关于Spring Security框架

最新推荐文章于 2023-11-05 16:00:46 发布
最新推荐文章于 2023-11-05 16:00:46 发布
阅读量102 收藏
点赞数
文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44807758/article/details/129923501
版权

Spring Security框架

添加Spring Security框架依赖

在这里插入图片描述

        <!-- Spring Security依赖 主要解决认证与授权相关问题 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Spring Security的配置类

在这里插入图片描述

package cn.tedu.csmallpassport.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    
}

在这里插入图片描述

package cn.tedu.csmallpassport.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // super.configure(http);  // 不要调用父类的同款方法
    }
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

关于登录表单

在这里插入图片描述

package cn.tedu.csmallpassport.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // super.configure(http);  // 不要调用父类的同款方法
        // 调用formLogin() 表示启用登录和登出页,如果未调用此方法,则没有登录和登出页
        http.formLogin();
    }
}

关于URL的授权访问

在这里插入图片描述

package cn.tedu.csmallpassport.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    // 白名单
    String[] urls = {
            "/login"
    };

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置URL的授权访问
        // 注意: 配置时,各请求的授权访问遵循“第一匹配原则”,即根据代码从上至下,以第1次匹配到的规则为准
        // 所以在配置时,必须将更加精准的配置写在前面,覆盖范围更大的匹配的配置写在后面
        http.authorizeRequests() // 配置URL的授权访问
                .mvcMatchers(urls)  // 匹配某些请求
                .permitAll()  // 直接许可, 即 不需要认证就可以直接访问
                .anyRequest()   // 任何请求
                .authenticated();  // 以上匹配到的请求必须是”已经通过认证的(通过登录的)“


        // super.configure(http);  // 不要调用父类的同款方法
        // 调用formLogin() 表示启用登录和登出页,如果未调用此方法,则没有登录和登出页
        http.formLogin();
    }
}

使用临时的自定义账号实现登录

在这里插入图片描述
在这里插入图片描述

package cn.tedu.csmallpassport.security;

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        return null;
    }
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

package cn.tedu.csmallpassport.security;

import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        // 假设正确的用户名是root,匹配的密码是1234
        if (!"root".equals(s)) {
            log.warn("用户名【{}】错误,将不会返回有效的UserDetails(用户详情)");
            return null;
        }
        UserDetails userDetails = User.builder()  // 构建者
                .username("root")   // 存入用户名
                .password("1234")   // 存入密码
                .disabled(false)  // 存入启用或禁用的状态
                .accountLocked(false)   // 存入账户是否锁定的状态
                .credentialsExpired(false)   // 存入凭证是否过期的状态
                .accountExpired(false)  // 存入账户是否过期的状态
                .authorities("这是一个临时的山寨权限,暂时没什么用")  // 存入权限列表
                .build();   // 执行构建,得到UserDetails类型的对象
        log.debug("即将向Spring Security返回UserDetails类型的对象,返回结果:{}", userDetails);
        return userDetails;
    }
}

在这里插入图片描述
在这里插入图片描述

package cn.tedu.csmallpassport.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.cglib.proxy.NoOp;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    // 白名单
    String[] urls = {
            "/login"
    };

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置URL的授权访问
        // 注意: 配置时,各请求的授权访问遵循“第一匹配原则”,即根据代码从上至下,以第1次匹配到的规则为准
        // 所以在配置时,必须将更加精准的配置写在前面,覆盖范围更大的匹配的配置写在后面
        http.authorizeRequests() // 配置URL的授权访问
                .mvcMatchers(urls)  // 匹配某些请求
                .permitAll()  // 直接许可, 即 不需要认证就可以直接访问
                .anyRequest()   // 任何请求
                .authenticated();  // 以上匹配到的请求必须是”已经通过认证的(通过登录的)“

        // super.configure(http);  // 不要调用父类的同款方法
        // 调用formLogin() 表示启用登录和登出页,如果未调用此方法,则没有登录和登出页
        http.formLogin();
    }
}

在这里插入图片描述

使用数据库中的账号实现登录

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

package cn.tedu.csmallpassport.pojo.vo;

import lombok.Data;

import java.io.Serializable;

@Data
public class AdminLoginInfoVO implements Serializable {
    private Long id;
    private String username;
    private String password;
    private Integer enable;
}

在这里插入图片描述

AdminLoginInfoVO getLoginInfoByUsername(String username);

