牛客网后端项目实战(三十八):Spring Security介绍

最新推荐文章于 2023-02-26 15:26:56 发布
最新推荐文章于 2023-02-26 15:26:56 发布
阅读量367 收藏 3
点赞数 1
分类专栏: Java学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42033436/article/details/117234032
版权

文章目录


在这里插入图片描述

Spring Security简单使用

资料

Spring Security 入门系列

实体类

public class User implements UserDetails {

    private int id;
    private String username;
    private String password;
    private String salt;
    private String email;
    private int type;
    private int status;
    private String activationCode;
    private String headerUrl;
    private Date createTime;

  ...
    // true: 账号未过期.
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    // true: 账号未锁定.
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    // true: 凭证未过期.
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    // true: 账号可用.
    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> list = new ArrayList<>();
        list.add(new GrantedAuthority() {
            @Override
            public String getAuthority() {
                switch (type) {
                    case 1:
                        return "ADMIN";
                    default:
                        return "USER";
                }
            }
        });
        return list;
    }

}

Service

UserService 实现UserDetailsService 接口

@Service
public class UserService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    public User findUserByName(String username) {
        return userMapper.selectByName(username);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return this.findUserByName(username);
    }
}

配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 忽略静态资源的访问
        web.ignoring().antMatchers("/resources/**");
    }

    // AuthenticationManager: 认证的核心接口.
    // AuthenticationManagerBuilder: 用于构建AuthenticationManager对象的工具.
    // ProviderManager: AuthenticationManager接口的默认实现类.
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 内置的认证规则:此方法密码的加密salt是固定的
        // UserService 必须实现UserDetailsService 接口
        // auth.userDetailsService(userService).passwordEncoder(new Pbkdf2PasswordEncoder("12345"));

        // 自定义认证规则
        // AuthenticationProvider: ProviderManager持有一组AuthenticationProvider,每个AuthenticationProvider负责一种认证.
        // 委托模式: ProviderManager将认证委托给AuthenticationProvider.
        auth.authenticationProvider(new AuthenticationProvider() {
            // Authentication: 用于封装认证信息的接口,不同的实现类代表不同类型的认证信息.
            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {
                String username = authentication.getName();
                String password = (String) authentication.getCredentials();

                User user = userService.findUserByName(username);
                if (user == null) {
                    throw new UsernameNotFoundException("账号不存在!");
                }

                password = CommunityUtil.md5(password + user.getSalt());
                if (!user.getPassword().equals(password)) {
                    throw new BadCredentialsException("密码不正确!");
                }

                // principal: 主要信息; credentials: 证书; authorities: 权限;
                return new UsernamePasswordAuthenticationToken(user, user.getPassword(), user.getAuthorities());
            }

            // 当前的AuthenticationProvider支持哪种类型的认证.
            @Override
            public boolean supports(Class<?> aClass) {
                // UsernamePasswordAuthenticationToken: Authentication接口的常用的实现类.
                return UsernamePasswordAuthenticationToken.class.equals(aClass);
            }
        });
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 登录相关配置
        http.formLogin()
                .loginPage("/loginpage")  // 登录页面的请求
                .loginProcessingUrl("/login")  // 登录处理路径,拦截该路径进行认证(???)
                .successHandler(new AuthenticationSuccessHandler() {  // 成功会跳转到index
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index");  // 这里是重定向到index
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {  // 失败会对哪里不正确进行提示
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                        request.setAttribute("error", e.getMessage());               //将参数绑定到request
                        request.getRequestDispatcher("/loginpage").forward(request, response);   // 再转发到loginpage
                    }
                });

        // 退出相关配置
        http.logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index");  // 退出成功后重定向到首页
                    }
                });

        // 授权配置
        http.authorizeRequests()
                .antMatchers("/letter").hasAnyAuthority("USER", "ADMIN")  // /letter路径必须要有USER/ADMIN权限
                .antMatchers("/admin").hasAnyAuthority("ADMIN")
                .and().exceptionHandling().accessDeniedPage("/denied"); //权限不够会跳转到/denied

