spring boot系列--spring security (基于数据库)登录和权限控制

最新推荐文章于 2023-07-25 23:43:07 发布
最新推荐文章于 2023-07-25 23:43:07 发布
阅读量153 收藏
点赞数
原文链接:http://www.cnblogs.com/itrena/p/8289542.html
版权

先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 

复制代码 
 1 @Configuration
 2 @EnableWebSecurity
 3 public class AuthConfig extends WebSecurityConfigurerAdapter {
 4     @Override
 5     protected void configure(HttpSecurity httpSecurity) throws Exception {
 6         httpSecurity.authorizeRequests()
 7         .antMatchers("/css/**","/staic/**", "/js/**","/images/**").permitAll()
 8         .antMatchers("/", "/login","/session_expired").permitAll()
 9            .and()
10      .formLogin()
11         .loginPage("/login")
12         .defaultSuccessUrl("/main_menu")
13         .failureUrl("/loginError")
14         .usernameParameter("txtUserCd")
15         .passwordParameter("txtUserPwd")
16         .permitAll()
17         .and()
18         .logout()
19         .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
20         .logoutSuccessUrl("/")
21         .deleteCookies("JSESSIONID")
22         .invalidateHttpSession(true)
23         .permitAll()
24         .and()
25         .sessionManagement()
26         .invalidSessionUrl("/session_expired")
27         .maximumSessions(1)
28         .maxSessionsPreventsLogin(true)
29         .expiredUrl("/session_expired");
30         httpSecurity.logout().permitAll();
31 
32     }
33     
34      @Autowired
35      AuthUserService authUserService;
36     public void globalAuthConfig(AuthenticationManagerBuilder auth) throws Exception {
37         auth.userDetailsService(authUserService);
38       //auth.inMemoryAuthentication().withUser("user").password("password");
39     }
40     /*@Configuration
41     protected static class AuthenticationConfiguration extends GlobalAuthenticationConfigurerAdapter {
42         @Autowired
43         AuthUserService authUserService;
44     
45         @Override
46         public void init(AuthenticationManagerBuilder auth) throws Exception {
47             //auth.inMemoryAuthentication().withUser("user").password("password");
48             auth.userDetailsService(authUserService);
49         }
50     }*/
51 }
复制代码

一、configur方法 基本配置

NoSourceComment
L1@Configuration这个就是java形式的bean spring3.0以后 允许以 @Configuration 注解来代替XML形式的bean
L2@EnableWebSecurity用这个注解开启 spring security配置验证开启
L3WebSecurityConfigurerAdapter这个需要我们继承WebSecurityConfigurerAdapter适配器且重写

 configure 函数 来实现访问的控制(那些访问/资源 需要哪些权限)和登录的验证(数据库验证/内存验证)

L6authorizeRequests()通过authorizeRequests()配下的子函来完成访问/授权 配置
L7,8antMatchers/permitAllantMatchers里配置的资源是可以被所有用户访问(permitAll)的
L9and()类似于结束标签
L10formLogin通过formLogin()配下的函数对登录form进行配置
L11loginPage设置登录页面
L12defaultSuccessUrl默认登录成功跳转地址
L13failureUrl默认登录失败跳转地址
L14,15usernameParameter
passwordParameter		用户名密码验证用 *这里的参数要和画面上控件名保持一致
L18 logout()通过logout()配下的函数对注销进行配置
L19.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))设置注销用的请求URL
L20logoutSuccessUrl设置注销成功后的跳转URL
L21deleteCookies消除Cookie
L22invalidateHttpSession销毁Session
L25sessionManagement通过sessionManagement配下的函数对session配置
L27maximumSessions同一用户session上限设定 *比如同一个用户 多次登录
L28maxSessionsPreventsLoginmaximumSessions设定的上限启用 * 超出报错
L29expiredUrl

超过session上限跳转URL设定

 

