Spring Security 源码分析十六:Spring Security 项目实战

最新推荐文章于 2022-07-26 16:22:19 发布
最新推荐文章于 2022-07-26 16:22:19 发布
阅读量170 收藏
点赞数
分类专栏: 安全框架 Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42073629/article/details/106485538
版权

1. 前言

本章是根据前面Spring Security系列实现一个基于角色的权限管理系统。

1.1 技术栈

  • Spring Boot
  • Spring Security
  • Spring Social(需配置host127.0.0.1 www.merryyou.cn
  • Spring Data JPA
  • Freemarker
  • Mysql
  • Redis
  • 前端miniui(非开源)

1.2 效果图https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_03.pnghttps://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_04.pnghttps://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_05.pnghttps://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_06.pnghttps://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_07.pnghttps://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_08.pnghttps://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_09.pnghttps://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/logback/logback_10.png

1.3 部分代码

$.ajax({
            url: "${re.contextPath}/connect",
            type: "get",
            async: true,
            dataType: "json",
            success: function (data) {
                if (data.code === 0) {
                    if (data.data.qq) {
                        //解绑
                        $("#bindingQq").attr("title", "解绑")
                        $(".fa-qq").addClass("social_title");
                    } else {
                        //绑定
                        $("#bindingQq").attr("title", "绑定")
                        $(".fa-qq").removeClass("social_title");
                    }
                    if (data.data.weixin) {
                        //解绑
                        $("#bindingWeixin").attr("title", "解绑")
                        $(".fa-weixin").addClass("social_title");
                    } else {
                        //绑定
                        $("#bindingWeixin").attr("title", "绑定")
                        $(".fa-weixin").removeClass("social_title");
                    }
                    if (data.data.weibo) {
                        //解绑
                        $("#bindingWeibo").attr("title", "解绑")
                        $(".fa-weibo").addClass("social_title");
                    } else {
                        //绑定
                        $("#bindingWeibo").attr("title", "绑定")
                        $(".fa-weibo").removeClass("social_title");
                    }
                }
            },
            error: function (XMLHttpRequest, textStatus, errorThrown) {
                alert(XMLHttpRequest.status);
                alert(XMLHttpRequest.readyState);
                alert(textStatus); // paser error;
            }

        });
$.ajax({
                url: "${re.contextPath}/role/" + data.id,
                cache: false,
                success: function (text) {
                    var o = mini.decode(text);
                    //设置数的选中状态
                    console.log(o.menuIds);
                    var nodes = tree.getAllChildNodes(tree.getRootNode());
                    for(var i=0;i<nodes.length;i++){
                        if(o.menuIds.indexOf(nodes[i]['id'])>=0){
                            tree.checkNode(nodes[i]);
                        }else{
                            tree.uncheckNode(nodes[i]);
                        }
                    }
                    form.setData(o);
                    form.setChanged(false);
                }
            });
@Override
public List<MenuDto> getMenusList() {
    return repository.findAll().stream()
            .map(e ->new MenuDto(e.getId(), e.getPId(), e.getName(), e.getUrl()))
            .collect(Collectors.toList());
}

