[spring] Spring MVC - security(下)

最新推荐文章于 2025-02-14 13:34:19 发布
最新推荐文章于 2025-02-14 13:34:19 发布
阅读量1k 收藏 19
点赞数 15
分类专栏: Spring 文章标签: spring mvc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42938619/article/details/140259882
版权

[spring] Spring MVC - security(下)

callback 一下,当前项目结构如下:

在这里插入图片描述

这里实现的功能是连接数据库,大范围和 [spring] rest api security 重合

数据库连接 - 明文密码

第一部分使用明文密码

设置数据库

主要就是运行 SQL:

USE `employee_directory`;

DROP TABLE IF EXISTS `authorities`;
DROP TABLE IF EXISTS `users`;

--
-- Table structure for table `users`
--

CREATE TABLE `users` (
  `username` varchar(50) NOT NULL,
  `password` varchar(50) NOT NULL,
  `enabled` tinyint NOT NULL,
  PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

--
-- Inserting data for table `users`
--

INSERT INTO `users`
VALUES
('john','{noop}test123',1),
('mary','{noop}test123',1),
('susan','{noop}test123',1);


--
-- Table structure for table `authorities`
--

CREATE TABLE `authorities` (
  `username` varchar(50) NOT NULL,
  `authority` varchar(50) NOT NULL,
  UNIQUE KEY `authorities_idx_1` (`username`,`authority`),
  CONSTRAINT `authorities_ibfk_1` FOREIGN KEY (`username`) REFERENCES `users` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

--
-- Inserting data for table `authorities`
--

INSERT INTO `authorities`
VALUES
('john','ROLE_EMPLOYEE'),
('mary','ROLE_EMPLOYEE'),
('mary','ROLE_MANAGER'),
('susan','ROLE_EMPLOYEE'),
('susan','ROLE_MANAGER'),
('susan','ROLE_ADMIN');

运行结果如下:

在这里插入图片描述

以及目前的 ER 图:

在这里插入图片描述

添加 maven 依赖

新增的依赖如下:

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-jpa</artifactId>
		</dependency>

		<dependency>
			<groupId>com.mysql</groupId>
			<artifactId>mysql-connector-j</artifactId>
			<scope>runtime</scope>
		</dependency>

修改 properties 文件

这里具体的数据库/用户名/密码和本地设置有关,除此之外新增了一个 logging.level.org.springframework.jdbc.core=TRACE,这个设置是为了增加连接数据库的 logging 的,主要作用是 demo/debug

spring.application.name=demo

# JDBC properties
spring.datasource.url=jdbc:mysql://localhost:3306/employee_directory
spring.datasource.username=springstudent
spring.datasource.password=springstudent
spring.jpa.database-platform=org.hibernate.dialect.MySQLDialect

# log JDBC SQL statements
# only use this for dev/testing purpose
logging.level.org.springframework.jdbc.core=TRACE

更新 security config

之前用的是 InMemoryUserDetailsManager,代表用的是内存中的用户名和密码。这里需要吧 InMemoryUserDetailsManager 注释掉,更换成 UserDetailsManager

具体实现如下:

    @Bean
    public UserDetailsManager userDetailsManager(DataSource dataSource) {
        return new JdbcUserDetailsManager(dataSource);
    }

执行的 sql 指令如下:

在这里插入图片描述

这代表着现在已经使用数据库连接而非内存中写死的用户名和密码

数据库连接 - bcrypt 密码

这里的配置其实和明文密码基本一样,最大的差别在于写入数据库的密码

明文中存入的数据为 {noop}test123, 而 bcrypt 中写入的数据为加密后的哈希值: bcrypt}$2a$10$qeS0HEh7urweMojsnwNAR.vcXJeXR1UcMRZ2WcGQl9YeuspUdgF.q

bcrypt 是一种密码加密方式,其主要的优点在于,因为 salt 不是固定的,因此同样的密码会生成不同的哈希值

具体的实现这里不过多涉及

设置数据库

USE `employee_directory`;

DROP TABLE IF EXISTS `authorities`;
DROP TABLE IF EXISTS `users`;

