社区网站项目7.1 Spring Security

最新推荐文章于 2024-08-07 17:18:08 发布
最新推荐文章于 2024-08-07 17:18:08 发布
阅读量186 收藏
点赞数
分类专栏: 社区网站
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoshuzi666/article/details/108018346
版权

  简介
(1)Spring Security是一个专注于为Java应用程序提供身份认证和授权的框架,它的强大之处在于它可以轻松扩展以满足自定义的需求。
(2)官网在https://spring.io/projects/spring-security
(3)推荐资料:www.spring4all.com
  特征
(1)对身份的认证授权提供全面的、可扩展的支持。
(2)防止各种攻击,如会话固定攻击、点击劫持、crf攻击等。
(3)支持与Service API、Spring MVC等Web技术集成。
  原理示意图(spring-security是基于filter)
spring security
  在mvn库里搜索spring security,把spring-boot-starter-security复制到pom.xml。在User类里添加

// true:账号未过期(在此不做过期处理)
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    // true:账号未锁定
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    // true:凭证未过期
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    //true:账号可用
    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority>  list = new ArrayList<>();
        list.add(new GrantedAuthority() {
            @Override
            public String getAuthority() {
                switch (type){
                    case 1:
                        return "ADMIN";
                    default:
                        return "USER";
                }
            }
        });
        return list;
    }

  在UserService类里,实现UserDetailService接口,并添加

@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return this.findUserByName(username);
    }

  新建SecurityConfig类

@Override
    public void configure(WebSecurity web) throws Exception {
//        super.configure(web);
        //忽略静态资源的访问
        web.ignoring().antMatchers("/resources/**"); // /resources/**主要是图片、js、css等静态资源,不需要拦截
    }

    // AuthenticationManager:认证的核心接口
    // AuthenticationManagerBuilder:用于构建AuthenticationManager对象的工具
    // ProviderManager:AuthenticationManager接口默认实现类
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        super.configure(auth);
        // 内置的认证规则
//        auth.userDetailsService(userService).passwordEncoder(new Pbkdf2PasswordEncoder("12345")); //后面这个字符串是加的盐但这个盐和我们系统原来的盐不匹配
        // 自定义认证规则
        // AuthenticationProvider:ProviderManager(一个集合)持有一组AuthenticationProvider,每个AuthenticationProvider负责一种认证
        // 委托模式:ProviderManager将认证委托给AuthenticationProvider。
        auth.authenticationProvider(new AuthenticationProvider() {
            // Authentication:用于封装认证信息的接口,不同的实现类代表不同类型的认证信息(如:账号密码/qq/微信/人脸/指纹信息,这里用的是【账号密码】)。
            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {
                String username = authentication.getName();
                String password = (String) authentication.getCredentials();

                User user = userService.findUserByName(username);
                if(user==null){
                    throw new UsernameNotFoundException("账号不存在!");
                }

                password = CommunityUtil.md5(password+user.getSalt());
                if(!user.getPassword().equals(password)){
                    throw new BadCredentialsException("密码不正确!");
                }

                // principal:主要信息:credentials:证书;authorities:权限
                return new UsernamePasswordAuthenticationToken(user,user.getPassword(),user.getAuthorities());
            }

            //当前的AuthenticationProvider接口支持的认证类型(这里是【账号密码】类型)
            @Override
            public boolean supports(Class<?> aClass) {
                // UsernamePasswordAuthenticationToken:Authentication接口常用的实现类。
                return UsernamePasswordAuthenticationToken.class.equals(aClass);
            }
        });
    }



    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        super.configure(http); //避开父类默认的登录页面
        // 登录相关配置
        http.formLogin()
                .loginPage("/loginpage")
                .loginProcessingUrl("/login")
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath()+"/index");
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                        //这里不能用重定向,要用转发
                        request.setAttribute("error",e.getMessage());
                        request.getRequestDispatcher("/loginpage").forward(request,response);
                    }
                });

        // 退出相关配置
        http.logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath()+"/index");
                    }
                });

        // 授权配置
        http.authorizeRequests()
                .antMatchers("/letter").hasAnyAuthority("USER","ADMIN")
                .antMatchers("/admin").hasAnyAuthority("ADMIN") //只有"ADMIN"才有权限访问"/admin"页面
                .and().exceptionHandling().accessDeniedPage("/denied");

        // 增加filter,处理验证码
        http.addFilterBefore(new Filter() {
            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                HttpServletRequest request = (HttpServletRequest) servletRequest;
                HttpServletResponse response = (HttpServletResponse) servletResponse;
                if(request.getServletPath().equals("/login")){
                    String verifyCode = request.getParameter("verifyCode");
                    if(verifyCode==null||!verifyCode.equalsIgnoreCase("1234")){
                        request.setAttribute("error","验证码错误!");
                        request.getRequestDispatcher("/loginpage").forward(request,response);
                        return;
                    }
                }
                //让请求继续向下执行,如果后面还有多个filter的话
                filterChain.doFilter(request,response);
            }
        }, UsernamePasswordAuthenticationFilter.class);

