使用Spring Security管理登录操作/转发与重定向

已于 2023-09-06 20:17:37 修改
阅读量325 收藏
点赞数
分类专栏: java杂文 文章标签: spring java 后端
于 2023-08-27 16:02:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44609676/article/details/132496368
版权

简介

Spring Security是一个专注于为Java程序提供身份认证和授权的框架,他可以轻松扩展以满足自定义的需求

特征

  • 对身份的认证和授权提供全面的、可扩展的支持
  • 防止各种攻击,如回话固定攻击、点击劫持、csrf攻击等
  • 支持与Servlet API、Spring MVC等Web技术集成

引入依赖

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

只要引入依赖,Spring Security会立刻对该项目生效。自动生成账号密码管理用户登录,并使用它自带的登录界面。
在这里插入图片描述
自动生成的密码:在这里插入图片描述
账号即user

更改Spring Security的配置

// User.java
// User类需要实现UserDetails的接口
public class User implements UserDetails {

    private int id;
    private String username;
    private String password;
    private String salt;
    private String email;
    private int type;
    private int status;
    private String activationCode;
    private String headerUrl;
    private Date createTime;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getSalt() {
        return salt;
    }

    public void setSalt(String salt) {
        this.salt = salt;
    }

    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }

    public int getType() {
        return type;
    }

    public void setType(int type) {
        this.type = type;
    }

    public int getStatus() {
        return status;
    }

    public void setStatus(int status) {
        this.status = status;
    }

    public String getActivationCode() {
        return activationCode;
    }

    public void setActivationCode(String activationCode) {
        this.activationCode = activationCode;
    }

    public String getHeaderUrl() {
        return headerUrl;
    }

    public void setHeaderUrl(String headerUrl) {
        this.headerUrl = headerUrl;
    }

    public Date getCreateTime() {
        return createTime;
    }

    public void setCreateTime(Date createTime) {
        this.createTime = createTime;
    }

    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                ", salt='" + salt + '\'' +
                ", email='" + email + '\'' +
                ", type=" + type +
                ", status=" + status +
                ", activationCode='" + activationCode + '\'' +
                ", headerUrl='" + headerUrl + '\'' +
                ", createTime=" + createTime +
                '}';
    }

    // true: 账号未过期.
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    // true: 账号未锁定.
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    // true: 凭证未过期.
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    // true: 账号可用.
    @Override
    public boolean isEnabled() {
        return true;
    }

	// 返回该用户的所拥有的权限,因为一个用户可能有多个权限,所以返回集合
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> list = new ArrayList<>();
        list.add(new GrantedAuthority() {
            @Override
            public String getAuthority() {
                switch (type) {
                    case 1:
                        return "ADMIN";
                    default:
                        return "USER";
                }
            }
        });
        return list;
    }

}

// UserService.java
// Spring Security底层本身就有自动判断账号密码的功能,依赖于UserDetailsService接口
// 在UserService中实现的原因是UserService中有查询用户的功能findUserByName
@Service
public class UserService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    public User findUserByName(String username) {
        return userMapper.selectByName(username);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return this.findUserByName(username);
    }
}

Spring Security配置类:

// SecurityConfig.java
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	// UserService中实现了UserDetails的接口
    @Autowired
    private UserService userService;

    @Override
    public void configure(WebSecurity web) throws Exception {
        // 忽略静态资源的访问,提高性能
        web.ignoring().antMatchers("/resources/**");
    }

    // AuthenticationManager: 认证的核心接口.
    // AuthenticationManagerBuilder: 用于构建AuthenticationManager对象的工具.
    // ProviderManager: AuthenticationManager接口的默认实现类.
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 1.内置的认证规则:
        // userService:用于查询用户,以比较账号是否正确
        // Pbkdf2PasswordEncoder("12345"):Pbkdf2PasswordEncoder为一种加密工具,12345为盐值,其会把传入的密码带上盐值后一起加密
        // auth.userDetailsService(userService).passwordEncoder(new Pbkdf2PasswordEncoder("12345"));

