springsecurity

最新推荐文章于 2024-04-07 22:08:08 发布
最新推荐文章于 2024-04-07 22:08:08 发布
阅读量166 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xlj778/article/details/119568703
版权
本文介绍了如何在Spring Boot应用中使用Spring Security进行安全配置,包括引入依赖、设置用户名和密码的方式(配置文件、配置类、自定义实现类与数据库查询)、自定义登录页面、权限访问控制、用户注销、实现自动登录以及防止CSRF攻击。详细展示了各个配置步骤和关键代码,提供了一个完整的Spring Security实践示例。
摘要由CSDN通过智能技术生成

引入依赖

        

       <!--  引入springsecurity-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

设置用户名和密码

方式一配置文件application.properties

spring.security.user.name=xuliangjie
spring.security.user.password=123456

方式二配置类(配置类和配置文件同时设置,配置类生效)

package com.xu.securitydemo1.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

//第二种方式设置用户名和密码配置类
@Configuration
public class SecurityConfig  extends WebSecurityConfigurerAdapter {

    //继承这个类,需要重写父类的方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //对密码进行加密
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123");

        //用auth设置用户名和密码
        //inMemoryAuthentication()放入内存,设置用户名,设置密码,设置权限
        auth.inMemoryAuthentication().withUser("lucy").password(password).roles("admin");
    }

    //PasswordEncoder是一个接口,BCryptPasswordEncoder是接口的一个实现类,返回PasswordEncoder类型的一个new实现类
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

方式三自定义实现类(最实用,查数据库)

配置类和配置文件都写,配置类生效

这里演示的代码没有进行用户名检验,只要密码正确都能登录

以下是配置类

package com.xu.securitydemo1.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;


//第三种方式设置用户名密码,自定义实现类
@Configuration
public class SecurityConfigByself extends WebSecurityConfigurerAdapter {


    //注入userdetailsservice 实现类
    @Autowired
    private UserDetailsService userDetailsService;

    //继承这个类,需要重写父类的方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //设置UserDetailsService并且对密码加密,然后写一个实现类继承UserDetailsService,实现类查询数据库返回一个user对象包含用户名,密码,以及权限集合
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    //PasswordEncoder是一个接口,BCryptPasswordEncoder是接口的一个实现类,返回PasswordEncoder类型的一个new实现类
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

以下是实现类

package com.xu.securitydemo1.service;


import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

//第三种方式设置用户名密码,创建实现类
@Service("userDetailsService")//取别名,和自定义配置类注入的名字对应(也可以不写@Autowired会默认先根据类型匹配,再根据名字)
public class MyUserDetailsService implements UserDetailsService {


    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        //用户名,密码,权限集合(实际查数据库得到)
        String name = "marry";
        String password = new BCryptPasswordEncoder().encode("123");
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User(name,password,auths);
    }
}

******************************************************************************************************

方式三查询数据库实现

1.

#数据库连接
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/securitydemo?serverTimezone=GMT%2B8
spring.datasource.username=root
spring.datasource.password=root

2.实体类

package com.xu.securitydemo1.entity;


import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
public class User {


    //private int id 不包含null,Integer可以包含为null的值
    private Integer id;
    private String username;
    private String password;
}

3.mapper

package com.xu.securitydemo1.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.xu.securitydemo1.entity.User;
import org.springframework.stereotype.Repository;


@Repository
public interface UserMapper extends BaseMapper<User> {

}

4.service

package com.xu.securitydemo1.service;


import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.xu.securitydemo1.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

//第三种方式设置用户名密码,创建实现类
@Service("userDetailsService")//取别名,和自定义配置类注入的名字对应(也可以不写@Autowired会默认先根据类型匹配,再根据名字)
public class MyUserDetailsService implements UserDetailsService {


    //用autowired需要在UserMapper加上repository,不加repository需要用resource
    //resource根据名称注入,Autowired根据类型注入
    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        //String s前端传过来一个用户名,根据用户名去查数据库
        //我理解的是User是一个关键字之类的,所以自动变成全路径
        QueryWrapper<com.xu.securitydemo1.entity.User> wrapper = new QueryWrapper<>();
        wrapper.eq("username", s);
        com.xu.securitydemo1.entity.User user = userMapper.selectOne(wrapper);

