SpringSecurity 第三篇(常用处理器,权限校验,跨域问题)

于 2024-04-19 18:52:24 发布
阅读量567 收藏 4
点赞数 4
分类专栏: Spring Security 文章标签: 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62513677/article/details/137973122
版权

SpringSecurity

权限校验

hasAuthority:方法只能够传入一个参数
hasAnyAuthority:方法可以传入多个权限,只有用户有其中任意一个权限都可以进行访问
hasRole:要求有对应的角色才可以进行访问,但是它内部会把我们出入的参数拼接上ROLE_后再去比较。所以这种情况下要用用户对应的权限也要有ROLE_这个前缀才可以
hasAnyRole:有任意的角色就可以进行访问,它内部会把我们传入的参数拼接上ROLE_后再进行比较

自定义权限校验方法

定义好权限校验方法:在@PreAuthorize注解中使用我们的方法

@Component("nihao")
public class test {
    public boolean hasAuthority(String authority){
        //获取当前用户的权限
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        List<String> permissions=loginUser.getPermissions();
        //判断用户权限集合中是否存在authority
        return permissions.contains(authority);
    }
}

为了不和原有的方法冲突我们给注解加上名字

@PreAuthorize("@nihao.hasAuthority('system:dept:list')")

CSRF

CSRF是跨站请求伪造,是web常见的攻击之一
CSRF漏洞:

假设我是用户,我正常访问网站登录成功返回cookie信息,这时如果有个黑客创建了一个别的网站,网站里有个按钮,实际上点下去我们是执行访问正常网站的操作,这样黑客在其中就会诱导我们去进行一些操作

SpringSecurity去防止CSRF攻击的方式就是通过csrf_token,后端会生成一个csrf_token,前端在进行访问的时候需将这个token携带,后端会有过滤器进行校验,如果没有携带或者伪造的就部允许访问

但是现在的前后端分离的开发中就是基于token来进行认证的所以在前后端分离的开发当中本来就不用担心CSRF认证,所以我们需要在SpringSecurity配置类中的configure方法中将csrf进行关闭

//关闭csrf
http.csrf().disable()
//不通过Session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

登陆成功处理器

UsernamePasswordAuthenticationFilter认证登录成功后会调用AuthenticationSuccessHandler的方法进行认证成功后的处理的,AuthenticationSuccessHandler就是登录成功处理器

我们实现AuthenticationSuccessHandler接口进行自定义操作
然后在security的配置类中的configure方法中进行配置

http.formLogin().successHandler(successHandler);
http.authorizeRequests().anyRequest().authenticated();

登出成功处理器

在UsernamePasswordAuthenticationiter进行登录认证的时候,如果认证失败了是会调用AuthenticationFailureHandler的方法进行认证失败后的处理的。AuthenticationFailureHandler就是登录失败处理器
我们实现AuthenticationFailureHandler接口进行自定义操作
然后在security的配置类中的configure方法中进行配置

http.formLogin().successHandler(successHandler).failureHandler(failureHandler);
http.authorizeRequests().anyRequest().authenticated();

注销成功处理器

同样实现LogoutSuccessHandler接口之后自定义操作
然后在security的配置类中的configure方法中进行配置

http.logout().logoutSuccessHandler(logoutSuccessHandler);
轻舟慢行.
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security使用中Preflight请求和跨域问题详解
08-28
主要给大家介绍了关于Spring Security使用中Preflight请求和跨域问题的相关资料,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
学习SpringSecurity这一篇就够了
怪咖@的博客
05-25 6854
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
【业务功能篇59】Springboot + Spring Security 权限管理 【下篇】
studyday1的博客
07-29 1017
我们需要自定义一个登陆接口,并让SpringSecurity不要对该接口进行登录验证,以允许未登录用户访问。在该接口中,我们使用AuthenticationManager的authenticate方法进行用户认证,需要在SecurityConfig中配置将AuthenticationManager注入到容器中。如果认证成功,则需要生成一个jwt并将其放入响应中返回。为了让用户在下次请求时能够通过jwt识别出具体的用户,我们需要将用户信息存储在redis中,可以将用户id作为key。
一文学会SpringSecurity权限框架
qq_45243783的博客
11-20 948
springsecurity权限框架实现认证授权
SpringSecurity实现RBAC权限验证
最新发布
weixin_45881125的博客
03-20 1536
基于角色的访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限。RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security权限框架】SpringBoot整合Spring Security实现权限控制
weixin_45618869的博客
07-21 3420
SpringSecurity框架【详解】
SpringSecurity+JWT+自定义MD5加盐值校验
qq_42264638的博客
05-05 2152
SpringSecurity+JWT+自定义MD5加盐值校验
Spring Security基础篇
JavaAlenboy
10-30 221
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架 Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用 Spring Security 来做安全框架。小项目有 Shiro 的比较多,因为相比与 Spring Security,Shiro 的上手更加的简单。而认证和授权也是 Spring Security 作为安全框架的核心功能。 创建启动类 创建 Controller 引入Spring Security
spring security中的csrf防御原理(跨域请求伪造)
08-25
主要介绍了spring security中的csrf防御机制原理解析(跨域请求伪造),本文通过实例代码详解的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
Spring MVC中自带的跨域问题解决方法
08-29
就是我的前端和后端是放在不同的服务器上的,然后使用opst请求的时候报错,所以通过查找相关的资料终于解决了,下面这篇文章主要给大家介绍了关于Spring MVC中自带的跨域问题解决方法的相关资料,需要的朋友可以参考...
Java Spring boot 2.0 跨域问题的解决
08-27
本篇文章主要介绍了Java Spring boot 2.0 跨域问题的解决,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Spring Boot 通过CORS实现跨域问题
09-07
主要介绍了Spring Boot 通过CORS实现跨域,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
spring cloud gateway请求跨域问题解决方案
08-25
主要介绍了spring cloud gateway请求跨域问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
详解Spring Boot 2.0.2+Ajax解决跨域请求的问题
08-26
主要介绍了详解Spring Boot 2.0.2+Ajax解决跨域请求的问题,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring cloud实现前端跨域问题的解决方案
08-28
主要介绍了 spring cloud实现前端跨域问题的解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springsecurity如何解决跨域问题
04-27
Spring Security 并不直接解决跨域问题,而是通过集成 Spring MVC 提供的跨域解决方案来处理。 在 Spring MVC 中,可以通过添加 `@CrossOrigin` 注解来实现跨域访问。在 Spring Security 中,可以通过配置 `WebSecurityConfigurerAdapter` 来添加 `CorsConfigurationSource`,从而实现跨域访问。 具体实现方法如下: 1. 在配置类中添加 `CorsConfigurationSource`: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("*")); configuration.setAllowedMethods(Arrays.asList("*")); configuration.setAllowedHeaders(Arrays.asList("*")); UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); return source; } // ... } ``` 2. 将 `CorsFilter` 添加到 Spring Security 过滤器链中: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { // ... @Override protected void configure(HttpSecurity http) throws Exception { http // ... .cors() .and() // ... } @Bean public CorsFilter corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("*"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); return new CorsFilter(source); } } ``` 这样就可以通过 Spring Security 实现跨域访问了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值