--
-- Table structure for table `users`
--

CREATE TABLE `users` (
  `username` varchar(50) NOT NULL,
  `password` char(68) NOT NULL,
  `enabled` tinyint NOT NULL,
  PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

--
-- Inserting data for table `users`
--
-- NOTE: The passwords are encrypted using BCrypt
--
-- A generation tool is avail at: https://www.luv2code.com/generate-bcrypt-password
--
-- Default passwords here are: fun123
--

INSERT INTO `users`
VALUES
('john','{bcrypt}$2a$10$qeS0HEh7urweMojsnwNAR.vcXJeXR1UcMRZ2WcGQl9YeuspUdgF.q',1),
('mary','{bcrypt}$2a$10$qeS0HEh7urweMojsnwNAR.vcXJeXR1UcMRZ2WcGQl9YeuspUdgF.q',1),
('susan','{bcrypt}$2a$10$qeS0HEh7urweMojsnwNAR.vcXJeXR1UcMRZ2WcGQl9YeuspUdgF.q',1);


--
-- Table structure for table `authorities`
--

CREATE TABLE `authorities` (
  `username` varchar(50) NOT NULL,
  `authority` varchar(50) NOT NULL,
  UNIQUE KEY `authorities4_idx_1` (`username`,`authority`),
  CONSTRAINT `authorities4_ibfk_1` FOREIGN KEY (`username`) REFERENCES `users` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

--
-- Inserting data for table `authorities`
--

INSERT INTO `authorities`
VALUES
('john','ROLE_EMPLOYEE'),
('mary','ROLE_EMPLOYEE'),
('mary','ROLE_MANAGER'),
('susan','ROLE_EMPLOYEE'),
('susan','ROLE_MANAGER'),
('susan','ROLE_ADMIN');

代码方面同样不需要任何的修改,效果如下:

在这里插入图片描述

⚠️:这里数据库中的密码换成了 bcrypt 加密后的密码

在这里插入图片描述

⚠️:这里是用原本的密码登录会报错——?error 证明了用户名和密码不符合数据库中数据,下面使用更新过的用户名和密码则可以登录

在这里插入图片描述

使用自定义表

前面的实现都是用默认的 spring boot 实现,即用户的表为 users,而权限的表单为 authorities。但是在实际的应用场景中,更多的业务情况是需要使用更特定的表名。spring 同样也有对这个需求的支持,其实现方式则需要写少量的 sql 语句

更新数据库

这里主要新建两个平行的数据库分别取代 usersauthorities

USE `employee_directory`;

DROP TABLE IF EXISTS `roles`;
DROP TABLE IF EXISTS `members`;

--
-- Table structure for table `members`
--

CREATE TABLE `members` (
  `user_id` varchar(50) NOT NULL,
  `pw` char(68) NOT NULL,
  `active` tinyint NOT NULL,
  PRIMARY KEY (`user_id`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

--
-- Inserting data for table `members`
--
-- NOTE: The passwords are encrypted using BCrypt
--
-- A generation tool is avail at: https://www.luv2code.com/generate-bcrypt-password
--
-- Default passwords here are: fun123
--

INSERT INTO `members`
VALUES
('john','{bcrypt}$2a$10$qeS0HEh7urweMojsnwNAR.vcXJeXR1UcMRZ2WcGQl9YeuspUdgF.q',1),
('mary','{bcrypt}$2a$10$qeS0HEh7urweMojsnwNAR.vcXJeXR1UcMRZ2WcGQl9YeuspUdgF.q',1),
('susan','{bcrypt}$2a$10$qeS0HEh7urweMojsnwNAR.vcXJeXR1UcMRZ2WcGQl9YeuspUdgF.q',1);


--
-- Table structure for table `authorities`
--

CREATE TABLE `roles` (
  `user_id` varchar(50) NOT NULL,
  `role` varchar(50) NOT NULL,
  UNIQUE KEY `authorities5_idx_1` (`user_id`,`role`),
  CONSTRAINT `authorities5_ibfk_1` FOREIGN KEY (`user_id`) REFERENCES `members` (`user_id`)
) ENGINE=InnoDB DEFAULT CHARSET=latin1;