        //判断
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");
        }

        //用户名,密码,权限集合(实际查数据库得到)
        String username = user.getUsername();
        String password = new BCryptPasswordEncoder().encode(user.getPassword());
        //权限集合我在数据库还没写,用这个测试
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User(username,password,auths);
    }
}

5.启动类

package com.xu.securitydemo1;

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
//扫描mapper包去找到实现类
@MapperScan(basePackages = {"com.xu.securitydemo1.mapper"})//没有写mapper的实现类,basemapper里封装了实现类,basemapper的sql语句在一个枚举类里SqlMethod
public class  Securitydemo1Application {

    public static void main(String[] args) {
        SpringApplication.run(Securitydemo1Application.class, args);
    }

}

*********************************************************************************************

自定义登录页面

写在第三种方式的配置类里

package com.xu.securitydemo1.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;


//第三种方式设置用户名密码,自定义实现类
@Configuration
public class SecurityConfigByself extends WebSecurityConfigurerAdapter {


    //注入userdetailsservice 实现类
    @Autowired
    private UserDetailsService userDetailsService;

    //继承这个类,需要重写父类的方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //设置UserDetailsService并且对密码加密,然后写一个实现类继承UserDetailsService,实现类查询数据库返回一个user对象包含用户名,密码,以及权限集合
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    //PasswordEncoder是一个接口,BCryptPasswordEncoder是接口的一个实现类,返回PasswordEncoder类型的一个new实现类
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }


    //自定义登录页面
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()                      //自定义登录页面
                .loginPage("/login.html")     //自定义页面地址
                .loginProcessingUrl("/user/login")       //登录提交表单之后访问的路径进行UserDetailsService的验证
                .defaultSuccessUrl("/test/index").permitAll()                //登录成功跳转到的路径
                .and().authorizeRequests()
                .antMatchers("/", "/test/hello", "/user/login").permitAll()    //设置哪些路径不需要登录认证可以直接访问
                .anyRequest().authenticated()   //表示所有请求都需要认证
                .and().csrf().disable();//关闭csrf防护
    }

}

********************************************************************************************************

权限访问

增删改查权限:

hasAuthority()方法只能写一个权限

 //表示当前登录的用户只有admins权限的才能访问/test/index
.antMatchers("/test/index").hasAuthority("admins")

hasAnyAuthority()方法有任一权限都可以访问

//hasAnyAuthority()方法有任一权限都可以访问
.antMatchers("/test/index").hasAnyAuthority("admins,manager")

用户的角色权限:

hasRole()方法和hasAuthority()类似,区别在于hasRole源码中会将sale变成ROLE_sale,所以数据库存储要写ROLE_sale

//hasRole()方法和hasAuthority()类似,区别在于hasRole源码中会将sale变成ROLE_sale,所以数据库存储要写ROLE_sale
.antMatchers("/test/index").hasRole("sale")

hasAnyRole()方法和hasAnyAuthority()类似,任一权限满足就可访问,也要加上ROLE_

//4.hasAnyRole()方法和hasAnyAuthority()类似,任一权限满足就可访问,也要加上ROLE_
.antMatchers("/test/index").hasAnyRole("sale,role")

***********************************************************************************************

配置由于没有权限跳转的页面

package com.xu.securitydemo1.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;


//第三种方式设置用户名密码,自定义实现类
@Configuration
public class SecurityConfigByself extends WebSecurityConfigurerAdapter {


    //注入userdetailsservice 实现类
    @Autowired
    private UserDetailsService userDetailsService;

    //继承这个类,需要重写父类的方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //设置UserDetailsService并且对密码加密,然后写一个实现类继承UserDetailsService,实现类查询数据库返回一个user对象包含用户名,密码,以及权限集合
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    //PasswordEncoder是一个接口,BCryptPasswordEncoder是接口的一个实现类,返回PasswordEncoder类型的一个new实现类
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }


