SpringSecurity安全框架

最新推荐文章于 2022-11-07 20:18:02 发布
最新推荐文章于 2022-11-07 20:18:02 发布
阅读量2.6k 收藏
点赞数
分类专栏: SpringBoot java Securiity 文章标签: 安全 java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44520739/article/details/116243613
版权
SpringBoot 同时被 3 个专栏收录
43 篇文章 1 订阅
订阅专栏
java
16 篇文章 3 订阅
订阅专栏
Securiity
1 篇文章 0 订阅
订阅专栏

前言:
Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servlet请求,并将这些请求转给认证和访问决策管理器处理,从而增强安全性。根据自己的需要,可以使用适当的过滤器来保护自己的应用程序。
如果使用过Servlet过滤器且令其正常工作,就必须在Web应用程序的web.xml文件中使用 和元素配置它们。虽然这样做能起作用,但是它并不适用于使用依赖注入进行的配置。
FilterToBeanProxy是一个特殊的Servlet过滤器,它本身做的工作并不多,而是将自己的工作委托给Spring应用程序上下文 中的一个Bean来完成。被委托的Bean几乎和其他的Servlet过滤器一样,实现javax.servlet.Filter接 口,但它是在Spring配置文件而不是web.xml文件中配置的。
实际上,FilterToBeanProxy代理给的那个Bean可以是javax.servlet.Filter的任意实现。这可以是 Spring Security的任何一个过滤器,或者它可以是自己创建的一个过滤器。但是正如本书已经提到的那样,Spring Security要求至少配置四个而且可能一打或者更多的过滤器。说白了了就是权限,认证 拦截
准备
项目 Springboot+SpringSecurity
依赖坐标

<!--spring Security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

创建 配置类
在前端 账号密码 username 和password 这个 两个字段

package com.tang.springsecurity.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author 
 * @className: SecurityConfig
 * @description: TODO 类描述
 * @create 2021-10-24 12:46 下午
 * @desc
 **/
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //通过数据库查询用户
    @Autowired
    UserDetailsService userDetailsService;
    //设置用户名 密码 权限
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //加密
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String user = bCryptPasswordEncoder.encode("user");

        auth.userDetailsService(userDetailsService ).passwordEncoder(passwordEncoder());
    }
    // 注入密码
    @Bean
    public PasswordEncoder passwordEncoder(){

        return new BCryptPasswordEncoder();
    }

    // 设置请求
    @Override
    protected void configure(HttpSecurity http) throws Exception {

   http.formLogin()
           .loginPage("/login.html")//登录页面设置
           .loginProcessingUrl("/user/login")//登录访问的路径
           .defaultSuccessUrl("/user/index").permitAll()//登录成功访问路径
           .and().authorizeRequests()
           .antMatchers("/","/test/security","/user/login").permitAll()//设置路径可以访问不需要验证
           //匹配单个权限
           .antMatchers("/test/index").hasAuthority("admin")
           //设置访问权限多个..........
           .antMatchers("/test/index").hasAnyAuthority("admin,test")
           //业务匹配 ROLE_test
           .antMatchers("/test/index").hasAnyRole("test")
           //多匹配 ROLE_admin  ROLE_test......
           .antMatchers("/test/index").hasAnyRole("admin,test")
           .anyRequest().authenticated()//

           .and().csrf().disable();//关闭保护
    }

}

service层
通过数据库查询账号密码

package com.tang.springsecurity.service;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.tang.springsecurity.mapper.UserMapper;
import com.tang.springsecurity.pojo.Users;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.GregorianCalendar;
import java.util.List;

/**
 * @author 
 * @className: MyUserServiceImpl
 * @description: TODO 类描述
 * @create 2021-10-24 8:29 下午
 * @desc
 **/
@Service("userDetailsService")
public class MyUserServiceImpl  implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    /**
     * 登录
     * @param username  用户名
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //查询条还
        QueryWrapper<Users> wrapper=new QueryWrapper<>();
        wrapper.eq("username",username);
        Users users = userMapper.selectOne(wrapper);
        //账号不存在
        if (users==null){

            return (UserDetails) new UsernameNotFoundException("账号不存在");
        }
        //权限设置
        List<GrantedAuthority> list= AuthorityUtils.createAuthorityList("admin");

        // 验证登录
        return new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getUserpassword()),list);
    }
}

