09-03 1743
最近使用vue做前后端分离的项目,每次重启服务或者session失效之后,导致Security 302 到登录页面,而且前端无法获取到302的状态,没法拦截后自己跳转,所以需要我们返回Json; 首先我们需要实现AuthenticationEntryPoint接口,重写它的commence方法,其中RespBean.noPass只是我封装的工具类,在这里直接放想要返回的...
SpringSecurity源码分析-登录下如何进行拦截与转发
u011439259的博客
09-16 1107
前言 基于SpringSecurity 5.1.6.RELEASE进行登录认证源码分析 1、引入库 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> <version>2.1.3.RELEASE</version> </..
Spring Security之实现登录后跳转到登录前页面
weixin_34128839的博客
03-15 5563
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 使用自带的 formLogin
qq_44131750的博客
04-17 2883
Session、Cookie 登陆认证 就是认证是否为合法用户,简单的说是登录。一般为匹对用户名和密码,即认证成功。 在 Spring Security 认证中,只要解决如下几个问题: 哪个类表示用户? 哪个属性表示用户名? 哪个属性表示密码? 怎么通过用户名取到对应的用户? 密码的验证方式是什么? 所有的自定义行为都是围绕这几个问题展开的 认证的执行流程就是 它会拿到用户输入的用户名密码; 根据用户名通过 UserDetailsService 的 loadUserByUsername(usernam
asp登录页面跳转到注册页面_SpringBoot项目访问任意接口都跳转到login登录页面
weixin_39753791的博客
11-26 573
在创建SpringBoot项目时,勾选Spring Security依赖,会在Maven中导入Spring Security。 org.springframework.boot spring-boot-starter-security这个依赖中有一个登陆拦截器,SpringBoot项目访问任意接口(页面)都跳转到login登录页面这是Spring为我们做的安全认证机制,访问项目时会跳转到登录页...
我是如何做到开源系统中的检测到登录自动跳转到登录页面的?
编码人生
01-20 471
实现登录跳转到登录界面的方法有很多,例如后端框架使用springsecurity来实现安全框架 @Override protected void configure(HttpSecurity http) throws Exception { // 表单认证 http.formLogin() .successForwardUrl("/welcome") //登录成功后,跳转到指定请求(此处是 post 请求) .failureFor
springsecurity2x.pdf
11-03
"SpringSecurity2x.pdf 是Spring Security的官方参考文档,涵盖了2.0.x版本的详细内容,包括入门指南、安全命名空间配置、高级Web特性、方法安全以及默认的访问决策和认证管理器,并提供了多个示例应用程序,如教程...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值