SpirngBoot整合SpringSecurity简单示例

最新推荐文章于 2023-05-15 20:49:15 发布
最新推荐文章于 2023-05-15 20:49:15 发布
阅读量138 收藏
点赞数
文章标签: spring boot 后端 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43599265/article/details/108842780
版权

  • 相关pom依赖

     <dependency>
 	<groupId>org.springframework.boot</groupId>
 	<artifactId>spring-boot-starter-security</artifactId>
 </dependency>
 <dependency>
 	<groupId>org.springframework.boot</groupId>
 	<artifactId>spring-boot-starter-aop</artifactId>
 </dependency>
 <dependency>
 	<groupId>org.springframework.boot</groupId>
 	<artifactId>spring-boot-starter-web</artifactId>
 </dependency>
 		<dependency>
 	<groupId>org.springframework.boot</groupId>
 	<artifactId>spring-boot-starter-thymeleaf</artifactId>
 </dependency>

  • 如果需要security去帮你做用户认证的话,需让用户实体类去实现UserDetails接口,这里面的type属性代表权限

 public class User implements UserDetails {

    private int id;
    private String username;
    private String password;
    private String salt;
    private String email;
    private int type;
    private int status;
    private String activationCode;
    private String headerUrl;
    private Date createTime;

    @Override    //设置账号不过期
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override //账号未锁定
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override //凭证未过期
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override //账号可用
    public boolean isEnabled() {
        return true;
    }
    
    @Override //得到权限
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> list = new ArrayList<>();
        list.add(new GrantedAuthority() {
            @Override
            public String getAuthority() {
                switch (getType()) {
                    case 1:
                        return "ADMIN";
                    default:
                        return "USER"; //否则
                }
            }
        });
        return list;
    }

}
  • UserService类,这里需要实现UserDetailsService接口,如果不需要security认证的话,可以不去实现。
 @Service
public class UserService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    public User findUserByName(String username) {
        return userMapper.selectByName(username);
    }

	//security需要我们在loadUserByUsername提供一个可以查用户的方法,这里直接返回findUserByName就可以了
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
         return this.findUserByName(s);
    }
}
  • 接下来就可以去写我们的配置类了,SecurityConfig
 @Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/resources/**"); //忽略静态资源的访问
    }

    //AuthenticationManager 认证的核心接口
    //AuthenticationManagerBuilder 用于构建AuthenticationManager对象的工具
    //providerManager: AuthenticationManager接口的默认实现类
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //内置的认证规则,这里的盐值是固定的,而实际如果我们有自己的加密规则的话,一般不去使用这个方法
        //auth.userDetailsService(userService).passwordEncoder(new Pbkdf2PasswordEncoder("12345"));//加盐加密

        //自定义认证规则
        //AuthenticationProvider: providerManager持有一组AuthenticationProvider,每个AuthenticationProvider负责一种认证(登录时不只账号密码一种方式,第三方登录也是一种方式,兼容所有的登录方式)
        //providerManager将认证委托给AuthenticationProvider
        auth.authenticationProvider(new AuthenticationProvider() {  //账号密码认证方式
            //Authentication 用于封装认证信息(账号密码),不同方式封装不同的认证信息
            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {
                String username = authentication.getName();
                String password = (String) authentication.getCredentials();
                User user = userService.findUserByName(username);
                if(user == null) {
                    throw new UsernameNotFoundException("账号不存在"); //security会有filter去接收异常
                }

                password = WeUtil.md5(password + user.getSalt());//对明文密码进行Md5加盐加密
                if (!user.getPassword().equals(password)){
                    throw new BadCredentialsException("密码不正确");
                }
                return new UsernamePasswordAuthenticationToken(user, user.getPassword(), user.getAuthorities()); // 认证主要信息, 证书, 权限
            }