除了配置权限还可以使用注解的方式
使用注解 必须在启动类或者配置类上添加@EnableGlobalMethodSecurity(prePostEnabled = true)注解 对SpringSecurity 启用

package com.tang.springsecurity.controller;

import com.sun.org.apache.bcel.internal.generic.NEW;
import com.tang.springsecurity.pojo.Users;
import org.springframework.security.access.annotation.Secured;
import org.springframework.security.access.prepost.PostAuthorize;
import org.springframework.security.access.prepost.PostFilter;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.access.prepost.PreFilter;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import java.util.ArrayList;
import java.util.List;

/**
 * 测试 SpringSecurity
 */

@RestController
@RequestMapping("test")
public class SecurityTest {

    //测试security的验证 在浏览器上拦截请求 首先是进入 security的默认页面 登录 进去在访问接口 过滤器链
    @GetMapping("security")
    public String getTest(){

        return "测试";
    }

    /**
     */
    @RequestMapping("index")
    public String tests(){
        return "登录后访问";
    }

    /**
     * 注解权限验证
     * @return
     */
    @GetMapping("select")
    @Secured("ROLE_test")
    public  String select(){

        return "权限";
    }

    /**
     * 进入方法前校验权限
     * @return
     */

    @GetMapping("select1")
    @PreAuthorize("hasAuthority('admin')")
    public String select2(){


        return "进入方法前校验权限";
    }

    /**
     * 进入方法后校验权限
     * @return
     */
    @GetMapping("select2")
    @PostAuthorize("hasAnyAuthority('test')")
    public String select3(){

        return "进入方法后校验";
    }

    /**
     * 对返回数据做权限处理
     * @return
     */
    @GetMapping("select3")
    @PreAuthorize("hasAuthority('admin')")
    @PostFilter("filterObject.username=='a'")
    public List<Users> select4(){
        List<Users> list=new ArrayList<>();
        Users users = new Users();
        Users users1 = new Users();
        users1.setUsername("a");
        list.add(users1);
        users.setUsername("b");
        list.add(users);
        System.out.println(list);
        return list;

