Spring Security框架(三)

最新推荐文章于 2023-05-27 13:06:28 发布
最新推荐文章于 2023-05-27 13:06:28 发布
阅读量98 收藏
点赞数
分类专栏: 框架篇 文章标签: security 高级security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45013792/article/details/100063045
版权

spring-security

之前的用户的账号、密码、权限都是在配置文件中写死了。
那么从数据库中获取呢?

从数据库查询用户信息
如果我们要从数据库动态查询用户信息,就必须按照spring security框架的要求提供一个实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可。框架会自动调用实现类中的方法并自动进行密码校验。

实现步骤:

  1. 创建一个类实现UserDetailsService接口
import com.anone.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import java.util.ArrayList;
import java.util.List;

public class SpringSecurityUserService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.根据用户名查询数据库,获得User
        User user = findUserByUname(username);
        //2.判断是否为null
        if (user == null) {
            return null;
        }
        //3.把用户名,数据库的密码,以及查询出来的权限访问,创建UserDetails对象返回
        List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();//先把角色和权限写死,后面从数据库查询出来
        list.add(new SimpleGrantedAuthority("add"));
        list.add(new SimpleGrantedAuthority("delete"));
        list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        org.springframework.security.core.userdetails.User userDetails = new org.springframework.security.core.userdetails.User(username, "{noop}"+user.getPassword(), list);
        return userDetails;
    }
    //模拟从数据库查询
    private User findUserByUname(String username) {
        if ("admin".equals(username)) {
            User user = new User();
            user.setUsername(username);
            user.setPassword("123456");
            return user;
        }
        return null;
    }
}

2.在spring-security.xml进行配置

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                            http://www.springframework.org/schema/beans/spring-beans.xsd
                            http://www.springframework.org/schema/mvc
                            http://www.springframework.org/schema/mvc/spring-mvc.xsd
                            http://code.alibabatech.com/schema/dubbo
                            http://code.alibabatech.com/schema/dubbo/dubbo.xsd
                            http://www.springframework.org/schema/context
                            http://www.springframework.org/schema/context/spring-context.xsd
                            http://www.springframework.org/schema/security
                            http://www.springframework.org/schema/security/spring-security.xsd">
         <security:http security="none" pattern="/login.html" /> 
    <!--1.配置需要权限才能访问的资源
             auto-config属性: true 自动配置
             use-expressions属性: false 不使用表达式
    -->
<security:http auto-config="true" use-expressions="false">
       ...
    <!--配置自定义登录页面
            login-page: 登录页面; username-parameter:指定用户名的name;
            password-parameter:指定密码的name;login-processing-url:指定登录的action;
            authentication-failure-url:认证失败跳转的页面
            authentication-success-forward-url:指定登录成功跳转的页面【默认是之前访问什么页面,登录成功后就跳转什么页面】
   -->
   <security:http auto-config="true" use-expressions="false">
    ...
    <!--配置退出登录
            logout-url:配置退出登录的路径; logout-success-url:配置成功退出登录后,跳转的页面;
            invalidate-session:退出登录时销毁session
        -->
    <security:logout logout-url="/logout.do" logout-success-url="/login.html" invalidate-session="true"/>
</security:http>
    <security:form-login
                         login-page="/login.html"
                         username-parameter="username"
                         password-parameter="password"
                         login-processing-url="/login.do"
                         authentication-failure-url="/login.html"
                         authentication-success-forward-url="/index.html"
                         />
</security:http>
<!--关闭CsrfFilter过滤器-->
<security:http auto-config="true" use-expressions="false">
    <security:csrf disabled="true"/>
</security:http>
   <!--.配置认证管理器-->
<security:authentication-manager>
    <security:authentication-provider user-service-ref="springSecurityUserService">
    </security:authentication-provider>
</security:authentication-manager>
<bean id="springSecurityUserService" class="com.itheima.security.SpringSecurityUserService"></bean>
</beans>

运行启动maven的Tomcat插件即可。

对密码进行加密

实现步骤:

  1. 注册bcrypt对象, 告诉SpringSecurity使用这个加密方式
<!--.配置认证管理器-->
<security:authentication-manager>
    <!--使用自定义的认证提供者-->
    <security:authentication-provider user-service-ref="springSecurityUserService">
        <!--指定密码加密码策略-->
        <security:password-encoder ref="bCryptPasswordEncoder"/>
    </security:authentication-provider>
</security:authentication-manager>
<!--注册密码加密对象-->
<bean id="bCryptPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
  1. 注入到代码里面 即可使用
在SpringSecurityUserService中注入