        // 2.自定义认证规则
        // AuthenticationProvider: ProviderManager持有一组AuthenticationProvider,每个AuthenticationProvider负责一种认证.
        // 委托模式: ProviderManager将认证委托给AuthenticationProvider.
        auth.authenticationProvider(new AuthenticationProvider() {
            // Authentication: 用于封装认证信息的接口,不同的实现类代表不同类型的认证信息.
            // 此处Authentication代表封装账号密码的实现类
            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {
            	// 获取账号
                String username = authentication.getName();
                // 获取密码
                String password = (String) authentication.getCredentials();

                User user = userService.findUserByName(username);
                if (user == null) {
                    throw new UsernameNotFoundException("账号不存在!");
                }

                password = CommunityUtil.md5(password + user.getSalt());
                if (!user.getPassword().equals(password)) {
                    throw new BadCredentialsException("密码不正确!");
                }

                // principal: 主要信息; credentials: 证书,通常为密码; authorities: 权限;
                return new UsernamePasswordAuthenticationToken(user, user.getPassword(), user.getAuthorities());
            }

            // 当前的AuthenticationProvider支持哪种类型的认证.
            @Override
            public boolean supports(Class<?> aClass) {
                // UsernamePasswordAuthenticationToken: Authentication接口的常用的实现类.
                // UsernamePasswordAuthenticationToken:当前的AuthenticationProvider支持的是账号密码的认证
                return UsernamePasswordAuthenticationToken.class.equals(aClass);
            }
        });
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 登录相关配置
        http.formLogin()
                .loginPage("/loginpage")
                .loginProcessingUrl("/login")
                // 如果成功,使用重定向的方式跳转到首页
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index");
                    }
                })
                // 如果失败,要回到登录页面,并给出错误提示
                // 此时不能使用重定向的方式,因为重定向会让客户端发送一个新的请求,而从新的请求中获取不到本次请求的参数了(或者使用跨请求的方式,如session等)
                // 在这里使用的转发(forward)的方式,转发的过程是在同一个请求中完成的
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                        request.setAttribute("error", e.getMessage());
                        request.getRequestDispatcher("/loginpage").forward(request, response);
                    }
                });

        // 退出相关配置
        http.logout()
                .logoutUrl("/logout")
                // 退出成功之后的操作,重定向到首页
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index");
                    }
                });

        // 授权配置
        http.authorizeRequests()
        		// 用户和管理员都能访问
                .antMatchers("/letter").hasAnyAuthority("USER", "ADMIN")
                // 仅管理员可以访问
                .antMatchers("/admin").hasAnyAuthority("ADMIN")
                // 如果用户未登录,拒绝访问,跳转到错误页面
                .and().exceptionHandling().accessDeniedPage("/denied");

        // 增加Filter,处理验证码
        http.addFilterBefore(new Filter() {
            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                HttpServletRequest request = (HttpServletRequest) servletRequest;
                HttpServletResponse response = (HttpServletResponse) servletResponse;
                if (request.getServletPath().equals("/login")) {
                    String verifyCode = request.getParameter("verifyCode");
                    if (verifyCode == null || !verifyCode.equalsIgnoreCase("1234")) {
                        request.setAttribute("error", "验证码错误!");
                        request.getRequestDispatcher("/loginpage").forward(request, response);
                        return;
                    }
                }
                // 让请求继续向下执行.
                filterChain.doFilter(request, response);
            }
        }, UsernamePasswordAuthenticationFilter.class);

        // 记住我
        http.rememberMe()
                .tokenRepository(new InMemoryTokenRepositoryImpl())
                // 账号保存一天
                .tokenValiditySeconds(3600 * 24)
                .userDetailsService(userService);

    }
}

转发和重定向的区别

重定向

浏览器向A发送请求,A中没有该资源,返回302错误,并建议浏览器访问B;此时浏览器向B发出的访问请求已经是一条新的请求,无法使用A的请求中所携带的参数,除非使用跨请求的session或cookie
在这里插入图片描述