 二、globalAuthConfig方法 认证

先说L38 这行注掉的 是内存认证模式  意思是创建了一个 名为user 密码 为password的用户

然后是 L37 这也是认证核心

先看一下这个 传入参数的的构成 也就是 AuthUserService 类

复制代码 
 1 @Service
 2 public class AuthUserService implements UserDetailsService{
 3 
 4     @Autowired
 5     MstUsersMapper mstUsersMapper;
 6     
 7     @Override
 8     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 9         Users users =mstUsersMapper.selectByPrimaryKey(username);
10         if(users == null) {
11             throw new UsernameNotFoundException("User not found for name:"+username);
12         }
13         return new AuthUser(users);
14     }
15     
16     public String getAuthorityByLoginId(String loginId ){
17         //Map<String,String> authKindMap = new HashMap<String,String>();
18         String auth = mstUsersMapper.selectAuthorityByLoginId(loginId); 
19         return auth;
20     }
21 }
复制代码

可以看到我们是 实现了UserDetailsService 然后重写了一个loadUserByUsername和追加了一个 getAuthorityByLoginId函数

关于 getAuthorityByLoginId 好说的基本上就是 当前用户的权限

然后是loadUserByUsername

可以通过名字基本上可以看的出是 通过name 取user 的信息 实际上也是这样 这里并不判断你输的密码对不对 主要是

判断你输入的用户名在数据库里存不存在 不存在 报错 扔出 存在 实例化一个 AuthUser 返回

这个AuthUser 类也很重要 实现了UserDetails  如下

复制代码 
 1 public class AuthUser implements UserDetails {
 2     private static final long serialVersionUID = 1L;
 3     
 4     private String userId;
 5     private String loginId;
 6     private String password;
 7     private String authorityKind;
 8     public AuthUser(Users users) {
 9         super();
10         this.userId = users.getUserId();
11         this.loginId = users.getLoginId();
12         this.password = users.getPassword();
13         this.authorityKind = users.getAuthorityKind();
14     }
15 
16     @Override
17     public Collection<GrantedAuthority> getAuthorities() {
18         List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();
19         list.add(new SimpleGrantedAuthority(authorityKind));
20         return list;
21     }
22 
23     @Override
24     public String getPassword() {
25         return password;
26     }
27 
28     @Override
29     public String getUsername() {
30         return loginId;
31     }
32 
33     @Override
34     public boolean isAccountNonExpired() {
35         return true;
36     }
37 
38     @Override
39     public boolean isAccountNonLocked() {
40         return true;
41     }
42 
43     @Override
44     public boolean isCredentialsNonExpired() {
45         return true;
46     }
47 
48     @Override
49     public boolean isEnabled() {
50         return true;
51     }
复制代码

 这里的几个点要注意一下

L17 getAuthorities 它返回了一个权限集合 这个集合是和你在画面侧用的hasAnyAuthority('ROLE_USER','ROLE_ADMIN') 这个函数相呼应的

换言之你之所以能在画面侧如上那样写也是因为你在这里吧把当前用户的权限set进去了

 

然后看一下我们实现的 UserDetails这个父类,如下官网文档给的信息.

NoModifier and TypeMethod and Description
1java.util.Collection<? extends GrantedAuthority>getAuthorities()
Returns the authorities granted to the user.
2java.lang.StringgetPassword()
Returns the password used to authenticate the user.
3java.lang.StringgetUsername()
Returns the username used to authenticate the user.
4booleanisAccountNonExpired()
Indicates whether the user's account has expired.
5booleanisAccountNonLocked()
Indicates whether the user is locked or unlocked.
6booleanisCredentialsNonExpired()
Indicates whether the user's credentials (password) has expired.
7booleanisEnabled()
Indicates whether the user is enabled or disabled.

