spring之spring security

最新推荐文章于 2024-06-07 21:13:34 发布
最新推荐文章于 2024-06-07 21:13:34 发布
阅读量213 收藏
点赞数
分类专栏: java及框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tang05709/article/details/105538561
版权

首先加入spring security

<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>

分别建立用户表和角色表

CREATE TABLE `admin` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(50) NOT NULL,
  `password` varchar(255) NOT NULL,
  `salt` varchar(10) NOT NULL,
  `created` bigint(20) NOT NULL,
  `last_login` bigint(20) NOT NULL,
  `login_count` int(255) NOT NULL DEFAULT '0',
  `enabled` tinyint(4) NOT NULL DEFAULT '0',
  `locked` tinyint(4) NOT NULL DEFAULT '0',
  PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;


CREATE TABLE `role` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `name` varchar(255) NOT NULL,
  `title` varchar(255) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;


CREATE TABLE `admin_role` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `admin_id` int(11) NOT NULL,
  `role_id` int(11) NOT NULL,
  PRIMARY KEY (`id`),
  KEY `for_admin_id` (`admin_id`),
  KEY `for_role_id` (`role_id`)
) ENGINE=MyISAM AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

 

用户实体类需要实现

UserDetails

接口。

public class Admin implements UserDetails {

    private int id;
    private String username;
    private String password;
    private long created;
    private long lastLogin;
    private int loginCount;
    private boolean enabled;
    private boolean locked;
    private List<Role> roles;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }


    public long getCreated() {
        return created;
    }

    public void setCreated(long created) {
        this.created = created;
    }

    public long getLastLogin() {
        return lastLogin;
    }

    public void setLastLogin(long lastLogin) {
        this.lastLogin = lastLogin;
    }

    public int getLoginCount() {
        return loginCount;
    }

    public void setLoginCount(int loginCount) {
        this.loginCount = loginCount;
    }


    public List<Role> getRoles() {
        return roles;
    }

    public void setRoles(List<Role> roles) {
        this.roles = roles;
    }

    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }

    public boolean isLocked() {
        return locked;
    }

    public void setLocked(boolean locked) {
        this.locked = locked;
    }

    // 当前账号是否未过期
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    // 当前账号是否未锁定
    @Override
    public boolean isAccountNonLocked() {
        return !locked;
    }

    // 当前账号密码是否未过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    // 当前账号是否可用
    @Override
    public boolean isEnabled() {
        return true;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for(Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" +  role.getName().toUpperCase()));
        }
        return authorities;
    }
}

接口有7个方法

方法说明
Collection<? extends GrantedAuthority> getAuthorities
获取所具有的角色信息
String getPassword
获取密码
String getUsername
获取用户名
boolean isAccountNonExpired
账号是否未过期
boolean isAccountNonLocked
账号是否未锁定
boolean isCredentialsNonExpired
账号密码是否未过期
boolean isEnabled
账号是否可用

 

其中getAuthorities获取角色信息

public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for(Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" +  role.getName().toUpperCase()));
        }
        return authorities;
    }

 说下这里踩的坑。当我们不使用ROLE_做前缀时,会报

spring security There was an unexpected error (type=Forbidden, status=403).

在网上看到说:

路径权限规则匹配中配置的是:ADMIN 这里程序猿不可以配置ROLE_开头的角色 不然直接报BUG

自定义权限验证中就要配置用户的权限:ROLE_ADMIN 需要加上ROLE_开头

看来下WebSecurityConfigurerAdapter的configure(HttpSecurity http)的hasRole

.antMatchers("/backend/**")
.hasRole("ADMIN")

org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer

第119行有说明

private static String hasRole(String role) {
        Assert.notNull(role, "role cannot be null");
        if (role.startsWith("ROLE_")) {
            throw new IllegalArgumentException("role should not start with 'ROLE_' since it is automatically inserted. Got '" + role + "'");
        } else {
            return "hasRole('ROLE_" + role + "')";
        }
    }