转发

A中只能处理请求的一般逻辑,然后将请求转发给B,在B中继续完成请求
在这里插入图片描述

back2childhood
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring aop实现用户权限管理的示例
08-28
本篇文章主要介绍了spring aop实现用户权限管理的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring security 一直重定向登录请求页_基于Spring Security OAuth2.0实现单点登录SSO【完整源码】...
weixin_39717110的博客
11-26 632
点击上方蓝色字体,选择“标星公众号”优质文章,第一时间送达上一篇:这300G的Java资料是我师傅当年给我的,免费分享给大家下一篇:昨天分享资料不小心把百度网盘深处的秘密泄露了作者:半夜菊花茶来源:jianshu.com/p/d94bb118aa431. 概述本文简要总结一下如果使用Spring Security OAuth和Spring Boot来实现SSO,文末有样例代码。整个工程包...
SpringSecurity框架登陆模块案例以及出现的重定向和403报错问题解决方式
qq_41174684的博客
05-13 3675
查看linux中的ip地址:ifconfig 为什么需要安全登陆模块,正常情况下,我们在系统的登陆页面要进行用户名和密码的验证,这个时候输入了正常的用户名和密码之后将会进入系统,但是实际上这种也是不安全的,不输入用户名和密码(不通过登陆)直接在浏览器中输入页面的路径也会进入系统,因此要控制这种不进行登陆就进入系统的情况,因此要在进入页面的时候判断用户是否是登陆了,如果是登陆状态就可以看,换句话说,...
基于SpringSecurity OAuth2实现单点登录——应用A是如何重定向到授权服务器的授权地址呢?
向心行者
06-12 2071
1、前言   通过前面两篇的内容,我们知道:当第一次(未认证的情况下)访问应用A(http://localhost:8082/index)时,首先,会重定向到应用A的登录http://localhost:8082/login地址(Get请求),然后,又会重定向到授权服务器的http://localhost:8080/oauth/authorize地址上,那么为什么会重定向到授权服务器呢,这中间发生了什么呢?我们继续通过代码进行分析。 2、 OAuth2ClientContextFilter和OAuth2Cl
Spring Security 登录重定向到不同的页面
白石的专栏
12-05 1361
Web 应用程序的一个常见需求是**在登录后将不同类型的用户重定向到不同的页面**。例如,将标准用户重定向到`/homepage.html`页面,将管理员用户重定向到`/console.html`页面就是一个例子。
Spring Security根据角色在登录重定向用户
allway2的博客
11-06 600
对于具有不同角色的不同用户,依此类推。如果基于角色的视图页面(编辑器主页、管理仪表板等)在控制器层中没有相应的处理程序方法,则可以在 Spring MVC 配置中配置视图名称解析,如下所示:这就是如何根据基于 Spring 引导和 Spring 安全性的 Java Web 应用程序中的角色重定向用户的全部内容。在这篇 Spring Security 文章中,我想分享有关如何根据经过身份验证的用户在 Java Spring Boot Web 应用程序中的角色重定向经过身份验证的用户的步骤和代码示例。
spring security导致登录后从https跳转至http解决方案
zhuping2002的专栏
11-20 3080
1. 项目为spring boot项目,由原来的http连接更换为https连接,因项目中配置的了spring security登录spring security拦截重定向后会跳转到http 解决办法: nginx中增加 proxy_set_header X-Forwarded-Proto 'https'; yml文件中增加 server: use-forward-headers: true tomcat: remote-ip-header: x-forwarded-fo.
Spring Security登录成功后重定向到登陆前页面 解决方案
超哥的博客
02-20 6383
问题:今天拿security做权限控制的时候,出现了特别灵异的一幕,security配置类写好了,正常登录的情况下,第一次登陆,登陆成功后总会莫名其妙重定向到项目的根路径,但是确实已经登陆成功了,访问主页可以进行访问了。 问题如图所示,打码部分为项目根路径。 配置类配置登陆成功后转向的是一个action,如图所示 具体解决过程十分坎坷,省略了 重点感谢一个大佬给我提了一句,我这个有可能不是重定向到首页,而是重定向登录前的页面了。 经检查后发现产生这个问题的原因是我项目启动默认访问路径就是 http:
https协议请求后端spring security框架)时会重定向为http,添加X-Forwarded-Proto
青松逸暇
01-27 7115
https协议请求后端spring security框架)时会重定向为http问题描述解决办法原因分析 问题描述 网站使用了nginx做反向代理,设置了所有http请求全部跳转为https。浏览器和nginx之间走的是https,nginx到tomcat走的是http。网站服务端使用的是springboot、springsecurity,认证授权使用springsecurity。网站首页地址是/,登录页地址是/login。在首次打开网站地址https://aaa.com/时,框架拦截自动跳转至http:
