新版本Spring Security 2.7 + 用法,直接旧正版粘贴

已于 2023-11-17 10:19:24 修改
阅读量509 收藏 3
点赞数
分类专栏: Spring security 文章标签: spring java 后端 security SecurityConfig
于 2023-11-17 10:17:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42858422/article/details/134456567
版权

一、以前的用法:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Bean
	public PasswordEncoder passwordEncoder(){
		return new BCryptPasswordEncoder();
	}
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
		//关闭csrf
		.csrf().disable()
		//不通过Session获取SecurityContext
		.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
		.and()
		.authorizeRequests()
		// 对于登录接口 允许匿名访问
		.antMatchers("/user/login").anonymous()
		// 除上面外的所有请求全部需要鉴权认证
		.anyRequest().authenticated();
	}
	@Bean
	@Override
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}
}

WebSecurityConfigurerAdapter 已经过时了,新版本已经不用这个了。

二、现在的用法

使用@EnableWebSecurity注解

@Configuration
@EnableWebSecurity
public class SecurityConfig{

    //配置密码加密器
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * 安全配置
     */
    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers("/user/login").anonymous()
                .anyRequest().authenticated();
        return http.build();
    }

    /**
      * 认证管理器,登录的时候参数会传给 authenticationManager
      */
    @Bean(name = BeanIds.AUTHENTICATION_MANAGER)
    public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }
}