@Override
public Set<String> getUrlByname(String username) {
    Set<SysMenu> mesnus = new HashSet<>();
    userRepository.findByUsername(username)
            .getRoles()
            .forEach(e->mesnus.addAll(e.getMenus()));
    return mesnus.stream().map(e->e.getUrl()).collect(Collectors.toSet());
}
protected void configure(HttpSecurity http) throws Exception {
//        http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
        http.headers().frameOptions().disable().and()
                .formLogin()//使用表单登录,不再使用默认httpBasic方式
                .loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL)//如果请求的URL需要认证则跳转的URL
                .loginProcessingUrl(SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_FORM)//处理表单中自定义的登录URL
                .successHandler(merryyouLoginSuccessHandler)//登录成功处理器,返回JSON
                .failureHandler(merryyouAuthenticationfailureHandler)//登录失败处理器
                .and()
                .apply(validateCodeSecurityConfig)//验证码拦截
                .and()
                .apply(smsCodeAuthenticationSecurityConfig)
                .and()
                .apply(merryyouSpringSocialConfigurer)//社交登录
                .and()
                .rememberMe()
                .tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(securityProperties.getRememberMeSeconds())
                .userDetailsService(userDetailsService)
                .and()
                .sessionManagement()
//                .invalidSessionStrategy(invalidSessionStrategy)
                .invalidSessionUrl("/session/invalid")
                .maximumSessions(securityProperties.getSession().getMaximumSessions())//最大session并发数量1
                .maxSessionsPreventsLogin(securityProperties.getSession().isMaxSessionsPreventsLogin())//之后的登录踢掉之前的登录
                .expiredSessionStrategy(sessionInformationExpiredStrategy)
                .and()
                .and()
                .logout()
                .logoutUrl("/signOut")//默认退出地址/logout
                .logoutSuccessUrl("/")//退出之后跳转到注册页面
                .deleteCookies("JSESSIONID")
                .and()
                .authorizeRequests().antMatchers(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
                SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_FORM,
                SecurityConstants.DEFAULT_REGISTER_URL,
                SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_MOBILE,
                SecurityConstants.DEFAULT_SIGN_IN_URL_MOBILE_PAGE,
                "/register",
                "/socialRegister",//社交账号注册和绑定页面
                "/user/register",//处理社交注册请求
                "/social/info",//获取当前社交用户信息
                "/session/invalid",
                "/**/*.js",
                "/**/*.css",
                "/**/*.jpg",
                "/**/*.png",
                "/**/*.woff2",
                "/code/*")
                .permitAll()//以上的请求都不需要认证
                //.antMatchers("/").access("hasRole('USER')")
                .and()
                .csrf().disable()//关闭csrd拦截
        ;
        //安全模块单独配置
        authorizeConfigProvider.config(http.authorizeRequests());
    }
@PreAuthorize("hasAnyAuthority('user:select','user:update')")
    @PostMapping(value = "/user/saveUser")
    @ResponseBody
    public Result saveUser(@RequestParam String data) {
        log.info(data);
        return sysUserService.save(data);
    }
<td style="width:100%;">
                     <@sec.authorize access="hasAuthority('role:add')">
                    <a class="mini-button" iconCls="icon-add" onclick="add()">增加</a>
                     </@sec.authorize>
                     <@sec.authorize access="hasAuthority('role:update')">
                    <a class="mini-button" iconCls="icon-add" onclick="edit()">编辑</a>
                     <@sec.authorize access="hasAuthority('role:del')">
                      </@sec.authorize>
                    <a class="mini-button" iconCls="icon-remove" onclick="remove()">删除</a>
                     </@sec.authorize>
                </td>

1.4 启动方式

  1. idea 配置lombok插件,参考lombok-intellij-plugin
  2. 修改application.yml中数据源信息,执行db文件夹下面的sql文件
  3. 修改application-dev.yml 中redis连接信息
  4. 社交登录需配置host文件:127.0.0.1 www.merryyou.cn 微信appid已过期

2. 代码下载

 