        // 记住我,存到内存里,若要存到redis的话另外实现
        http.rememberMe()
                .tokenRepository(new InMemoryTokenRepositoryImpl())
                .tokenValiditySeconds(3600*24)
                .userDetailsService(userService); //查出用户信息自动帮你过

    }`

  在HomeController类里,添加

@RequestMapping(path = "/index", method = RequestMethod.GET)
    public String getIndexPage(Model model) {
        // 认证成功后,结果会通过SecurityContextHolder存入SecurityContext中
        Object obj = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if(obj instanceof User){
            model.addAttribute("loginUser",obj);
        }
        return "/index";
    }
    
// 拒绝访问时的提示页面(或者说没有权限时)
    @RequestMapping(path = "/denied", method = RequestMethod.GET)
    public String getDeniedPage(){
        return "/error/404";
    }

  对login.html和index.html作相应修改。

xiaoshuzi666
关注
专栏目录
7.1 Spring Security入门和简单案例
Qiuyuguohou的博客
03-11 391
Spring Security • 简介 Security是一个专注于为Java应用程序提供 **身份认证**和**授权**的框架,它的强大之处在于它可以 轻松扩展以满足自定义的需求。 • 特征 对身份的 认证 和 授权 提供全面的、可扩展的支持。 防止各种攻击,如会话固定攻击、点击劫持、csrf攻击等。 支持与Servlet API、Spring 官网:https://spring.io/projects/spring-security 中文学习网址:http://www.spring4all.c
仿牛客社区项目7.1——Spring Security使用示例
Doreen_FF的博客
07-25 935
Spring Security:认证+授权 认证:判断是否登录,账户是否存在,密码是否正确; 授权 :管理员和普通用户访问不同路径的权限不同。加以配置。 Spring Security作用在SpringMVC之前,多个Filter,作用也类似于SpringMVC的拦截器。如:Filter1检查验证码,Filter2检查账户密码。 实体类User: 方便做授权,type = 0 普通用户,type = 1 管理员 实现UserDetails接口,需要实现几个方法。 public class User im.
7.1SpringSecurity
weixin_44114392的博客
01-15 146
spring security底层机制: springmvc的底层核心是dispatchServlet,它会把请求分发给一个一个的控制器(Controller),一个项目中只有一个dispatchServlet,但是会有多个Controller,它们是一对多的关系。在请求分发给controller中,拦截器可以拦截controller的请求(拦截器也可以有多个),这些组件构成了springMVC的底层。拦截器和控制器是springMVC自己规定的,但是dispatchServlet满足JavaEE的规范..
7.1 spring security【很多知识点】
Mr_zhang66的博客
06-08 365
我们已经把牛客社区功能全部实现,这一章将对项目进行一些补充完善。 完善的内容包括两方面: 1.系统的安全性 2.进一步提高系统的性能 功能强大、方便扩展 认证:判断用户有无登录 如果没有登录,不可能实现 发布帖子,评论的功能。 授权: 认证之后,要判断 该用户有无访问权限,比如给帖子置顶、加精、删除,不是每个用户都能做这些事。 只有管理员、博主来可以。 servlet就是java EE。 要大致了解。spring security 底层的原理,方便之后展开学习 spring MVC的核心组件是 disp
7.1 Spring Security
Big Data
11-08 113
Spring Security是一个专注于为java应用程序提供身份认证和授权的框架,它的强大之处在于可以轻松拓展以满足自定义的需求 特征: 对身份的认证和授权提供全面,可拓展的支持 防止各种攻击,如会话固定攻击、点击劫持、csrf攻击 支持与servlet API、Spring MVC等web技术集成 Spring MVC 的核心 DispatcherServlet,所有请求都会发给Di...
java web安全框架_7.1 SpringSecurity安全框架
weixin_33602738的博客
02-19 226
一.SpringSecurity概述1.什么是安全在web开发中,安全第一位!之前使用的过滤器和拦截器都是为了安全的目的。不是网站的功能性需求应该在网站设计之初就考虑安全,防止隐私泄露等安全问题shiro、SpringSecurity框架:除了类不同和名字不一样,基本很像都是认证和授权等。2.Spring Security简介(1)SpringSecurity是针对Spring项目的安全框架,也是...
Spring Boot整合Spring Security
null
03-21 1354
WebSecurityConfigurerAdapter 自定义Security策略AuthenticationManagerBuilder 自定义认证策略@EnableWebSecurity 开启WebSecurity模式@Override//密码加密//配置用户名、密码,该配置方式下,用户名和密码保存在内存中//密码加密方式这里我们就直接固定写死用户名和密码,实际生产中可以从数据库中获取@Service@Override//设置角色,角色的概念后续介绍。
SpringSecurity-前后端分离
最新发布
Life And Code
08-07 685
