springboot系列十五 security 简单配置 保护接口安全

最新推荐文章于 2024-02-16 09:05:51 发布
最新推荐文章于 2024-02-16 09:05:51 发布
阅读量725 收藏 1
点赞数
文章标签: java 操作系统
原文链接:https://my.oschina.net/yimingkeji/blog/2997018
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

springsecurity提供了基于用户、角色、权限的安全控制

简单使用

在项目中加入security的依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

写一个接口

@RestController
public class IndexResource {

    @RequestMapping({"", "/", "/index"})
    public String index(){
        return "index";
    }
}

启动项目后,访问 localhost:8080 发现需要输入用户名密码。这其实是springsecurity的默认安全配置。

其实日志中已经有提示给我们:

2019-01-03 13:58:55.572  INFO 79013 --- [  restartedMain] .s.s.UserDetailsServiceAutoConfiguration : 

Using generated security password: de5cf28a-25d9-47d6-a0bd-bb4e41cf4d39

这段日志是从UserDetailsServiceAutoConfiguration这个类中打印的。

private String getOrDeducePassword(User user, PasswordEncoder encoder) {
        String password = user.getPassword();
        if (user.isPasswordGenerated()) {
            logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
        }

        return encoder == null && !PASSWORD_ALGORITHM_PATTERN.matcher(password).matches() ? "{noop}" + password : password;
    }

密码有了,那用户名呢?

查看security的配置类org.springframework.boot.autoconfigure.security.SecurityProperties.User,发现用户名默认为user,密码是临时UUID

public static class User {
        private String name = "user";//用户名
        private String password = UUID.randomUUID().toString();//密码
        private List<String> roles = new ArrayList();
        private boolean passwordGenerated = true;

        public User() {
        }
        //...
}

然后在浏览器输入用户名密码,接口正常访问

自定义用户名密码配置

怎么自定义用户密码?

在配置文件中加入security的配置:

spring:
  security:
    user:
      name: admin
      password: admin

然后重新访问,输入admin / admin 访问成功。(部分浏览器需要清除之前的缓存才看到效果)

web页面安全访问

在web页面中一般都需要登录后(拿到session)才能访问

页面

先写2个页面

login.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
    <title>Spring Security 登录 </title>
    <!-- 最新版本的 Bootstrap 核心 CSS 文件 -->
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">

    <!-- 最新的 Bootstrap 核心 JavaScript 文件 -->
    <script src="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/js/bootstrap.min.js" integrity="sha384-Tc5IQib027qvyjSMfHjOMaLkfuWVxZxUPnCJA7l2mCWNIpG9mGCD8wGNIcPD7Txa" crossorigin="anonymous"></script>
</head>
<body>
<form class="form-horizontal" th:action="@{/login}" method="post">
    <h1>Login</h1>
    <div th:if="${param.error}">
        用户名或密码错
    </div>
    <div th:if="${param.logout}">
        您已注销成功
    </div>
    <div class="form-group">
        <label for="inputEmail3" class="col-sm-2 control-label">Username</label>
        <div class="col-sm-10">
            <input type="text" class="form-control" id="inputEmail3" name="username" placeholder="Username">
        </div>
    </div>
    <div class="form-group">
        <label for="inputPassword3" class="col-sm-2 control-label">Password</label>
        <div class="col-sm-10">
            <input type="password" class="form-control" id="inputPassword3" name="password" placeholder="Password">
        </div>
    </div>
    <div class="form-group">
        <div class="col-sm-offset-2 col-sm-10">
            <button type="submit" class="btn btn-default">Sign in</button>
        </div>
    </div>
</form>
</body>
</html>

index.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
    <title>Spring Security入门</title>
</head>
<body>
<h1>欢迎使用Spring Security!</h1>

欢迎你:<p th:text="${username}"/></p>
<p>点击 <a th:href="@{/loginout}">这里</a> 退出登录</p>
</body>
</html>

当用户登录成功后跳转到index页面

安全配置

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * http访问控制
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/", "/login").permitAll()//允许访问
                .anyRequest().authenticated()//其他所有url都需要鉴权,如果未登陆则跳转登陆页面
            .and()
                .formLogin()
                    .loginPage("/login")//指定登录页面地
                    .loginProcessingUrl("/login")//登录处理url
                    .successForwardUrl("/home")//登录成功后跳转url
                    .permitAll()//允许访问
            .and()
                .logout().logoutUrl("/loginout").permitAll();//指定登出url,并且允许访问
    }