在这里插入图片描述

	<select id="getLoginInfoByUsername" resultMap="LoginInfoResultMap">
        SELECT id, username, password, enable FROM ams_admin WHERE username = #{username}
    </select>
	<resultMap id="LoginInfoResultMap" type="cn.tedu.csmallpassport.pojo.vo.AdminLoginInfoVO">
        <id column="id" property="id"/>
        <result column="username" property="username"/>
        <result column="password" property="password"/>
        <result column="enable" property="enable"/>
    </resultMap>

在这里插入图片描述

@Test
    void getLoginInfoByUsername() {
        String username = "root";
        AdminLoginInfoVO loginInfoByUsername = mapper.getLoginInfoByUsername(username);
        System.out.println(loginInfoByUsername);
    }

在这里插入图片描述

package cn.tedu.csmallpassport.security;

import cn.tedu.csmallpassport.mapper.AdminMapper;
import cn.tedu.csmallpassport.pojo.vo.AdminLoginInfoVO;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    AdminMapper adminMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        log.debug("Spring Security自动调用了loadUserByUsername()方法,参数:{}", s);
        AdminLoginInfoVO loginInfo = adminMapper.getLoginInfoByUsername(s);
        log.debug("根据用户名【{}】查询登录信息,结果:{}", s, loginInfo);
        if (loginInfo == null) {
            log.warn("用户名不存在,将无法返回有效的UserDetails对象,则返回null");
            return null;
        }

        log.debug("开始创建返回给Spring Security的UserDetails对象");

        UserDetails userDetails = User.builder()  // 构建者
                .username("root")   // 存入用户名
                .password("1234")   // 存入密码
                .disabled(loginInfo.getEnable() == 0)  // 存入启用或禁用的状态
                .accountLocked(false)   // 存入账户是否锁定的状态
                .credentialsExpired(false)   // 存入凭证是否过期的状态
                .accountExpired(false)  // 存入账户是否过期的状态
                .authorities("这是一个临时的山寨权限,暂时没什么用")  // 存入权限列表
                .build();   // 执行构建,得到UserDetails类型的对象
        log.debug("即将向Spring Security返回UserDetails类型的对象,返回结果:{}", userDetails);
        return userDetails;
    }
}

在这里插入图片描述

 @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

在这里插入图片描述
在这里插入图片描述

http.csrf().disable();

在这里插入图片描述

关于防止伪造的跨域攻击

伪造的跨域攻击:此类攻击是基于“服务器对客户端的浏览器的信任”,例如,用户在浏览器的第1个选项卡中登录了,那么,在第2个、第3个等等同一个浏览器的其它选项卡中访问同样的服务器,也会被视为“已登录”的状态。所以,假设某个用户在浏览器的第1个选项卡中登录了网上银行,此用户在第2个选项卡中打开了另一个网站,此网站可能是恶意的网站(不是此前第1个选项卡的网上银行的网站),在恶意网站中隐藏了一个向网上银行的网站发起请求的链接,并自动发出了请求(比较典型的做法是将链接设置为标签的src属性值,并隐藏此标签使之不显示),则会导致在第2个选项卡中的恶意网站被打开时,就自动的向网上银行发起了请求,而网上银行收到了请求后,会视为“已登录”的状态!

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

以Spring Security默认的登录表单为例:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

前后端分离的登录

在这里插入图片描述

// 白名单
    // 所有路径必须使用 / 作为第1个字符
    // 使用1个星号作为通配符时,表示通配此层级的任意资源,例如:/admins/*,可以匹配 /admins/delete、/admins/add-new
    // 但是,不可以匹配多层级,例如:/admins/* 不可匹配 /admins/9527/delete
    // 使用2个连续的星号,表示通配若干层级的任意资源,例如:/admins/** 可以匹配 /admins/delete、/admins/9527/delete
    String[] urls = {
            "/doc.html",
            "/favicon.ico",
            "/**/*.css",
            "/**/*.js",
            "/swagger-resources",
            "/v2/api-docs",
    };

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

@PostMapping("/login")
    public JsonResult login(@RequestBody AdminLoginDTO adminLoginDTO) {
        log.debug("开始处理【管理员登录】的请求,参数:{}", adminLoginDTO);
        // TODO 具体功能待定
        return JsonResult.ok();
    }