 @Autowired
 private BCryptPasswordEncoder encoder;
当我们使用的时候,它会自动加盐(底层是这样的,可以自行去看源码)

spring security其他的配置

配置多种校验规则
通过配置文件的形式来设置权限
修改spring-security.xml文件:

<!--只要认证通过就可以访问-->
<security:intercept-url pattern="/index.jsp"  access="isAuthenticated()" />
<security:intercept-url pattern="/a.html"  access="isAuthenticated()" />
<!--拥有add权限就可以访问b.html页面-->
<security:intercept-url pattern="/b.html"  access="hasAuthority('add')" />
<!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
<security:intercept-url pattern="/c.html"  access="hasRole('ROLE_ADMIN')" />
<!--拥有ROLE_ADMIN角色就可以访问d.html页面,
    注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_-->

注解方式权限控制
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类中方法的调用。

实现步骤:

开启权限注解支持
在Controller的方法上面添加@PreAuthorize

第一步:在spring-security.xml文件中配置组件扫描,用于扫描Controller

<mvc:annotation-driven></mvc:annotation-driven>
<context:component-scan base-package="com.anone.controller"></context:component-scan>

第二步:在spring-security.xml文件中开启权限注解支持

<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />

第三步:创建Controller类并在Controller的方法上加入注解进行权限控制

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
@Controller
@RequestMapping("/hello")
public class HelloController {
    @RequestMapping("/add")
    @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
    public String add(){
        System.out.println("add...");
        return null;
    }
    @RequestMapping("/delete")
    @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
    public String delete(){
        System.out.println("delete...");
        return null;
    }
}

注意:

