SingelSignOn之Security配置类

最新推荐文章于 2022-12-02 12:53:15 发布
最新推荐文章于 2022-12-02 12:53:15 发布
阅读量2.5k 收藏
点赞数
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_61863480/article/details/122351556
版权

注:本业务的认证业务只做认证,故而最后将所有请求放行,本帖供不同业务参考

  protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http); 默认匿名登录(所有资源都放行)
        http.csrf().disable();//禁用跨域攻击 否则无法使用postman进行测试
        http.formLogin().successHandler(successHandler())
                        .failureHandler(failureHandler()) ;
    }

1.使用SpringSecurity安全框架定义Security配置类(配置认证规则)

(1)加密并重写configure方法:

 此方法为http请求配置方法,可以在此方法中配置:
 1)哪些资源放行(不用登录即可访问),假如不做任何配置默认所有资源都匿名访问
 2)哪些资源必须认证(登录)后才可访问。
  @Bean  //密码加密对象
    public PasswordEncoder passwordEncoder(){
        //底层调用boolean matches(CharSequence var1, String var2);
        //对密码进行加密 随机盐值 比MD5更安全
        return new BCryptPasswordEncoder();
    }

    protected void configure(HttpSecurity http) throws Exception {}
     /**
     * 此方法为http请求配置方法,可以在此方法中配置:
     * 1)哪些资源放行(不用登录即可访问),假如不做任何配置默认所有资源都匿名访问
     * 2)哪些资源必须认证(登录)后才可访问。
     */

http.csrf().disable();//禁用跨域攻击 否则无法使用postman等第三方工具进行测试
protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http); 默认匿名登录(所有资源都放行)
        http.csrf().disable();//禁用跨域攻击 否则无法使用postman进行测试
    }
http.authorizeRequests().anyRequest().permitAll();//authorize认证 全部放行

protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http); 默认匿名登录(所有资源都放行)
        http.csrf().disable();//禁用跨域攻击 否则无法使用postman进行测试
        http.authorizeRequests().anyRequest().permitAll();//authorize认证 全部放行
    }
http.authorizeRequests().antMatchers("/**").authenticated();//全部拦截(需要认证才放行)
protected void configure(HttpSecurity http) throws Exception {
      //super.configure(http); 默认匿名登录(所有资源都放行)
      http.csrf().disable();//禁用跨域攻击 否则无法使用postman进行测试
      http.authorizeRequests().antMatchers("/**").authenticated();//全部拦截(需要认证才放行)
    }
http.authorizeRequests().antMatchers("/index.html").authenticated()
        .anyRequest().permitAll();//只拦截/index.html 其他全放行
  protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http); 默认匿名登录(所有资源都放行)
        http.csrf().disable();//禁用跨域攻击 否则无法使用postman进行测试
        http.authorizeRequests().antMatchers("/index.html").authenticated()
                .anyRequest().permitAll();//只拦截/index.html 其他全放行
  
    }

2.定义认证成功和失败后反馈的页面

http.formLogin().successForwardUrl("/success.html")
http.formLogin()..failureForwardUrl("/fail.html");
   protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.authorizeRequests().antMatchers("/index.html").authenticated()
                .anyRequest().permitAll();//只拦截/index.html 其他全放行
        http.formLogin().successForwardUrl("/success.html")
                        .failureForwardUrl("/fail.html");
}

但是一般返回前端json串,前后端分离中的一种做法,是登录成功要返回json数据

所以 还可自定义登陆成功处理器

http.formLogin().successHandler(successHandler())
                .failureHandler(failureHandler());
  @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http); 默认匿名登录(所有资源都放行)
        http.csrf().disable();//禁用跨域攻击 否则无法使用postman进行测试
        http.authorizeRequests().anyRequest().permitAll();//authorize认证 全部放行
        http.formLogin().successHandler(successHandler())
                        .failureHandler(failureHandler());
    }
private AuthenticationFailureHandler failureHandler() {
        return (httpServletRequest, httpServletResponse, authentication) -> {
            Map<String,Object> map=new HashMap();
            map.put("status",500);
            map.put("message", "login error");
            writeJsonToClient(httpServletResponse, map);
        };
    }


    private AuthenticationSuccessHandler successHandler() {
        return (httpServletRequest, httpServletResponse, authentication) -> {
            Map<String,Object> map=new HashMap();
            map.put("status",200);
            map.put("message", "ok");
            writeJsonToClient(httpServletResponse, map);
        };
    }

抽出共性

 private void writeJsonToClient(HttpServletResponse response,Map map) throws IOException {
        String json = new ObjectMapper().writeValueAsString(map);
        response.setCharacterEncoding("utf-8");
        response.setContentType("application/json;charset=utf-8");
        PrintWriter writer = response.getWriter();
        writer.println(json);
        writer.flush();
    }

也可使用:(重定向)

