springboot security 权限不足_SpringBoot + Spring Security 简单入门

最新推荐文章于 2022-12-12 15:43:25 发布
最新推荐文章于 2022-12-12 15:43:25 发布
阅读量166 收藏
点赞数
文章标签: springboot security 权限不足 springboot security 权限校验

这篇文章主要介绍了SpringBoot + Spring Security 简单入门

Spring Security 基本介绍

这里就不对Spring Security进行过多的介绍了,具体的可以参考 官方文档

https://docs.spring.io/spring-security/site/docs/current/reference/html5/#getting

我就只说下SpringSecurity核心功能:

  1. 认证(你是谁)
  2. 授权(你能干什么)
  3. 攻击防护(防止伪造身份)

基本环境搭建

这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式

<?xml version="1.0" encoding="UTF-8"?>        jeecg-boot-cloud-study        com.jeecg.cloud1.0.04.0.0    jeecg-boot-security    org.springframework.boot            spring-boot-starter-web        org.springframework.boot                spring-boot-starter-security

然后建立一个Web层请求接口

@RestController@RequestMapping("/user")public class UserController {  @GetMapping  public String getUsers() {        return "Hello Jeecg Spring Security";  }}

接下来可以直接进行项目的运行,并进行接口的调用看看效果了。

通过网页的调用

我们首先通过浏览器进行接口的调用,直接访问http://localhost:8080/user,如果接口能正常访问,那么应该显示“Hello Jeecg Spring Security”。

但是我们是没法正常访问的,出现了下图的身份验证输入框

86a34fc9eda7496eaaca6d6e589f1036

这是因为在SpringBoot中,引入的Spring Security依赖,权限控制自动生效了,此时的接口都是被保护的,我们需要通过验证才能正常的访问。 Spring Security提供了一个默认的用户,用户名是user,而密码则是启动项目的时候自动生成的。

我们查看项目启动的日志,会发现如下的一段Log

Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

当然你看到的password肯定和我是不一样的,我们直接用user和启动日志中的密码进行登录。

登录成功后,就跳转到了接口正常调用的页面了。

如果不想一开始就使能Spring Security,可以在配置文件中做如下的配置:

# security 使能security.basic.enabled = false

刚才看到的登录框是SpringSecurity是框架自己提供的,被称为httpBasicLogin。显示它不是我们产品上想要的,我们前端一般是通过表单提交的方式进行用户登录验证的,所以我们就需要自定义自己的认证逻辑了。

自定义用户认证逻辑

每个系统肯定是有自己的一套用户体系的,所以我们需要自定义自己的认证逻辑以及登录界面。 这里我们需要先对SpringSecurity进行相应的配置

package org.jeecg.auth.config;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configurationpublic class SpringSecurityConfig extends WebSecurityConfigurerAdapter {    @Override    protected void configure(HttpSecurity http) throws Exception {        http.formLogin()          // 定义当需要用户登录时候,转到的登录页面。                .loginProcessingUrl("/user/login") // 自定义的登录接口                .and()                .authorizeRequests()    // 定义哪些URL需要被保护、哪些不需要被保护                .anyRequest()        // 任何请求,登录后可以访问                .authenticated();    }}

自定义密码加密解密

package org.jeecg.auth.config;import org.springframework.context.annotation.Bean;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.stereotype.Component;@Componentpublic class MyPasswordEncoder implements PasswordEncoder {    @Override    public String encode(CharSequence charSequence) {        return charSequence.toString();    }    @Override    public boolean matches(CharSequence charSequence, String s) {        return s.equals(charSequence.toString());    }}

接下来再配置用户认证逻辑,因为我们是有自己的一套用户体系的

package org.jeecg.auth.config;import org.slf4j.Logger;import org.slf4j.LoggerFactory;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.security.core.authority.AuthorityUtils;import org.springframework.security.core.userdetails.User;import org.springframework.security.core.userdetails.UserDetails;import org.springframework.security.core.userdetails.UserDetailsService;import org.springframework.security.core.userdetails.UsernameNotFoundException;import org.springframework.security.crypto.factory.PasswordEncoderFactories;import org.springframework.security.crypto.password.PasswordEncoder;import org.springframework.stereotype.Component;@Componentpublic class MyUserDetailsService implements UserDetailsService {    private Logger logger = LoggerFactory.getLogger(getClass());    @Autowired    private PasswordEncoder passwordEncoder;    @Override    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {        logger.info("用户的用户名: {}", username);        // TODO 根据用户名,查找到对应的密码,与权限        // 封装用户信息,并返回。参数分别是:用户名,密码,用户权限        User user = new User(username, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));        return user;    }}