 

 前3个应该不用说了,从第四个开始说一下

isAccountNonExpired():当前账号是否已经过期

isAccountNonLocked():当前账号是否被锁

isCredentialsNonExpired():当前账号证书(密码)是否过期

isEnabled():当前账号是否被禁用

都要给设成true 否则登录会报出来

还有实现一个UserDetailsService类如下

复制代码 
 1 @Service
 2 public class AuthUserService implements UserDetailsService{
 3 
 4     @Autowired
 5     MstUsersMapper mstUsersMapper;
 6     
 7     @Override
 8     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
 9         Users users =mstUsersMapper.selectByPrimaryKey(username);
10         if(users == null) {
11             throw new UsernameNotFoundException("User not found for name:"+username);
12         }
13         return new AuthUser(users);
14     }
15     
16     public String getAuthorityByLoginId(String loginId ){
17         //Map<String,String> authKindMap = new HashMap<String,String>();
18         String auth = mstUsersMapper.selectAuthorityByLoginId(loginId); 
19         return auth;
20     }
21 }
复制代码 
如你看到那样loadUserByUsername这函数并不做密码验证只是拿username取用户信息,当然取不到报错
取到交给AuthUser,然后spring boot 自己再去判断密码,以及前面说的那个几个check
剩下的就是 Controller这个就没有特别要说的到git上看代码就完了
最后贴一下执行效果图及git地址

(完)