如果传入的权限有ROLE_直接抛出异常,否则返回以ROLE_未前缀的权限规则。而我数据库里储存的是小写,所以转为大写,并加上前缀ROLE_

第二个坑是:

Cannot serialize; nested exception is org.springframework.core.serializer.support, ... com.xxx.model.Role

这里需要模型实现接口Serializable

public class Role implements Serializable {
    private int id;
    private String name;
    private String title;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getTitle() {
        return title;
    }

    public void setTitle(String title) {
        this.title = title;
    }
}

 

service实现需要实现UserDetailsService接口

public interface AdminService extends UserDetailsService {
  
    public Admin findByName(String username);

    public List<Role> getUserRolesById(int id);
}

接口实现类

public class AdminServiceImpl implements AdminService {
    @Autowired
    private AdminDao adminDao;


    @Override
    public Admin findByName(String username) {
        return adminDao.findByName(username);
    }


    @Override
    public List<Role> getUserRolesById(int id) {
        return adminDao.getUserRolesById(id);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Admin admin = adminDao.findByName(username);

        if (admin  == null) {
            throw new UsernameNotFoundException("admin not defined");
        }
        List<Role> roles = adminDao.getUserRolesById(admin.getId());
        admin.setRoles(roles);
        return admin;
    }
}

 

然后就是实现配置,配置需要继承WebSecurityConfigurerAdapter

public class BlogSecurity extends WebSecurityConfigurerAdapter {
    @Autowired
    AdminService adminService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(adminService).passwordEncoder(new BCryptPasswordEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/backend/**")
                .hasRole("ADMIN")
                .and()
                .formLogin()
                .loginPage("/auth/login") // 自定义登录页面 默认/login
                .loginProcessingUrl("/auth/login-in") // 自定义登录post页面,默认/login,如果自定义了loginPage,则默认为loginPage的页面
                .defaultSuccessUrl("/auth/dashboard") // 自定义登录成功页面,
                .failureUrl("/auth/login?error=fail") // 自定义登录失败页面
                .and()
                .logout() // 自定义跳出页面, 这里注意,如果么有禁用csrf, 需要用post跳出
                .logoutSuccessUrl("/auth/login?error=logout"); // 自定义跳出成功页面
    }
}

这里也踩了一个坑。

如果

auth.userDetailsService(adminService).passwordEncoder(new BCryptPasswordEncoder());

改成

auth.userDetailsService(adminService);

就会报There is no PasswordEncoder mapped for the id "null"

这在网上有说明

Example 20. DelegatingPasswordEncoder Storage Format

{id}encodedPassword

Such that id is an identifier used to look up which PasswordEncoder should be used and encodedPassword is the original encoded password for the selected PasswordEncoder. The id must be at the beginning of the password, start with { and end with }. If the id cannot be found, the id will be null. For example, the following might be a list of passwords encoded using different id. All of the original passwords are "password".

Example 21. DelegatingPasswordEncoder Encoded Passwords Example

{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG 
{noop}password 
{pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc 
{scrypt}$e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc=  
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0
 The first password would have a PasswordEncoder id of bcrypt and encodedPassword of $2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG. When matching it would delegate to BCryptPasswordEncoder
 The second password would have a PasswordEncoder id of noop and encodedPassword of password. When matching it would delegate to NoOpPasswordEncoder
 The third password would have a PasswordEncoder id of pbkdf2 and encodedPassword of 5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc. When matching it would delegate to Pbkdf2PasswordEncoder
 The fourth password would have a PasswordEncoder id of scrypt and encodedPassword of $e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc= When matching it would delegate to SCryptPasswordEncoder
 The final password would have a PasswordEncoder id of sha256 and encodedPassword of 97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0. When matching it would delegate to StandardPasswordEncoder
 

Some users might be concerned that the storage format is provided for a potential hacker. This is not a concern because the storage of the password does not rely on the algorithm being a secret. Additionally, most formats are easy for an attacker to figure out without the prefix. For example, BCrypt passwords often start with $2a$.

