《spring boot +spring security安全框架》2020

最新推荐文章于 2020-07-25 19:22:27 发布
最新推荐文章于 2020-07-25 19:22:27 发布
阅读量238 收藏 1
点赞数 1
文章标签: spring boot
原文链接:https://zhuanlan.zhihu.com/p/47224331
版权

《spring boot +spring security安全框架》

1.简单篇:

|-导入pom 依赖

<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
</dependency>

|-配置config

*配置类添加@EnableWebSecurity 注解
*继承 WebSecurityConfigurerAdapter

@EnableWebSecurity    //注解开启Spring Security的功能
public class SecurityConfig extends WebSecurityConfigurerAdapter {}

*设置用户,基于内存

//用户验证
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception{
    //基于内存来存储用户信息
    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("user").password(new BCryptPasswordEncoder().encode("pwd")).roles("USER").and()          //设置 
            .withUser("admin").password(new BCryptPasswordEncoder().encode("pwd")).roles("USER","ADMIN");
}

*设置http请求权限认证

//用户权限认证
@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            //这是认证的请求
            .authorizeRequests()
       
            .antMatchers("/","/home","/login","/index","/error").permitAll()  //这些请求 不需要认证
            .antMatchers("/user/**").hasRole("USER")       //user及以下路径,需要USER权限
            .antMatchers("/admin/**").hasRole("ADMIN")
            .and()
            .formLogin().loginPage("/login").defaultSuccessUrl("/")    //登录页面为login,登录成功跳转  "/"
            .and()
            .logout().logoutUrl("/logout").logoutSuccessUrl("/");    //等出路径为logout,登出成功跳转 "/"
}

*忽略 静态资源

/**
* 核心过滤器配置,更多使用ignoring()用来忽略对静态资源的控制
*/
@Override
public void configure(WebSecurity web) throws Exception {
    web
            .ignoring()
            .antMatchers("/image/**");
}

2.添加后门backdoor,例如输入:alex/任意密码就可以通过验证

|- 新建类SecurityProvider类实现AuthenticationProvider接口
|- 实现authenticate()和supports()方法

/**
* 自定义验证类,可以用作backdoor,例如输入:alex/任意密码就可以通过验证
*/
@Component
public class SecurityProvide implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String name = authentication.getName();
        String password = authentication.getCredentials().toString();

        //利用alex用户名登录,不管密码是什么都可以,伪装成admin用户
        if (name.equals("alex")) {
            Collection<GrantedAuthority> authorityCollection = new ArrayList<>();
            authorityCollection.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            authorityCollection.add(new SimpleGrantedAuthority("ROLE_USER"));
            return new UsernamePasswordAuthenticationToken(
                    "admin", password, authorityCollection);
        } else {
            return null;
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return authentication.equals(
                UsernamePasswordAuthenticationToken.class);
    }
}

|-添加自定义的认证/验证方式

//用户验证
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception{
    //基于内存来存储用户信息
    auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
            .withUser("user").password(new BCryptPasswordEncoder().encode("pwd")).roles("USER").and()
            .withUser("admin").password(new BCryptPasswordEncoder().encode("pwd")).roles("USER","ADMIN");
    auth.authenticationProvider(securityProvide);
}

|-添加自定义参数名myusername和mypassword

//用户权限认证
@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            //这是认证的请求
            .authorizeRequests()
            //这是不需要认证的请求
            .antMatchers("/","/home","/login","/index","/error").permitAll()
            .antMatchers("/user/**").hasRole("USER")
            .antMatchers("/admin/**").hasRole("ADMIN")
            .and()
            .formLogin().loginPage("/login").defaultSuccessUrl("/")
            .usernameParameter("myusername").passwordParameter("mypassword")
            .and()
            .logout().logoutUrl("/logout").logoutSuccessUrl("/");
}

3.连接数据库user信息

|- entity中user对象实现 UserDetails 接口,并实现其下 7 个方法

         *getAuthorities()
/**
* 从数据库中取出roles字符串后,进行分解,构成一个GrantedAuthority权限集合的List返回
*/
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    List<GrantedAuthority> authorities =new ArrayList<>();
    String[] split = roles.split(",");
    for (String s: split) {
        authorities.add(new SimpleGrantedAuthority(s));  //添加权限
    }
    return authorities;
}
                *获得 username 与 password 用户信息
@Override
public String getPassword() {return password;}

@Override
public String getUsername() {return username;}
                *其余四个方法 都是以  true 返回

|-service层实现类实现 UserDetailsService 接口,并实现 loadUserByUsername 方法

//查询数据库 用户信息 进行验证
 @Override
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
          User s1 =userMapper.findByUsername(username);
          if (s1==null) throw new UsernameNotFoundException("数据库中无此用户!");
          return s1;
     }

        |- SecurityConfig 中添加 service 验证方式
       
    @Autowired
    UserServiceImpl userService  //必须注入 实现UserDetailsService接口的实现层
    ...
    auth.userDetailsService(userService).passwordEncoder(new BCryptPasswordEncoder());
    ...