    //自定义登录页面
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()                      //自定义登录页面
                .loginPage("/login.html")     //自定义页面地址
                .loginProcessingUrl("/user/login")       //登录提交表单之后访问的路径进行UserDetailsService的验证
                .defaultSuccessUrl("/test/index").permitAll()                //登录成功跳转到的路径
                .and().authorizeRequests()
                .antMatchers("/", "/test/hello", "/user/login").permitAll()    //设置哪些路径不需要登录认证可以直接访问
                 //表示当前登录的用户只有admins权限的才能访问/test/index
                //1.hasAuthority()方法只能写一个权限
                //.antMatchers("/test/index").hasAuthority("admins")
                //2.hasAnyAuthority()方法有任一权限都可以访问
                //.antMatchers("/test/index").hasAnyAuthority("admins,manager")
                //3.hasRole()方法和hasAuthority()类似,区别在于hasRole源码中会将sale变成ROLE_sale,所以数据库存储要写ROLE_sale
                //.antMatchers("/test/index").hasRole("sale")
                //4.hasAnyRole()方法和hasAnyAuthority()类似,任一权限满足就可访问,也要加上ROLE_
                .antMatchers("/test/index").hasAnyRole("xxx")
                .anyRequest().authenticated()
                .and().csrf().disable();//关闭csrf防护


        //配置没有权限跳转的页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
    }

}

**************************************************************************************************************

授权注解

@Secured({"ROLE_sale"})

在启动类上加上@EnableGlobalMethodSecurity(securedEnabled = true)//开启注解配置权限

//这个注解的含义是当前用户具有ROLE_sale这个角色才访问下面的方法
@Secured({"ROLE_sale"})
@GetMapping("update")
public  String update() {
    return "update";
}

@PreAuthorize("hasAnyAuthority('admins')")

在启动类上加上@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)//开启注解配置权限
//这个注解表示当前用户有这个权限才能访问下面的方法
@PreAuthorize("hasAnyAuthority('admins')")
@GetMapping("upup")
public  String upup() {
    return "upup";
}

以上两个注解其实作用差不多,和配置类里的那几个类似,是否需要ROLE_前缀的区别

@PostAuthorize("hasAnyAuthority('admins')")

在启动类上加上@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)//开启注解配置权限

//这个注解是先执行方法再验证权限(感觉用处不大)
@PostAuthorize("hasAnyAuthority('admins')")
@GetMapping("xxxx")
public  String xxxx() {
    System.out.println("xxxxxxxxxxxxxxx");
    return "xxxx";
}

@PostFilter对返回的数据进行过滤

@PreFilter对前端传入的数据进行过滤

具体使用时再百度

***********************************************************************************************************

注销用户退出

package com.xu.securitydemo1.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;


//第三种方式设置用户名密码,自定义实现类
@Configuration
public class SecurityConfigByself extends WebSecurityConfigurerAdapter {


    //注入userdetailsservice 实现类
    @Autowired
    private UserDetailsService userDetailsService;

    //继承这个类,需要重写父类的方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //设置UserDetailsService并且对密码加密,然后写一个实现类继承UserDetailsService,实现类查询数据库返回一个user对象包含用户名,密码,以及权限集合
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    //PasswordEncoder是一个接口,BCryptPasswordEncoder是接口的一个实现类,返回PasswordEncoder类型的一个new实现类
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }


    //自定义登录页面
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()                      //自定义登录页面
                .loginPage("/login.html")     //自定义页面地址
                .loginProcessingUrl("/user/login")       //登录提交表单之后访问的路径进行UserDetailsService的验证
                .defaultSuccessUrl("/success.html").permitAll()                //登录成功跳转到的路径
                .and().authorizeRequests()
                .antMatchers("/", "/test/hello", "/user/login").permitAll()    //设置哪些路径不需要登录认证可以直接访问
                 //表示当前登录的用户只有admins权限的才能访问/test/index
                //1.hasAuthority()方法只能写一个权限
                //.antMatchers("/test/index").hasAuthority("admins")
                //2.hasAnyAuthority()方法有任一权限都可以访问
                //.antMatchers("/test/index").hasAnyAuthority("admins,manager")
                //3.hasRole()方法和hasAuthority()类似,区别在于hasRole源码中会将sale变成ROLE_sale,所以数据库存储要写ROLE_sale
                //.antMatchers("/test/index").hasRole("sale")
                //4.hasAnyRole()方法和hasAnyAuthority()类似,任一权限满足就可访问,也要加上ROLE_
                .antMatchers("/test/index").hasAnyRole("sale")
                .anyRequest().authenticated()
                .and().csrf().disable();//关闭csrf防护


        //配置没有权限跳转的页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");


        //退出跳转到其他页面     .logoutUrl("/logout")是点击退出的超链接地址     .logoutSuccessUrl("/test/hello")是退出成功后跳转的页面
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();
    }

}


<body>
登录成功
<a href="/logout">退出</a>
</body>

**************************************************************************************************************

实现自动登录

流程:

 

通过这个实现类来操作数据库

配置类

package com.xu.securitydemo1.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import javax.sql.DataSource;


//第三种方式设置用户名密码,自定义实现类
@Configuration
public class SecurityConfigByself extends WebSecurityConfigurerAdapter {


    //注入userdetailsservice 实现类
    @Autowired
    private UserDetailsService userDetailsService;

    //注入数据源
    @Autowired
    private DataSource dataSource;

    //PersistentTokenRepository这个是相当于mapper,里面定义了操作数据库的方法
    //JdbcTokenRepositoryImpl是继承PersistentTokenRepository这个接口的实现类
    //JdbcTokenRepositoryImpl里有对数据库操作的具体内容
    //@Bean将这个对象交给spring管理
    @Bean
    public PersistentTokenRepository persistentTokenRepository() {

        //new操作数据库的对象
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();

        //设置数据源来操作具体的数据库
        jdbcTokenRepository.setDataSource(dataSource);

        //这句话的意思是自动创建表(已手动创建就不需要加)
        //jdbcTokenRepository.setCreateTableOnStartup(true);

        //返回操作数据库的对象
        return jdbcTokenRepository;
    }

    //继承这个类,需要重写父类的方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        //设置UserDetailsService并且对密码加密,然后写一个实现类继承UserDetailsService,实现类查询数据库返回一个user对象包含用户名,密码,以及权限集合
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    //PasswordEncoder是一个接口,BCryptPasswordEncoder是接口的一个实现类,返回PasswordEncoder类型的一个new实现类
    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }


    //自定义登录页面
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()                      //自定义登录页面
                .loginPage("/login.html")     //自定义页面地址
                .loginProcessingUrl("/user/login")       //登录提交表单之后访问的路径进行UserDetailsService的验证
                .defaultSuccessUrl("/success.html").permitAll()                //登录成功跳转到的路径
                .and().authorizeRequests()
                .antMatchers("/", "/test/hello", "/user/login").permitAll()    //设置哪些路径不需要登录认证可以直接访问
                 //表示当前登录的用户只有admins权限的才能访问/test/index
                //1.hasAuthority()方法只能写一个权限
                //.antMatchers("/test/index").hasAuthority("admins")
                //2.hasAnyAuthority()方法有任一权限都可以访问
                //.antMatchers("/test/index").hasAnyAuthority("admins,manager")
                //3.hasRole()方法和hasAuthority()类似,区别在于hasRole源码中会将sale变成ROLE_sale,所以数据库存储要写ROLE_sale
                //.antMatchers("/test/index").hasRole("sale")
                //4.hasAnyRole()方法和hasAnyAuthority()类似,任一权限满足就可访问,也要加上ROLE_
                .antMatchers("/test/index").hasAnyRole("sale")
                .anyRequest().authenticated()
                //设置操作数据库的对象persistentTokenRepository(),就是在前面定义的
                .and().rememberMe().tokenRepository(persistentTokenRepository())
                //设置有效时长,秒为单位
                .tokenValiditySeconds(60)
                //用userDetailsService的底层去操作数据库
                .userDetailsService(userDetailsService)
                .and().csrf().disable();//关闭csrf防护


