spring boot系列03--spring security (基于数据库)登录和权限控制(下)

最新推荐文章于 2023-04-11 15:17:33 发布
最新推荐文章于 2023-04-11 15:17:33 发布
阅读量121 收藏
点赞数
原文链接:http://www.cnblogs.com/zhufu9426/p/8086128.html
版权

(接上篇)

后台

 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 

 1 @Configuration
 2 @EnableWebSecurity
 3 public class AuthConfig extends WebSecurityConfigurerAdapter {  4  @Override  5 protected void configure(HttpSecurity httpSecurity) throws Exception {  6  httpSecurity.authorizeRequests()  7 .antMatchers("/css/**","/staic/**", "/js/**","/images/**").permitAll()  8 .antMatchers("/", "/login","/session_expired").permitAll()  9  .and() 10  .formLogin() 11 .loginPage("/login") 12 .defaultSuccessUrl("/main_menu") 13 .failureUrl("/loginError") 14 .usernameParameter("txtUserCd") 15 .passwordParameter("txtUserPwd") 16  .permitAll() 17  .and() 18  .logout() 19 .logoutRequestMatcher(new AntPathRequestMatcher("/logout")) 20 .logoutSuccessUrl("/") 21 .deleteCookies("JSESSIONID") 22 .invalidateHttpSession(true) 23  .permitAll() 24  .and() 25  .sessionManagement() 26 .invalidSessionUrl("/session_expired") 27 .maximumSessions(1) 28 .maxSessionsPreventsLogin(true) 29 .expiredUrl("/session_expired"); 30  httpSecurity.logout().permitAll(); 31 32  } 33 34  @Autowired 35  AuthUserService authUserService; 36 public void globalAuthConfig(AuthenticationManagerBuilder auth) throws Exception { 37  auth.userDetailsService(authUserService); 38 //auth.inMemoryAuthentication().withUser("user").password("password"); 39  } 40 /*@Configuration 41  protected static class AuthenticationConfiguration extends GlobalAuthenticationConfigurerAdapter { 42  @Autowired 43  AuthUserService authUserService; 44 45  @Override 46  public void init(AuthenticationManagerBuilder auth) throws Exception { 47  //auth.inMemoryAuthentication().withUser("user").password("password"); 48  auth.userDetailsService(authUserService); 49  } 50  }*/ 51 }

一、configur方法 基本配置

NoSourceComment
L1@Configuration这个就是java形式的bean spring3.0以后 允许以 @Configuration 注解来代替XML形式的bean
L2@EnableWebSecurity用这个注解开启 spring security配置验证开启
L3WebSecurityConfigurerAdapter 这个需要我们继承WebSecurityConfigurerAdapter适配器且重写

 configure 函数 来实现访问的控制(那些访问/资源 需要哪些权限)和登录的验证(数据库验证/内存验证)

L6 authorizeRequests()通过authorizeRequests()配下的子函来完成访问/授权 配置
L7,8antMatchers/permitAll antMatchers里配置的资源是可以被所有用户访问(permitAll)的
L9and()类似于结束标签
L10formLogin通过formLogin()配下的函数对登录form进行配置
L11 loginPage设置登录页面
L12defaultSuccessUrl默认登录成功跳转地址
L13failureUrl默认登录失败跳转地址
L14,15usernameParameter
passwordParameter		用户名密码验证用 *这里的参数要和画面上控件名保持一致
L18 logout()通过logout()配下的函数对注销进行配置
L19.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))设置注销用的请求URL
L20logoutSuccessUrl设置注销成功后的跳转URL
L21deleteCookies消除Cookie
L22invalidateHttpSession销毁Session
L25sessionManagement通过sessionManagement配下的函数对session配置
L27maximumSessions同一用户session上限设定 *比如同一个用户 多次登录
L28maxSessionsPreventsLoginmaximumSessions设定的上限启用 * 超出报错
L29expiredUrl

超过session上限跳转URL设定

 