    }
    


}

待续…

  T
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
spring security安全框架
10-25
spring security安全框架,简单的小demo
springboot之SpringSercurity安全框架
qq_48608598的博客
02-08 374
一、 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 权限管理:功能权限,访问权限,菜单权限,拦截器,过滤器等等 spring securitySpring 项目组中用来提供安全认证服务的框架。其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 二、 记住几个类: W
SpringSecurity安全框架(基础入门)
weixin_48948094的博客
08-09 668
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
springSecurity安全框架
聪聪
02-11 3254
SpringSecurity 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 官网地址 一般后台管理系统的权限认证,都需要大量的逻辑处理验证,.
简述SpringSecurity安全框架
weixin_44820671的博客
11-07 829
简述SpringSecurity安全框架
SpringSecurity安全框架案例
最新发布
09-23
完整的认证授权流程,没有验证码校验
SpringSecurity安全框架基础Demo
01-02
SpringSecurity安全框架基础Demo,
SpringSecurity安全框架企业中应用
06-13
涉及到目前互联网项目中最常用的高并发解决方案技术, 如 dubbo,redis,solr,freemarker,activeMQ,springBoot框架,微信支付,nginx负载均衡,电商活动秒杀,springSecurity安全框架,FastDFS分布式文件服务器,还会涉及到...
springsecurity安全框架源码
11-27
springsecurity安全框架下载 .
SpringCloud-Alibaba-Sentinel-分布式系统的流量防卫兵与流量监控-入门
热门推荐
T
11-30 12万+
前言: Sentinel:分布式系统的流量防卫兵 随着微服务的流行,服务和服务之间的稳定性变得越来越重要。Sentinel 以流量为切入点,从流量控制、熔断降级、系统负载保护等多个维度保护服务的稳定性。 Sentinel 具有以下特征: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应用等。 完备的实时监控:Sentinel 同时提供实时的监控功能。您可以在控制台中看到
SpringCloud-Alibaba-Sentinel-服务降级-热点限流-服务熔断
T
12-01 12万+
前言: 除了流量控制以外,对调用链路中不稳定的资源进行熔断降级也是保障高可用的重要措施之一。一个服务常常会调用别的模块,可能是另外的一个远程服务、数据库,或者第三方 API 等。例如,支付的时候,可能需要远程调用银联提供的 API;查询某个商品的价格,可能需要进行数据库查询。然而,这个被依赖服务的稳定性是不能保证的。如果依赖的服务出现了不稳定的情况,请求的响应时间变长,那么调用服务的方法的响应时间也会变长,线程会产生堆积,最终可能耗尽业务自身的线程池,服务本身也变得不可用 熔断策略 Sentinel 提供
SpringCloud-Alibaba-Nacos服务注册和配置中心--一篇入门
T
11-19 10万+
前言: 前四个字母分别为Naming和Configuration的前两个字母,最后的s为Service 一个更易于构建云原生应用的动态服务发现,配置管理和服务管理中心 Nacos 有自己独立的,注册和配置 服务端。不像Eureka我还得去起服务端才能注册。 Nacos = Eureka+Config+Bus 下载地址:https://nacos.io/zh-cn/index.html 下载解压: 启动 D:\work\nacos\nacos\bin 双击startup.cmd 启动成功访问 ht
SpringCloud-openFeign
T
11-09 8万+
openFeign和Feign 什么是Feign Feign 是一个声明式的我web服务客户端,使得编写web服务客户端变得非常容易 只要 创建一个 接口就行,然后后面加上注解 就可以 feign Feign 只在使编写java Http 客户端变得更容易 前面在使用 Ribbon +RsetTemplate时利用RsetTemplate对Http请求的封装处理,形成了一套模板化的调用方法,但是在实际 开发中,由于对服务依赖的调用可能不止一个,往往一个接口会被多处调用,所以通常会针对 每一为服务自行封装一些
RabbitMQ基础介绍与在java中使用-入门
T
02-03 7万+
前言:MQ做应用解耦,流量削峰 这些是常识,RabbitMQ是实现了高级消息队列协议(AMQP)的开源消息代理软件(亦称面向消息的中间件)。RabbitMQ服务器是用Erlang语言编写的,而集群和故障转移是构建在开放电信平台框架上的。所有主要的编程语言均有与代理接口通讯的客户端库 常用的主流的MQ有四个 ActiveMQ: Apache下的一个子项目。使用Java完全支持JMS1.1和J2EE 1.4规范的 JMS Provider实现,少量代码就可以高效地实现高级应用场景。可插拔的传输协议支持,比如:
解决Error starting ApplicationContext. To display the auto-configuration report re-runyour application
T
04-03 6万+
今天在搭建SpringBoot+SpringCloud+mybatis+maven时 报的错我找了大半天 不知道那里我的配置文件代码都审查了好多次 都没毛病 就是一直出现这个错 开发软件是:eclipse 报错信息 Error starting ApplicationContext. To display the auto-configuration report re-run your appl...
SpringBoot整合Mybatis配置与事物(5)
T
03-13 4万+
前提 SpringBoot整合Mybatis需要导入 jar 可以创建项目加上也可以 把jar导入 第一种 第二种 1:spring-boot-starter-xxxx:springboot中自带的 starter 2:xxx-spring-boot-starter :第三方和springboot集成提供的 starter &amp;amp;amp;amp;lt;!--mybatis--&amp;amp;amp;amp;gt; &amp;amp;amp;amp;
SpringCloud使用Consul做注册中心
T
11-06 3万+
简介: Consul 是一套开源的分布式服务发现和配置管理系统,由 HashiCorp 公司用 Go 语言开发。 Consul 支持健康检查,并允许 HTTP 和 DNS 协议调用 API 存储键值对. 命令行超级好用的虚拟机管理软件 vgrant 也是 HashiCorp 公司开发的产品. 一致性协议采用 Raft 算法,用来保证服务的高可用. 使用 GOSSIP 协议管理成员和广播消息, 并且支持 , Consul 提供了微服务中服务注册发现注册,微服务中的分布式配置中心,可以单独使用,也可以一块使用
全新版XXL-JOB分布式定时框架SrpingBoot-XXL-JOB
T
06-28 2万+
官方文档https://www.xuxueli.com/xxl-job/ 还是在自己看比较好,我要是写简介和使用也是从上面复制下来的 首先是git官网下载源码: 源码仓库地址 Release Download https://github.com/xuxueli/xxl-job Download http://gitee.com/xuxueli0323/xxl-job Download 代码下载好的目录 首先看xxl-job-admin这个项目从配置文件看起 首先这个需要数据库的支持 Mysql 所
springsecurity安全框架
09-23
Spring Security允许用户通过提供配置信息来定制安全策略,并提供了两个主要的配置对象:WebSecurity和HttpSecurity。它可以轻松扩展以满足自定义需求。Spring SecurityJava应用程序中最常用的身份验证和授权框架...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

  T

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值