        //配置没有权限跳转的页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");


        //退出跳转到其他页面     .logoutUrl("/logout")是点击退出的超链接地址     .logoutSuccessUrl("/test/hello")是退出成功后跳转的页面
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();
    }

}

 

第一步创建数据库表:

CREATE TABLE `persistent_logins`( 
    `username` VARCHAR(64) NOT NULL,
    `series` VARCHAR(64) NOT NULL,
    `token` VARCHAR(64) NOT NULL,
    `last_used` TIMESTAMP NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP,
    PRIMARY KEY (`series`)
 )ENGINE = INNODB DEFAULT CHARSET=utf8; 

第二步配置类里注入数据源,配置操作数据库的对象

//注入数据源
@Autowired
private DataSource dataSource;

//PersistentTokenRepository这个是相当于mapper,里面定义了操作数据库的方法
//JdbcTokenRepositoryImpl是继承PersistentTokenRepository这个接口的实现类
//JdbcTokenRepositoryImpl里有对数据库操作的具体内容
//@Bean将这个对象交给spring管理
@Bean
public PersistentTokenRepository persistentTokenRepository() {

    //new操作数据库的对象
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();

    //设置数据源来操作具体的数据库
    jdbcTokenRepository.setDataSource(dataSource);

    //这句话的意思是自动创建表(已手动创建就不需要加)
    //jdbcTokenRepository.setCreateTableOnStartup(true);

    //返回操作数据库的对象
    return jdbcTokenRepository;
}

第三步配置类配置自动登录

//设置操作数据库的对象persistentTokenRepository(),就是在前面定义的
.and().rememberMe().tokenRepository(persistentTokenRepository())
//设置有效时长,秒为单位
.tokenValiditySeconds(60)
//用userDetailsService的底层去操作数据库
.userDetailsService(userDetailsService)

第四步前端设置一个复选框来自动登录

<form action="/user/login" method="post">
    用户名:<input type="text" name="username"/>
    <br/>
    密码:<input type="password" name="password"/>
    <br/>
<!--   必须要叫remember-me,因为框架设置好的只会找这个名字-->
    <input type="checkbox" name="remember-me">自动登录
    <br/>
    <input type="submit" value="login"/>
</form>

****************************************************************************************************

CSRF跨站请求伪造

不开启这个csrf会造成同一个浏览器打开多个页面,其他页面也能得到你网站的信息,csrf攻击(实际上是借助浏览器对认证过的网站假装是本人对服务器发送请求)

从springsecurity4.0开始默认开启了csrf保护,这个不对get请求进行防护,只对put,post,delete防护

而我在之前测试的时候关闭了这个防护。

.and().csrf().disable();//关闭csrf防护

需要引入thymeleaf模板引擎

<!--        引入Thymeleaf添加对springsecurity的标签支持-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
        </dependency>

在前端登录页加上(必须写在templates下,因为是thymeleaf)

<html lang="en" xmlns:th=" http://www.thymeleaf.org">添加th支持
<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">

*********************************************************************************************************

微服务权限部分

单点登录

 

