SpringSecurity学习

最新推荐文章于 2021-10-02 16:32:13 发布
最新推荐文章于 2021-10-02 16:32:13 发布
阅读量183 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaobo5264063/article/details/106632842
版权
  •   SpringSecurity介绍

           Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

    SpringSecurity官网:  https://spring.io/projects/spring-security 
      
    SpringSecurity的种认证模式:  
         1)   HttpBasic模式   
         2)   FormLogin模式
     

  •   HttpBasic模式
     
     
  1.   创建boot项目 
      结构如下: 
      在pom.xml添加依赖 
     <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
  2.   创建订单Controller 
    import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class OrderController {
	// 首页
	@RequestMapping("/")
	public String index() {
		return "index";
	}

	// 查询订单
	@RequestMapping("/showOrder")
	public String showOrder() {
		return "showOrder";
	}

	// 添加订单
	@RequestMapping("/addOrder")
	public String addOrder() {
		return "addOrder";
	}

	// 修改订单
	@RequestMapping("/updateOrder")
	public String updateOrder() {
		return "updateOrder";
	}

	// 删除订单
	@RequestMapping("/deleteOrder")
	public String deleteOrder() {
		return "deleteOrder";
	}

	// 自定义登陆页面
	@GetMapping("/login")
	public String login() {
		return "login";
	}

}
    配置对应查询、修改等按钮和页面,这里主要是用于演示效果。
     
  3.  添加security配置类 
    import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

/**
 * SpringSecurity配置
 * @author xiaobo
 * @Description SecurityConfig
 * @createTime 2020-06-10 7:14
 */
@Component
@EnableWebSecurity   // 开启security
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    // 用户认证信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 设置用户账号信息和权限
        auth.inMemoryAuthentication().withUser("admin").password("123456").authorities("addOrder");
    }

    // 配置HttpSecurity拦截URL
    protected void configure(HttpSecurity http) throws Exception {
        // 拦截所有请求并选择httpBasic模式
        http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();
    }

    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }


}

     
  4.  启动 
    import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

/**
 * Hello world!
 *
 */
@SpringBootApplication
public class AppSpringSecurity {


    public static void main( String[] args ) {
        SpringApplication.run(AppSpringSecurity.class);
    }
}

     
  5.  测试
     
      访问: http://127.0.0.1:8080/
     
     
     账号/密码: admin/123456
     
     
  •  FormLogin模式
     
  1.  修改SecurityConfig类
      
    // 配置HttpSecurity拦截URL
    protected void configure(HttpSecurity http) throws Exception {
        // 拦截所有请求并选择formLogin模式
        http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin();
    }

     
  2.  测试......
     
     
     

  •  用户自定义页面和权限
     
     

  1.  实现不同用户的权限控制
    在在SecurityConfig.java配置 
    import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

/**
 * SpringSecurity配置
 * @author xiaobo
 * @Description SecurityConfig
 * @createTime 2020-06-10 7:14
 */
@Component
@EnableWebSecurity   // 开启security
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    // 用户认证信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 设置用户账号信息和权限
        // 配置admin用户拥有查看、添加、更新、删除订单权限
        auth.inMemoryAuthentication().withUser("admin").password("123456").authorities("showFlag", "addFlag", "updateFlag","deleteFlag");
        // 配置ben用户拥有查看、添加订单权限
        auth.inMemoryAuthentication().withUser("ben").password("123456").authorities("showFlag", "addFlag");
    }

    // 配置HttpSecurity拦截URL
    protected void configure(HttpSecurity http) throws Exception {
        // 拦截所有请求并选择httpBasic模式     /showOrder:url地址   showFlag:每个url对应的标识,用户绑定标识
        http.authorizeRequests().
                antMatchers("/showOrder").hasAnyAuthority("showFlag").
                antMatchers("/addOrder").hasAnyAuthority("addFlag").
                antMatchers("/updateOrder").hasAnyAuthority("updateFlag").
                antMatchers("/deleteOrder").hasAnyAuthority("deleteFlag").
                antMatchers("/**").fullyAuthenticated().and().formLogin();
    }