 二、globalAuthConfig方法 认证

先说L38 这行注掉的 是内存认证模式  意思是创建了一个 名为user 密码 为password的用户

然后是 L37 这也是认证核心

先看一下这个 传入参数的的构成 也就是 AuthUserService 类

 1 @Service
 2 public class AuthUserService implements UserDetailsService{  3  4  @Autowired  5  MstUsersMapper mstUsersMapper;  6  7  @Override  8 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {  9 Users users =mstUsersMapper.selectByPrimaryKey(username); 10 if(users == null) { 11 throw new UsernameNotFoundException("User not found for name:"+username); 12  } 13 return new AuthUser(users); 14  } 15 16 public String getAuthorityByLoginId(String loginId ){ 17 //Map<String,String> authKindMap = new HashMap<String,String>(); 18 String auth = mstUsersMapper.selectAuthorityByLoginId(loginId); 19 return auth; 20  } 21 }

可以看到我们是 实现了UserDetailsService 然后重写了一个loadUserByUsername和追加了一个 getAuthorityByLoginId函数

关于 getAuthorityByLoginId 好说的基本上就是 当前用户的权限

然后是loadUserByUsername

可以通过名字基本上可以看的出是 通过name 取user 的信息 实际上也是这样 这里并不判断你输的密码对不对 主要是

判断你输入的用户名在数据库里存不存在 不存在 报错 扔出 存在 实例化一个 AuthUser 返回

这个AuthUser 类也很重要 实现了UserDetails  如下

 1 public class AuthUser implements UserDetails {
 2 private static final long serialVersionUID = 1L;  3  4 private String userId;  5 private String loginId;  6 private String password;  7 private String authorityKind;  8 public AuthUser(Users users) {  9 super(); 10 this.userId = users.getUserId(); 11 this.loginId = users.getLoginId(); 12 this.password = users.getPassword(); 13 this.authorityKind = users.getAuthorityKind(); 14  } 15 16  @Override 17 public Collection<GrantedAuthority> getAuthorities() { 18 List<GrantedAuthority> list = new ArrayList<GrantedAuthority>(); 19 list.add(new SimpleGrantedAuthority(authorityKind)); 20 return list; 21  } 22 23  @Override 24 public String getPassword() { 25 return password; 26  } 27 28  @Override 29 public String getUsername() { 30 return loginId; 31  } 32 33  @Override 34 public boolean isAccountNonExpired() { 35 return true; 36  } 37 38  @Override 39 public boolean isAccountNonLocked() { 40 return true; 41  } 42 43  @Override 44 public boolean isCredentialsNonExpired() { 45 return true; 46  } 47 48  @Override 49 public boolean isEnabled() { 50 return true; 51 }

 这里的几个点要注意一下

L17 getAuthorities 它返回了一个权限集合 这个集合是和你在画面侧用的hasAnyAuthority('ROLE_USER','ROLE_ADMIN') 这个函数相呼应的

换言之你之所以能在画面侧如上那样写也是因为你在这里吧把当前用户的权限set进去了

 

然后看一下我们实现的 UserDetails这个父类,如下官网文档给的信息.

NoModifier and TypeMethod and Description
1java.util.Collection<? extends GrantedAuthority>getAuthorities()
Returns the authorities granted to the user.
2java.lang.StringgetPassword()
Returns the password used to authenticate the user.
3java.lang.StringgetUsername()
Returns the username used to authenticate the user.
4booleanisAccountNonExpired()
Indicates whether the user's account has expired.
5booleanisAccountNonLocked()
Indicates whether the user is locked or unlocked.
6booleanisCredentialsNonExpired()
Indicates whether the user's credentials (password) has expired.
7booleanisEnabled()
Indicates whether the user is enabled or disabled.