转载于:https://www.cnblogs.com/itrena/p/8289542.html

weixin_30872499
关注
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring BootSpring Security与OAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
Spring Boot 实现通用 Auth 认证的 4 种方式!
spring_root的博客
07-29 509
文章中介绍了spring-boot中实现通用auth的四种方式,包括 传统AOP、拦截器、参数解析器和过滤器,并提供了对应的实例代码,最后简单总结了下他们的执行顺序。 前言 最近一直被无尽的业务需求淹没,没时间喘息,终于接到一个能让我突破代码舒适区的活儿,解决它的过程非常曲折,一度让我怀疑人生,不过收获也很大,代码方面不明显,但感觉自己抹掉了 java、Tomcat、Spring 一直挡在我眼前的一层纱。对它们的理解上了一个新的层次。 好久没输出了,于是挑一个方面总结一下,希望在梳理过程中再了解一些其
spring boot系列03--spring security (基于数据库)登录权限控制(下)
weixin_30236595的博客
01-15 144
(接上篇) 后台 先说一下AuthConfig.java Spring Security的主要配置文件之一 AuthConfig 1 @Configuration 2 @EnableWebSecurity 3 public class AuthConfig extends WebSecurityConfigurerAdapter { 4 @Override ...
SpringBootSpringBoot @ConfigurationProperties 注解 用法与加载static静态属性
我是Superman丶的博客
09-09 3040
@ConfigurationProperties 【SpringBootSpringBoot @ConfigurationProperties 注解 用法与加载static静态属性 @ConfigurationProperties只会调用非静态的set方法,只要将set方法都换成非静态即可 package com.xxx.auth.config; import org.springframework.boot.context.properties.Configura......
druid-spring-boot-starter整合hive遇到的一个小坑
REID丶Beginner的博客
08-07 2283
事情起源于一个数据治理平台,数据治理平台本来管理的数据源就比较多,从关系型数据库到非关系型数据库。刚开始项目还没集成Hive数据库时所有Druid功能一切正常使用,直到项目集成Hive数据库后Druid的监控功能用不了了,访问/druid/index.html后台一直报错。错误如下: 2020-08-07 08:55:22.307 [http-nio-8888-exec-1] ERROR o.a.c.core.ContainerBase.[Tomcat].[localhost]:175 - Except
Spring Security (1)-配置篇
晨曦
06-03 309
原文链接:http://www.jylt.cc/#/detail?id=dbfcb0d72b016dc3e52fcab29a101845 框架简介 spring security 是一款基于Spring 框架的框架,提供了一套web应用安全性的完整解决方案。 web应用的安全性一般分为:用户认证和用户授权两部分。 用户认证就是用来区分当前访问的用户、设备等身份。比如我们常用的登录操作就属于用户认证,登录之后系统便知道我们是谁。 用户授权就是辨识当前用户拥有的角色、权限。比如用户是不是管理员角色,如果是
spring-boot-starter-security-2.1.3.RELEASE.jar
02-27
java运行依赖jar包
spring-boot-security-saml-sample:SBS3 —基于Spring Boot构建的示例SAML 2.0服务提供程序
01-30
[SBS3] Spring Boot示例SAML 2.0服务提供程序项目描述该项目代表完全基于Spring Framework构建的SAML 2.0 Service Provider的示例实现。 特别是,它展示了如何通过集成Spring BootSpring Security SAML开发为联合...
spring-boot-security-添加数据库-注册用户添加权限.zip
08-03
spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot-security-添加数据库-注册用户添加权限 spring-boot2.0
基于Spring Boot的fanxing-security-spring-boot-starter权限校验与安全框架设计源码
最新发布
09-30
该项目为基于Spring Boot框架构建的轻量级安全框架fanxing-security-spring-boot-starter源码,包含25个文件,主要由22个Java源文件组成,并辅以1个LICENSE文件、1个Markdown文件和1个XML配置文件。该框架专注于权限...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
Spring Security安全配置
coolshyman的博客
07-25 2043
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
关于authconfig的一点说明
dingmanghuang1812的博客
12-28 624
前两天无意中对“System->Administratin->Authentication"做了些设置,结果造成我两三天不能用User登录,为了了解清楚,今天特意再试试,可能设了LDAP,结果连root也不能登录了,在图形界面上输入用户密码,出现“无法为用户授权”,ROOT登录则死机;在字符界面登录则出现自动跳回”localhost login"状态。上网找帮助,说可能有几种...
spring boot 开发—第八篇整合OAuth2保证api接口安全
liuweilong07的专栏
05-25 8838
1、 OAuth 概念 OAuth 是一个开放标准,允许用户让第三方应用访问该用户在某一网站上存储的私密的资源(如照片,视频,联系人列表),而不需要将用户名和密码提供给第三方应用。OAuth允许用户提供一个令牌,而不是用户名和密码来访问他们存放在特定服务提供者的数据。每一个令牌授权一个特定的网站在特定的时段内访问特定的资源。这样,OAuth让用户可以授权第三方网站访问他们存储在另外服务提...
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8154
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
springboot-autoconfig自动配置原理
奋斗的小鸟专栏
05-13 2万+
SpringBoot的项目一般都会有*Application的入口类,入口类中会有main方法,这是一个标准的Java应用程序的入口方法。在启动是springboot服务时,对象实例化时会加载META-INF/spring.factories文件,将该配置文件中的配置载入到Spring容器中。下面介绍自定义自动配置加载。在application.properties增加如下:server.port...
一文了解SpringBoot Security的oauth2四种授权模式使用
小石潭记丶
06-07 2139
项目结构: 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apach
spring security起步三:自定义登录配置与form-login属性详解
热门推荐
小鱼儿的专栏
07-12 9万+
spring security 自定义登录spring security custom login 404 Not Found spring security 自定义登录 405 method not supported
Spring Security 实战干货:UsernamePasswordAuthenticationFilter 源码分析
码农小胖哥
07-16 1557
1. 前言欢迎阅读Spring Security 实战干货系列文章,在集成Spring Security安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了,尤其...
spring-cloud-starter-securityspring-boot-starter-security
04-28
这两个库都是Spring框架中用于实现安全认证的库,但是它们的作用略有不同。 spring-boot-starter-securitySpring Boot框架中提供的一个基础库,它提供了一些基本的安全认证功能,比如HTTP Basic、表单认证等。 而spring-cloud-starter-securitySpring Cloud框架中提供的一个库,它是在spring-boot-starter-security的基础上进行扩展,提供了一些针对分布式系统的安全认证功能,比如OAuth2、JWT等。 因此,如果你的应用是一个基于Spring Boot的单体应用,那么可以使用spring-boot-starter-security来实现安全认证;如果你的应用是一个分布式系统,那么可以使用spring-cloud-starter-security来实现安全认证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值