        // 增加Filter,处理验证码
        // 验证码应该在账号认证前
        http.addFilterBefore(new Filter() {
            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                HttpServletRequest request = (HttpServletRequest) servletRequest;
                HttpServletResponse response = (HttpServletResponse) servletResponse; // 先转成HttpServletResponse接口,它是ServletRequest的子接口
                //如果是登录请求则验证 验证码
                if (request.getServletPath().equals("/login")) {  //个人理解,/login路径是个中转站
                    String verifyCode = request.getParameter("verifyCode");
                    if (verifyCode == null || !verifyCode.equalsIgnoreCase("1234")) {
                        request.setAttribute("error", "验证码错误!");
                        request.getRequestDispatcher("/loginpage").forward(request, response);
                        return;
                    }
                }
                // 让请求继续向下执行.
                filterChain.doFilter(request, response);
            }
        }, UsernamePasswordAuthenticationFilter.class);

        // 记住我
        http.rememberMe()
                .tokenRepository(new InMemoryTokenRepositoryImpl())
                .tokenValiditySeconds(3600 * 24)
                .userDetailsService(userService);

    }
}

Spring Security配置类:
一、继承WebSecurityConfigurerAdapter接口
WebSecurityConfigurerAdapter 提供了一种便利的方式去创建 WebSecurityConfigurer的实例,只需要重写 WebSecurityConfigurerAdapter 的方法,即可配置拦截什么URL、设置什么权限等安全控制
1、注入UserService
2、忽略静态资源的访问的拦截
3、认证:重写 protected void configure(AuthenticationManagerBuilder auth) 。
由于系统中,密码由md5算法加密,所以需要自定义认证规则。ProviderManager持有一组AuthenticationProvider,每个AuthenticationProvider负责一种认证,所以auth.authenticationProvider(new AuthenticationProvider() {…}

Authentication: 用于封装认证信息的接口,不同的实现类代表不同类型的认证信息。最后返回UsernamePasswordAuthenticationToken,里面包含了principal: 主要信息; credentials: 证书; authorities: 权限;

用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。
特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。
BCrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。

4、授权
A)loginProcessingUrl()这个方法可以看作一个中转站,前台界面提交表单之后跳转到这个路径进行User DetailsService的验证,如果成功, defaultSuccessUrl()如果失败,那么转向failureUrl("/error.html"),我们需要注意的就是这里的action现需要和loginProcessingUrl()中的参数保持一致

<!-- loginpage.html -->
<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>

    <h1>登录社区</h1>

    <form method="post" th:action="@{/login}">
        <p style="color:red;" th:text="${error}">
            <!--提示信息-->
        </p>
        <p>
            账号:<input type="text" name="username" th:value="${param.username}">
        </p>
        <p>
            密码:<input type="password" name="password" th:value="${param.password}">
        </p>
        <p>
            验证码:<input type="text" name="verifyCode"> <i>1234</i>
        </p>
        <p>
            <input type="checkbox" name="remember-me"> 记住我
        </p>
        <p>
            <input type="submit" value="登录">
        </p>
    </form>

</body>
</html>

B)request.getServletPath()使用说明 返回的是String类型

C)Spring Security要求退出是post请求。post是提交表单,不方便直接写超链接,所以用js处理
index.html

    <h1>社区首页</h1>
    <!--欢迎信息-->
    <p th:if="${loginUser!=null}">
        欢迎你, <span th:text="${loginUser.username}"></span>!
    </p>

    <ul>
        <li><a th:href="@{/discuss}">帖子详情</a></li>
        <li><a th:href="@{/letter}">私信列表</a></li>
        <li><a th:href="@{/loginpage}">登录</a></li>
        <!--<li><a th:href="@{/loginpage}">退出</a></li>-->
        <li>
            <form method="post" th:action="@{/logout}">
                <!--提交第一个form-->
                <a href="javascript:document.forms[0].submit();">退出</a>
            </form>
        </li>
    </ul>