这里我们没有进行过多的校验,用户名可以随意的填写,但是密码必须得是“123456”,这样才能登录成功。

同时可以看到,这里User对象的第三个参数,它表示的是当前用户的权限,我们将它设置为”admin”。

我们这里随便填写一个user,然后Password写填写一个错误的(非123456)的。这时会提示校验错误:

97cd3e74ba36408b9437cf7d32db4a85

同时在控制台,也会打印出刚才登录时填写的user

现在我们再来使用正确的密码进行登录试试,可以发现就会通过校验,跳转到正确的接口调用页面了。

UserDetails

刚刚我们在写MyUserDetailsService的时候,里面实现了一个方法,并返回了一个UserDetails。这个UserDetails 就是封装了用户信息的对象,里面包含了七个方法

public interface UserDetails extends Serializable {  // 封装了权限信息  Collection extends GrantedAuthority> getAuthorities();  // 密码信息  String getPassword();  // 登录用户名  String getUsername();  // 帐户是否过期  boolean isAccountNonExpired();  // 帐户是否被冻结  boolean isAccountNonLocked();  // 帐户密码是否过期,一般有的密码要求性高的系统会使用到,比较每隔一段时间就要求用户重置密码  boolean isCredentialsNonExpired();  // 帐号是否可用  boolean isEnabled();}

我们在返回UserDetails的实现类User的时候,可以通过User的构造方法,设置对应的参数

密码加密解密

SpringSecurity中有一个PasswordEncoder接口

public interface PasswordEncoder {  // 对密码进行加密  String encode(CharSequence var1);  // 对密码进行判断匹配  boolean matches(CharSequence var1, String var2);}

