springboot使用springsecurity权限访问配置

最新推荐文章于 2023-10-24 11:45:40 发布
最新推荐文章于 2023-10-24 11:45:40 发布
阅读量565 收藏
点赞数
分类专栏: springboot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50025568/article/details/118696000
版权 

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/user/**").hasAnyRole("USER","ADMIN")//user下的资源USER和ADMIN权限才可以访问
                .and()
                .authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN")//只有ADMIN角色才能访问
                .and()
                .authorizeRequests()
                .antMatchers("/").permitAll()
                .and()
                .httpBasic()
                .and()
                .logout()
                .permitAll();
                http.csrf().disable(); //取消csrf防护
    }
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth	//配置角色密码
                .inMemoryAuthentication()
                .passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(new BCryptPasswordEncoder().encode("admin")).roles("ADMIN")
                .and()
                .passwordEncoder(new BCryptPasswordEncoder()).withUser("user").password(new BCryptPasswordEncoder().encode("user")).roles("USER");
    }

}
少为人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot 集成 SpringSecurity 配置访问权限
m0_50163856的博客
02-23 630
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
springboot security 实现
aaaa00的专栏
11-21 126
这里使用的boot 是2.2.2 对应的security的版本是5.2.1 版本不对应可能导致很多问题下面是代码 pom文件如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http:
spring security用户认证成功之后,无法访问子页面问题
weixin_53438263的博客
04-22 463
springbot项目中使用spring security对用户身份进行认证通过之后,跳转到默认页面,默认页面中有子页面,子页面显示localhost拒绝访问问题,但是请求响应是200,直接访问这个页面也没问题,也排除了跨域问题,就是访问不到这个子页面的就是浏览器的安全策略导致的。ps:这个问题困扰了我很久,在百度上面也搜了很多答案对我来说都无法解决,最后还是问的chatgpt,不得不说是真的好用,一下就解决了。
SpringSecurity后端访问权限和页面访问权限的动态设置
qq_45786340的博客
05-11 777
创建自定义过滤器调用安全性元数据类,实现FilterInvocationSecurityMetadataSource 接口 @Component public class CustomFilterInvocationSecurityMetadata implements FilterInvocationSecurityMetadataSource { @Autowired MenuServiceImpl menuService; AntPathMatcher antPathMatch
Spring Boot(十四)Spring Boot中使用Security实现权限控制
02-26 1万+
你好,欢迎来到 【程序职场】 ,这里有你需要的技术提升,职场规划,个人成长,副业发展 等文章。 和更多小伙伴 一起学习,一起进步。 本文是Spring Boot系列的第十四篇,了解前面的文章有助于更好的理解本文: 1.Spring Boot(一)初识SpringBoot框架2.Spring Boot(二)SpringBoot基本配置3.Spring Boot(三)Spring Boo...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
总的来说,这个项目为学习者提供了一个实际的、完整的SpringBoot集成Spring Security的示例,通过它,你可以了解如何配置使用Spring Security进行权限控制,同时掌握如何将数据库集成到Spring Boot应用中。...
springboot+ spring security实现登录认证
05-04
一旦用户成功登录,Security会根据授权规则判断用户是否有权限访问请求的资源。 整合SpringBootSpring Security,我们首先需要在`pom.xml`中引入相关依赖: ```xml <groupId>org.springframework.boot ...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
在项目中,它可能负责定义如何使用JPA来操作用户角色和权限数据,以及如何配置SpringSecurity的过滤规则。 在实际的实现过程中,开发者首先会创建一个用户实体(User),并关联角色实体(Role)。每个角色都有多个...
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
7. **Spring Security配置**:配置Spring Security以启用JWT认证,设置访问控制规则,例如哪些URL需要认证,哪些URL对所有用户开放。 8. **认证Controller**:创建一个专门处理用户登录请求的Controller,接收登录...
Springboot权限认证之springsecurity
qq_68575975的博客
08-18 555
Spring Security是一个框架,提供身份验证、授权和针对常见攻击的保护。由于对保护命令式和反应式应用程序的一流支持,它是保护基于Spring的应用程序的事实标准。
SpringBoot整合Spring Security(二、资源访问权限控制)
llvyuanjie的博客
05-03 1503
Spring Security 对资源的访问权限控制 资源访问权限控制涉及到的表除了上篇的用户表、角色表,用户角色中间表,这里还得加上资源表,和资源角色中间表,资源表存的都是Controller中接口的访问URL,资源角色中间表则将资源和角色关联起来。 资源表: 资源角色中间表 1.建表Sql /* Navicat Premium Data Transfer Source Serve...
Spring Boot 之 Spring Security高级配置(权限和资源的关系)
探索er的博客
05-11 1052
