SpringSecurity

最新推荐文章于 2024-11-18 14:22:09 发布
最新推荐文章于 2024-11-18 14:22:09 发布
阅读量189 收藏
点赞数
分类专栏: Java 文章标签: web shiro session ssh 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44734751/article/details/105506154
版权

SpringSecurity

认证:登录之后识别你是谁

授权:证明你可以干什么

helloworld

1导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2编写springsecurity配置类

​ @EnableWebSecurity 配置类必须继承WebSecurityConfiguserAdapter

3控制文件权限

package com.atguigu.security.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        //定制请求的授权规则
        //指定/请求的页面 任何用户都能访问
        http.authorizeRequests().antMatchers("/").permitAll()
                //level1/下的所有页面 VIP1可以访问
                .antMatchers("/level1/**").hasRole("VIP1")
                //level2/下的所有页面 VIP2可以访问
                .antMatchers("/level2/**").hasRole("VIP2")
                //level3/下的所有页面 VIP3可以访问
                .antMatchers("/level3/**").hasRole("VIP3");
    }
}

进入首页可以 随便点一个文件就会403错误

在这里插入图片描述

4开启自动配置登录认证

我们希望点击没有权限的文件 提示登录 而不是报403

  http.formLogin().loginPage("/userlogin");
 //登录页面默认调到security自带的 我们改一下

在这里插入图片描述

5设定账号

生产时使用数据可 这里就写在内存中了方便测试

注意:security5.0以上需要把账户和密码加密

.passwordEncoder(new BCryptPasswordEncoder()

new BCryptPasswordEncoder().encode(“123”)

 @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.inMemoryAuthentication()
       .passwordEncoder(new BCryptPasswordEncoder()).withUser("zs").password(new BCryptPasswordEncoder().encode("123")).roles("VIP1","VIP2")
       .and()
       .passwordEncoder(new BCryptPasswordEncoder()).withUser("ls").password(new BCryptPasswordEncoder().encode("123")).roles("VIP1","VIP3")
       .and()
       .passwordEncoder(new BCryptPasswordEncoder()) .withUser("ww").password(new BCryptPasswordEncoder().encode("123")).roles("VIP2","VIP3");
    }

6开启自动配置注销功能

http.logout().logoutSuccessUrl("/");
//退出成功默认跳转到登录页面 我们设置为首页

7登陆成功之后在显示注销按钮

8登陆之后没有权限查看的连接隐藏

1导包

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.2.RELEASE</version>
</dependency>

2导入名称空间

xmlns:th="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"

3

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<!--如果没登录-->
<div sec:authorize="!isAuthenticated()">
    <h2 align="center">游客您好,如果想查看武林秘籍 <a th:href="@{/login}">请登录</a></h2>
</div>
<!--如果登陆了-->
<div sec:authorize="isAuthenticated()">
    <h2><span sec:authentication="name"></span>
        <span sec:authentication="principal.authorities"></span></h2>
    <form th:action="@{/logout}" method="post">
        <input type="submit" value="注销">
    </form>
</div>
<h1 align="center">欢迎光临武林秘籍管理系统</h1>

<hr>
<div sec:authorize="hasRole('VIP1')">
    <h3>普通武功秘籍</h3>
    <ul>
        <li><a th:href="@{/level1/1}">罗汉拳</a></li>
        <li><a th:href="@{/level1/2}">武当长拳</a></li>
        <li><a th:href="@{/level1/3}">全真剑法</a></li>
    </ul>
</div>
<!--如果是VIP2 显示哪些内容-->
<div sec:authorize="hasRole('VIP2')">
<h3>高级武功秘籍</h3>
<ul>
	<li><a th:href="@{/level2/1}">太极拳</a></li>
	<li><a th:href="@{/level2/2}">七伤拳</a></li>
	<li><a th:href="@{/level2/3}">梯云纵</a></li>
</ul>
</div>

<!--如果是VIP3显示哪些-->
<div sec:authorize="hasRole('VIP3')">
<h3>绝世武功秘籍</h3>
<ul>
	<li><a th:href="@{/level3/1}">葵花宝典</a></li>
	<li><a th:href="@{/level3/2}">龟派气功</a></li>
	<li><a th:href="@{/level3/3}">独孤九剑</a></li>
</ul>
</div>
</body>
</html>

开启记住我功能

http.rememberMe();

在这里插入图片描述

登陆成功以后将cookiee发给浏览器保存 以后登录就带上这个cookie 如果点击注销会删除cookie

最终config代码

package com.atguigu.security.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCrypt;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import java.lang.reflect.AnnotatedArrayType;