4.添加自定义鉴权管理器+异常处理类+权限元数据获取

|-自定义鉴权管理器MyAccessDecisionManager 实现AccessDecisionManager+@Component

package com.deceen.config;


import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.authentication.InsufficientAuthenticationException;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Component;


import java.util.Collection;
import java.util.Iterator;


/**
*  鉴权控制器
*/
@Component
public class MyAccessDecisionManager implements AccessDecisionManager {
    //进行权限 验证
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {


        //从configAttributes中获取访问资源所需要的角色,它来自MySecurityMetadataSource的getAttributes
        Iterator<ConfigAttribute> iterator = configAttributes.iterator();  //这是来自resource中


        while (iterator.hasNext()){
            ConfigAttribute authority = iterator.next();
            String resourceRole = authority.getAttribute();
            if (resourceRole.equals("ROLE_NONE")){
                if(authentication instanceof AnonymousAuthenticationToken){
                    throw new BadCredentialsException("用户未登录");
                }
                return;
            }

            //用户携带的  权限   ----->   Authentication authentication,authentication.getAuthorities().getAuthority();
            //资源中自定义的   权限   ----->   Collection<ConfigAttribute> configAttributes.getAttribute()

            Iterator<? extends GrantedAuthority> iterator1 = authentication.getAuthorities().iterator();  //这是用户身上携带的角色
            while (iterator1.hasNext()){
                String userRole = iterator1.next().getAuthority();
                if (userRole.equals("ROLE_ADMIN")){
                    return;
                }else if(userRole.equals(resourceRole)){
                    return;
                }
            }
        }
        throw new AccessDeniedException("你没有访问:"+object+"权限");
    }


    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }


    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

|-权限元数据获取 实现 FilterInvocationSecurityMetadataSource+@Component

package com.deceen.config;


import com.deceen.entity.Resource;
import com.deceen.service.ResourceService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.stereotype.Component;
import org.springframework.util.AntPathMatcher;


import java.util.Collection;
import java.util.List;


/**
* 用于鉴权中,获取的元数据,resource中对应的  访问路径,权限
*/
@Component
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource {


    @Autowired
    private ResourceService resourceService;
    //本方法返回访问资源所需的角色集合
    AntPathMatcher antPathMatcher = new AntPathMatcher();




    //获取访问路径所对应的权限
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        //从object中得到需要访问的资源,即网址
        String url = ((FilterInvocation) object).getRequestUrl();
        List<Resource> all = resourceService.findAll();
        for (Resource resource:all) {
            if (antPathMatcher.match(resource.getUrl(),url)&& resource.getArrayRoles().length>0){
                return SecurityConfig.createList(resource.getArrayRoles());
            }
        }
        return SecurityConfig.createList("ROLE_NONE");
    }


    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }


    @Override
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}

|-权限异常处理类 实现AccessDeniedHandler+@Component

package com.deceen.config;


import com.deceen.entity.vo.JsonResult;
import com.deceen.utils.ObjectMapperUtil;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;


/**
*  验证异常  处理类
*/
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        httpServletResponse.setContentType("application/json,charset=UTF-8");
        PrintWriter writer = httpServletResponse.getWriter();
        JsonResult info = new JsonResult(500,e.getMessage(),null);
        writer.write(ObjectMapperUtil.toJson(info));
        writer.flush();
        writer.close();
    }
}

|-修改配置类里的 用户权限认证方法

//用户权限认证
@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //这是认证的请求
                .authorizeRequests()
//                //这是不需要认证的请求
//                .antMatchers("/","/home","/login","/index","/error").permitAll()
//                .antMatchers("/user/**").hasRole("USER")
//                .antMatchers("/admin/**").hasRole("ADMIN")

                //添加自定义 权限拦截器 FilterSecurityInterceptor 识别
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        object.setSecurityMetadataSource(mySecurityMetadataSource);
                        object.setAccessDecisionManager(myAccessDecisionManager);
                        return object;
                    }
                })
                .and()
                .formLogin().loginPage("/login_p").loginProcessingUrl("/login").permitAll()
                //1.自定义参数名称,与login.html中的参数对应
                .usernameParameter("myusername").passwordParameter("mypassword")
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login").permitAll()
                .and()
                .csrf().disable()
                .exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);
    }

5.几种获得当前请求中用户的数据

*在Controller层,通过@AuthenticationPrincipal Principal principal(注解可省略)

@GetMapping("/user")
public String user(@AuthenticationPrincipal Principal principal, Model model) {
    model.addAttribute("username",principal.getName());
    return "user/user";
}

*在Controller层,通过 HttpServletRequest

@RequestMapping(value = "/username", method = RequestMethod.GET)
@ResponseBody
public String name(HttpServletRequest request) {
    Principal principal = request.getUserPrincipal();
    return principal.getName();
}

*在任何地方,通过注入 IAuthenticationFacade

@Autowired 
private IAuthenticationFacade authenticationFacade;

@RequestMapping(value = "/username", method = RequestMethod.GET)
@ResponseBody
public String nameSimpe() {
    Authentication authentication = authenticationFacade.getAuthentication();
    return authentication.getName();
}

