SpringSecurity基本使用

最新推荐文章于 2023-01-28 13:54:05 发布
最新推荐文章于 2023-01-28 13:54:05 发布
阅读量297 收藏
点赞数
分类专栏: Spring 文章标签: SpringSecurity 基本使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43894577/article/details/113093015
版权

文章目录

1.基本使用

1.pom依赖

 		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

2.编写Controller测试

@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        return "Hello World!";
    }
}

3.启动项目,访问 http://localhost:9999/hello

在这里插入图片描述

用户名为 user,密码在启动项目的控制台可以看到:

在这里插入图片描述

输入后显示文字:
在这里插入图片描述

2.自定义配置用户名与密码

方式一:在配置文件里配置

spring.security.user.name=admin
spring.security.user.password=123456
spring.security.user.roles=admin

方式二:配置类里配置

@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123456");
        auth.inMemoryAuthentication().withUser("admin").password(password).roles("admin");
    }

    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

方式三:动态地从数据库中查

1.建表

CREATE TABLE `db_user`(
  `id` int NOT NULL AUTO_INCREMENT,
  `username` varchar(20) NOT NULL,
  `password` varchar(255) NULL,
  PRIMARY KEY (`id`)
);

2.pom

		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.1.tmp</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>

3.配置数据源

spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.url=jdbc:mysql://localhost:3306/db_user?useSSL=false&serverTimezone=Asia/Shanghai

4.编写实体类

@Data
@TableName("tb_user")
public class LoginUser {
    private Integer id;
    private String username;
    private String password;
}

5.Mapper

@Mapper
public interface UserMapper extends BaseMapper<LoginUser> {
}

6.编写Service

@Service("userDetailsService")
public class UserDeatilsServiceImpl implements UserDetailsService {

    @Resource
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
       //1.构建查询条件,从数据库查询用户
        QueryWrapper<LoginUser> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username",s);
        LoginUser loginUser = userMapper.selectOne(queryWrapper);
        //2.将用户信息转换为springsecurity中的User
        List<GrantedAuthority> authority = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_admin,ROLE_sale");
        User user = new User(loginUser.getUsername(),
                new BCryptPasswordEncoder().encode(loginUser.getPassword()),
                authority);
        return user;
    }
}

7.将Service注册到SpringSecurity中

@Configuration
public class MyWebSecurityConfig02 extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

3.自定义登录页面

@Configuration
public class MyWebSecurityConfig02 extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/user/login")
                .defaultSuccessUrl("/test/index").permitAll()
                .and().authorizeRequests()
                    .antMatchers("/","/test/hello","/user/login").permitAll()
                .and().authorizeRequests()
                    .anyRequest().authenticated()
                .and().csrf().disable();
    }

    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

/static/login.html:

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8"/>
    <title>登录</title>
</head>
<body>
<form action="/user/login" method="post">
    用户名:<input type="text" name="username"/><br/>
    密码:<input type="password" name="password"/><br/>
    <input type="submit" value="提交"/>
</form>
</body>
</html>

4.基于权限访问控制

SpringSecurity判断时是从UserDetailsService中获取用户,进而判断用户是否满足角色或者权限。

@Service("userDetailsService")
public class UserDeatilsServiceImpl implements UserDetailsService {

    @Resource
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //1.构建查询条件,从数据库查询用户
        QueryWrapper<LoginUser> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username",s);
        LoginUser loginUser = userMapper.selectOne(queryWrapper);
        //2.将用户信息转换为springsecurity中的User
        List<GrantedAuthority> authority = AuthorityUtils.commaSeparatedStringToAuthorityList("admin,ROLE_admin,ROLE_sale");
        User user = new User(loginUser.getUsername(),
                new BCryptPasswordEncoder().encode(loginUser.getPassword()),
                authority);
        return user;
    }
}

1.在配置类里配置

   @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login.html")
                .loginProcessingUrl("/user/login")
                .defaultSuccessUrl("/test/index").permitAll()
                .and().authorizeRequests()
                    .antMatchers("/","/user/login").permitAll()
                .and().authorizeRequests()
                    .antMatchers("/test/hello","/admin2")
                        .hasAnyRole("sale,admin")
                .and().authorizeRequests()
                    .anyRequest().authenticated()
                .and().csrf().disable();
    }

(1)hasAuthority方法:

.antMatchers("/admin","/admin2").hasAuthority("admin")

(2)hasAnyAuthority方法:满足其中一个就放行,多个权限用逗号隔开

.antMatchers("/admin","/admin2").hasAnyAuthority("admin,teacher")