            //返回当前的认证类型
            @Override
            public boolean supports(Class<?> aClass) {
                //UsernamePasswordAuthenticationToken: Authentication接口的常用实现类
                return UsernamePasswordAuthenticationToken.class.equals(aClass);
            }
        });
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);  //覆盖父类的方法,查看源码可以看出security为我们提供了默认的认证界面,如果不覆盖,所有请求都会通过默认的认证,同学们可以去测试一下,引入依赖后security就会立刻接管我们的认证,这里就不展示了
        //登录相关的配置
        http.formLogin().loginPage("/loginpage") //登录界面
                .loginProcessingUrl("/login") //认证的url映射
                //若认证成功
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index"); //重定向,会向客户端传递新的请求,request被重置
                    }
                })
                //若认证失败
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                        request.setAttribute("error",e.getMessage());
                        request.getRequestDispatcher("/loginpage").forward(request, response);   //转发,客户端可以通过request得到信息
                    }
                });
        http.logout().logoutUrl("/logout")  //退出
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index");
                    }
                });

        //授权配置
        http.authorizeRequests().antMatchers("/letter").hasAnyAuthority("USER","ADMIN") //拥有USER和ADMIN权限的可以请求/letter
                .antMatchers("/admin").hasAnyAuthority("ADMIN")  
                .and().exceptionHandling().accessDeniedPage("/denied"); //权限不够时,返回的请求

        //增加filter处理验证码,addFilterBefore,如果验证码错误,则不进行用户名密码的认证
        http.addFilterBefore(new Filter() {
            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                HttpServletRequest request = (HttpServletRequest) servletRequest;
                HttpServletResponse response = (HttpServletResponse) servletResponse;
                if(request.getContextPath().equals("/login")) {
                    String code = request.getParameter("vertifyCode");
                    if(code == null || !code.equalsIgnoreCase("1234") ) { //这里把验证码写死了,只是做一个测试
                        request.setAttribute("error","验证码错误");
                        request.getRequestDispatcher("/loginpage").forward(request, response);
                        return;
                    }
                }
                filterChain.doFilter(request, response); //让请求向下执行,去找下一个filter,否则请求到此终止
            }
        }, UsernamePasswordAuthenticationFilter.class);  //UsernamePasswordAuthenticationFilter,在用户名密码验证之前执行

        //记住我
        http.rememberMe()
                .tokenRepository(new InMemoryTokenRepositoryImpl())  //把用户存到内存里,要想存到redis里,需要自己实现接口
                .tokenValiditySeconds(3600*24) //3600s*24
                .userDetailsService(userService);
    }
}
  • 加密工具类
 public class WeUtil {

    public static String md5(String key) {
        if (StringUtils.isBlank(key)) {
            return null;
        }
        return DigestUtils.md5DigestAsHex(key.getBytes());
    }

}
  • IndexController
@Controller
public class IndexController {

    @RequestMapping(path = "/index", method = RequestMethod.GET)
    public String getIndexPage(Model model) {
        //认证成功后,认证结果会通过SecurityContextHolder存入SecurityContext中
        Object obj = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if (obj instanceof User) {
            model.addAttribute("user",obj);
        }
        return "/index";
    }

    @RequestMapping(path = "/discuss", method = RequestMethod.GET)  //不需要权限即可访问
    public String getDiscussPage() {
        return "/site/discuss";
    }

    @RequestMapping(path = "/letter", method = RequestMethod.GET) //有USER权限的可以访问
    public String getLetterPage() {
        return "/site/letter";
    }

    @RequestMapping(path = "/admin", method = RequestMethod.GET) //有ADMIN权限的可以访问
    public String getAdminPage() {
        return "/site/admin";
    }

    @RequestMapping(path = "/loginpage", method = {RequestMethod.GET, RequestMethod.POST})
    public String getLoginPage() {
        return "/site/login";
    }


    // 
    @RequestMapping(path = "/denied", method = {RequestMethod.GET})
    public String getDeniedPage() {
        return "/error/404";
    }

}
  • UserMapper
    @Mapper
public interface UserMapper {

    User selectByName(String username);

}
  • mapper.xml
 <?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.we.community.dao.UserMapper">

    <sql id="selectFields">
        id, username, password, salt, email, type, status, activation_code, header_url, create_time
    </sql>

    <select id="selectByName" resultType="User">
        select
        <include refid="selectFields"></include>
        from user
        where username = #{username}
    </select>

