Spring Security基本使用

已于 2022-05-09 11:49:05 修改
阅读量619 收藏
点赞数
分类专栏: 其他技术 文章标签: spring 5
于 2021-08-02 15:02:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_56697114/article/details/119317733
版权

目录

1、环境搭建

2、匿名访问 

 3、指定自定义的登录页面

 4、从数据库查询信息

 5、密码加密

 6、多种校验规则

 7、注解方式控制权限

 8、退出登录

1、环境搭建

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>5.0.5.RELEASE</version>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-config</artifactId>
  <version>5.0.5.RELEASE</version>
</dependency>
  <filter>
    <!--
      DelegatingFilterProxy用于整合第三方框架
      整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
	  否则会抛出NoSuchBeanDefinitionException异常
    -->
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

  <servlet>
    <servlet-name>springmvc</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载 -->
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-security.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>springmvc</servlet-name>
    <url-pattern>*.do</url-pattern>
  </servlet-mapping>

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                          http://www.springframework.org/schema/security
                          http://www.springframework.org/schema/security/spring-security.xsd">

    <!--
        http:用于定义相关权限控制
        auto-config:是否自动配置
                        设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
                        设置为false时需要显示提供登录表单配置,否则会报错
        use-expressions:用于指定intercept-url中的access属性是否使用表达式
    -->
    <security:http auto-config="true" use-expressions="true">
        <!--
            intercept-url:定义一个拦截规则
            pattern:对哪些url进行权限控制
            access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
				  请求的用户只需拥有其中的一个角色就能成功访问对应的URL
        -->
        <security:intercept-url pattern="/**"  access="hasRole('ROLE_ADMIN')" />
    </security:http>

    <!--authentication-manager:认证管理器,用于处理认证操作-->
    <security:authentication-manager>

        <!--authentication-provider:认证提供者,执行具体的认证逻辑-->
        <security:authentication-provider>

            <!--user-service:用于获取用户信息,提供给authentication-provider进行认证-->
            <security:user-service>
                <!--
                    user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息
				  {noop}:表示当前使用的密码为明文
                -->
                <security:user name="admin"
                               password="{noop}admin"
                               authorities="ROLE_ADMIN"/>

            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

 

2、匿名访问 

<security:http security="none" pattern="/pages/a.html" />
    <security:http security="none" pattern="/pages/b.html" />

 访问a、b页面不用再跳转到默认登录页面

 3、指定自定义的登录页面

 

 

 

 4、从数据库查询信息

package com.health.security;

import com.health.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class SpringSecurityUserService implements UserDetailsService {

    public static Map<String, User> map = new HashMap<>();
    static{
        User user1 = new User();
        user1.setUsername("aa");
        user1.setPassword("123");

        User user2 = new User();
        user2.setUsername("bb");
        user2.setPassword("123");

        map.put(user1.getUsername(),user1);
        map.put(user2.getUsername(),user2);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = map.get(username);
        if(user == null){
            return null;
        }else{
            //存储权限
            List<GrantedAuthority> list = new ArrayList<>();
            //授权
            list.add(new SimpleGrantedAuthority("permission_A"));
            list.add(new SimpleGrantedAuthority("permission_B"));
            //授予角色:
            if(username.equals("aa")){
                list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            }
            org.springframework.security.core.userdetails.User securityUser
                    = new org.springframework.security.core.userdetails.User(username,"{noop}"+user.getPassword(),list);

            return securityUser;
        }
    }
}

 aa可以访问,bb不可以

 5、密码加密

 

package com.health.security;

import com.health.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

public class SpringSecurityUserService implements UserDetailsService {

    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    public Map<String, User> map = new HashMap<>();

    public void initMap(){

        User user1 = new User();
        user1.setUsername("aa");
        user1.setPassword(passwordEncoder.encode("123"));

        User user2 = new User();
        user2.setUsername("bb");
        user2.setPassword(passwordEncoder.encode("123"));

        map.put(user1.getUsername(),user1);
        map.put(user2.getUsername(),user2);

    }


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        initMap();
        User user = map.get(username);
        if(user == null){
            return null;
        }else{
            System.out.println(user.getPassword());
            //存储权限
            List<GrantedAuthority> list = new ArrayList<>();
            //授权
            list.add(new SimpleGrantedAuthority("permission_A"));
            list.add(new SimpleGrantedAuthority("permission_B"));
            //授予角色:
            if(username.equals("aa")){
                list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            }
            org.springframework.security.core.userdetails.User securityUser
                    = new org.springframework.security.core.userdetails.User(username,user.getPassword(),list);

            return securityUser;
        }
    }
}

 6、多种校验规则

<!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/a.html"  access="isAuthenticated()" />
        <security:intercept-url pattern="/index.html"  access="isAuthenticated()" />

        <!--拥有add权限就可以访问b.html页面-->
        <security:intercept-url pattern="/pages/b.html"  access="hasAuthority('add')" />

        <!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
        <security:intercept-url pattern="/pages/c.html"  access="hasRole('ROLE_ADMIN')" />

        <!--拥有ROLE_ADMIN角色就可以访问d.html页面,
            注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_-->
        <security:intercept-url pattern="/pages/d.html"  access="hasRole('ADMIN')" />

 7、注解方式控制权限

package com.health.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/hello")
public class SecurityController {