Spring SecuritySpring家族中的一个安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架,小项目用Shiro的比较多。相比于SpringSecurity,Shiro的上手更加简单。一般Web应用需要进行认证和授权。
Spring Security笔记
weixin_40017062的博客
11-06 278
springsecurity
SpringBoot(2.0.5)+MybatisPlus(3.0.7)项目骨架,支持SpringSecurity+.zip
02-04
这是一个基于SpringBoot 2.0.5版本和MybatisPlus 3.0.7版本的项目骨架,同时集成了SpringSecurity+的安全框架。这个骨架项目为开发者提供了一个快速搭建应用的基础,下面将详细介绍其中涉及的关键技术和知识点。 1....
spring security 参考手册中文版
02-01
8. Spring Security社区 72 8.1问题跟踪 72 8.2成为参与 73 8.3更多信息 73 第二部分 架构与实现 73 9.技术概述 73 9.1运行环境 73 9.2核心组件 74 9.2.1 SecurityContextHolder,SecurityContext和认证对象 74 获取...
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 7926
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
spring security中文文档_疯狂膜拜!阿里出品Spring Security王者晋级文档
weixin_39954674的博客
10-25 2028
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring SecuritySpring 家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security...
社区网站项目3.3 帖子详情
xiaoshuzi666的博客
06-29 1674
  DiscussPostMapper   DiscussPostService   DiscussPostController   index.html 在帖子标题上增加详情页面的链接   discuss-detailed.html 处理静态资源的访问路径 复用index.html的header区域 显示标题、作者、发布时间、帖子正文等内容   在dao包的DiscussPostMapper接口类里,添加 DiscussPost selectDiscussPostById(int id);   在res
社区网站项目2.1发送邮件
xiaoshuzi666的博客
06-13 1440
   登录邮箱,在设置中找到SMTP服务,把它开启。    去mvn库搜索spring mail,找到Spring Boot Mail Starter,把相应配置复制到pom.xml。    在application.properties配置 #MailProperties # 邮件服务器的域名 spring.mail.host=smtp.163.com # 邮件服务器的端口 spring.mail.port=465 spring.mail.username= spring.mail.password= s
社区网站7.7 热帖排行
xiaoshuzi666的博客
08-19 647
  Hacker News Score = (P-1)/(T+2)^G   StackOverflow (log(Qviews)4) + ((QanswersQscore)/5) + sum(Ascores) … (QageInHours+1) - ((AageInHours-Qupdated)/2))^1.5   Nowcoder log(精华分+评论数 ×10 + 点赞数× 2 + 收藏数× 2) + (发布时间-牛客纪元)   在RedisKeyUtil类里,添加 //帖子分数 public
社区网站项目3.2 发布帖子
xiaoshuzi666的博客
06-27 506
  AJAX: (1)Asynchronous JavaScript and XML (2)异步的JavaScript与XML,不是一门新技术,只是一个新的术语 (3)使用AJAX,网页能够将增量更新呈现在页面上,而不需要刷新整个页面 (4)虽然X代表XML,但目前JSON的使用比XML更加普遍 (5)https://developer.mozilla.org/zh-CN/docs/Web/Guide/AJAX   示例: 使用jQuery发送AJAX请求。   实践: 采用AJAX请求,实现发布帖子的功能
社区网站项目3.1 过滤敏感词
xiaoshuzi666的博客
06-27 403
  前缀树: (1)名称:Trie、字典树、查找树 (2)特点:查找效率高,消耗内存大 (3)应用:字符串检索、词频统计、字符串排序等   敏感词过滤器: (1)定义前缀树 (2)根据敏感词,初始化前缀树 (3)编写过滤敏感词的方法   在resources下新建一个存放敏感词的文件sensitive-words.txt 赌博 嫖娼 吸毒 开票   在util包下新建一个SensitiveFilter类,加上@Component注解,并加上构造方法后初始化注解@PostConstruct来加载敏感词文件s
社区网站项目7.3置顶、加精、删除
xiaoshuzi666的博客
08-17 354
  功能实现 (1)点击置顶,修改帖子的类型。 (2)点击“加精”、“删除”,修改帖子的状态。   权限管理 (1)版主可以执行“置顶”、“加精”操作 (2)管理员可以执行“删除”操作。   按钮显示 (1)版主可以看到“置顶”、“加精”按钮。 (2)管理员可以看到“删除”按钮。   在github中搜索thymeleaf-extras-springsecurity。在mvn库里搜thymeleaf springsecurity5,粘贴到pom.xml。   在DiscussPostMapper接口类里,添
Spring Security入门与权限管理详解
该手册由Lingo在2009年发布,主要用于帮助开发者理解和实践Spring Security,一款广泛应用于Java Web应用程序的安全解决方案。 在基础篇中,作者首先引导读者通过一个简单的HelloWorld示例来配置和使用Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值