在这里插入图片描述

在这里插入图片描述

小毛同学er
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security简单教程以及实现完全前后端分离
wshyb0314的博客
02-15 670
比如 设置登录页(formLogin().loginPage("/login.html")) 可以设置自己的登录页(该设置主要是针对使用302跳转,且有自己的登录页,如果不使用302跳转,前后端完全分离,无需设置)。设置完成登录成功和失败处理后,还是不够满足需求,当用户未通过登录页进入网站,我们需要在用户直接访问资源时,告诉前端此用户未认证。事实上只要继承WebSecurityConfigurerAdapter ,spring security就已经启用了,当你访问资源时,它就会跳转到它自己默认的登录页。
牛客网项目——前置技术(十):Spring Security
平什么阿的博客
05-31 511
文章目录1. JavaEE和SpringMVC2. 简化版社区2. 配置Spring Security2.1 pom.xml引入依赖2.2 user实体类2.3 UserService2.4 SecurityConfig 配置类2.5 HomeController 1. JavaEE和SpringMVC Spring Security就是通过11个Fliter进行组合管理 2. 简化版社区 只保留登录相关代码 2. 配置Spring Security 2.1 pom.xml引入依赖 <depe
springboot整合springsecurity安全框架(后端spring_security模块代码可直接使用,根据需求自定义修改)
xyouzi的博客
06-06 627
SpringSecurity简介 用户认证和用户授权 主要包含两部分:用户认证和用户授权 用户认证:进入用户登录时候,输入用户名密码,查询数据库查看是否正确,如果正确,则认证成功 用户授权:登陆了系统,登录用户可能是不同的角色,比如普通用户和管理员 springsecurity本质上就是用filter对请求的路径进行过滤 如果是基于Session,则会对cookie里的sessionId进行解析,找到服务器存储的session信息,然后判断用户是否符合请求的要求 如果是token,则解析出toke
SpirngBoot整合SpringSecurity简单示例
weixin_43599265的博客
09-28 144
相关pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> ..
牛客网项目---6.2.使用Spring Security实现登录功能
gouhanchi的博客
07-14 567
1.导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.废弃原来的登录拦截器 import com.nowcoder.community.
仿牛客网社交平台代码java后端Spring框架搭建
12-02
在本项目中,我们主要探讨的是如何利用Java后端技术和Spring框架来构建一个类似牛客网的社交平台。牛客网作为一个知名的在线编程学习和求职社区,其背后的技术架构是值得深入研究的。我们将围绕“Java后端”、...
后端开发框架】全面攻略:从基础到实战-markdown.zip
最新发布
06-21
# 后端开发框架【后端开发框架】全面攻略:从基础到实战 对于渴望在后端开发领域有所建树的你来说,掌握各种开发框架是必经之路。现在,我们为你呈现一份【后端开发框架】全面攻略,带你从基础到实战,全面领略后端...
后端开发,SSM项目案例(Spring5+MyBatis+SpringMVC)
05-04
项目由本人亲自编写,适合用于初学SSM(Spring5,SpringMVC,Mybatis)更适合用于在校大学生用于学习SSM(俗称的JavaEE项目的开发做借鉴)希望我所提供的项目案例能给大家提供帮助,里面的步骤都在页面内进行了编写,...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
spring-boot-project:Spring Boot后端项目
05-16
Spring Boot后端项目 Spring启动+ JPA + RDS(MySQL) 要执行,需要解密密钥值。 这是我创建的一个项目,旨在通过部署到EC2实例进行尝试。 @SpringBootApplication 의 의미는 @SpringBootApplication = @...
仿牛客社区项目笔记-构建安全高效的企业服务(引入Spring Security)
qq_35484331的博客
05-15 942
仿牛客社区项目笔记-构建安全高效的企业服务(引入Spring Security)构建安全高效的企业服务1. 权限控制 构建安全高效的企业服务 分为。 1. 权限控制 引入 spring-boot-starter-security 依赖。 在 WebMvcConfig 中将 LoginRequiredInterceptor 拦截器废弃。 在 CommunityConstant 中设置:普通用户,管理员和版主的权限常量。 在LoginTicketInterceptor 拦截器中进行认证,如果登录凭证有效,就