一般是认证之后可以获取访问静态页面的权限,使用配置文件的方式
控制Controller的方法 建议使用注解
基本上都是配置文件+注解开发
时长两年半的Bug制造者
关注
专栏目录
Spring Security(二)
时长两年半的Bug制造者
08-25 140
spring-security 配置匿名访问资源 第一步:在项目中创建js、css目录并在两个目录下提供任意一些测试文件,再创建登录和注册页面 第二步:在spring-security.xml文件中配置,指定哪些资源可以匿名访问 <!--0.配置匿名访问--> <security:http pattern="/js/**" security="none"></secu...
SpringSecurity的配置
qq_45733154的博客
10-19 8306
SpringSecurity配置与使用
Spring Security oAuth2.0设置access_token和refresh_token的有效时长
崔向阳@李晓的博客
07-04 1万+
oAuth2.0中access_token默认有效时长为12个小时,refresh_token默认时长为30天。在实际运用中需要根据需求设置有效时长。 在AuthorizationServerConfigurerAdapter,重写一个TokenServices, @Override public void configure(AuthorizationServerEndpo...
Spring security配置
行云的博客
07-07 2277
SpringSecurity认证一、HttpBasic模式登录认证 SpringSecurity 自带一种基础认证模式实现方式:创建WebSecurityConfig配置类/** * Spring Securtiy配置类 */@Configuration //配置类public class WebSecurityConfig extends WebSecurit...
关于Spring Security的一些坑(持续更新)
长门有一
06-11 2156
问题一 使用springboot,权限管理使用spring security,使用内存用户验证,但无响应报错:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 这个问题极其坑爹. 究其原因是因为我看的springboot的视频版本太老了导致的: 原先的代码: ...
SpringSecurity框架【详解】
热门推荐
...
03-27 8万+
SpringSecurity 文章目录SpringSecurity1、概述2、Spring Security、Apache Shiro 选择问题2.1、Shiro2.1.1、shiro的优点2.1.2、shiro的缺点2.2、Spring Security2.2.1、spring-security的优点3、快速入门3.1、装备工作4、认证4.1、登录流程校验4.2、入门案例的原理4.3、正式开始4.3.1 准备工作4.3.2、实现4.3.3、核心代码实现4.3.3.1、密码加密存储4.3.3.2、登陆接口4
SpringSecurity框架下实现CSRF跨站攻击防御的方法
08-25
SpringSecurity框架下实现CSRF跨站攻击防御的方法 CSRF(Cross-Site Request Forgery,跨站请求伪造)是一种网络攻击方式,也可以说是一种安全漏洞,这种安全漏洞在web开发中广泛存在。在SpringSecurity框架下,...
动力节点最新SpringSecurity框架教程配套资料分享
07-25
Spring Security是一个功能强大的认证和访问控制框架,提供基于Spring应用程序的认证和授权功能。 本套视频适合具有SpringBoot基础、具有数据库基本使用经验的软件从业人员。 课程内容主要分为: 安全入门,认证...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
基于Java语言的Spring Security框架学习与设计源码解析
09-30
该项目是针对Java语言的Spring Security框架进行深入学习的项目,内含33个文件,主要由26个Java源文件、2个XML配置文件、1个Git忽略文件、1个属性文件构成,旨在通过源码解析,加深对安全框架的理解和应用。
【网络安全】Spring Security 安全框架基本原理及使用方法
等风来
05-27 1万+
Spring Security 是一个基于 Spring 框架的安全性框架,它提供了许多针对身份验证(Authentication)和访问控制(Authorization)方面的功能,帮助开发人员保护和管理应用程序的安全性。综上所述,Spring Security 是一款强大、功能丰富的安全管理框架,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
解决:spring security 登录页停留时间过长 跳转至 403页面
该怎么解释?我懒得解释
12-01 3880
前言:最近的项目中用到了spring security组件,说句显low的话:我刚开始都不知道用了security好不勒,提了bug,在改的过程中,遇到了一些问题,找同事交流,才知道是用的security组件。 这个bug,真的是一波折:复现它就是个问题,然后我又把403改成了404,后来干脆登录不进去主站,最后,这个bug,被消灭在本宝宝的代码中,哈哈哈哈哈! 问题所在:token
Spring Security - 用户密码配置
qq_42219004的博客
04-28 1906
Spring Security 用户密码配置 配置文件 Spring Boot中整合Spring Security只需添加一个依赖即可,非常方便,启动项目时:控制台会输出一个密码,在浏览器访问时会弹出一个登录框,默认用户为user,而密码就是控制台输出的那段字符串。 那这样就会有一个问题,每次访问都需要复制控制台的密码,当然,这个是可以配置的,可以在配置文件当中进行如下配置。 spring.sec...
Spring Security设置用户信息
w759826115的博客
03-06 1689
Spring Security设置用户信息 spring security默认情况下存在一个名为user的账号,对应的密码会在控制台输出 2022-02-26 22:35:32.825 INFO 10816 --- [ main] .s.s.UserDetailsServiceAutoConfiguration : Using generated security password: 5a709d3a-0c45-4ff7-a294-8a5a1e8b1c54 可以通过以下种方法修
[spring security 那点事儿]配置方式
quzishen的专栏
09-02 1万+
这段时间一直开发的B2C的网购平台已经完成了将近一半的功能,突然觉得自己之前对于权限管理方面的hold决定将给后面带来不小的工作量,所以决定现在就加入权限判断的功能。很容易联想到spring security来做这个事情,先看看一个官方文档的翻译版本:http://www.family168.com/tutorial/springsecurity/html/springsecurity.html写的有些简略,但是足以能step by step的执行下去。这里总结一下今天通过命名空间方式的配置过程吧。既然要做
南京工业大学在辽宁2020-2024各专业最低录取分数及位次表.pdf
10-04
那些年,与你同分同位次的同学都去了哪里?全国各大学在辽宁2020-2024年各专业最低录取分数及录取位次数据,高考志愿必备参考数据
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单).zip
10-04
下单系统的Spnigboot和微信小程序实现(全栈微信小程式下单)
基于Java开发的智能文件管家设计源码
最新发布
10-04
该项目是一款基于Java的智能文件管家设计源码,涵盖102个文件,包括29个Java源文件、27个类文件、19个XML配置文件、10个YAML文件、8个列表文件、4个属性文件、4个JAR包文件以及1个Git忽略文件。该系统旨在提供高效便捷的文件管理解决方案。
使用Maven配置Spring Security框架教程
搭建一个基于Maven的Spring Security框架需要正确配置Maven依赖,设置`web.xml`文件以启动Spring Security过滤器链,并在Spring Security配置文件中定义认证和授权策略。通过这些步骤,你可以创建一个安全的Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值