    /**
     * 全局配置:
     *  创建一个内存用户
     *    用户名 admin
     *    密码 admin
     *    角色 USER
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		//新版本security框架这里需要指定密码加密方式,不然报错:There is no PasswordEncoder mapped for the id “null”
        BCryptPasswordEncoder pwdEncoder = new BCryptPasswordEncoder();
        auth.inMemoryAuthentication()
                .passwordEncoder(pwdEncoder)
                .withUser("admin")
                .password(pwdEncoder.encode("admin"))
                .roles("ADMIN");
    }
}

控制层

@RequestMapping("/login")
    public String login(){
        return "login";
    }

    @RequestMapping("/home")
    public String home(Model model){
        User principal = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        model.addAttribute("username", principal.getUsername());
        return "index";
    }

    @RequestMapping("/loginout")
    public String loginout(){
        SecurityContextHolder.clearContext();
        return "login";
    }

测试

转载于:https://my.oschina.net/yimingkeji/blog/2997018

weixin_33670713
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot(四)之使用JWT和Spring Security保护REST API
08-30
主要介绍了Spring Boot(四)之使用JWT和Spring Security保护REST API的相关知识,需要的朋友可以参考下
SpringBoot安全认证Security的实现方法
08-25
SpringBoot 安全认证 Security 的实现方法 在本文中,我们将详细介绍 SpringBoot 安全认证 Security 的实现方法。Security 是一个非常重要的组件,它可以帮助我们保护应用程序免受未经授权的访问。下面我们将一步步...
Spring Security http接口保护、方法保护示范项目以及配置方式、注解方式示范
HumorChen的博客
03-01 590
Spring Security 安全认证主要分为这么几个部分 第一个是用户,也就是用来登录的账号 第二个是角色,不同的网址、资源可能需要是某些角色才能访问 第三个就是授权,对于别人提供的登录凭证(账号密码),你要鉴定并在鉴定通过后给别人授权。 第四个就是配置哪些地方需要什么权限。 被权限管理的可以是网址、函数等,常用的就是网址的访问、函数的调用 默认登录地址/login ,默认的退出登录地址/logout,有默认的页面在 maven依赖: <dependency> <gro
SecuritySpringBoot简单配置
孔的博客
12-15 145
@EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { /* * 使用 Spring MVC 的 CORS 支持,可以省略指定 和 Spring Security 将利用提供给 Spring MVC 的 CORS 配置。 * 请求不包含任何 Cookie,并且 Spring Security 是第一位的,则请求将确定用户未经过身份验证 *
Spring Security:用户和Spring应用之间的安全屏障
华为云官方博客
06-20 924
Spring Security是一个安全框架,作为Spring家族的一员。
SpringSecurity基础(一)自动保护接口
weixin_43189971的博客
07-18 309
1.配置依赖自动保护接口
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
springboot_cxf_security
11-13
在本项目"springboot_cxf_security"中,我们主要探讨的是如何将Spring Boot、Apache CXF和Spring Security整合,以创建一个集成了Web服务(Webservice)和模型视图控制器(MVC)功能的应用程序。以下是对这些技术的...
SpringBoot-Security
05-26
SpringBoot-Security是基于Spring Boot的轻量级安全框架,用于简化Spring Security的集成和配置。这个框架使得在Spring Boot应用中实现身份验证和授权变得简单。本文将深入探讨SpringBoot-Security的两种配置方式...
springboot-06-security.zip
11-30
在本项目"springboot-06-security.zip"中,我们主要探讨了如何在SpringBoot应用中集成并使用SpringSecurity进行安全控制。SpringSecurityJava领域一个强大的安全管理框架,它提供了全面的安全服务,包括用户认证、...
SpringBoot前后端分离API接口怎么保证API接口安全性?
weixin_33881753的博客
03-01 4569