三、其他的一些配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SpringSecurityConfig {
    @Resource
    private CustomAuthenticationSuccessHandler customAuthenticationSuccessHandler;
    @Resource
    private CustomAuthenticationFailureHandler customAuthenticationFailureHandler;
    @Resource
    private CustomAuthenticationEntryPoint customAuthenticationEntryPoint;
    @Resource
    private CustomLogoutHandler customLogoutHandler;
    @Resource
    private CustomLogoutSuccessHandler customLogoutSuccessHandler;
    @Resource
    private CustomAccessDeniedHandler customAccessDeniedHandler;
    @Resource
    private SecurityProperties securityProperties;
    @Resource
    private JwtStoreService jwtStoreService;
    @Resource
    private UserDetailsServiceImpl userDetailsService;
    @Resource
    private AuthenticationConfiguration authenticationConfiguration;
    /**
     * 静态文件放行
     */
    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return (web) -> web.ignoring().antMatchers(securityProperties.getStaticPaths());
    }
    /**
     * 取消ROLE_前缀
     */
    @Bean
    public GrantedAuthorityDefaults grantedAuthorityDefaults() {
        // Remove the ROLE_ prefix
        return new GrantedAuthorityDefaults("");
    }
    /**
     * 设置密码编码器
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    /**
     * 设置中文配置
     */
    @Bean
    public ReloadableResourceBundleMessageSource messageSource() {
        ReloadableResourceBundleMessageSource messageSource = new ReloadableResourceBundleMessageSource();
        messageSource.setBasename("classpath:org/springframework/security/messages_zh_CN");
        return messageSource;
    }
    /**
     * 认证管理器,登录的时候参数会传给 authenticationManager
     */
    @Bean
    public AuthenticationManager authenticationManager() throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }
    /**
     * 设置默认认证提供
     */
    @Bean
    public DaoAuthenticationProvider daoAuthenticationProvider() {
        final DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setUserDetailsService(userDetailsService);
        authenticationProvider.setPasswordEncoder(passwordEncoder());
        return authenticationProvider;
    }
    /**
     * 安全配置
     */
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http, AuthenticationConfiguration authenticationConfiguration) throws Exception {
        // 表单
        http.formLogin()
                // 登录成功处理器
                .successHandler(customAuthenticationSuccessHandler)
                // 登录错误处理器
                .failureHandler(customAuthenticationFailureHandler)
                .and()
                //添加登录逻辑拦截器,不使用默认的UsernamePasswordAuthenticationFilter
                .addFilterBefore(
                        new CustomUsernamePasswordAuthenticationFilter(
                                authenticationManager(),
                                customAuthenticationSuccessHandler,
                                customAuthenticationFailureHandler
                        )
                        , UsernamePasswordAuthenticationFilter.class)
                //添加token验证过滤器
                .addFilterBefore(new JwtAuthenticationFilter(jwtStoreService), LogoutFilter.class);
        //退出
        http
                .logout()
                // URL
                .logoutUrl("/user/logout")
                // 登出处理
                .addLogoutHandler(customLogoutHandler)
                // 登出成功处理
                .logoutSuccessHandler(customLogoutSuccessHandler);
        //拦截设置
        http
                .authorizeRequests()
                //公开以下urls
                .antMatchers(securityProperties.getPublicPaths()).permitAll()
                //其他路径必须验证
                .anyRequest().authenticated();
        //异常处理
        http
                .exceptionHandling()
                // 未登录处理
                .authenticationEntryPoint(customAuthenticationEntryPoint)
                // 无权限处理
                .accessDeniedHandler(customAccessDeniedHandler);
        //关闭session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        // 关闭cors
        http.cors().disable();
        // 关闭csrf
        http.csrf().disable();
        // 关闭headers
        http.headers().frameOptions().disable();
        return http.build();
    }
}
————————
如觉不错,随手点赞,关注,收藏(* ̄︶ ̄),谢谢~~
五月CG
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
公开!阿里新产Spring Security笔记,这也太细了
Java圈全能架构师的博客
12-01 3034