Spring Security在前后端分离项目中的使用
KRYST4L123的博客
02-26 318
报错的原因:默认情况下Spring Security在获取到UserDetailsService返回的用户信息以后,会调用PasswordEncoder中的matches方法进行校验,但是此时在Spring容器中并不。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,在返回之前,我们需要把用户信息存入redis,可以把用户id。然后设置我们的资源所需要的权限。我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
登录功能注意的点
qq_45947664的博客
09-20 2117
网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。判断每次请求由哪一个用户发出的,不用session,1、因为每次请求都要查询数据库,数据库压力太大,2、如果把session存到cookie中容易被伪造,CSRF攻击(cross-site request forgery)2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题(一)
江南一点雨的专栏
01-09 9万+
当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异。笔者前几天刚好在负责一个项目的权限管理模块,现在权限管理模块已经做完了,我想通过5-6篇文章,来介绍一下项目中遇到的问题以及我的解决方案,希望这个系列能够给小伙伴一些帮助。本系列文章并不是手把手的教程,主要介绍了核心思路并讲解了核心代码,完整的代码小伙伴们可以在GitHub上star并clone下来研究。另外,原本计划把项目跑起来放到网
牛客网高级项目课总结
zndxlwl163的博客
10-18 4005
写在前面 先简单介绍一下,博主目前研三,找完工作后最近一段时间空闲时间比较多,因此就想把自己以前学习过的一些东西总结一下,以后也打算把新学习到的东西及时记录,即是能够方便以后随时查看,也是监督自己每天都能有所提升,以前也偶尔写过几篇博客,但都是浅尝辄止,因此准备先把以前的东西重新梳理一下,写的第一篇就是关于牛客网的高级项目课问答平台的,这个是博主接触的第一个java项目,也是决定入坑java的原因...
Spring Security之前后端分离
MostSnails的博客
08-12 3638
Spring Security之前后端分离
Springboot + Spring Security 实现前后端分离登录认证及权限控制
热门推荐
I_am_Hutengfei的博客
09-05 10万+
Springboot + Spring Security 实现前后端分离登录认证及权限控制前言本文主要的功能文章目录一、数据库表设计建表语句初始化表数据语句二、Spring Security核心配置:WebSecurityConfig三、用户登录认证逻辑:UserDetailsService1、创建自定义UserDetailsService2、准备service和dao层方法(1)根据用户名查询...
BBS论坛项目相关-13:Spring Security相关
hjukyjhg56的博客
08-17 778
BBS论坛项目相关-13:Spring Security相关 Spring Security Spring Security是一个专注于为java应用程序提供身份认证和授权的框架,它的强大之处在于它可以轻松扩展以满足自定义的需求。 特征: 对身份的认证和授权提供全面的,可扩展的支持,防止各种攻击,如会话固定攻击,点击劫持,csrf攻击等。支持与Servlet API,Spring MVC等web技术集成。 Spring MVC:所有请求都发送给DispatcherSevlet,由DispatcherSevl
牛客网后端项目实战(四十三):热帖排行
weixin_42033436的博客
06-07 1145
文章目录热帖排行将需要计算分数的帖子放入Redis使用Quartz实现定时任务首页界面处理 1、帖子分数与时间有关,而且点赞,收藏等操作是非常高频的,一般是通过定时任务计算帖子分数(分布式定时任务 Spring Quartz) 2、把分数变化的帖子放进缓存里,定时时间到对缓存里的帖子进行计算即可(Redis) 热帖排行 将需要计算分数的帖子放入Redis 1、生成RedisKey 2、影响帖子分数操作发生时,将帖子放入Redis RedisKeyUtil.java // 帖子分数 publ
深度探索:Spring Security 3 安全实战
"Spring Security 3 英文原版pdf文件,由Peter Mularien撰写,是一本详细讲解Spring Security的实战指南。" Spring Security是Java应用程序的安全框架,它提供了全面的认证、授权和访问控制功能,以保护Web应用程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值