Spring Security高级配置(权限和资源的关系)
Spring Security是什么,以及如何在Spring Boot项目中整合Spring Security并且使用它,下面我们通过一个登录案例简单介绍一下Spring Security
JunDong的博客
02-16 469
在了解Spring Security之前,我们是不是应该先思考一个问题,我们自己写的web案例一般都需要先登录,登录之后才能访问其他页面,或者说我们不同的用户登录之后能进行的操作不同,比如系统管理员和普通用户所能操作的功能是有所区别的。那我们如何解决这个问题?
内容安全策略 Content-Security-Policy
热门推荐
qq_30436011的博客
10-24 3万+
1、限制资源获取:限制网页当中一系列的资源获取的情况,从哪里获取,请求发到哪个地方限制方式:default-src限制全局的和链接有关的作用范围根据资源类型(connect-src、img-src等),限制资源范围2、报告资源获取越权:在网页当中获取了一些我们不应该获取的资源的时候,给服务进行报告,报告资源获取越权,然后做出调整之所以报这个错误,就是我们加了这个头的作用。这个时候 inline脚本还是不能执行的。如果引入外链的脚本文件,则会报错,这样就可限制,只能使用我们本站使用的脚本。
Spring Security漏洞防护—HTTP 安全响应头
最新发布
深圳市多克创新科技有限公司
10-24 1972
Spring Security漏洞防护—HTTP 安全响应头
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3344
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
内容安全策略(content-security-policy
我的LOG
12-31 3万+
iframe 在使用iframe 的时候 <iframe style="border:0;width:100%;height:100%" src="https://github.com/join"/> 经查 报的是 Refused to frame ‘https://github.com/’ because an ancestor violates the following Content Security Policy directive: “frame-ancestors ‘non
web安全策略_使用内容安全策略改善Web安全性
culh2177的博客
08-23 1470
web安全策略Content Security Policy (CSP) is a security mechanism that helps protect against content injection attacks, such as Cross Site Scripting (XSS). It's a declarative policy that lets you give the ...
SpringBoot整合SpringSecurity权限控制 详情用法
04-04
Spring Boot和Spring Security是一对好朋友,Spring Boot提供了强大的自动配置和快速开发的能力,而Spring Security则提供了完整的安全解决方案,可以实现用户认证、授权、安全过滤等功能。本文将介绍如何在Spring Boot中整合Spring Security实现权限控制。 1. 添加Spring Security依赖 在pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring SecuritySpring Boot中,可以通过application.properties或application.yml文件配置Spring Security。以下是一个简单的配置: ``` spring.security.user.name=admin spring.security.user.password=123456 spring.security.user.roles=ADMIN ``` 这个配置定义了一个用户名为admin,密码为123456,角色为ADMIN的用户。在实际应用中,应该将用户名和密码存储在数据库或其他安全存储中。 3. 创建SecurityConfig类 创建一个继承自WebSecurityConfigurerAdapter的SecurityConfig类,并重写configure方法: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN"); } } ``` configure方法定义了应用程序的安全策略,这里配置了所有请求都需要认证(即登录)才能访问,除了首页和登录页,这两个页面可以匿名访问。formLogin方法配置了自定义的登录页面,logout方法配置了退出登录的操作。 configureGlobal方法定义了一个内存中的用户,用户名为admin,密码为123456,角色为ADMIN。在实际应用中,应该将用户信息存储在数据库或其他安全存储中。 4. 创建登录页面 在templates目录下创建一个名为login.html的登录页面,例如: ``` <!DOCTYPE html> <html> <head> <title>Login Page</title> </head> <body> <h1>Login Page</h1> <div th:if="${param.error}"> Invalid username and password. </div> <div th:if="${param.logout}"> You have been logged out. </div> <form th:action="@{/login}" method="post"> <div> <label>Username:</label> <input type="text" name="username" /> </div> <div> <label>Password:</label> <input type="password" name="password" /> </div> <div> <button type="submit">Login</button> </div> </form> </body> </html> ``` 5. 运行应用程序 在浏览器中访问http://localhost:8080/login,输入用户名admin和密码123456,即可登录成功。如果输入错误的用户名或密码,则会提示“Invalid username and password.”。如果成功登录后再访问http://localhost:8080/home,则可以看到“Welcome home!”的欢迎消息。 6. 实现权限控制 上面的例子中只实现了登录认证,没有实现权限控制。下面介绍如何实现权限控制。 首先需要在configureGlobal方法中添加更多的用户和角色: ``` @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("ADMIN") .and() .withUser("user").password("{noop}password").roles("USER"); } ``` 这里定义了一个管理员用户和一个普通用户,分别拥有ADMIN和USER两个角色。 然后在configure方法中添加更多的安全策略: ``` @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ``` 这里添加了一个安全策略,即/admin/**路径需要拥有ADMIN角色才能访问。 现在管理员用户可以访问/admin/**路径,而普通用户则不能访问。如果普通用户尝试访问/admin/**路径,则会提示“Access is denied”。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值