.antMatchers("/admin","/admin2").hasAnyAuthority("admin","teacher")

(3)hasRole方法:

*注意:UserDetailsService中返回的用户里的角色是带ROLE_前缀的,但在配置里不需要写前缀。因为hasRole方法最终会帮我们加入前缀。

在这里插入图片描述

.hasRole("admin")

hasAnyRole:使用方法同hasAnyAuthority

.hasAnyRole("sale,admin")

5.自定义403

当权限验证没通过的时候就会报403,但是默认返回的页面我们不是很满意,就可以在配置类里自定义去进行更改。

	 @Override
    protected void configure(HttpSecurity http) throws Exception {
		http.exceptionHandling().accessDeniedPage("/unauth");
    }

其中/auth可以自己定义,可以写为一个url,这样403的时候就会跳转到对应url的Controller的方法里:

	@RequestMapping("/unauth")
    public String unauth() {
        return "权限不足,请联系管理员";
    }

也可以写网页的路径,如/403.html,然后在 resource/static文件夹下创建网页。

6.使用注解

@Secured、@PreAuthorize、@PostAuthorize

1.首先在启动类上开启

想启用哪个注解就开哪个:

在这里插入图片描述

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class, args);
    }

}

2.在方法上标注解

  • @Secured 判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。

    @ResponseBody
@Secured({"ROLE_normal","ROLE_admin"})
public String helloUser() {
	return "hello,user";
}

  • @PreAuthorize:注解适合进入方法前的权限验证, @PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中。

    @RequestMapping("/preAuthorize")
@ResponseBody
//@PreAuthorize("hasRole('ROLE_管理员')")
@PreAuthorize("hasAnyAuthority('menu:system')")
public String preAuthorize(){
	System.out.println("preAuthorize");
	return "preAuthorize";
}

/**
 * 限制只能查询自己的信息
 */
@PreAuthorize("principal.username.equals(#username)")
public User find(String username) {
    return null;
}

    权限表达式:https://docs.spring.io/spring-security/site/docs/5.3.4.RELEASE/reference/html5/#overview-2

  • @PostAuthorize @PostAuthorize 注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值的权限.

    @RequestMapping("/testPostAuthorize")
@ResponseBody
@PostAuthorize("hasAnyAuthority('menu:system')")
public String preAuthorize(){
	System.out.println("test--PostAuthorize");
	return "PostAuthorize"; 
}
@PostFilter、@PreFilter

@PostFilter : 权限验证之后对数据进行过滤 留下用户名是 admin1 的数据

表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素

@RequestMapping("getAll")
@PreAuthorize("hasRole('ROLE_管理员')")
@PostFilter("filterObject.username == 'admin1'")
@ResponseBody
public List<UserInfo> getAllUser(){
 	ArrayList<UserInfo> list = new ArrayList<>();
    list.add(new UserInfo(1l,"admin1","6666"));
 	list.add(new UserInfo(2l,"admin2","888"));
	return list;
}

