Java框架学习:SpringSecurity

最新推荐文章于 2024-05-10 15:15:09 发布
最新推荐文章于 2024-05-10 15:15:09 发布
阅读量287 收藏
点赞数
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45919908/article/details/107346750
版权

文章目录

前期准备

我们提供一下几个页面进行认证和授权
在这里插入图片描述打开后首页如下所示
在这里插入图片描述提供控制器进行页面的跳转

@Controller
public class RouterController {

    @RequestMapping({"/","/index"})
    public String index(){
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
        return "views/level2/"+id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
        return "views/level3/"+id;
    }
}

SpringSecurity的使用

Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!
记住以下类和注解(适配器模式和建造者模式)

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式
    Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。
导入Spring Security的依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
基本模板

创建配置类SecurityConfig继承WebSecurityConfigurerAdapter并使用@EnableWebSecurity注解标注,然后重写方法从而实现功能,注意方法的参数。

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
    }
}
用户的认证、授权、注销
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //http安全策略
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人都可以访问,但是功能页只有有权限的人才能访问
        http.authorizeRequests()
            .antMatchers("/").permitAll()
            .antMatchers("/level1/**").hasRole("vip1")
            .antMatchers("/level2/**").hasRole("vip2")
            .antMatchers("/level3/**").hasRole("vip3");

        //如果没有权限会跳到登陆页面,即"/login"页面
        http.formLogin();
        
        //注销,访问"/logout",注销成功重定向到"/login?success"页面
        //在注销时也可以情况cookie和session:
        //http.logout().deleteCookies("remove").invalidateHttpSession(true)
        //注销后跳转为首页
        http.logout().logoutSuccessUrl("/");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //auth.jdbcAuthentication()实现数据库认证,没有数据库此处使用内存验证,设置用户以及对应权限
        //采用连式编程,可以一直在后面调用方法,增加用户
        //在一些版本中需要对密码进行加密,Spring Security也提供了很多加密方式
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("root").password(new BCryptPasswordEncoder().encode("123")).roles("vip1","vip2","vip3")
            .and()
            .withUser("user").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2")
            .and()
            .withUser("guest").password(new BCryptPasswordEncoder().encode("111")).roles("vip1");
    }
}
Spring Security与Thymeleaf整合

注意:如果需要使用Spring Security与Thymeleaf整合,会存在Spring Boot版本太高的问题,所以我们需要降低Spring Boot的版本才会使其生效,2.0.9.RELEASE及以下都可以
但是降低版本会使默认的登录页面没有样式
首先导入依赖

<!--Spring Security和Thymeleaf整合包-->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>

如要导入命名空间

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"

如果用户登录,那么显示用户名和注销;如果未登录,显示登陆按钮。

<div class="ui segment" id="index-header-nav" th:fragment="nav-menu">
    <div class="ui secondary menu">
        <a class="item"  th:href="@{/index}">首页</a>
        <!--登录注销-->
        <div class="right menu">
            <!--未登录,显示登陆-->
            <div sec:authorize="!isAuthenticated()">
                <a class="item" th:href="@{/toLogin}">
                    <i class="address card icon"></i> 登录
                </a>
            </div>
            <div sec:authorize="isAuthenticated()">
               <a class="item">
                    用户名:<span sec:authentication="name"></span>
                </a>
                <a class="item" th:href="@{/logout}">
                    <i class="sign-out icon"></i> 注销
                </a>
            </div>
        </div>
    </div>
</div>

此时如果点击注销,会出现404,是因为存在防crsf功能,如果想要程序正常,那么需要关闭该功能
具体原因:<a>标签是get提交方式,不安全,所以会出现防crsf现象,如果是post请求就不会
configure(HttpSecurity http)方法中增加如下代码

//关闭防止crsf功能,crsf:跨站请求伪造
http.csrf().disable();

实现动态主页,不同用户的主页显示各自的权限菜单

<div class="column" sec:authorize="hasRole('vip1')">
	......
</div>

<div class="column" sec:authorize="hasRole('vip2')">
	......
</div>

<div class="column" sec:authorize="hasRole('vip3')">
	......
</div>
记住我功能、使用自己的登陆页面

configure(HttpSecurity http)方法中增加如下代码

//开启记住我功能
http.rememberMe();

使用自己的登陆页面
在设置登陆权限时,设置登录页面

http.formLogin().loginPage("/toLogin");

需要注意的是,登陆页面的表单请求需要与这个映射一致
如果使用自定义的登陆页面,那么就需要在前端提供记住我的部分

<form th:action="@{/toLogin}" method="post">
    <div class="field">
        <label>Username</label>
        <div class="ui left icon input">
            <input type="text" placeholder="Username" name="username">
            <i class="user icon"></i>
        </div>
    </div>
    <div class="field">
        <label>Password</label>
        <div class="ui left icon input">
            <input type="password" name="password">
            <i class="lock icon"></i>
        </div>
    </div>
     <div class="field">
         <input type="checkbox" name="remember">记住我
    </div>
    <input type="submit" class="ui blue submit button"/>
</form>