    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }


}

     
  2.  实现自定义权限不足页面
     // 配置类 
    import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;

@Configuration
public class WebServerAutoConfiguration {

	@Bean
	public ConfigurableServletWebServerFactory webServerFactory() {
		TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
		ErrorPage errorPage400 = new ErrorPage(HttpStatus.BAD_REQUEST, "/error/400");
		ErrorPage errorPage401 = new ErrorPage(HttpStatus.UNAUTHORIZED, "/error/401");
		ErrorPage errorPage403 = new ErrorPage(HttpStatus.FORBIDDEN, "/error/403");
		ErrorPage errorPage404 = new ErrorPage(HttpStatus.NOT_FOUND, "/error/404");
		ErrorPage errorPage415 = new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE, "/error/415");
		ErrorPage errorPage500 = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500");
		factory.addErrorPages(errorPage400, errorPage401, errorPage403, errorPage404, errorPage415, errorPage500);
		return factory;
	}
}
    // 自定义403的controller 
    import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class ErrorController {

	@RequestMapping("/error/403")
	public String error() {
		return "/error/403";
	}

}
    // 效果
  3.   实现自定义登录页面
    // 自定义登录的url和页面 
    // 页面
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>登录页面</title>
</head>
<body>

	<h1>自定义登录页面</h1>
	<form action="/login" method="post">
		<span>用户名称</span><input type="text" name="username" /> <br>
		<span>用户密码</span><input type="password" name="password" /> <br>
		<input type="submit" value="登陆"> 

	</form>
	
	<#if RequestParameters['error']??>
	用户名称或者密码错误
	</#if>

</body>
</html>
      
    	// controller
	@GetMapping("/login")
	public String login() {
		return "login";
	}
    // 在SecurityConfig.java配置登录页面 
    // 配置HttpSecurity拦截URL
    protected void configure(HttpSecurity http) throws Exception {
        // 拦截所有请求并选择httpBasic模式     /showOrder:url地址   showFlag:url地址的标识,可自定义须臾上面authorities一致
        http.authorizeRequests().
                antMatchers("/showOrder").hasAnyAuthority("showFlag").
                antMatchers("/addOrder").hasAnyAuthority("addFlag").
                antMatchers("/updateOrder").hasAnyAuthority("updateFlag").
                antMatchers("/deleteOrder").hasAnyAuthority("deleteFlag").
                antMatchers("/login").permitAll().
                antMatchers("/**").fullyAuthenticated().and().formLogin().loginPage("/login").and().csrf().disable();
    }
    antMatchers("/login").permitAll()表示不拦截login的地址
    .loginPage("/login").and().csrf().disable();  表示自定义登录页面,并禁止csrf
    //  测试: 
     
     
  4.  获取登录成功和失败的信息
     创建登录成功和失败的handler 
    import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

// 认证成功
@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

	public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse res, Authentication arg2)
			throws IOException, ServletException {
		System.out.println("用户认证成功");
		res.sendRedirect("/");
	}

}




import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Component;

//认证失败
@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

	public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse res, AuthenticationException auth)
			throws IOException, ServletException {
		System.out.println("登陆失败!");
		res.sendRedirect("http://baidu.com");

	}

}

     在SecurityConfig.java配置成功和失败的handler 
       引入

    @Autowired
    private MyAuthenticationSuccessHandler successHandler;
    @Autowired
    private MyAuthenticationFailureHandler failHandler;


    // 配置HttpSecurity拦截URL
    protected void configure(HttpSecurity http) throws Exception {
        // 拦截所有请求并选择httpBasic模式     /showOrder:url地址   showFlag:url地址的标识,可自定义须臾上面authorities一致
        http.authorizeRequests().
                antMatchers("/showOrder").hasAnyAuthority("showFlag").
                antMatchers("/addOrder").hasAnyAuthority("addFlag").
                antMatchers("/updateOrder").hasAnyAuthority("updateFlag").
                antMatchers("/deleteOrder").hasAnyAuthority("deleteFlag").
                antMatchers("/login").permitAll().
                antMatchers("/**").fullyAuthenticated().and().formLogin().loginPage("/login")
                .successHandler(successHandler).failureHandler(failHandler).and().csrf().disable();
    }
     