xlj778
关注
hasRole hasAuthority 的区别与小坑
weixin_43763403的博客
05-12 2169
这两个方法本质上没什么区别只不过hasRole自动的将前面加上了ROLE_这个字符串,导致做权限判断的时候需要加上ROLE_。下面贴个代码理解理解。 //这里加上了ROLE_ 如果这里没加那么就变成了 user 权限和ROLE_user 权限做判断了 //这里是new 一个授权类型的对象 GrantedAuthority grantedAuthority1 = new SimpleGrantedAuthority("ROLE_user"); //我这里做判断的时候没加 ROLE_ 但是 hasRole
看源码,重新审视Spring Security中的角色(roles)是怎么回事
江成军的专栏
01-27 1802
在网上看见不少的博客、技术文章,发现大家对于Spring Security中的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其中角色和权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
Spring Security
qq_43761240的博客
06-24 394
创建springboot项目在pom.xml文件添加依赖 创建controller包并创建TestController类 启动后输入http://localhost:8080/test/add会出现登录页面输入账户名为:user,密码在控制台里面找:Using generated security password: 5bc472f4-65d4-4db5-9ae6-2c6a078dfbba后才能访问页面。设置登录的用户名和密码在application.properties写入配置 第二种方式:通过
初学spring security(四)-----角色权限控制
m0_48631806的博客
03-25 1511
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。2.hasAnyAuthority(String ...) 如果用户具备给定权限中某一个,就允许访问。// 如果用户没有"adMin","admiN"这两个权限,将被拒绝访问(区分大小写)3.hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
Spring Security 权限说明
'水' 库
03-05 929
hasRole([role])返回true如果当前主体拥有特定角色 hasAnyRole([role1,role2])返回当前主体拥有任何一个提供的角色(使用逗号分隔的字符串队列) principal允许直接访问主体对象,表示当前用户 authentication允许直接访问当前Authentication对象从SecurityContext中获得 permitAll一直返回true d
SpringSecurity入门
傻了积威的博客
09-18 332
SpringSecurity springsecurity本质上是一个过滤器链(多个过滤器组成) 过滤器加载 配置DelegatingFilterProxy、在doFilter中调用initDelegate()获取过滤链(FilterChainProxy)对象,在过滤链对象中获取Security的所有过滤器 UserDetailsService 通过数据库查询用户信息 PasswordEncoder 对密码进行加密 设置用户名和密码 通过配置文件 spring: security: user:
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
SpringSecurity
hi_bigguy的博客
08-31 212
参考博客: 入门:http://www.zijin.net/news/tech/1190163.html 去掉默认前端认证登入:https://blog.csdn.net/russle/article/details/82454921 默认需配置加密规则:https://blog.csdn.net/canon_in_d_major/article/details/79675033 访问数据库完整配...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity(06)——权限注解
peng_gx的博客
01-15 1517
SpringSecurity权限注解
Spring Security——10,其他权限校验方法
最新发布
weixin_42858422的博客
04-07 515
hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更。hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。hasRole要求有对应的角色才可以访问,但是它内部会把我们传入的参数拼接上。
Spring——Security安全框架之权限限定
专注写bug
02-22 2319
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
SpringSecurity原理剖析及其实战(五)
weixin_43934626的博客
11-08 896
SpringSecurity原理剖析及其实战(五)1、用户授权(访问控制)2、基于权限的访问控制3、基于表达式的访问控制4、方法授权5 、授权原理6、授权流程 1、用户授权(访问控制) 什么是授权? 授权的方式常分为两种,web授权和方法授权,web授权是通过url拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurity
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
[SpringSecurity]web权限方案_用户授权_基于权限访问控制_基于角色访问控制_hasAuthority和hasAnyAuthority_hasRolehasAnyRole
m0_51955470的博客
02-28 2401
基于角色或权限进行访问控制 hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false 在配置类设置当前访问地址有哪些 @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设
SpringSecurity中基于角色或权限进行访问控制
xzy的博客
01-21 1211
文章目录SpringSecurity中基于角色或权限进行访问控制1.在SpringSecurity配置类中的configure(HttpSecurity http)中的代码2.UserDetailService实现类中的代码3.SpringSecurity配置类中的configure(AuthenticationManagerBuilder auth)方法4.浏览器中的验证登录页面5.没有权限或角色的时候浏览器中的禁止页面 SpringSecurity中基于角色或权限进行访问控制 1.在SpringSecu
Spring Security学习笔记
小松鼠的博客
08-08 1223
Spring Security是基于Spring的一套权限框架,它有两大重要核心功能:用户认证和用户授权。用户认证指的是某个用户能否访问该系统,用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般在系统中,不同的用户会分配不同的角色,不同的角色也对应不同的权限。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值