    @RequestMapping("/add")
    @PreAuthorize("hasAnyAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
    public String add(){
        System.out.println("add...");
        return "addsuccess";
    }

    @RequestMapping("/delete")
    @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
    public String delete(){
        System.out.println("delete...");
        return "deletesuccess";
    }
}

 可以访问delete,由于没有add权限,不可访问add

 8、退出登录

但盼风雨来 能留你在此
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springMVC上传错误StandardMultipartHttpServletRequest
weixin_30947043的博客
03-13 1033
异常信息 java.lang.ClassCastException: org.springframework.security.web.servletapi.HttpServlet3RequestFactory$Servlet3SecurityContextHolderAwareRequestWrapper cannot be cast to org.springframework.web....
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1575
以上是10月31日对29日的Security学习进行日常总结。
Spring Security开发手册(从零搭建,超详细教程)
最新发布
laiminwei的博客
04-27 687
一篇文章快速上手Spring Security框架
如何使用SpringSecurity
weixin_41553701的博客
08-17 3449
如何使用Spring Security
SpringSecurity 简单使用
qq_43560701的博客
01-25 5008
SpringSecurity 简单使用 在 Web 开发中安全是不可忽视的问题(软件安全技术!),现在从 SpringSecurity 和 Shiro 两个框架来学习一下安全框架在 Web 应用中的使用Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4457
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Spring Security 基本使用和配置代码
10-07
Spring Security 基本使用和配置代码,学习之后自己练习,
SpringBoot + Spring Security 基本使用及个性化登录配置详解
08-27
SpringBoot + Spring Security 基本使用及个性化登录配置详解 Spring Security 是一个功能强大且灵活的安全框架,它提供了认证、授权、攻击防护等功能。SpringBoot 是一个基于 Spring 框架的框架,它提供了很多便捷...
Spring Security基本配置方法解析
08-25
Spring Security基本配置方法解析 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。Spring Security是一个专注于为Java应用程序提供身份验证...
01_Spring Security基本使用和配置.rar
10-07
01_Spring Security基本使用和配置 ;01_Spring Security基本使用和配置;持续更新中.....
Spring Boot2.0使用Spring Security的示例代码
08-27
Spring Security 中,还可以使用多种认证方式,例如基本认证、表单认证、摘要认证等。在使用基本认证时,需要在应用程序中配置用户名和密码,例如: ``` @Override protected void configure(HttpSecurity http) ...
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
Could not find artifact org.springframework.boot的原因之一
热门推荐
滕青山博客
09-25 12万+
报错内容: Could not find artifact org.springframework.boot:spring-boot-starter-parent:pom:2.3.4 in alimaven (http://maven.aliyun.com/nexus/content/groups/public/) 原因:
java multipartrequestwrapper,如何从Servlet3SecurityContextHolderAwareRequestWrapper中获取MultipartRequest...
weixin_30716611的博客
03-01 1270
I'm using Grails 2.4.3 and I have a with method set to post, but I'm not getting a MutlipartRequest in my controller action. Instead I'm getting a Servlet3SecurityContextHolderAwareRequestWrapper wh...
Spring Security用户认证和权限控制(默认实现)
jingke_1524的博客
09-25 1355
1 背景 实际应用系统中,为了安全起见,一般都必备用户认证(登录)和权限控制的功能,以识别用户是否合法,以及根据权限来控制用户是否能够执行某项操作。 Spring Security是一个安全相关的框架,能够与Spring项目无缝整合,本文主要是介绍Spring Security默认的用户认证和权限控制的使用方法和原理,但不涉及到自定义实现。 Spring Security用户认证和权限控制(自定义实现)这篇文章专门讲解用户认证和权限控制相关的自定义实现。 2 实战示例 2.1 创建工程 创建一个
SpringBoot报错: Could not transfer artifact org.springframework.boot:spring-boot-starter-parent:pom
muzi_87的博客
04-18 8542
在maven项目中若要导入SpringBoot, 或是创建SpringBoot项目时,父级依赖的spring-boot-starter-parent通常都会出现或的错误提示。
解决Could not find artifact org.springframework.boot:spring-boot-maven:pom
zhs260133172的博客
01-22 3万+
解决Could not find artifact org.springframework.boot:spring-boot-maven:pom 最近用maven搭建工程发现这个问题: Could not find artifact org.springframework.boot:spring-boot-maven:pom in aliyun… 我自己之前配置的阿里云maven仓库镜像,去检查了一下发现并没有什么问题,用了很长的时间找了一圈回答终于明白了:不是什么证书问题也不是什么版本问题是源的问题! 我
Spring Security 入门(基本使用
ting2909的博客
05-17 318
Spring Security 入门(基本使用) 这几天看了下b站关于 spring security 的学习视频,不得不说 spring security 有点复杂,脑袋有点懵懵的,在此整理下学习内容。 1、入门 1.1、什么是 spring security spring security 是一个比 shiro 更加强大的安全管理框架,权限颗粒度更细。 源自于 spring 家族,能跟 springboot 无缝整合,对 oauth2 的支持也更好。 1.2、依赖配置 org.springframew
springsecurity基本原理
06-09
Spring Security 是一款基于 Spring 框架的安全框架,其基本原理可概括如下: 1. 认证(Authentication):Spring Security 提供了多种认证方式,包括表单认证、HTTP 基本认证、OpenID 认证、LDAP 认证等,可以根据...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值