 

 前3个应该不用说了,从第四个开始说一下

isAccountNonExpired():当前账号是否已经过期

isAccountNonLocked()当前账号是否被锁

isCredentialsNonExpired()当前账号证书(密码)是否过期

isEnabled()当前账号是否被禁用

都要给设成true 否则登录会报出来

还有实现一个UserDetailsService类如下

 1 @Service
 2 public class AuthUserService implements UserDetailsService{
 3 
 4     @Autowired
 5     MstUsersMapper mstUsersMapper;
 6     
 7     @Override
 8     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 9         Users users =mstUsersMapper.selectByPrimaryKey(username);
10         if(users == null) {
11             throw new UsernameNotFoundException("User not found for name:"+username);
12         }
13         return new AuthUser(users);
14     }
15     
16     public String getAuthorityByLoginId(String loginId ){
17         //Map<String,String> authKindMap = new HashMap<String,String>();
18         String auth = mstUsersMapper.selectAuthorityByLoginId(loginId); 
19         return auth;
20     }
21 }
如你看到那样loadUserByUsername这函数并不做密码验证只是拿username取用户信息,当然取不到报错
取到交给AuthUser,然后spring boot 自己再去判断密码,以及前面说的那个几个check
剩下的就是 Controller这个就没有特别要说的到git上看代码就完了
最后贴一下执行效果图及git地址

(完)