SpringBoot前后端分离API接口怎么保证API接口安全性?前端用vue写的,直接放在nginx下面,后端使用SpringBoot作为服务端提供API接口给前端访问,前端分为公共访问页面和登录后访问页面。登录后访问的可以使用JWT进行接口鉴权。但是没有登录的情况如何保护接口不被恶意的调用?解决:通过请求request来获取ip.记录ip请求次数到redis缓存.当ip...
Spring Security
m0_45209551的博客
05-19 1486
目录 04、Spring Security从数据库中读取信息 pom依赖 application.properties User 1.每个实体类的属性名都不一样,怎么知道你哪个字段表示用户名,那个字段表示密码,Spring Security提供了统一的方法实现UserDetails 接口 2.先重写方法,再实现get和set方法 3.重写了自动的,记得删掉get方法 UserService 当用户登录的时候,会自动调用到这个方法 UserMapper UserMapper.xml ..
spring boot security学习
qq_43203949的博客
09-13 289
spring boot security(一) 配置认证和授权 通过继承WebSecurityConfigurerAdapter,可以重写其认证和授权的逻辑。 @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { /*@Autowired private DataSource dataSource;*/ //一个UserDetailS
Spring Security - 06 修改默认的用户名和密码
qq_29761395的博客
02-05 2939
文章目录环境项目结构测试参考 环境 操作系统: Windows 10 x64 集成开发环境: Spring Tool Suite 4 Version: 4.12.1.RELEASE Build Id: 202110260750 浏览器(客户端): Google Chrome 版本 97.0.4692.71(正式版本) (64 位) 项目结构 参考:Spring Security - 05 原生的退出登录 从 Web > 4. Spring Security 文中可知,默认的用户名是 user
在Spring web应用中使用Spring Security
最新发布
听海边涛声
02-16 1510
在Spring web应用中使用Spring Security
Spring Boot如何优雅提高接口数据安全
weixin_41821642的博客
05-08 423
如果插入的新值小于已存在的主键,这时候处理很简单,这时候只需要将这行数据放入当前索引最后一行数据所在数据页中,假如数据页已满,就新增一个数据页即可,但是插入新值得顺序在中间的话就比较麻烦了,根据 B+ 树的算法,这时候需要申请一个新的数据页,然后挪动部分数据过去。优化器选择索引的目的,是找到一个最优的执行方案,并用最小的代价去执行语句。基于非主键索引的查询需要多扫描一棵索引树,因为非主键索引的叶子节点内容存的是主键的值,我们需要根据非主键索引找到对应的主键值,再根据主键去主键索引树查找一遍,这个过程叫做。
【Spring Boot】SpringBoot 如何保证接口安全?老鸟们都是这么玩的!
DreamSun的博客
03-27 700
对于互联网来说,只要你系统的接口暴露在外网,就避免不了接口安全问题。 如果你的接口在外网裸奔,只要让黑客知道接口的地址和参数就可以调用,那简直就是灾难。
springboot整合spring security如何配置跳转页面
04-21
可以使用以下配置来跳转到指定的页面: 在 Spring Security 配置中,使用`formLogin()`方法开启表单登录,在其中设置`loginPage()`方法来指定登录页面地址,如下所示: ```java @Configuration @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 不进行权限验证的 URL .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") // 指定登录页面地址 .permitAll() .and() .logout() .permitAll(); } } ``` 在上述代码中,`/login` 路径为登录页面地址,是一个 GET 请求,访问该路径时返回登录页面。在登录页面中,用户输入用户名和密码,然后提交表单,将会通过 POST 请求发送到`/login`地址。 通过重写 `configure(AuthenticationManagerBuilder auth)` 方法,可以指定用户认证方式默认使用内存中的认证方式。在下面的代码示例中,使用了一对用户名和密码 `user/userpassword`。 ```java @Configuration @EnableWebSecurity public class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 不进行权限验证的 URL .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") // 指定登录页面地址 .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user") .password("{noop}userpassword") .roles("USER"); } } ``` 在上述代码中,“{noop}” 是 5.x 版本的特性,用于指定密码以明文形式存储。否则的话,需要使用`PasswordEncoder`接口的实现来加密密码,不过这样做对于一个小型项目并不是必要的。 Spring Security 提供了默认的 login form 表单,不过在以下情况下,可能需要重写默认的登录页面模板。 默认模板位于`/org/springframework/security/web/server/ui/login/LoginPageGeneratingWebFilter.DEFAULT_LOGIN_PAGE_TEMPLATE`。 利用 FreeMarker 模板引擎可以重写该模板。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值