</mapper>
  • 首页
 <!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>

    <h1>社区首页</h1>

    <p th:if="${user!=null}">
        欢迎你, <span th:text="${user.username}"></span>!
    </p>

    <ul>
        <li><a th:href="@{/discuss}">帖子详情</a></li>
        <li><a th:href="@{/letter}">私信列表</a></li>
        <li><a th:href="@{/loginpage}">登录</a></li>
<!-- security要求退出需用post -->
        <li>
            <form method="post" th:action="@{/logout}">
                <a href="javascript:document.forms[0].submit();">退出</a>
            </form>
        </li>

    </ul>

</body>
</html>
  • 登录页面。 admin, discuss, letter界面只是一句话,这里就不贴了
 <!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>

    <h1>登录社区</h1>
    
    <form method="post" th:action="@{/login}">
        <p style="color:red;" th:text="${error}">
            <!--提示信息-->
        </p>
        <p>
            账号:<input type="text" name="username" th:value="${username}">
        </p>
        <p>
            密码:<input type="password" name="password" th:value="${password}">
        </p>
        <p>
            验证码:<input type="text" name="vertifyCode">
        </p>
        <p>
            <input type="submit" value="登录"> 
        </p>
        <p>
            <input type="checkbox" name="remember-me"> 记住我
        </p>
    </form>