--
-- Inserting data for table `roles`
--

INSERT INTO `roles`
VALUES
('john','ROLE_EMPLOYEE'),
('mary','ROLE_EMPLOYEE'),
('mary','ROLE_MANAGER'),
('susan','ROLE_EMPLOYEE'),
('susan','ROLE_MANAGER'),
('susan','ROLE_ADMIN');

实现后的 ER 图如下:

在这里插入图片描述

配置 security config 使用自定义表单

这里需要更新的也是 userDetailsManager,之前是直接返回 jdbcUserDetailsManager,让其运行默认的 sql 语句,这里则是写一点 sql 语句,重写默认的执行语句:

    @Bean
    public UserDetailsManager userDetailsManager(DataSource dataSource) {
        JdbcUserDetailsManager jdbcUserDetailsManager = new JdbcUserDetailsManager(dataSource);

        // define query to retrieve a user by username
        jdbcUserDetailsManager.setUsersByUsernameQuery(
                "select user_id, pw, active from members where user_id=?"
        );

        // define query to retrieve the authorities/roles by username
        jdbcUserDetailsManager.setAuthoritiesByUsernameQuery(
                "select user_id, role from roles where user_id=?"
        );

        return jdbcUserDetailsManager;
    }
SpringSecurity
weixin_45450412的博客
02-01 422
Spring Security 一、 Spring Security 简介 1 概括 Spring Security 是一个高度自定义的 安全框架。利用 Spring IoC/DI和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环
springMVC+security权限管理demo
05-30
案例采用spring mvc + security实现权限管理,包含有数据库文件,导入即可看到效果!!!
spring mvc 安全
weixin_34015336的博客
05-20 107
1,使用 spring form 标签 防 csrf 攻击 ...
2.SpringSecuritymvc项目中的使用
最新发布
The_flying_pig的博客
02-14 803
从这里我们就可以知道,我们的spring-security.xml需要放到父容器中被保护起来,不能放到子容器中被直接访问说明:SpringSecurity可以通过注解的方式来控制类或者方法的访问权限。注解需要对应的注解支持,若注解放在 controller类中,对应注解支持应该放在mvc配置文件中,因为controller类是有mvc配置文件扫描并创建的,同 理,注解放在service类中,对应注解支持应该放在spring配置文件中。
[spring] Spring MVC - security(上)
GoldenaArcher的博客
07-07 1250
这里有 3 个步骤要去做:重新写 spring 的安全配置,使用自己的 HTML 模板取代 spring boot 内置的 HTML 模板// 省略 inMemoryUserDetails 的实现@Beanconfigurerform主要是用来处理 HTTP 请求,对其进行安全处理则是具体对 HTTP 请求进行安全处理的配置代表所有的 HTTP 请求都必须要进行安全处理,即登录验证简单的说,访客是没有权限访问当前应用formLogin是表单登录验证这里主要进行 3 个处理。
Spring Security3 - MVC 整合教程 (初识Spring Security3)
Java/Android/IOS/前端/云计算
10-06 2931
博客分类:  spring3MVC教程 SpringMVCSecurityXMLJSP  下面我们将实现关于Spring Security3的一系列教程.  最终的目标是整合Spring Security + Spring3MVC  完成类似于SpringSide3中mini-web的功能.  Spring Security是什么?  引用 Spring
spring-webmvc-pac4j:Spring Web MVC的安全性库:OAuth,CAS,SAML,OpenID Connect,LDAP,JWT ..
01-28
spring-webmvc-pac4j项目是一个用于Spring Web MVC / Spring Boot Web应用程序和Web服务的简单而强大的安全性库。 它支持身份验证和授权,还支持注销和会话固定和CSRF保护等高级功能。 它基于Java 8,Spring Web MVC...
spring-mvc-security-poc
06-08
标题中的"spring-mvc-security-poc"表明这是一个关于Spring MVCSpring Security的Proof of Concept(PoC)项目,主要用于演示如何在Spring MVC框架下结合Spring Security实现基于自定义令牌的身份验证。Spring MVC...
spring-mvc-security
05-30
Spring MVC Security是一个基于Java的框架,用于为Spring MVC应用程序提供安全控制。这个框架结合了Spring MVC的灵活性和Spring Security的强大安全功能,使开发者能够轻松地实现用户认证、授权以及会话管理等安全性...