3.7.5 @PreFilter

@PreFilter: 进入控制器之前对数据进行过滤

@RequestMapping("getTestPreFilter")
@PreAuthorize("hasRole('ROLE_管理员')")
@PreFilter(value = "filterObject.id%2==0")
@ResponseBody
public List<UserInfo> getTestPreFilter(@RequestBody List<UserInfo> list){
    list.forEach(t-> {
        System.out.println(t.getId()+"\t"+t.getUsername());
    });
	return list;
}
Ich / liebe / dich
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 为用户示例添加角色
allway2的博客
09-21 1934
以 Web 形式更新用户的角色。这里很酷的是,Thymeleaf 会根据分配给用户的角色自动显示选择的角色。此外,您可以在此处简单地选中/取消选中角色来更新用户的角色。这是一些关于在 Spring Boot Web 应用程序中向用户添加角色的代码示例。现在,我将向您展示如何使用 Web 用户界面编写编辑用户功能的代码,我们可以在其中更改分配给用户的角色。用户注册中的一个常见场景是为新注册的用户设置默认角色,例如用户或客户角色。一个用户可以有一个或多个角色,一个角色可以分配给一个或多个用户,因此。
SpringSecurity权限管理
alone_song的博客
03-14 5697
SpringSecurity权限管理 Security能做什么? 用户认证:系统认为用户是否能够登录 用户授权:系统判断用户是否有权力去做某些事情 SpringSecurity特点: 和Spring无缝整合 全面的权限控制 专门为web开发而设计 重量级 需要引入各种依赖 SpringSecurity基本原理: SpringSecurity本质上是一个过滤器链 包含很多个过滤器 执行流程: 配置DelegatingFilterProxy 执行doFilter initDel.
看源码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1771
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色和权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
从源码看Spring Security的角色和权限之区别
cauchy6317的博客
12-21 1万+
Spring Security中的角色(roles)和权限(authorities)是有区别的。笔者这篇文章将和大家一起从Spring Security源码的角度探讨其区别在何处,以及合理的使用角色和权限,让我们在使用时做到知其然且知其所以然。 项目环境:jdk1.8,Springboot 2.1.0,IntelliJ idea2018 首先我们在内存中定义几个用户。一个用户名为&amp;amp;quot;cj&amp;amp;quot;,角色为 ...
SpringSecurity使用
LD_HH的博客
09-02 1174
①、解决默认进入login页面的方法 当我们在创建springboot的时候选择了springsecurity maven就会发现一直跳转在springsecurity自带的login页面 1、直接将maven去除 2、加上(exclude = {SecurityAutoConfiguration.class}) //取消登录验证 @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 3、可以设置login的账号和
Spring Security 基本使用和配置代码
10-07
本教程将深入探讨Spring Security基本使用和配置代码,帮助你理解和实践这个框架。 首先,Spring Security的核心功能包括用户身份验证、权限控制以及安全相关的会话管理。在开始配置之前,确保你的项目已经集成了...
SpringBoot + Spring Security 基本使用及个性化登录配置详解
08-27
SpringBoot + Spring Security 基本使用及个性化登录配置详解 Spring Security 是一个功能强大且灵活的安全框架,它提供了认证、授权、攻击防护等功能。SpringBoot 是一个基于 Spring 框架的框架,它提供了很多便捷...
01_Spring Security基本使用和配置.rar
10-07
首先,我们来看看"01_Spring Security基本使用和配置"这个主题。在开始使用Spring Security之前,我们需要理解其核心概念,比如安全上下文(Security Context)、权限管理(Access Control)以及安全拦截(Filter ...
Spring Security基本配置方法解析
08-25
Spring Security基本配置方法解析 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。Spring Security是一个专注于为Java应用程序提供身份验证...
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Security 基础使用
奇妙的代码
11-23 750
Spring Security 是基于 Spring 应用的框架,具有功能强大且高度可定制的身份验证和访问控制的特点。
java security 详解_Spring Security使用详解(基本用法 )
weixin_35480435的博客
02-16 1582
Spring Security使用详解(基本用法 )1,什么是 Spring Security ?Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置...
【若依】@PreAuthorize
weixin_45995287的博客
12-01 7416
Spring Security提供了Spring EL表达式,允许我们在定义接口访问的方法上面添加注解,来控制访问权限来源于若依官方文档,记一下帮助记忆!
若依框架基于@PreAuthorize注解的权限控制
最新发布
weixin_49561506的博客
01-28 8594
介绍了Java注解的使用与定义以及对若依框架的权限控制进行解析
@PerAuthorize用作授权的使用方法
热门推荐
qq_42507357的博客
08-14 1万+
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。 使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。 @PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。 /** * 获取部门列表 */ @PreAuthorize("@ac.hasPermi('dept:list')"
@PreAuthorize 权限控制的原理
05-19 3598
@PreAuthorize 注解,顾名思义是进入方法前的权限验证,@PreAuthorize 声明这个方法所需要的权限表达式,例如:@PreAuthorize("hasAuthority('sys:dept:delete')"), 根据这个注解所需要的权限,再和当前登录的用户角色所拥有的权限对比,如果用户的角色权限集Set中有这个权限,则放行;没有,拒绝 跟进hasAuthority方法: 但是,问题来了,这个用户的角色权限Set,是什么时候存入的,其流程如下: 相关代码: ...
SpringSecurity报java.lang.IllegalArgumentException: Failed to evaluate expression 'ROLE_USER'
jamesChentt的博客
03-14 3686
java.lang.IllegalArgumentException: Failed to evaluate expression 'ROLE_USER',Caused by: org.springframework.expression.spel.SpelEvaluationException: EL1008E: Property or field 'ROLE_USER' cannot be found on object of type 'org.springframework.security.web
4、security之自定义数据源
程序三两行
07-20 455
spring security 内存认证和自定义数据源认证
Spring Security 3.1.6 使用与配置指南
- 开始使用安全命名空间配置:提供了在 web.xml 文件中配置 Spring Security基本步骤。 - 示例配置:展示了最小的 `<http>` 配置,以及自动配置包含的内容。 - 表单和基本登录选项:讨论了如何配置基于表单和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值