*在任何地方,通过SecurityContextHolder中的.getContext().getAuthentication()

@GetMapping("/admin")
public String admin( Model model) {
    Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
    String username=null;
    if (principal instanceof UserDetails) {
        username= ((UserDetails) principal).getUsername();
    }else if (principal instanceof Principal){
        username= ((Principal) principal).getName();
    }

    model.addAttribute("username",username);
    return "admin/admin";

}

转载:https://zhuanlan.zhihu.com/p/47224331

一根稻草君
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-boot-starter-security与应用安全
javaheheda的博客
03-21 1501
应用安全属于安全防护体系中的重要一环,但也是最薄弱的一环,究其原因,或许是应用的核心职责是完成业务和产品的功能需求,而安全确实非功能性需求,在资源有限的情况下,企业一定是更加注重将有限的资源投入到“开疆扩土”上去,否则,穷家破瓦的,也真没有什么值得安全防护的。 大部分应用开发者对应用安全知之甚少,而且安全一般属于一个企业或者业界秘而不宣的信息,所以,在没有一个专职的安全团队负责推动整个安全防护体系...
springboot 思维导图流程
qq_18846731的博客
11-13 187
springBoot 知识架构 springboot 源码追踪 springboot 启动源码流程-全面· springboot启动流程-全面 springboot 源码启动流程
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
《2020/01/19》spring security的使用
guoxiaozhong的博客
01-19 197
《2020/01/19》spring security的使用
springboot整理思维导图
架构冲冲冲!
07-25 376
有大佬捞捞嘛,应届生太难了点击查看简历
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
Spring boot+vue3+element plus实现后台管理系统
07-04
前后端分离项目,Spring boot作为后端,vue框架实现前端,后端整合swagger3测试工具,jwt实现验证码生成,awt生成图形验证码,整合邮箱验证,使用mybatis-generator自动生成实体类以及mapper,设置有拦截器验证登录...
spring boot +spring Security+ jwt+oauth2.rar
06-13
下载可以直接运行。使用mysql保存数据。包括数据文件、测试过可以正常使用(API权限可控) 服务器端和客户端样例程序都有
Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
05-23
新一代基于Spring BootSpring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
Spring Boot + Spring Security + Redis 电影推荐系统.zip
最新发布
04-03
(Movie Recommendation System,后端:Spring Boot + Spring Security + Redis + MyBatis-Plus)前后端分离项目 毕业设计是高等教育阶段学生在完成学业前所进行的一项重要学术任务,旨在检验学生通过学习所获得的...
spring-security书籍翻译
03-18
spring-security书籍翻译 源码解析,包括各种过滤器的源码解析,已经原始使用文档的翻译
Spring Boot IoC(一)知识点整理思维导图
Sadlay的博客
10-22 1896
为了更改地学习Spring Boot IoC相关知识,做了一个关于IoC的思维导图方便学习和整理相关的知识点。
spring security简单入门(二):项目解释
jet5devil的博客
01-16 227
项目解释大致流程解问1、为什么在浏览器后面天上admin可以跳转到login.jsp页面?2、不能直接访问admin.jsp中的内容?3、为什么action写成j_spring_security_check?4、spring-security.xml 中使用的各标签都是什么意思? 说明:本篇文章是对文章“spring security简单入门(一):创建项目“的解释,也是本人对那个项目的理解。 我...
Spring-boot思维导图(持续更新)
haiyangzhou01的博客
05-31 513
Spring Security 3.0.3 Released
BLOG域名:programb.blog.csdn.net
05-16 140
Releases Luke Taylor July 02, 2010 We’re pleased to an announce the release of Spring Security 3.0.3. This is mainly a minor bugfix release. Please see the changelog for a list of issues which have been addressed. You must be using Spring 3.0.3 or later to
springboot思维导图
dayformyjob
08-22 1337
spring-boot(零)学习笔记之思维导图与项目实战
一不小心的程序员
04-27 944
4.Spring-boot 4.1 Spring-boot第一章 思维导图 1)创建Spring-boot三种方式 2)SpringBoot应用的基本结构: 3)分析 4)SpringBoot的参数来源及优先级 5)SpringBoot提供了方便的properties绑定机制 4.2 Spring-boot第二章 思维导图 1)参数绑定 ...
springboot整合springsecurity(详细步骤)
风起尘落的博客
01-20 4963
1.表的建立 权限框架的表结构一般基于 RBAC权限模型,这里我们建立5张表,分别是用户表,角色表 用户角色表,权限表,角色权限表。 结构如下: sql文件链接地址: download.csdn.net/download/qq_34707456/12116065 2.maven依赖 <dependency> <g...
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 7980
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
spring boot + spring security + jwt + spring mvc + mybatis + redis商城项目
12-12
Spring Boot 可以用于构建商城项目的后端服务,Spring Security 可以确保用户信息的安全性,JWT 可以用于用户的身份验证,Spring MVC 可以处理前端请求,MyBatis 可以操作数据库,Redis 可以用于缓存用户信息和商品...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值