在这里插入图片描述

// 白名单
    // 所有路径必须使用 / 作为第1个字符
    // 使用1个星号作为通配符时,表示通配此层级的任意资源,例如:/admins/*,可以匹配 /admins/delete、/admins/add-new
    // 但是,不可以匹配多层级,例如:/admins/* 不可匹配 /admins/9527/delete
    // 使用2个连续的星号,表示通配若干层级的任意资源,例如:/admins/** 可以匹配 /admins/delete、/admins/9527/delete
    String[] urls = {
            "/doc.html",
            "/favicon.ico",
            "/**/*.css",
            "/**/*.js",
            "/swagger-resources",
            "/v2/api-docs",
            "/admins/login"     // 新增
    };

在这里插入图片描述

	@Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

在这里插入图片描述

@Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public void login(AdminLoginDTO adminLoginDTO) {
        log.debug("开始处理【管理员登录】的业务,参数:{}", adminLoginDTO);
        // 创建认证信息
        Authentication authentication = new UsernamePasswordAuthenticationToken(  // 第一个参数当事人, 第二个参数凭证
                adminLoginDTO.getUsername(), adminLoginDTO.getPassword()
        );
        // 执行认证
        authenticationManager.authenticate(authentication);
        // 如果没有出现异常,则表示验证登录成功
        log.debug("验证登录成功");
    }

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

	ERR_UNAUTHORIZED(401, "登录失败"),
    ERR_UNAUTHORIZED_DISABLED(402, "账号被禁用"),

在这里插入图片描述

 	@ExceptionHandler({
            InternalAuthenticationServiceException.class, BadCredentialsException.class
    })
    public JsonResult handleAuthenticationException(AuthenticationException e) {
        log.debug("登录失败,用户名或密码错误!");
        return JsonResult.fail(ServiceCode.ERR_UNAUTHORIZED, "登录失败,用户名或密码错误!");
    }

    @ExceptionHandler
    public JsonResult handleDisabledException(DisabledException e) {
        log.debug("登录失败,此账号已经被禁用!");
        return JsonResult.fail(ServiceCode.ERR_UNAUTHORIZED_DISABLED, "登录失败,此账号已经被禁用!");
    }

在这里插入图片描述
在这里插入图片描述

关于通过认证的标准

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

@Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public void login(AdminLoginDTO adminLoginDTO) {
        log.debug("开始处理【管理员登录】的业务,参数:{}", adminLoginDTO);
        // 创建认证信息
        Authentication authentication = new UsernamePasswordAuthenticationToken(  // 第一个参数当事人, 第二个参数凭证
                adminLoginDTO.getUsername(), adminLoginDTO.getPassword()
        );
         
        Authentication authenticationResult = authenticationManager.authenticate(authentication);

        // 如果没有出现异常,则表示验证登录成功,需要将认证信息存入到Security上下文中
        log.debug("验证登录成功,即将向SecurityContext中存入Authentication");
        SecurityContext securityContext = SecurityContextHolder.getContext();
        securityContext.setAuthentication(authenticationResult);
    }

关于authenticate()的返回结果

在这里插入图片描述

2023-04-04 14:45:03.800 DEBUG 6076 --- [nio-9081-exec-1] c.t.c.p.service.impl.AdminServiceImpl    : 验证登录成功,返回的Authentication为:

UsernamePasswordAuthenticationToken [
	Principal=org.springframework.security.core.userdetails.User [
		Username=root, 
		Password=[PROTECTED], 
		Enabled=true, 
		AccountNonExpired=true, 
		credentialsNonExpired=true, 
		AccountNonLocked=true, 
		Granted Authorities=[这是一个临时的山寨权限,暂时没什么用]
	], 
	Credentials=[PROTECTED], 
	Authenticated=true, 
	Details=null, 
	Granted Authorities=[这是一个临时的山寨权限,暂时没什么用]
]

在这里插入图片描述

识别当事人

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

package cn.tedu.csmallpassport.security;

import lombok.Getter;
import lombok.ToString;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;

import java.util.Collection;

@ToString(callSuper = true)
public class AdminDetails extends User {
    @Getter
    private Long id;

    public AdminDetails(Long id, String username, String password, boolean enabled, Collection<? extends GrantedAuthority> authorities) {
        super(username, password, enabled, true, true, true, authorities);
        this.id = id;
    }
}

在这里插入图片描述

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    log.debug("Spring Security自动调用了loadUserByUsername()方法,参数:{}", s);

    AdminLoginInfoVO loginInfo = adminMapper.getLoginInfoByUsername(s);
    log.debug("根据用户名【{}】查询登录信息,结果:{}", s, loginInfo);
    if (loginInfo == null) {
        String message = "用户名不存在,将无法返回有效的UserDetails对象,则返回null";
        log.warn(message);
        return null;
    }

    log.debug("开始创建返回给Spring Security的UserDetails对象……");
    