转载于:https://www.cnblogs.com/zhufu9426/p/8086128.html

叛逆的鲁鲁修love CC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springBoot+mysql实现用户权限控制--系统框架搭建(四)
ke1ying的博客
09-29 299
上篇文章说了AOP实现上下文的存储,有需要的可以看看, AOP实现上下文存储 --- 系统框架搭建(三) 环境需求:springboot + mysql 5.7.16 + Lombok 1.18.12 1、需求背景 为了实现不同的客户群体,看到的管理系统菜单目录不同,所以要给他们分配不同的权限,比如校长可以给老师分配不同的课程,学生只可以访问课程不可以修改课程,老师不光可以访问课程,还可以修改和新增课程。 上面只是举个例子,总之核心就是为了实现,不同的角色只能使用相对应的功能,各自分工不同。
404 单页应用 报错 路由_spring - 配置spring boot以将404重定向到单个页面应用程序 - 堆栈内存溢出...
weixin_39849888的博客
12-20 165
这里的安全配置(SecurityConfig.java)@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled=true)public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate Environm...
SpringSecurity的PermitAll、WebSecurityCustomizer和授权
qq_18841277的博客
12-09 3884
当使用PermitAll的时候,SpringSecurity会拿到你放行的请求进行判断,因此不会被SpringSecurity默认的过滤器所拦截,但是可能会被我们重写的过滤器所拦截,但是当在授权的时候如果实现了。的时候,过滤器会忽略后面请求的路径,默认就不会走springSecurity的过滤器和重写的springSecurity的过滤器。在SpringSecurity的日常开发中,可能使用SpringSecurity的PermitAll()请求还是会被拦截,这是为什么呢?决定此次请求是否被允许访问的。
史上最简单的Spring Security教程(六):用户登出
银河架构师的博客
07-01 3687
既然有用户登录,势必就会有用户登出,Spring Security也提供了比较详细的登出配置。 其实,之前的程序中,依然支持用户登出,不知道有人点过退出登录按钮没有,结果是404。其实,原因也很简单,我们的退出登录按钮使用超链接实现的,而超链接是 GET 方式请求的,在Spring Security用户登出配置中,CSRF默认是开启的,并没有关闭,不支持 GET 类型的用户登出请求。因此,就会抛出404的错误码。 ...... if (http.getConfigurer(...
java安全五安全级别_Spring Security 5中的路径安全性
weixin_34221330的博客
02-26 236
使用org.springframework.security:spring-security-oauth2-resource-server5.1.0.RC2(通过org.springframework.bootspring-boot-starter-security:2.1.0.M3)我正在尝试启用安全性一些http路径,但使用基于JWT的令牌安全性为其他人禁用它 .我尝试了以下方法,但它在各种...
spring-boot-security-添加数据库-注册用户添加权限.zip
08-03
spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot2.0
spring-boot-security-saml-sample:SBS3 —基于Spring Boot构建的示例SAML 2.0服务提供程序
01-30
[SBS3] Spring Boot示例SAML 2.0服务提供程序项目描述该项目代表完全基于Spring Framework构建的SAML 2.0 Service Provider的示例实现。 特别是,它展示了如何通过集成Spring BootSpring Security SAML开发为联合...
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring BootSpring Security与OAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
spring-boot-starter-security-2.1.3.RELEASE.jar
02-27
java运行依赖jar包
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
在本文中,我们将深入探讨如何使用Spring BootSpring Security实现基于基本身份验证(Basic Authentication)的安全RESTful API。Spring Boot简化了创建独立、生产级别的基于Spring的应用程序,并且Spring ...
Spring Boot Security使用 JDBC 和 MySQL 进行 RBAC,自定义登录验证,登录界面增加kaptcha验证码
allway2的博客
11-04 662
在本教程中,我将指导您如何编写代码,以使用具有基于表单的身份验证的Spring安全API来保护Spring Boot应用程序中的网页。用户详细信息存储在MySQL数据库中,并使用春季JDBC连接到数据库。我们将从本教程中的 ProductManager 项目开始,向现有的弹簧启动项目添加登录和注销功能。凭据应存储在数据库中,因此让我们创建新表,表间关系ER图如下: 2. 配置数据源属性 接下来,在应用程序属性文件中指定数据库连接信息,如下所示:根据您的MySQL数据库更新URL,用户名和密码。 要
在 webflux 环境中使用 Spring Security
2301_76607156的博客
04-11 2061
复制日志中出现的名称:,在 idea 中按两下 shift在类中可以看到如下代码:可以看到密码的来源于 User 对象,而 User 对象,由方法传入,但值最终都是取自对象。而就是一个读取配置文件的类,定义如下:spring:security:user:复制代码再次启动项目,就可以使用cxyxj在 mvc 中还自定义过登录成功响应、登录失败响应、登录权限访问响应、未登录访问认证资源响应、登出成功响应。那在 webflux 中如何自定义呢?
ServerHttpSecurity设置pathMatchers.permitAll失效,仍然401.
慢慢的博客
01-26 6228
ServerHttpSecurity401,修改anyExchange访问
spring-cloud-security
weixin_39370859的博客
04-12 4500
基于webflux的spring security,即spring-cloud-security
SpringSecurity(六)注销登录
陈橙橙
03-11 1634
注销登录 SpringScurity中提供了默认的注销页面,当然我们也可以根据自己的需求对注销登录进行定制。 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests()
自定义注解 java 权限控制_Spring Boot 通过AOP和自定义注解实现权限控制的方法
weixin_34697150的博客
02-26 432
本文介绍了Spring Boot 通过AOP和自定义注解实现权限控制,分享给大家,具体如下:源码:https://github.com/yulc-coding/java-note/tree/master/aop思路自定义权限注解在需要验证的接口上加上注解,并设置具体权限数据库权限表中加入对应接口需要的权限用户登录时,获取当前用户的所有权限列表放入Redis缓存中定义AOP,将切入点设置为自定义的...
Http小知识
ClownTsai
11-19 538
Java中HttpSession的invalidate()的问题?
java(springboot) mybatis 数据权限详细实现(图文)
热门推荐
cyy9487的博客
05-18 1万+
一、啥子是数据权限? 嗯,数据权限?有些朋友可能会问了,“嗯,数据还有权限?”.
SpringSecurity基于数据库认证以及权限管理
dy051107的博客
06-02 790
上一篇对SpringSecurity做了基本介绍,以及做了一个基于内存用户认证的小栗子,在企业开发中,都会连接数据库来做认证,那怎么来基于数据库做认证呢,今天我们就动手练习下,我们使用的环境呢,springboot+springsecurity+mybaits+mysql来搭建。 没有mysql数据库环境的小伙伴,可以看下我之前的文章,来安装mysql docker安装mysql 安装完数据库后,创建一个名为SpringSecurity的schema数据库,导入两个表,一个...
spring-cloud-starter-securityspring-boot-starter-security
最新发布
04-28
因此,如果你的应用是一个基于Spring Boot的单体应用,那么可以使用spring-boot-starter-security来实现安全认证;如果你的应用是一个分布式系统,那么可以使用spring-cloud-starter-security来实现安全认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值