Password Encoding

The idForEncode passed into the constructor determines which PasswordEncoder will be used for encoding passwords. In the DelegatingPasswordEncoder we constructed above, that means that the result of encoding password would be delegated to BCryptPasswordEncoder and be prefixed with {bcrypt}. The end result would look like:

Example 22. DelegatingPasswordEncoder Encode Example

{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG

Password Matching

Matching is done based upon the {id} and the mapping of the id to the PasswordEncoder provided in the constructor. Our example in Password Storage Format provides a working example of how this is done. By default, the result of invoking matches(CharSequence, String) with a password and an id that is not mapped (including a null id) will result in an IllegalArgumentException. This behavior can be customized using DelegatingPasswordEncoder.setDefaultPasswordEncoderForMatches(PasswordEncoder).

By using the id we can match on any password encoding, but encode passwords using the most modern password encoding. This is important, because unlike encryption, password hashes are designed so that there is no simple way to recover the plaintext. Since there is no way to recover the plaintext, it makes it difficult to migrate the passwords. While it is simple for users to migrate NoOpPasswordEncoder, we chose to include it by default to make it simple for the getting started experience.

 

 

org.springframework.security.crypto.password.DelegatingPasswordEncoder

有说明。

 

登录页面

<form class="pt-3" name="f" th:action="@{/backend/login-in}" method="post">
     <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
     <div class="form-group">
         <input type="text" class="form-control form-control-lg" name="username" id="username" placeholder="用户名">
     </div>
     <div class="form-group">
         <input type="password" class="form-control form-control-lg" name="password" id="password" placeholder="密码">
     </div>
     <div class="mt-3">
          <input type="submit" class="btn btn-block btn-primary btn-lg font-weight-medium auth-form-btn" value="登录" />
     </div>
</form>

 