     
     
     

     
xiaobo5264063
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
SpringSecurity
09-21
springsecurity入门实例,spring security
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
研究官网得到的官网SpringSecurity笔记
热爱编写程序的药学在读书
10-02 236
笔记来源:官网 但是这篇文章展示不深入的讲解其源代码,后续更新出源代码文章 一、SpringSecurity是什么 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少
Spring Security 网址
janckywong963的专栏
08-02 285
Spring Security 参考文档 [url]http://www.family168.com/tutorial/springsecurity/html/springsecurity.html[/url] [url]http://www.family168.com/tutorial/springsecurity3/html/authorization-common.html[/...
springsecurity官方文档_Spring Security 学习之原理篇
weixin_39634884的博客
12-06 781
接上一篇,我们已经熟悉了Spring Security的基本使用,并且实操了几个范例。本文我们将在这几个范例的基础上进行调试,并深入研究其在源码层面上的实现原理。只有知其然,知其所以然,才能在Spring Security的使用上更加得心应手。本文主要参考了官方文档9-11章节,在文档基础上进行丰富、拓展和提炼。Spring Security初始化SecurityAutoConfiguration...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Security学习之路
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
spring security学习笔记
最新发布
08-02
spring security学习笔记
spring-security 官方文档 中文版
10-12
spring security官方文档 中文版 看了下翻译 还是可以的 比其他查到的专业点 希望可以帮助到大家
SpringSecurity官网修改例子 tutorial
09-05
SpringSecurity官网例子,直接可运行,不需要连接数据库
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
SpringSecurity学习1
08-08
SpringSecurity 是一个基于 Java 的安全框架,主要用于处理应用程序的安全需求,包括用户认证和授权。它无缝集成于 Spring 框架中,为开发者提供了一种强大的、声明式的安全控制方式。 **认证** 是验证用户身份的...
Spring Security 官方文档学习路径
来啊 快活啊
09-14 5304
Spring 目前有三个层次的项目,Spring Framework层,Spring Boot层和Spring Cloud层。这三个层次的项目里都有Spring Security的东西,在加上安全和权限控制这块是大多数人的一个弱项,导致官方文档给人乱乱的感觉;下面我们就梳理一下官方文档的学习顺序;首先是Spring Security Reference的文档,Spring Security的设计理念
Spring Security 官网文档学习
热门推荐
young-youth的博客
02-18 1万+
spring 官网的入门指南的学习笔记;
spring-security 官网示例地址
weixin_44371237的博客
02-03 3752
官网 https://spring.io/ 1 2 3 4 5
初识Spring Security
xglfire的博客
08-15 117
Maven依赖 web.xml 在web.xml中主要配置SpringMVC的DispatcherServlet和用于整合第三方框架的 DelegatingFilterProxy,用于整合Spring Security
springSecurity 学习
05-05
Spring Security 是一款基于 Spring 框架的安全框架,提供了一系列的安全解决方案,例如身份验证、授权、攻击防护等。在使用 Spring Security 时,可以很方便地集成到 Spring 应用程序中,提供安全保护。 下面是 Spring Security 的一些学习资源: 1. 官方文档:Spring Security 官方文档提供了详细的使用说明和示例代码,是学习 Spring Security 的不二之选。 2. Spring Security 中文文档:中文翻译的 Spring Security 官方文档,对于英文不好的同学来说是个不错的选择。 3. Spring Security 实战:这是一本由 Spring Security 的核心开发人员编写的书籍,详细介绍了 Spring Security 的使用和实践。 4. Spring Security 视频教程:这是一套由尚硅谷提供的 Spring Security 视频教程,包含了 Spring Security 的基础和高级应用。 5. Spring Security 源码解析:这是一篇由阿里巴巴技术专家写的 Spring Security 源码解析文章,对 Spring Security 的实现原理进行了深入分析。 除了以上资源之外,还可以通过实践来学习 Spring Security,例如通过搭建一个简单的 Spring Security 应用程序,逐步深入了解 Spring Security 的使用和原理。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值