</body>
</html>

示例中只用type字段代表了权限,如果需要更复杂的授权时,需要自己设计权限表。

一口纯牛奶
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
仿牛客社区
qq_59415584的博客
10-10 296
该项目采用了目前主流的Spring MVC及Mybatis框架作为后台支持,并且采用Bootstrap最为前端框架,为用户提供更好的视觉效果。整个项目实现了用户的注册、登录、发帖、点赞、系统通知、按热度排序、搜索等功能。
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
基于SpringBoot 仿牛客网讨论社区项目
04-03
仿牛客网讨论社区项目: 主要技术架构: SpringBoot Spring SpringMVC MyBatis Redis Kakfa Elasticsearch Spring Security Spring Actator 基于SpringBoot的社区平台,实现了牛客网讨论区的功能。实现了邮箱注册、验证码登录、发帖、评论、私信、点赞、关注、统计网站访问次数等功能,数据库使用Mybatis、Redis,使用Kafka构建系统通知,使用Elasticsearch构建全文搜索功能。 包含数据库文件、项目源码等
仿牛客社区项目笔记-构建安全高效的企业服务(引入Spring Security)
qq_35484331的博客
05-15 924
仿牛客社区项目笔记-构建安全高效的企业服务(引入Spring Security)构建安全高效的企业服务1. 权限控制 构建安全高效的企业服务 分为。 1. 权限控制 引入 spring-boot-starter-security 依赖。 在 WebMvcConfig 中将 LoginRequiredInterceptor 拦截器废弃。 在 CommunityConstant 中设置:普通用户,管理员和版主的权限常量。 在LoginTicketInterceptor 拦截器中进行认证,如果登录凭证有效,就
【仿牛客网笔记】项目进阶,构建安全高效的企业服务——Spring Security
xue_hua_c的博客
11-17 242
Spring MVC 的核心组件是DispatcherServlet,所有的组件都是交给DispatcherServlet处理,然后将请求分发给控制器,具体由某个控制器控制请求,控制器可以由多个。利用统一的机制,处理系统,利用了JavaEE的规范Filter,顶层有很多的Filter。准备demo级别的项目,在简单的基础演示Security,学习完后在引入到项目中。启动后,在还没有登录的时候Spring Security会自带登录界面。简单模拟实现,尽可能的简单。编写denied路径。
Spring Boot 集成 Security 入门小实例
村雨遥
06-04 306
Spring Boot 集成 Security 最经典的 Hello World 小实例!
springBoot-springSecurity-OAuth2
最新发布
01-16
springBoot整合OAuth2示例及其代码
SpringBoot集成Spring security JWT实现接口权限认证 源码
03-24
详细介绍请看博客:https://blog.csdn.net/hyh17808770899/article/details/109733851 源码完全可行,于2022.03.14根据该博客创建,本资源内容包含项目源码、所关联的数据库表,以及postman测试接口JSON文档
spring-security-login:SpringBoot-整合SpringSecurity实现登入登出简单例子
05-25
SpringBoot整合SpringSecurity简单实现登入登出从零搭建这是SpringSecurity实现登录和登出的一个简单示例,基于 Spring Boot 1.5.6基本实现 : 用户信息存储在数据库中,登陆时从数据库中查询匹配用户信息。...
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
主要给大家介绍了关于Spring Boot整合Spring Security简单实现登入登出从零搭建的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面来一起看看吧
牛客网后端项目实战(三十八):Spring Security介绍
weixin_42033436的博客
05-30 356
Spring Security简单使用 实体类 public class User implements UserDetails { private int id; private String username; private String password; private String salt; private String email; private int type; private int status; private .
仿牛客社区项目 springboot+mybatis+redis+kafka+ES+spring security
Hermes0610的博客
01-05 1614
项目简介 技术架构 开发环境 项目架构 spring boot 开发社区首页 1.开发社区首页,显示前10个帖子 controller设定起始序号offset,以及每页显示的帖子数limit。调用service层的查询帖子函数获取到数据。 注意:查询到的帖子中只有用户的id,要显示用户名则需要调用userService来通过用户id查询得到用户名。 将帖子和用户一起存到List< map >中,并把这个结果集存到model中,前端通过thymeleaf引擎接收这个模板。 //接口 pub
仿牛客社区——1.30开发社区首页
zssxcj的博客
05-15 62
• 开发流程- 1次请求的执行过程• 分步实现- 开发社区首页,显示前10个帖子- 开发分页组件,分页显示所有的帖子。
仿牛客社区开发(登录模块-会话管理)
qq_41655082的博客
10-05 215
仿牛客社区开发(登录模块-会话管理)概述http无状态http cookiesession示例cookie示例设置cookie获取cookiesession示例创建session对象获取session问题分布式部署时,为什么不用session? 概述 http无状态 https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Overview HTTP是无状态的:在同一个连接中,两个执行成功的请求之间是没有关系的。这就带来了一个问题,用户没有办法在同一个网站中进行连续
仿牛客社区项目
qq_39042571的博客
07-21 691
仿牛客社区项目实现过程中的一个过程记录
仿牛客社区项目描述
qq_35484331的博客
05-30 6311
仿牛客社区项目描述1. 权限模块1.1 注册1.2 登录 本项目是一个校内互动交流平台,主要涉及模块有权限模块、帖子模块、性能模块、通知模块、搜索模块。主要使用的技术有SpringBoot,SpringMVC,MyBatis,MySQL,Redis,Kafka。 权限模块主要实现了注册登录和权限管理等功能。 帖子模块主要实现了发帖,评论和私信等功能。 性能模块使用Redis实现点赞,关注和网站数据统计等功能。 通知模块使用Kafka实现系统通知功能。 搜索模块使用Elasticsearch实现帖子搜索功能
(仿牛客社区项目)Java开发笔记4.6:优化登录模块
weixin_45700663的博客
07-23 460
(仿牛客社区项目)Java开发笔记4.6:优化登录模块
仿牛客社区开发(登录模块-显示登录信息)
qq_41655082的博客
10-07 193
仿牛客社区开发(登录模块-显示登录信息)概述拦截器示例定义拦截器配置拦截器拦截器的应用配置拦截器 - LoginTicketInterceptor配置拦截器 - WebMvcConfig补充 概述 拦截器在本项目中的应用: 服务器通过客户端request请求头中的cookie获取ticket(preHandle) 根据ticket从login_ticket表中获取LoginTicket凭证示例(preHandle) 根据登录凭证中的user_id找到对应user(preHandle) 将user数据
springboot整合spring security oauth2 代码示例
03-22
以下是一个简单的 Spring Boot 整合 Spring Security OAuth2 的代码示例: 1. 添加依赖 在 pom.xml 文件中添加以下依赖: ``` <groupId>org.springframework.boot <artifactId>spring-boot-starter-security ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值