tang05709
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity---PasswordEncoder
gaoqiandr的博客
09-18 318
本文主要介绍的是SpringSecurity中的密码编译器
springSecurityPasswordEncoder
梦想是很难很难的,所以先勇敢一点
02-05 5493
密码存储演进史 自从互联网有了用户的那一刻起,存储用户密码这件事便成为了一个健全的系统不得不面对的一件事。 远古时期,明文存储密码可能还不被认为是一个很大的系统缺陷(事实上这是一件很恐怖的事)。提及明文存储密码,我立刻联想到的是 CSDN 社区在 2011 年末发生的 600 万用户密码泄露的事件,谁也不会想到这个和程序员密切相关的网站会犯如此低级的错误。 明文存储密码使得恶意用户可以通过 sql 注入等攻击方式来获取用户名和密码,虽然安全框架和良好的编码规范可以规避很多类似的攻击,但依旧避免不了系统管理员
Spring Security系列之PasswordEncoder
最新发布
lonelymanontheway的博客
06-07 1538
加密算法种类、反查表、彩虹表、加密算法配置类实例、PasswordEncoder、BCryptPasswordEncoder、PasswordEncoderFactories、DelegatingPasswordEncoder、自定义加密方案。
Spring Security灵活的PasswordEncoder加密方式
恒宇少年De成长之路
10-22 4803
知识改变命运,撸码使我快乐,2020继续游走在开源界 点赞再看,养成习惯 给我来个Star吧,点击了解下基于SpringBoot的组件化接口服务落地解决方案 本章基于Spring Security 5.4.1版本编写,从5.x版本开始引入了很多新的特性。 为了适配老系统的安全框架升级,Spring Security也是费劲了心思,支持不同的密码加密方式,而且根据不同的用户可以使用...
Spring Security(六)--密码处理
学习不止境的博客
10-08 2157
一般而言,系统并不以明文形式管理密码,印此密码通常要经过某种转换,这使得读取和窃取密码变得较为困难。对于这一职责,Spring Security定义了一个单独的契约—PasswordEncoder。实现这个契约是为了告知Spring Security如何验证用户的密码。在身份验证过程中,PasswordEncoder会判定密码是否有效。每个系统都会存储以某种方式编码过的密码。最好把密码哈希话存储起来,这样别人就不会读到明文密码了。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
详解springSecurity之java配置篇
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
最详细Spring Security学习资料(源码)
11-16
它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring Security的主要特点包括: 身份验证:Spring Security支持多种身份验证方式,包括基本认证、表单登录、...
Spring Security系列教程02--初识Spring Security
一一哥
09-07 1760
一. Spring Security概念 Spring Security是一个功能强大且高度可定制的,主要负责为Java程序提供声明式的 身份验证和访问控制 的安全框架。其前身是Acegi Security,后来被收纳为Spring的一个子项目,并更名为了Spring SecuritySpring Security的底层主要是 基于 Spring AOP 和 Servlet 过滤器 来实现安全控制,它提供了全面的安全解决方案,同时授权粒度可以在 Web请求级和方法调用级 来处理身份确认和授权。 二
搭建微服务时 nacos2.2.2报错403 user not found!
D____L的博客
06-10 2万+
搭建微服务 nacos2.2.2报错403 user not found!
There was an unexpected error (type=Forbidden,status=403)
qq_41182402的博客
12-22 7508
This application has no explicit mapping for /error,so you are seeing this as a fallback There was an unexpected error (type=Forbidden,status=403) 解决方式:关闭跨站攻击功能 http.csrf().disable()
nacos 403错误
sayyy的专栏
08-12 1910
nacos开启权限验证后,nacos config报错403
热门推荐
zhaojiyuan1024的博客
05-30 3万+
nacos开启权限验证后,nacos config报错403 学习nacos过程中发现,nacos有个权限管理,我就依次添加了用户、角色和权限管理,然后发现权限管理不生效,即使不给新用户配置权限,也能访问到所有的命名空间。查询资料发现需要设置nacos配置文件nacos.core.auth.enabled=true,然后重启nacos,发现权限果然好用了,但是在启动java服务的时候,报403错误 问题描述 nacos开启权限认证后,nacos config无法使用,注册中心无法使用 问题解决步骤 (必
springboot集成nacos报错:get data from Nacos error,dataId:null.yaml
bailegebai的博客
10-14 8806
是由于nacos开启了权限控制后,bootstrap.yml中没有配置用户名密码或者用户名密码出错,或者配置了的用户名没有该namespace的权限。配置拥有该namespace权限并且正确的用户名密码。关闭权限认证(不推荐,安全系数极低)
(发送post请求报错)There was an unexpected error (type=Forbidden, status=403). Forbidden
shujuku____的博客
05-06 2915
SpringSecurity发送post请求报错 解决方法:关闭跨站攻击功能(http.csrf().disable()) public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) t...
关于spring security BCryptPasswordEncoder加密解密及相关配置
Eindi的博客
09-01 1744
一、相关异常 Encoded password does not look like BCrypt 二、场景 在配置Securityconfig时我们会发现PasswordEncoder的NoOpPasswordEncoder已经提示过时了 现在推荐使用BCryptPasswordEncoder进行加密,加密方式是采取SHA-256+随机盐+密钥对密码进行加密, SHA系列是Hash算法,非加密算法,进行Hash处理的过程不可逆。 (1)加密(encode):注册用户时,使用SHA-256...
SpringSecurity —— 2、web 权限方案
Mr_zhangyj的博客
04-24 1075
1、设置登录系统的账号、密码 1.1、方法一:在配置文件 application.properties 中设置 spring.security.user.name=zyj spring.security.user.password=123456 1.2、方法二:通过配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected v
Spring Security参考指南解析
Spring SecuritySpring框架的一个强大组件,专注于应用程序的安全性。这份参考指南是由Ben Alex、Luke Taylor和Rob Winch编写的,提供了关于Spring Security的官方详细信息,虽然内容可能对非英语母语者来说较为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值