一叶之秋mds
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security权限问题
Be_With_I的博客
02-23 508
spring security 总结
Spring Security 表单认证
快乐的小三菊的博客
12-14 3396
spring security 的表单认证
Spring Security登录表单配置(3)
weixin_43831002的博客
08-02 2146
接下来,我们在resources/static目录下创建一个login.html页而,这个是我们自定义的登录页面:查看代码这个logmt.html中的核心内容就是一个登录表单,登录表单中有三个需要注意的地方,login.html定义好之后,接下来定义两个测试接口,作为受保护的资源。当用户登录成功 后,就可以访问到受保护的资源。...
ruoyi-vue第一章 : 学习后台登录模块(SpringSecurity)
热门推荐
过道
01-29 1万+
ruoyi-vue登录模块学习笔记
史上最简单的Spring Security教程(五):成功登录SuccessHandler高级用法
银河架构师的博客
06-25 7948
在了解了如何简单的配置成功登录后调转的页面、如何始终指定系统跳转到某一地址后,我们可能会庆幸,原来如此简单。是的,确实如此简单,Spring Security框架协助我们完成了大部分的工作,而我们只需稍微配置,即可使用。 但是,业务场景,又何尝会如此简单。举个例子,我们在登录某个网站之后,微信、短信、邮箱可能会接受到一条这样的信息/邮件。 还有,比如这样的。 甚至于,我要记录每一次的登录信息到数据库、到日志文件等等,方便后续做审计、分析。 其实,Spring Security框架也...
详解springSecurity之java配置
08-18
Spring Security 之 Java 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
详解Spring Security 简单配置
08-30
Spring Security 简单配置详解 Spring Security 是一个广泛使用的基于 Java 的安全框架,提供了身份验证、授权、加密等安全功能。在本篇文章中,我们将详细介绍 Spring Security 的简单配置,以便大家更好地理解和...
SpringSecurity如何实现配置单个HttpSecurity
08-18
1.2 在配置配置 我们也可以在配置配置账户和密码。我们需要创建一个继承 WebSecurityConfigurerAdapter 的配置,并使用 @Configuration 注解。 ```java @Configuration public class SecurityConfig ...
Spring Security基本配置方法解析
08-25
Security配置中,我们需要使用@Configuration和@EnableWebSecurity注解来启用Web安全功能,然后我们可以在SecurityConfig配置身份验证和授权规则。 Spring Security提供了多种身份验证方式,例如...
Spring Security XML配置模板.docx
最新发布
07-05
Spring Security XML配置模板
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
SpringSecuryty中的常用配置
CHENFU_ZKK的博客
10-14 848
SpringSecuryty中的常用配置
Security配置
samgreat911的博客
12-02 614
/ 启用CorsFilter(Spring Security内置的处理跨域的过滤器).permitAll() // 直接许可,即可不需要通过认证即可访问。.anyRequest() // 除了以上配置过的以外的其它所有请求。// 要求是“已经通过认证的”.mvcMatchers(urls) // 匹配某些路径。// 将JWT过滤器添加到Spring Security框架的过滤器链中。http.authorizeRequests() // 管理请求授权。// 将防止伪造跨域攻击的机制禁用。
SpringSecurity前后端分离的安全管理实现(一)
qq_56263094的博客
05-06 915
目录 1.创建工程 2.配置工程 1.基础配置 2.pom.xml配置 3.mybatis配置 4.springboot配置 1.创建工程 勾选以下依赖 点击finish咱们的工程就创建好啦💪💪💪 2.配置工程 1.基础配置 先把不需要的先删掉 =====》 把application.properties改成application.yaml 这里采用yaml的写法 2.pom..........
SpringBoot - HttpSecurity是什么?
记录并分享
08-11 1091
HttpSecurity用于在实际的业务场景中针对不同的URL采用不同的权限处理策略。一般会在重载WebSecurityConfigurerAdapter基configure(HttpSecurity httpSecurity)方法中完成权限策略的处理。HttpSecuritySecurityBuilder接口的一个实现,这是一个HTTP安全相关的构建器。当然我们在构建时可能需要一些配置,当我们调用HttpSecurity对象的方法时,实际上就是在进行配置。...
Spring Security配置
输入技术、输出想法
08-05 423
前后端不分离 @Service public class UserServicesImpl extends ServiceImpl<UserMapper, User> implements UserService, UserDetailsService { @Autowired private UserMapper userMapper; @Override public UserDetails loadUserByUsername(String user
使用Spring Security练习,增加访问控制
weixin_41952523的博客
05-23 435
说在前面,数据库的建立就不详细讲明了,直接去mysql建就行 如果不会或者忘了的话可以百度怎么在mysql建数据库以及表 附上网站(https://www.cnblogs.com/niewd/p/11481030.html) 为实际操作,可以随便找一个项目来练习 目录 1.在后端增加: 2.按照上述图片的顺序需要增加的代码如下依次为: 3.接下来后端运行没有错误后调试前端: 1.增加login组建: 2.login组件内容: 3.引入login路由 4.添加前端代码httpre..
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1457
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全
spring security 配置架构
05-05
Spring Security配置通常是一个Java,用于配置安全性和授权规则。Spring Security提供了多种配置的架构,包括使用注解、XML和Java Config等方式。 使用注解方式的配置通常使用@Configuration和@...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值