Spring Security源码分析十六Spring Security项目实战
郑龙飞
03-18 3126
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8105
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目Spring Security实战(一和二)的源码; ssecurity-db项目Spring Security实战(三)的源码; ssceurity-page项目Spring Security实战(四)的源码; ssecurity-pageClass项目Spring Security实战(五)的源码; ssecurity-customFilter项目Spring Security实战(六)的源码; ssecurity-rememberMe项目Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
全网首发阿里内部Spring Security项目实战搭建
欢迎来到我的博客
12-24 4563
Spring Security 的前身是 Acegi Security,在被收纳为Spring项目后正式更名为Spring Security。在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框架,支持更加现代化的密码加密方式。 可以预见,在Java应用安全领域,Spring Security会成为被首先推崇的解决方案,就像我们看到服务器就会联想到Linux一样顺理成章 总目录: 声明:Spring Security王者晋级文档 以及相
Spring-Securty(Spring安全框架):项目实战
热门推荐
weixin_48972377的博客
11-01 3万+
一、简单了解 Spring-securitySpring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的事实标准。 Spring Security是一个重点为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求 1.1 构建Spring-Boot项目,并导入依赖 Gradle: implementation 'org.springframewor
惊艳!百度甩出SpringSecurity笔记,源码实战齐下
Java圈全能架构师的博客
12-28 301
Spring Security Spring Security想必大家也在网上也看到过许多博客讨论,对于它的概念我就不再细说了。由于Spring SecuritySpring生态系统中的一员,它伴随着整个Spring生态系统不断修正、升级,所以使用Spring Security 能最大程度减少企业系统安全控制编写大量重复代码的工作。 但据有关数据表示,现在大多数开发人员对于Spring Security仅仅停留在会用的阶段,对于其核心原理却不知其所以然。所以今天互联网雷锋(小编我)就把前段时间从百度一
Spring Security 在互联网项目中的实战分享
GitChat
08-14 4090
SpringBoot 和 Spring Cloud 中默认都是使用 Spring Security框架,这门技术非学不可。那么我们在企业中该如何灵活的运用它呢? 本场 Chat 将通过以下几个方面进行实战(互联网中前后端分离采用 JWT 方式认证),希望从中能带给大家一些思考,在今后的项目中能够正确的使用它。 从生活中的场景认识安全 生活场景中对应的 Spring Security 各个组件是什...
Java流行框架源码分析Spring源码SpringBoot源码SpringAOP源码SpringSecurity源码
最新发布
11-18
Java流行框架源码分析Spring源码SpringBoot源码SpringAOP源码SpringSecurity源码SpringSecurity OAuth2源码、JDK源码、Netty源码
keycloak-springsecurity5-sample:Spring Security 5 OAuth2 ClientOIDC与Keycloak示例的集成
01-31
keycloak-springsecurity5样本 Spring Security 5带来了新的OAuth2 / OIDC客户端,而不是旧的Spring Security OAuth子项目中的旧客户端支持。 核心项目中的新OAuth2伞形模块将替换旧的Spring Security OAuth,Spring...
grpc-spring-security-demo:基于Spring Boot的gRPC服务器,具有受Spring Security保护的gRPC端点
01-31
项目演示了如何使用Spring Security的基于方法的安全性机制来保护gRPC服务。 这是一个用Java编写并基于Spring Boot构建的gRPC服务器。 它使用gRPC拦截器与Spring Security集成,并支持两种身份验证机制:...
spring security 完整项目实例
01-07
基于用户,角色,权限的spring security完整项目,包括登陆,免登陆,session配置,角色,权限验证等功能
SpringSecurity实战代码
11-04
SpringSecurity实战代码,实现用户认证与授权、注销、权限限制、记住我、首页定制
Spring Security实战例子
09-08
Spring Security实战例子资源里面有4个小项目,都是利用maven搭建的。数据库要建立一个security的表
spring-security-demo:Spring安全实战》原始码
03-23
说明 本书出版的时候,考虑到前面章节的二进制代码简单,原始便只提供了“单点登录与CAS”和“ Spring Security OAuth”两章,随后经过一些热心读者的反馈,才使得二进制本身简单复杂都应该完整提供,但目前Spring Security正式版已经到达5.2.0.release,集成在Spring Initializr中的版本也已经来到了5.1.6.release,虽然与成书时的版本有所出入,但考虑到读者在学习时大多是直接采用最新版本的问题,所以二进制文件决定统一使用Spring Initializr构建(Spring Boot 2.19,Spring Security 5.1.6),在与书中版本有出入的地方则通过各个章节下的自述文件。 md补充​​说明,望广大读者周知。
spring-security-actual-code:Spring Security实战代码
04-04
Spring安全实际代码 Spring Security实战代码
spring security源码分析心得
03-08 145
看了半天的文档及源码,终于理出了spring-security的一些总体思路,spring security主要分认证(authentication)和授权(authority)。 1.认证authentication 认证主要代码在spring-security-core下的包org.springframework.security.authentication下,主类:Authe...
京东大牛手写的Spring Security源码实战小册,详解OAuth2核心源码
m0_59083374的博客
06-09 287
一份京东大牛手写的Spring Security源码实战小册,全面解析,由浅入深到OAuth2核心源码。 小册总览: 因为小册内容有点多,下面就只以截图展示了。需要获取完整Spring Security源码实战小册的小伙伴:关注我并帮忙转发文章后,私信我【资料】即可 内容 剩下的就不一一截图展示了。需要获取完整Spring Security源码实战小册的小伙伴:关注我并帮忙转发文章后,私信我【资料】即可 ...
spring.security实战源码解析
weixin_45797834的博客
07-26 1663
spring.security实战源码解析
Spring Security源码深度解析:ConfigAttributeDefinition与Editor详解
本文将深入分析 Spring Security 源码中的 ConfigAttributeDefinition 和 ConfigAttributeEditor 类,这两个核心组件在实现授权策略时发挥着关键作用。 ConfigAttributeDefinition 类是 Spring Security 中的一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值