	// ========== 以下是新的代码,替换了原有的代码 ==========
    Collection<GrantedAuthority> authorities = new ArrayList<>();
    authorities.add(new SimpleGrantedAuthority("这是一个临时的山寨权限,暂时没什么用"));

    AdminDetails adminDetails = new AdminDetails(
            loginInfo.getId(),
            loginInfo.getUsername(),
            loginInfo.getPassword(),
            loginInfo.getEnable() == 1,
            authorities
    );

    log.debug("即将向Spring Security返回UserDetails类型的对象,返回结果:{}", adminDetails);
    return adminDetails;
}

在这里插入图片描述
在这里插入图片描述

处理授权

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

select ams_admin.id, ams_admin.username, ams_admin.password, ams_admin.enable, ams_permission.value
from ams_admin
left join ams_admin_role on ams_admin_role.admin_id = ams_admin.id
left join ams_role_permission  on ams_role_permission.role_id = ams_admin_role.role_id
left join ams_permission on ams_permission.id = ams_role_permission.permission_id
where ams_admin.username = 'root'

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

<!-- AdminLoginInfoVO getLoginInfoByUsername(String username); -->
    <select id="getLoginInfoByUsername" resultMap="LoginInfoResultMap">
        SELECT
            <include refid="LoginInfoQueryFields"/>
        FROM ams_admin
        LEFT JOIN ams_admin_role ON ams_admin_role.admin_id = ams_admin.id
        LEFT JOIN ams_role_permission ON ams_role_permission.role_id = ams_admin_role.role_id
        LEFT JOIN ams_permission ON ams_permission.id = ams_role_permission.permission_id
        WHERE username = #{username}
    </select>

    <sql id="LoginInfoQueryFields">
        <if test="true">
            ams_admin.id, 
            ams_admin.username, 
            ams_admin.password, 
            ams_admin.enable,
            ams_permission.value
        </if>
    </sql>

    <!-- collection标签:配置List类型的属性 -->
    <!-- collection标签的property属性:List类型的属性的名称 -->
    <!-- collection标签的ofType属性:List属性的元素的数据类型,取值为元素类型的全限定名,java.lang包下的类可以省略包名 -->
    <!-- collection标签的子级:配置如何创建出List集合中的各个元素对象 -->
    <!-- collection标签的子级的constructor标签:通过构造方法创建对象 -->
    <!-- constructor标签的子级的arg标签:配置构造方法的参数 -->
    <resultMap id="LoginInfoResultMap" type="cn.tedu.csmallpassport.pojo.vo.AdminLoginInfoVO">
        <id column="id" property="id"/>
        <result column="username" property="username"/>
        <result column="password" property="password"/>
        <result column="enable" property="enable"/>
        <collection property="permissions" ofType="java.lang.String">
            <constructor>
                <arg column="value"/>
            </constructor>
        </collection>
    </resultMap>

在这里插入图片描述

2023-04-04 17:20:12.529 DEBUG 12956 --- [           main] c.t.c.passport.mapper.AdminMapperTests   : 

根据用户名【root】查询登录信息完成,查询结果:

AdminLoginInfoVO(
	id=1, 
	username=root, 
	password=$2a$10$N.ZOn9G6/YLFixAOPMg/h.z7pCu6v2XyFDtC4q.jeeGm/TEZyj15C, 
	enable=1, 
	permissions=[
		/ams/admin/read, /ams/admin/add-new, 
		/ams/admin/delete, /ams/admin/update, 
		/pms/product/read, /pms/product/add-new, 
		/pms/product/delete, /pms/product/update, 
		/pms/brand/read, /pms/brand/add-new, 
		/pms/brand/delete, /pms/brand/update, 
		/pms/category/read, /pms/category/add-new, 
		/pms/category/delete, /pms/category/update, 
		/pms/picture/read, /pms/picture/add-new, 
		/pms/picture/delete, /pms/picture/update, 
		/pms/album/read, /pms/album/add-new, 
		/pms/album/delete, /pms/album/update
	]
)

在这里插入图片描述
在这里插入图片描述

package cn.tedu.csmallpassport.security;

import cn.tedu.csmallpassport.mapper.AdminMapper;
import cn.tedu.csmallpassport.pojo.vo.AdminLoginInfoVO;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.Collection;
import java.util.Collections;
import java.util.List;