Spring Security Spring Security想必在这里不用我多说了,它作为一个强大且高度可定制的安全框架,一直致力于为Java应用提供身份认证和授权。在Web开发中,安全一直是非常重要的一个方面。它的三大功能:认证(你是谁)授权(你能干什么)攻击防护(防止伪造身份)让其成为首先被推崇的安全解决方案。 如何学习Spring Security? 对于Java基础不太好的朋友,在面对Spring Security时大多无从入手。因为它囊括了大量知识,仅官方参考手册就有数十万字,并且还省略了
springboot - 2.7.3版本 - (九)整合security
10-12
整合security对用户进行授权认证,初步掌握使用方法,实现动态权限管理
SpringSecuritySpringSecurity2.7.x 的使用(01)
qq_60969145的博客
10-30 1084
如果自定义了账号和密码,则springsecurity就不在提高账号和密码了。上面那种方式只能自定义一个账号和密码, 如何定义多个账号和密码呢。指定的账号和密码必须指定密码加密器。如果不使用密码加密器可以:我们在配置类中定义多个账号和密码后,配置文件中的账号和密码也会失效。认证过程现在是定义SecurityFilterChain 的Bean来完成认证过程,目前要是登录的话要先关闭csrf,才能登录。
springsecurity
magic_818的博客
12-08 881
springsecurity权限管理
SpringSecurity 新版2.7+用法
weixin_45011048的博客
10-31 2954
SpringSecurity 新版2.7+使用方式
Spring Security2.7+jwt
m0_52255127的博客
02-03 1504
Spring Security2.7+jwt
Spring Security版本使用与新版本使用对比
weixin_54345825的博客
09-10 585
Spring Security版本使用与新版本使用对比
SpringSecuritySpringSecurity2.7.x 的使用(04)
qq_60969145的博客
11-03 585
Json web token (JWT),是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
SpringSecuritySpringSecurity2.7.x 的使用(03)
qq_60969145的博客
11-02 910
通过源码我们发现,InmermoryUserDetailManger中的loadUserByUsername方法最核心的。而且我们自定义的类也要交于容器来管理。使用springboot + thymeleaf+ mybatis+ druid+springsecurity模拟一下从数据库中查询用户,完成授权认证。为了和security自带的User区分,这里将我们自己的实体类名字叫Users。配置文件要配置密码加密器,否者程序不知道要用那种方式来匹配密码。注意要交给Spring管理。
SpringSecuritySpringSecurity2.7.x 的使用(02)
qq_60969145的博客
11-01 577
获取登录后用户的信息: SpringSecurity默认会把认证成功的用户信息保存到SrcurityContext,类似于session会话。配置文件中授权,我们需要一一对资源和权限进行绑定,如果后期资源非常多,那么这里的代码就比较麻烦。如果未指定登录成功的路径,则默认跳转到 / 路径。默认登录成功后访问相应的资源,如果有该权限,则返回对应资源返回的结果,如果没有权限返回一个403错误页面。认证成功后,当前用户具有哪个权限才可以访问对应的资源。用户赋予权限之后,就不会显示角色信息。
spring security 入门demo
08-11
spring security 入门demo 非常不错 主要是完整
2021最新Spring Security知识梳理
m0_58476806的博客
07-01 645
2021最新Spring Security知识梳理 一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorizat
SpringSecurity和JWT认证使用适配2.7.5使用
qq_34453560的博客
09-22 152
3.JWT登录授权过滤器,自定义的一个拦截器,拦截请求后对获取请求头对token进行认证,如果token认证通过之后,重写的loadusername方法将从后台获取用户信息,账号,密码,权限路径写入到userdetails,新建UsernamePasswordAuthenticationToken 将用户信息关联到springcontext的上下文中,后续springsecrity的其它过滤器将进行其它验证。1.当未登录或者token失效访问接口时,自定义的返回结果。首先定义后各种过滤器。
别再用过时的方式了,全新版本Spring Security,这样用才够优雅~
macrozheng的专栏
06-07 3328
前不久Spring Boot 2.7.0 刚刚发布,Spring Security 也升级到了5.7.1 。升级后发现,原来一直在用的Spring Security配置方法,居然已经被弃用了。不禁感慨技术更新真快,用着用着就被弃用了!今天带大家体验下Spring Security的最新用法,看看是不是够优雅!...
别再用过时的方式了。全新版本Spring Security,这样用才够优雅
yangjnsjbad的博客
05-30 1169
前不久Spring Boot 2.7.0 刚刚发布,Spring Security 也升级到了5.7.1 。升级后发现,原来一直在用的Spring Security配置方法,居然已经被弃用了。不禁感慨技术更新真快,用着用着就被弃用了!今天带大家体验下Spring Security的最新用法,看看是不是够优雅! 基本使用 我们先对比下Spring Security提供的基本功能登录认证,来看看新版用法是不是更好。 升级版本 首先修改项目的pom.xml文件,把Spring Boot版本升级至2....
关于Spring Boot 2.7后WebSecurityConfigurerAdapter的过期问题,SpringSecurity的最新最全配置
m0_61346425的博客
11-29 2337
进入springboot 2.7 后,一个重要的类WebSecurityConfigurerAdapter过期了。
快速学习springsecurity最新版 (版本6.2)---用户认证
最新发布
qq_55272229的博客
02-21 2214
​是 Spring 家族中的一个安全管理框架。目前比较主流的是另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富,但是shiro并不简便,这里轻量级安全框架更推荐国产安全框架satokensatoken官网​ 一般大型的项目都是使用来做安全框架。这些安全框架主要的内容包含以下功能模块​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户比如:购买东西前需要登录 ,预约前需要登录认证个人信息​。
springboot2.7+security+jwt 不使用UserDetailsService
weixin_43828003的博客
04-07 137
描述 : 网上代码大部分都使用实体类实现 U...
SpringSecurity - 前后端分离简单实战 - 环境准备
铠の魂博客
07-19 732
看完上面的文章,我们再结合一次实战来更深入的了解SpringSecurity的运行规则,上面的文章我只挑选了最重要的进行翻译,也就是它的架构部分。SpringSecurity的核心就是其过滤器,因为它就是根据过滤器来实现的,其它扩展功能都是添加新的过滤器来实现。所以我们想玩转SpringSecurity进行安全管理,就是要去熟悉它的过滤器,然后才能自定义自己的过滤器,来进行认证和授权处理。而且网上的博客很多教程已经落后,我们使用当前最新版的来自定义我们web的安全管理。..................
springboot2.7+spring security
07-27
Spring Security是一个针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。它可以实现强大的Web安全控制,只需引入spring-boot-starter-security模块并进行少量配置,即可实现强大的安全管理。\[1\] 在使用Spring Boot时,可以通过在pom.xml文件中添加依赖来导入Spring Security。例如,可以添加以下依赖来导入Spring Security的相关功能: ```xml <!-- security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 如果需要在Thymeleaf模板中使用Spring Security的功能,还需要添加以下依赖: ```xml <!-- security-thymeleaf整合包 --> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> <version>3.0.4.RELEASE</version> </dependency> ``` 这样,就可以在Spring Boot项目中使用Spring Security来实现安全管理了。\[2\]\[3\] #### 引用[.reference_title] - *1* *2* *3* [SpringBoot之SpringSecurity(安全)](https://blog.csdn.net/qq_49137582/article/details/123525178)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^koosearch_v1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值