使用springsecurity搭建统一鉴权环境

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量136 收藏
点赞数
分类专栏: sdu-soft-web-env 文章标签: 前端 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wocaizhale/article/details/125167239
版权 
package cn.sdu.weblab.config;

import cn.sdu.weblab.filter.AuthenticationFilter;
import cn.sdu.weblab.filter.OptionsRequestFilter;
import cn.sdu.weblab.hander.LoginFailureHandler;
import cn.sdu.weblab.hander.LoginSuccessHander;
import cn.sdu.weblab.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import org.springframework.web.filter.CorsFilter;

@EnableGlobalMethodSecurity(jsr250Enabled = true)
@Configuration
public class securityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserService userService;


    /**
     * 配置忽略掉的 URL 地址,一般用于js,css,图片等静态资源
     *
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        //web.ignoring() 用来配置忽略掉的 URL 地址,一般用于静态文件
        web.ignoring().antMatchers("/js/**", "/css/**", "/fonts/**", "/images/**", "/lib/**")
                .antMatchers(
                        "/user/register",
                        "/user/activation",
                        "/favicon.ico",
                        "/user/register",
                        "/user/activation",
                        "/user/forget_password",
                        "/user/reset_password"
                );

    }

    /**
     * (认证)配置用户及其对应的角色
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //数据在内存中定义,一般要去数据库取,jdbc中去拿,
        auth.userDetailsService(userService).passwordEncoder(new BCryptPasswordEncoder());

    }

    /**
     * (授权)配置 URL 访问权限,对应用户的权限
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .antMatchers(
                        "/user/register",
                        "/user/login",
                        "/user/activation",
                        "/favicon.ico",
                        "/user/register",
                        "/user/activation"
                )
                .permitAll();

        http.formLogin()
                .loginProcessingUrl("/user/login")
                .successHandler(new LoginSuccessHander())
                .failureHandler(new LoginFailureHandler())
                .and().csrf().disable()
                .cors().and().addFilterAfter(new OptionsRequestFilter(), CorsFilter.class);


        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        http.addFilter(new AuthenticationFilter(authenticationManager()));
    }