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        //定制请求的授权规则
        //指定/请求的页面 任何用户都能访问
        http.authorizeRequests().antMatchers("/").permitAll()
                //level1/下的所有页面 VIP1可以访问
                .antMatchers("/level1/**").hasRole("VIP1")
                //level2/下的所有页面 VIP2可以访问
                .antMatchers("/level2/**").hasRole("VIP2")
                //level3/下的所有页面 VIP3可以访问
                .antMatchers("/level3/**").hasRole("VIP3");
        http.formLogin().loginPage("/userlogin");
//开启自动配置的注销功能 访问/logout表示用户注销清空session
        http.logout().logoutSuccessUrl("/");//退出成功默认跳转到登录页面 我们设置为首页
        //开启自动记住我功能
        http.rememberMe();

    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.inMemoryAuthentication()
       .passwordEncoder(new BCryptPasswordEncoder()).withUser("zs").password(new BCryptPasswordEncoder().encode("123")).roles("VIP1","VIP2")
       .and()
       .passwordEncoder(new BCryptPasswordEncoder()).withUser("ls").password(new BCryptPasswordEncoder().encode("123")).roles("VIP1","VIP3")
       .and()
       .passwordEncoder(new BCryptPasswordEncoder()) .withUser("ww").password(new BCryptPasswordEncoder().encode("123")).roles("VIP2","VIP3");

    }
}
李嘉伟66666
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security
qq_45429856的博客
11-22 3852
Spring Security简介 Spring Security是一个高度自定义的安全框架。利用Spring IOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作 spring security 的核心功能主要包括: 认证 (系统认证用户是否登录) 授权 (系统判断用户是否有权限去做某些事情) 攻击防护 (防止伪造身份) Spring Security项目搭建 一:导入依赖 <!--导入spring security依赖-->
springcloud集成Spring Security
youxmm的博客
07-21 2897
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
SpringSecurity认证
小钟不想敲代码
05-28 5325
SpringSecurity认证
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6866
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
w042基于web的IT技术交流和分享平台的设计与实现
卓怡工作室的博客
11-18 722
我国科学技术的不断发展,计算机的应用日渐成熟,其强大的功能给人们留下深刻的印象,它已经应用到了人类社会的各个层次的领域,发挥着重要的不可替换的作用。信息管理作为计算机应用的一部分,使用计算机进行管理,具有非常明显的优点,利用网络的优势特开发了本基于SpringBoot的IT技术交流和分享平台。 本IT技术交流和分享平台是基于SpringBoot框架,采用Java技术,MYSQL数据库进行开发的。系统具有灵活的一体化设计方式,圆满完成了整个系统的界面设计。本系统实现了用户功能模块和管理员功能模块两大部分,
Mybatis
庸不易的博客
11-15 830
1、定义不同:#{} 预处理:而 ${} 是直接替换2、使用不同:#{} 适用于所有类型的参数匹配;但 ${} 只适用于数值类型。3、安全性不同:#{} 性能高,并且没有安全问题;但 $ {} 存在 SQL 注入的安全问题。4、使用场景不同:当传递的是一个 SQL 关键字 的时候,只能 使用 ${}。当传递的是一个字段,总之,就是需要获取到参数类型 与 内容,只能使用 #{}。(PS:数字类型,#{} 和 ${} 都是可以使用的!5、 ${} 不能用于 模糊匹配查询;
ubuntu 之 安装mysql8
最新发布
卫龙的博客
11-18 374
安装过程中如果没有提示输入密码。如果 group by 不能用。
[Docker#9] 存储卷 | Volume、Bind、Tmpfs | -v/mount | MySQL 灾难恢复 | 问题
2301_80171004的博客
11-14 838
本文介绍了 Docker 存储卷的概念、分类及其应用。从什么是存储卷、生活案例到存储卷的必要性,再到管理卷、绑定卷和临时卷的具体创建与使用方法,最后通过 MySQL 灾难恢复的实战案例,帮助读者全面掌握存储卷的运用技巧。
约束(MYSQL)
2301_80363309的博客
11-13 334
not null(非空) unique(唯一) default(默认约束,规定值) 主键约束primary key(非空且唯一) auto_increment(自增类型) 复合主键 check(保证列中值符合指定条件) foreign key(外键约束)
Mongo-BI(bi-connector)配置
江城宴的博客
11-17 148
补充 mongosql 加到开启自启动。官网提供的配置说明-太复杂。其他人的配置-简单清晰。
centos7.9安装mysql社区版
cominglately的博客
11-17 252
今天把家里闲置的笔记本安装了centos,设置内网穿透做个人服务器用, 这里记录下安装mysql的过程。1 导入 MySQL GPG 公钥。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值