我们只需要自己实现这个接口,并在配置文件中配置一下就可以了。

weixin_39903846
关注
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7899
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
idea+springboot+security+hibernate+springmvc+Druid创建web项目多个子模块记录
Shuo的博客
02-19 928
1.打开idea创建项目 1.1 创建空白项目 选择maven,然后创建空白的 修改对应的信息,组和工件等 然后点完成,自动跳转到项目打开界面 另外,特别加上注解吧,防止以后忘了 另外再加上,怎么调整默认位置,右键项目,然后选择打开模块设置 点对应的模块,然后再点对应的标记为就行了,右边会显示,对应的说明 也可以直接右键文件夹,然后选择标记为 1.2创建子模块,这里就采用util,common,web三个子模块分类吧 右键项目,然后选择 选...
springboot security 权限不足_springBoot整合springSecurity(零一)
weixin_39976166的博客
11-26 349
整体结构===》》》1,springboot2.0整合springSecurity5.1.12,mysql--->>InnoDB3,持久层我用的是用MybatiysPlus(这里就不写关于这个的了,基本是查)4,web服务不是jar服务5,数据库表=》账户表/角色表/权限表/账户角色关联表/角色权限关联表6,需要说一下的是角色表,给框架返回的角色码需要以ROLE_开头,例如;实现功能:...
【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题
sunao1106的博客
08-13 6396
> 该方法中首先调用了`this.obtainSecurityMetadataSource().getAttributes(object)`方法,通过当前请求路径获取到**访问该请求所需要的权限**(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。.........
SpringBoot + Spring Security 简单入门
JEECG官方博客
05-24 1166
这篇文章主要介绍了SpringBoot + Spring Security 简单入门 Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式 ..
Spring Security的使用(访问权限控制)
qq_42514129的博客
10-24 3034
Spring Security 访问权限控制 粗粒度:对一个功能的访问进行控制 细粒度:对该功能下的数据显示进行控制 注意:权限控制,需要在spring-mvc.xml中配置,否则会导致失效 &amp;amp;amp;amp;lt;aop:aspectj-autoproxy proxy-target-class=&amp;amp;amp;quot;true&amp;amp;amp;quot;&amp;amp;amp;amp;gt;&amp;amp;amp
Springboot+Security用户无权限返回自定义信息
weixin_42901726的博客
06-12 6488
@Springboot+Security用户无权限返回自定义信息 返回信息分为跳转自定义页面和字符串提醒 返回信息分为跳转自定义页面和字符串提醒,这里我将都介绍并将自己遇到的问题做出解释 返回自定义界面提示 只需要修改启动类 import org.springframework.boot.SpringApplication; import org.springframework.boot.au...
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip
最新发布
07-02
基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+Elemen的前后端分离权限管理系统+数据库.zip基于SpringBoot+Spring Security+JWT+Vue+...
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-25
本教程将探讨如何利用Spring BootSpring Security以及JSON Web Tokens(JWT)来创建一个基于token的权限管理系统,非常适合初学者入门。 首先,让我们了解这三个核心技术: 1. **Spring Boot**:这是一个基于...
SpringBoot + SpringSecurity + Thymeleaf 入门案例的源代码
09-22
SpringBoot + SpringSecurity + Thymeleaf 入门案例,适合快速整合权限管理框架的同学,可以快速进行修改源代码实现权限控制的效果。代码是入门案例,较为简单。能够使整合更加迅速。其中搭配了前端页面进行效果显示...
阅读JEECG源码,关于登录,密码加密
moker321的博客
12-12 4283
JEECG 登录加密部分的源码,阅读总结与回顾
Java 对用户密码加密(Jeecg 登录密码加密方式)MD5andDES方式
weixin_30344795的博客
12-07 3252
jeecg对应的路径为org.jeecgframework.core.util下的PasswordUtil 可参考作为其他应用的加密方式或者第三方使用Jeecg账号验证登录: 直接上代码(可直接调用) package org.jeecgframework.core.util; import java.security.Key; import java.security.Secu...
springboot+security+jwt+redis 实现微信小程序登录及token权限鉴定
热门推荐
jamesluozhiwei的博客
07-11 1万+
tips:这是实战篇,默认各位看官具备相应的基础(文中使用了Lombok插件,如果使用源码请先安装插件) 文章目录项目配置依赖application.yml程序代码security相关security核心配置类鉴权各种情况处理类无权访问用户未登录时返回给前端的数据用户登录失败时返回给前端的数据(本程序未使用)用户登录成功时返回给前端的数据登出成功JWT自定义过滤器SelfUserDetailsSe...
RSA加密与解密
乖乖的专栏
01-28 1892
package utils;   [html] view plaincopy import java.io.ByteArrayOutputStream;   import java.security.Key;   import java.security.KeyFactory;   import java.security.KeyPair;  
java中用户登陆密码加密方法
fyj18186018296的博客
09-26 4986
/** * 生成安全的密码,生成随机的16位salt并经过1024次 sha-1 hash */ public static String entryptPassword(String plainPassword) { byte[] salt = Digests.generateSalt(SALT_SIZE); byte[] hashPassword = Digests.sha1(pla
基于MD5加密的简单接口加密方法
小张的老头儿的博客
05-03 4640
基于MD5加密的简单接口加密方法 最近在给第三方提供接口(http post)方法的时候,一直考虑这个加密,怎样简单有效,最终我参考了微信的签名方法,自己实现了下,写成工具类,有需要的可以参考一下: - 一、签名规则: 数值的参数去掉key为空的数据,然后按照Collections.sort()方法默认排序,使用URL键值对的格式(即key1=value1&amp;key2=...
对称加密算法-PBE算法
The Last Song 的专栏
03-30 1万+
<br />一、简述<br />  PBE算法(Password Base Encryption,基于口令加密)算法是一种基于口令的加密算法。特点在于口令由用户自己掌握,采用随机数(我们这里叫做 盐)杂凑多重加密等方法保证数据的安全性。<br />  PBE算法没有密钥的概念,把口令当做密钥了。因为密钥长短影响算法安全性,还不方便记忆,这里我们直接换成我们自己常用的口令就大大不同了,便于我们的记忆。但是单纯的口令很容易被字典法给穷举出来,所以我们这里给口令加了点“盐”,这个盐和口令组合,想破解就难了。<br
SpringBoot安全实践:SpringSecurity入门权限管理
"SpringSecuritySpring Boot中用于安全管理的框架,能有效地实现用户权限控制和访问控制,常用于大型项目的身份验证和授权。本资源提供了一篇SpringSecurity入门代码示例,适合初学者理解并实践。配合参考博客,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值