然后修改代码为,参数与name属性一致

http.rememberMe().rememberMeParameter("remember");
weixin_45919908
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java中使用Spring-security(一)
m0_57205780的博客
06-03 154
我们今天新开一篇课题,分析一下java程序中的权限安全问题,Spring Security是什么,如何在程序中集成Spring Security。 背景 阅读本文你应该熟悉基本的Core Java,J2EE和Spring MVC的知识。 什么是Spring Security? 这是一个基于Java的安全解决方案。它主要适用于基于Spring框架构建的基于Java的Web应用程序。它为基于J2EE的企业软件应用程序提供全面的安全服务。它功能强大,灵活性更高。您可以非常轻松地将spring安全服务插入到您的应用
SpringSecurity学习
weixin_45974277的博客
02-22 602
SpringSecurit简介 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 用户授权指的是验证某
Java最全spring-security学习(十一)——spring security OAuth入门(1),java面试算法基础
2401_84002482的博客
05-10 508
关于面试刷题也是有方法可言的,建议最好是按照专题来进行,然后由基础到高级,由浅入深来,效果会更好。Java基础部分算法与编程数据库部分流行的框架与新技术(Spring+SpringCloud+SpringCloudAlibaba)这份面试文档当然不止这些内容,实际上像JVM、设计模式、ZK、MQ、数据结构等其他部分的面试内容均有涉及,因为文章篇幅,就不全部在这里阐述了。
java fileinputstream 安全管理器校验失败_手把手教你java中如何使用Spring security(一)...
weixin_39943799的博客
11-26 156
背景阅读本文你应该熟悉基本的Core Java,J2EE和Spring MVC的知识。什么是Spring Security?这是一个基于Java的安全解决方案。它主要适用于基于Spring框架构建的基于Java的Web应用程序。它为基于J2EE的企业软件应用程序提供全面的安全服务。它功能强大,灵活性更高。您可以非常轻松地将spring安全服务插入到您的应用程序中。认证和授权是Spring Secu...
java spring security详解
dazunqu2481的博客
10-25 86
spring security文档介绍http://static.springsource.org/spring-security/site/docs/3.0.x/apidocs/index-all.html#_D_ 自己写的一个demo,用来介绍security 1,UserDetails //返回验证用户密码,无法返回则NULL String getPassword...
java学习SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
SpringSecurity安全框架基础Demo
01-02
综上所述,"SpringSecurity安全框架基础Demo"涵盖了Spring Security的基础概念和关键功能,是学习和实践Spring Security的宝贵资源。通过这个Demo,开发者可以了解如何在实际项目中应用Spring Security,以确保应用...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
JavaSourceCodeLearning:Java流行框架源码分析:Spring源码,SpringBoot源码,SpringAOP源码,SpringSecurity源码,SpringSecurity OAuth2源码,JDK源码,Netty
03-18
Java流行框架原始代码分析,学习以及总结。项目持续更新中,不建议直接使用Fork,欢迎star,watch。 对于框架基本原始码的学习,需要反复,认真思考,并做到温故而知新,这样才能将原理吸收得更加牢固。 框架包括: ...
Spring Security学习笔记(一)
09-07
Spring Security 是一个强大的安全框架,用于为Java应用提供安全控制,包括身份验证、授权等核心功能。本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security...
Java零基础——SpringSecurity
m0_47946173的博客
12-04 1846
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Java Spring Security 安全框架:(一)Spring Security 简介
地球村
10-10 1007
Spring Security 简介1.概括2.历史 1.概括 Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI 和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE 的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重
java security 详解_springsecurity 基本使用详解
weixin_34552166的博客
02-24 174
最近开始学习springsecurity框架,为写后台页面做个权限管理什么的打基础。springsecurity是基础springboot的,所以创建一个springboot工程引入依赖就可以很轻松的整合springsecurity了。(类似的权限管理框架还有shiro)1. 创建一个普通的springboot项目(不用勾选任何东西),我这边使用的springboot版本是2.2.1.RELEA...
java security 详解_java中Spring Security的实例详解
weixin_39875675的博客
02-13 684
java中Spring Security的实例详解spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案。并且可以很好与目前主流的认证框架(如CAS,中央授权系统)集成。使用spring security的初衷是解决不同用户登录不同应用程序的权限问题,说到权限包括两部分:认证和授权。认证是告诉系统你是谁,授权是指知道你是谁后是否有权限访问系统(...
java Spring Security 总结二 3
lion222
12-24 57
    二缓存用户信息     查看AuthenticationProvider接口的实现类AbstractUserDetailsAuthenticationProvider抽象类(我们配置文件中配置的DaoAuthenticationProvider类继承了该类)的源代码,会有一行代码: &lt;!--&lt;br /&gt; &lt;br /&gt; Code high...
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3954
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
springsecurity详解
热门推荐
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
基于Spring Security实现权限管理系统
要坚持,要认真。
11-06 7万+
基于Spring Security实现权限管理系统 稍微复杂一点的后台系统都会涉及到用户权限管理。何谓用户权限?我的理解就是,权限就是对数据(系统的实体类)和数据可进行的操作(增删查改)的集中管理。要构建一个可用的权限管理系统,涉及到三个核心类:一个是用户User,一个是角色Role,最后是权限Permission。接下来本文将介绍如何基于Spring Security 4.0一步一步构建起一个接...
Spring Security Java Config Preview: Web Security
最新发布
05-25
首先,Spring Security是一个功能强大且广泛使用的安全框架,它为基于Java的应用程序提供了全面的安全服务。通过使用Java配置,开发人员可以灵活地定义和定制安全策略,而无需直接编辑XML文件。这种配置方式更加符合...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值