@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    AdminMapper adminMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        log.debug("Spring Security自动调用了loadUserByUsername()方法,参数:{}", s);

        AdminLoginInfoVO loginInfo = adminMapper.getLoginInfoByUsername(s);
        log.debug("根据用户名【{}】查询登录信息,结果:{}", s, loginInfo);
        if (loginInfo == null) {
            String message = "用户名不存在,将无法返回有效的UserDetails对象,则返回null";
            log.warn(message);
            return null;
        }

        log.debug("开始创建返回给Spring Security的UserDetails对象……");

//        UserDetails userDetails = User.builder()  // 构建者
//                .username(loginInfo.getUsername())   // 存入用户名
//                .password(loginInfo.getPassword())   // 存入密码
//                .disabled(loginInfo.getEnable() == 0)  // 存入启用或禁用的状态
//                .accountLocked(false)   // 存入账户是否锁定的状态
//                .credentialsExpired(false)   // 存入凭证是否过期的状态
//                .accountExpired(false)  // 存入账户是否过期的状态
//                .authorities("这是一个临时的山寨权限,暂时没什么用")  // 存入权限列表
//                .build();   // 执行构建,得到UserDetails类型的对象
//        log.debug("即将向Spring Security返回UserDetails类型的对象,返回结果:{}", userDetails);

        // ========= 以下是本次调整代码 ===========
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        for (String permission : loginInfo.getPermissions()) {
            authorities.add(new SimpleGrantedAuthority(permission));
        }
        // =========== 以上是本次调整代码 ============
        
        AdminDetails adminDetails = new AdminDetails(
                loginInfo.getId(),
                loginInfo.getUsername(),
                loginInfo.getPassword(),
                loginInfo.getEnable() == 1,
                authorities
        );
        return adminDetails;
    }
}

在这里插入图片描述
在这里插入图片描述

@Slf4j
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) // 新增
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    // 暂不关心方法内部的代码
}

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

	@ExceptionHandler
    public JsonResult handleAccessDeniedException(AccessDeniedException e) {
        log.debug("禁止访问,当前登录账号无权限访问!");
        return JsonResult.fail(ServiceCode.ERR_FORBIDDEN, "禁止访问,当前登录账号无权限访问!");
    }