    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfiguration configuration = new CorsConfiguration().applyPermitDefaultValues();
        configuration.addExposedHeader("Authorization");
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", configuration);
        return source;
    }
}
wocaizhale
关注
专栏目录
Spring Security 6.x 系列【45】微服务篇之搭建统一认证服务
记录知识、锤炼自我
05-26 3649
在上篇文档中,我们学习了在微服务架构下,如何搭建统一身份认证,并推荐使用Session管理会话,接下来我们搭建一个微服务项目,并实现分布式环境下的认证功能。
SpringCloud+Gateway+Security 搭建微服务统一认证授权
AS011x的博客
08-25 1723
SpringCloud Gateway Security oauth2.0 搭建微服务统一认证授权。common:公用代码,实体、工具类等等…gateway:网关uaa:用户登录认证服务school:微服务环境概述:SpringBoot 版本:2.3.1.RELEASESpringCloud版本:Hoxton.SR6技能要求:需要掌握SpringCloud 、SpringCloudAlibaba 基础使用,了解RBAC、OAuth2.0、JWT。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
Spring Boot + Spring Security JWT权限鉴权系统
FangQ的博客
06-19 833
spring security的简单原理: 1.登录验证 2.授权管理 配置文件 动态权限控制 spring security的简单原理 访问资源(即授权管理):数据库表设计 权限过滤器 权限控制:判断用户角色 然后需要在 配置文件中,配置动态权限控制 开发核心类 jwt-token 工具类...
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 3436
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
统一安全认证(基于Spring Security 3)
09-21
Java语言开发的统一角色访问控制系统(Unified Role Access Control System),基于Spring Security 3实现的权限控制系统 程序框架版本说明:Spring MVC 3.0.6 + Spring Security 3.1.3 + Hibernate 3.6.10 运行演示例子: 例子使用的是MySQL数据库,也可以支持其它数据库 使用 CreateDb_MySQL.sql 创建好数据库,然后将 URACS.Web.war 部署到 Tomcat下 数据库连接默认使用root用户,密码123456(可修改 jdbc-app.properties 文件) 启动Tomcat,访问 http://127.0.0.1:8080/URACS.Web 可使用超级用户 admin,密码 admin 登录 开发者:李锡远 人称:远哥 博客:http://taven.cnblogs.com 开源地址:https://github.com/tavenli/URACS QQ:17020415
spring security
qq_45382931的博客
11-07 333
认证,授权,鉴权,权限控制 认证:你是谁 授权:你能做什么 鉴权:你能不能做(你可以用钱买房子,但是你的钱不够) 权限控制:同意/不同意做 Authorization,Authentication的记法 Authorization的or抽象成author,是人做的事,即授权,Authentication是认证 3.SpringSecurity和shiro springsecurity .功能全面 .专为web开发设计 .旧版本不能脱离web使用 .重量级框架 .是构建oauth的基础 shi..
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7889
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
springboot实现SpringSecurity权限框架《附带项目地址》
f234344435的博客
11-16 1906
不缺斤少两的项目,附带Gitee仓库地址方便下载
Spring Gateway+Security+OAuth2+RBAC 实现SSO统一认证平台
08-10
内容:完整集成了Spring Gateway, Spring Security, Nacos, OAuth2, RBAC, 手机验证码登录等SSO统一认证平台,全平台唯一,全平台最全,全面细致,已经帮你踩了很多坑,一看就会,可以本地运行,或者直接作为认证...
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 1030
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证和授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
Spring Security
编程小白
05-09 467
文章目录SpringSecurity项目创建手工配置用户名密码数据库配置配置文件配置application.ymlJava代码配置HttpSecurity 配置不同的权限控制方法登录表单详细配置登录成功登录失败注销登录多个 HttpSecurity密码加密BCryptPasswordEncoder方法安全代码SecurityConfig.classMultiHttpSecurityConfig.javaHelloController.javaMethodService.javaMultiHttpSecuri
SpringSecurity接口资源鉴权
09-06
### 回答1: Spring Security是一个用于为Java应用程序提供身份认证和访问控制的安全框架。 在Spring Security中,接口资源的访问权限通常是通过在接口上使用注解来实现的。 例如,使用`@PreAuthorize`注解可以在接口调用之前进行权限验证,只有当认证用户具有指定权限时,才能访问该接口。 例如: ``` @PreAuthorize("hasAuthority('ROLE_ADMIN')") @GetMapping("/api/admin/users") public List<User> getAllUsers() { // implementation } ``` 在这个例子中,只有具有`ROLE_ADMIN`角色的用户才能访问`/api/admin/users`接口。 ### 回答2: Spring Security是一个功能强大的开源框架,主要用于实现应用程序的身份认证和授权功能。其中,接口资源鉴权Spring Security的一个重要功能。 Spring Security提供了丰富的API和配置选项,可以灵活地定义接口资源的访问权限。下面是使用Spring Security进行接口资源鉴权的一般步骤: 1. 引入Spring Security依赖:在项目的配置文件中添加Spring Security的依赖项,以便使用Spring Security相关的类和接口。 2. 配置SecurityConfig类:创建一个SecurityConfig类并继承自WebSecurityConfigurerAdapter,用于配置鉴权相关的信息。在该类中可以定义认证方式、授权规则等。 3. 实现UserDetailsService接口:创建一个类实现UserDetailsService接口,并重写loadUserByUsername方法来自定义用户的认证方式。在该方法中可以根据用户名从数据库或其他数据源中获取用户的详细信息,并返回一个UserDetails对象。 4. 定义授权规则:通过SecurityConfig类的configure方法,使用antMatchers等方法来定义接口的访问权限。可以根据URL、请求方法等多个条件来进行配置,如将某些接口限制为只有管理员角色可以访问。 5. 启用Spring Security:在项目的配置文件中启用Spring Security,可以通过注解@EnableWebSecurity来启用Spring Security功能。 通过以上步骤的配置,Spring Security会在请求接口时对用户进行身份认证,并根据配置的授权规则判断用户是否有访问该接口的权限。如果用户没有权限,则会返回相应的错误信息或跳转到指定的页面。 总结来说,Spring Security的接口资源鉴权功能可以通过配置SecurityConfig类和实现UserDetailsService接口来自定义认证和授权规则,从而保证应用程序的接口访问权限的安全性。 ### 回答3: Spring Security是一个用于处理认证和授权的框架,接口资源鉴权是其中的一个重要功能。 首先,Spring Security提供了一种灵活的方式去定义和管理用户的认证信息。它支持多种认证方式,包括基于表单、基于HTTP Basic Auth、基于JSON Web Token(JWT)等。用户在访问接口资源前,需要进行身份认证,通过用户名密码等信息进行验证。 其次,Spring Security还提供了一套丰富的授权机制,可以细粒度地控制用户对接口资源的访问权限。可以通过注解、配置文件或者自定义实现的方式,来定义接口资源的访问规则。例如,可以在控制器的方法上添加`@PreAuthorize`注解,指定需要具备的角色或权限才能访问该接口。 在接口资源鉴权过程中,Spring Security还提供了一些常用的特性,例如CSRF(跨站请求伪造)防护、Session管理,以及日志记录等。这些功能可以帮助开发者更好地保护接口资源的安全性和完整性。 总结来说,Spring Security接口资源鉴权是通过认证和授权来保护接口资源的安全性。它提供了灵活的认证方式和丰富的授权机制,可以根据应用的需求进行定制化配置。通过使用Spring Security,我们能够更好地确保接口资源只被合法用户访问,并保护用户数据的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值