Ajax登陆使用Spring Security缓存跳转到登陆前的链接
12-04
Spring Security缓存的应用之登陆后跳转到登录前源地址 什么意思? 用户访问网站,打开了一个链接:(origin url)起源链接 请求发送给服务器,服务器判断用户请求了受保护的资源。 由于用户没有登录,服务器重...
spring-security-sso:简单的单点登录Spring Security OAuth2
05-19
概述在本教程中,我们将讨论如何使用Spring Security OAuth和Spring Boot实现单点登录 - 单点登录。我们将使用三个独立的应用程序授权服务器 - 这是中央认证机制两个客户端应用程序:使用SSO的应用程序简而言之,当...
CAS单点登录框架整合Spring Security
03-07
CAS 包含两个部分: CAS Server 和 CAS Client ...CAS Client:就是开发过程中的web层, 负责处理对客户端受保护资源的访问请求,需要登录时,重定向到 CAS Server。不需要对这个部分进行过多编码,进行简单配置即可。
keycloak-spring-demo:演示如何使用 Keycloak Spring Security 适配器的示例
05-31
Keycloak Spring 安全示例演示如何使用 Keycloak Spring Security 适配器,包括: 登录分布式单点登录分布式注销OAuth2 承载令牌要求以下示例是独立的 Spring Boot 应用程序。 它们需要 Keycloak 设备 1.2.0,在端口...
SpringSecurity 登录重定向问题
fight4gold的专栏
09-21 8564
现象 访问 http://172.22.65.1:59324/context,跳转到登录界面,输入用户名密码,form表单提交到:http://172.22.65.1:59324/context/j_spring_security_check,验证通过,重定向到: Location: http://172.22.65.1:59324/context 并且设置 sessi
Spring Boot工程支持HTTP和HTTPS,HTTP重定向HTTPS
weixin_34235371的博客
01-26 54
2019独角兽企业重金招聘Python工程师标准>>> ...
自定义SpringSecurity授权跳转地址
398701344努力加油!
02-26 2776
自定义SpringSecurity授权跳转地址 在我们用SpringSecurity+Oauth2做权限验证和访问控制的时候,如果要访问的请求处于未登录状态,会被框架进行拦截,并重定向到一个/login的请求(1),再重定向我们授权服务器的/oauth/authorize请求(这里是使用的授权码模式),接着再重定向到我们授权服务器的/login请求上,即我们授权服务器的登录页面。在工作中遇到了一个要修改(1)这个地方请求的问题。既然要修改(1)的/login请求,我们首先要弄清楚这里的/login是从哪里来
配置 Spring Security 登录重定向到不同的页面
hunterzhang86的博客
10-10 1020
1。概述 Web 应用程序的一个常见要求是在登录后将不同类型的用户重定向到不同的页面。例如,将标准用户重定向到 /homepage.html 页面和将管理员用户重定向到 /console.html 页面。 本文将展示如何使用 Spring Security 快速安全地实现此机制。这篇文章也是建立在 Spring MVC 教程 之上的,该教程涉及设置项目所需的核心内容。 2。 Spring 安全配置 Spring Security 提供了一个组件,该组件直接负责决定在成功验证后做什么——Authenticat
Spring Security——关闭未认证时重定向(302)到登录页面(loginPage)
无限迭代中......
07-28 7205
问题描述 当访问该web服务的一个请求/test且该请求需要用户认证,那么Spring Security会将请求302到通过httpSecurity.formLogin().loginPage("/login")设定的页面里。 问题分析 暂无。 解决方案 httpSecurity.exceptionHandling() //没有认证时,在这里处理结果,不要重定向 .authenticationEnt...
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
最新发布
阿里巴巴云原生的博客
04-29 1046
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿里云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
基于spring security 的CAS登录 重定向特定路径
06-08
如果您想要基于Spring Security的CAS登录重定向到特定路径,可以通过以下步骤实现: 1. 在Spring Security配置文件中添加以下代码,以配置CAS登录: ``` <intercept-url pattern="/secure/**" access="ROLE_USER...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值