配置 jwt 地址: https://editor.csdn.net/md/?articleId=129984203

櫻花
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8045
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
maven spring security框架搭建
06-02
根据提供的文件信息,我们可以深入探讨如何使用Maven和Spring Security框架来构建一个安全的应用程序。以下将详细解析各个部分,并介绍这些配置是如何协同工作来确保应用程序的安全性的。 ### Maven依赖 在项目中...
SpringSecuritySpringSecurity 自定义登录页面
最新发布
专注于Java领域开发 关注我 带你玩转Java
11-05 856
自定义登录页面
Spring Security 笔记
imxlw00的专栏
05-29 1541
Spring Security
Maven构建SpringMVC环境报错java.lang.ClassNotFoundException: org.springframework.web.servlet. DispatcherSer
qingfengbitou的博客
05-17 355
今天导入一个maven项目时,SpringMVC环境报错,如下图: 排查思路如下: 首先查看pom.xml文件,确保SpringMVC的包即(web和webnvc包)导入正确,发现没有问题。 然后在Maven Dependencies里确定两个jar包已经正确导入,web.xml配置也没有问题。 最后确定tomcat有无部署成功,发现WEB-INF文件夹下没有lib文件夹。原因是Maven Dependencies没有配置到WEB-INF/lib下。 解决方案:在项目上右键properties(应该是最
ClassNotFoundException: org.springframework.web.context.ContextLoader解决
qq_36743920的博客
04-18 360
转自 https://blog.csdn.net/lvguanming/article/details/37812579?locationNum=12正题下面揭示前文提到的:Eclipse中发布Maven管理的Web项目时找不到类的问题。ClassNotFoundException: org.springframework.web.context.ContextLoader这个报错是没有人希望看到...
SpringSecurity安全框架基础Demo
01-02
这个"SpringSecurity安全框架基础Demo"旨在帮助开发者快速理解和实践Spring Security的核心功能。 **1. 用户认证** 在Spring Security中,用户认证主要由Authentication对象负责。当用户尝试访问受保护的资源时,...
SpringSecurity.pdf
05-24
在使用Spring Security时,开发者需要熟悉它的相关Maven依赖,这些依赖是Spring Security框架与应用程序集成的基础。通过配置Maven坐标,开发者可以在项目中引入Spring Security,从而开始安全功能的配置与开发。...
动力节点最新SpringSecurity框架教程配套资料分享
07-25
Spring Security是一个功能强大的认证和访问控制框架,提供基于Spring应用程序的认证和授权功能。 本套视频适合具有SpringBoot基础、具有数据库基本使用经验的软件从业人员。 课程内容主要分为: 安全入门,认证...
HAP框架-SpringSecurity入门手册.docx
10-02
本手册是关于HAP框架Spring Security的入门指南,由Chenxinkai在2016年7月13日创建,并于2016年7月24日进行了最后更新。该文档的参考编号为Hap框架 Spring Security 使用,版本号为1.0。本手册仅供内部使用,未经...
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(三)
半斤米粉闯天下的博客
08-29 5468
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
SSM整合SpringSecurity实现权限管理实例 javaconfig配置方式
热门推荐
poorCoder_的博客
04-18 2万+
1.前言 本文讲述使用javaconfig的方式整合SpringMVC+Mybatis+SpringSecurity实现基于数据库的权限系统,包括对按钮的权限控制。 使用技术: springMVC、springsecurity4、mybatis、ehcache、前端使用dataTables表格、ztree。 2.表结构介绍 标准的五张表结构。其中t_resources包含了后台系...
新版SpringSecurity配置(SpringBoot>2.7&SpringSecurity>5.7)
钟健的博客
05-17 1万+
在使用或者以上版本时,会提示:在 Spring Security 5.7.0-M2 中,我们弃用了,因为我们鼓励用户转向基于组件的安全配置。所以之前那种通过继承的方式的配置组件是不行的。同时也会遇到很多问题,例如:在向SpringSecurity过滤器链中添加过滤器时(例如:JWT支持,第三方验证),我们需要注入对象等问题。
SpringBoot 最新版3.x 集成 OAuth 2.0 实现认证授权服务、第三方应用客户端以及资源服务
2301_77463738的博客
06-27 2919
Spring Boot 3已经发布一段时间,网上关于Spring Boot 3的资料不是很多,本着对新技术的热情,学习和研究了大量Spring Boot 3新功能和新特性,感兴趣的同学可以参考Spring官方资料全面详细的新功能/新改进介绍Spring版本升级到6.xJDK版本至少17+新特性有很多,本文主要针对OAuth 2.0的集成,如果快速开发自己的认证授权服务、OAuth客户端以及资源服务新建三个服务,分别对应认证授权服务、OAuth客户端以及资源服务。
springsecurity整合oauth2
qq_21277357的博客
01-07 2128
客户端的意思就是比如我是库存系统,我自己没有登陆,但是我想要登陆,那么就需要先在授权服务器进行注册客户端,然后才能拿着授权服务器的登陆,接入到我自己的业务系统,这样我就可以进行单点登陆了。用户拿着用户名密码请求到-》授权中心Oauth2->访问数据库-》返回授权码或者令牌token->认证/校验->授权->访问端点(EndPoint);用户-》请求:带着用户名密码-》认证-》访问数据库-》授权-》访问端点(EndPoint),可以认为是http接口,或者数据;
SpringSecurity------HttpSecurityConfiguration配置类
豢龙先生
12-27 2080
SpringSecurity------HttpSecurityConfiguration配置类一、WebSecurityConfiguration是怎样被加载的二、WebSecurityConfiguration主要做了什么三、WebSecurityConfiguration的源码分析1、属性字段2、核心方法3、使用@Autowired注入了一些Bean4、使用@Bean初始化一些Bean 一、WebSecurityConfiguration是怎样被加载的 二、WebSecurityConfigurati
01_SpringSecurity学习之配置HttpSecurity
ShiJunzhiCome的博客
08-06 8493
Spring Security 学习之配置 HttpSecurity
SpringSecurity配置多个HttpSecuritySpringBoot适用)
11-20 9135
package pers.lbw.digitalmall.config; import org.springframework.context.annotation.Configuration; import org.springframework.core.annotation.Order; import org.springframework.security.config.annotati...
spring-security框架引入依赖
weixin_30797199的博客
09-03 2395
<!--引入security依赖--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <...
Spring Security 框架详解与应用
`SecurityContextHolder`是Spring Security框架的核心组件,它提供了一个安全上下文的访问接口。通过这个上下文,我们可以获取到当前已认证的用户。例如,当实现无痛登录功能时,即使用户名和密码没有直接通过Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值