spring-mvc-boot-security-jpa-rest-student-management-project
05-13
Spring MVC Boot Security JPA Rest学生管理项目 功能性 在MySQL数据库上完成CRUD操作。 RESTful端点使用ID进行工作。 渐进式HTTP基本身份验证,用于保护API的安全 要求 Java 玛文 MySQL Sprint Boot Spring5 ...
a-spring:spring-mvc spring mybatis spring-security angularjs
06-05
标题 "a-spring:spring-mvc spring mybatis spring-security angularjs" 暗示了这个项目涉及了几个关键的Java Web开发技术,包括Spring MVCSpring、MyBatis、Spring Security以及前端框架AngularJS。接下来,我们...
spring mvcspring security自定义登录
05-14
使用spring mvcspring security 完成简单的自定义登录
基本的spring mvc + spring security实现的登录(无数据库)
01-01
用STS(Spring Tool Suite)开发的,spring mvc + spring security 实现的最简单的登录系统,无数据库。
Spring SecuritySpring MVC 整合
深圳市多克创新科技有限公司
10-28 1068
Spring SecuritySpring MVC 整合
springmvc 加载WebApplicationContext源码分析
octobertiger2011的博客
05-08 253
context-param>       param-name>contextConfigLocationparam-name>       param-value>       classpath:spring-context*.xml       param-value>   context-param>   listener>       listener-class>org.
Spring Security 入门详解
HiBoyljw的博客
11-07 1850
Spring Security 入门详解   1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术.   Spring security主要是从两个方面解决安全性问题: web请求级别:...
spring security (一) 建立spring mvc工程
mylove10086
05-14 883
本文使用spring 版本是4.3.3,spring security版本是4.2.3,ide是idea2016,数据库是sqlserver2008。要到达的效果是:Spring Security简介       Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别...
Spring MVCSecurity 源码合集
芋道源码
04-20 301
《看透 Spring MVC 源代码分析与实践 —— 网站基础知识》《看透 Spring MVC 源代码分析与实践 —— 俯视 Spring MVC》《看透 Spring...
springMvc的安全登录验证
qq_38662236的博客
11-15 2903
1. 引入springMvc权限框架security 1-1 配置web.xml 1. 在监听器上引入权限局框架的配置文件security.xml &amp;amp;amp;amp;lt;!--监听器--&amp;amp;amp;amp;gt; &amp;amp;amp;amp;lt;listener&amp;amp;amp;amp;gt; &amp;amp;amp;amp;lt;listener-class&amp;amp;am
spring-mvc 使用 spring-security
01-16
### 集成和配置 Spring Security 实现安全控制 #### 创建安全配置类 为了在Spring MVC项目中集成并使用Spring Security,创建一个名为`DemoSecurityConfig`的安全配置类。此类通过`@Configuration`注解标记为配置类,并定义了一个`filterChain`方法来设置HTTP安全规则。 ```java @Configuration public class DemoSecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception { httpSecurity .authorizeHttpRequests(authorize -> authorize .anyRequest().authenticated() ) .formLogin(form -> form .loginPage("/showMyLoginPage") .loginProcessingUrl("/authenticateUser") .permitAll() ); return httpSecurity.build(); } } ``` 上述代码片段展示了如何配置基本的身份验证需求[^2]。此配置强制所有请求都需要经过身份验证才能访问,除了登录页面及其处理URL `/authenticateUser`外,这些路径无需预先认证即可访问。 #### 用户详情服务配置 对于用户认证细节,通常会有一个自定义的`inMemoryUserDetails`实现或其他形式的服务用于加载用户的凭证信息。这部分未在此处展示完整的代码,但在实际应用中不可或缺[^1]。 #### 启用Web安全性支持 确保应用程序上下文中启用了Web安全性支持。这可以通过继承`WebSecurityConfigurerAdapter`完成(适用于较旧版本),不过推荐的方式是在不继承该适配器的情况下直接配置`HttpSecurity`对象,如上面的例子所示[^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值