SpringBoot整合Security静态权限案例

最新推荐文章于 2024-04-22 22:55:10 发布
最新推荐文章于 2024-04-22 22:55:10 发布
阅读量347 收藏
点赞数
文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xm393392625/article/details/130236461
版权

一、相关pom依赖

 <dependencies>
        <!-- SpringBoot整合Web组件 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
       
        <!-- springBoot整合freemarker -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-freemarker</artifactId>
        </dependency>

        <!--springBoot整合security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

    </dependencies>

二、案例环境准备代码

1)、application.yml

server:
  port: 9001
# 配置freemarker
spring:
  freemarker:
    # 设置模板后缀名
    suffix: .ftl
    # 设置文档类型
    content-type: text/html
    # 设置页面编码格式
    charset: UTF-8
    # 设置页面缓存
    cache: false
    # 设置ftl文件路径
    template-loader-path:
      - classpath:/templates
  # 设置静态文件路径,js,css等
  mvc:
    static-path-pattern: /static/**

2)、controller案例代码

@Controller
public class OrderController {
	// 首页
	@RequestMapping("/")
	public String index() {
		return "index";
	}

	// 查询订单
	@RequestMapping("/showOrder")
	public String showOrder() {
		return "showOrder";
	}

	// 添加订单
	@RequestMapping("/addOrder")
	public String addOrder() {
		return "addOrder";
	}

	// 修改订单
	@RequestMapping("/updateOrder")
	public String updateOrder() {
		return "updateOrder";
	}

	// 删除订单
	@RequestMapping("/deleteOrder")
	public String deleteOrder() {
		return "deleteOrder";
	}

	// 自定义登陆页面
	@GetMapping("/login")
	public String login() {
		return "login";
	}

}

3)、默认配置时测试访问主页,默认是fromLogin模式

三、修改默认配置

1)、httpBasicm模式案例(浏览器与服务器做认证授权)

配置安全认证:

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置认证用户信息和权限
     * @param auth 认证
     * @throws Exception 异常
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //设置账户权限
        auth.inMemoryAuthentication().withUser("admin").password("123456").authorities("addOrder");

    }

    /**
     * 配置拦截请求资源
     * @param http 请求
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //拦截所有请求,设置认证模式为httpBasic
        http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();
    }

    /**
     * 配置密码不加密
     * @return NoOpPasswordEncoder
     */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder(){
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

}

访问主页:

2)、formLogin模式案例

配置安全认证:

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置认证用户信息和权限
     * @param auth 认证
     * @throws Exception 异常
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //设置管理员有showOrder updateOrder addOrder deleteOrder 权限
        auth.inMemoryAuthentication().withUser("admin").password("123456").authorities("showOrder","updateOrder","addOrder","deleteOrder");
        //设置普通用户有showOrder updateOrder  权限
        auth.inMemoryAuthentication().withUser("user").password("123456").authorities("showOrder","updateOrder");

    }

    /**
     * 配置拦截请求资源
     * @param http 请求
     * @throws Exception 异常
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //拦截所有请求,设置认证模式为formLogin
        http.authorizeRequests()
                //配置查询订单权限
                .antMatchers("/showOrder").hasAnyAuthority("showOrder")
                //配置新增订单权限
                .antMatchers("/addOrder").hasAnyAuthority("addOrder")
                //配置修改订单权限
                .antMatchers("/updateOrder").hasAnyAuthority("updateOrder")
                //配置删除订单权限
                .antMatchers("/deleteOrder").hasAnyAuthority("deleteOrder")
                .antMatchers("/**").fullyAuthenticated().and().formLogin();
    }

    /**
     * 配置密码不加密
     * @return NoOpPasswordEncoder
     */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder(){
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }

}

验证结果管理员有所有权限,普通用户只有查询和修改权限:

四、配置自定义错误页和登入页

1)、错误页

@Configuration
public class WebServerAutoConfiguration {
    @Bean
    public ConfigurableServletWebServerFactory webServerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        ErrorPage errorPage400 = new ErrorPage(HttpStatus.BAD_REQUEST, "/error/400");
        ErrorPage errorPage401 = new ErrorPage(HttpStatus.UNAUTHORIZED, "/error/401");
        ErrorPage errorPage403 = new ErrorPage(HttpStatus.FORBIDDEN, "/error/403");
        ErrorPage errorPage404 = new ErrorPage(HttpStatus.NOT_FOUND, "/error/404");
        ErrorPage errorPage415 = new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE, "/error/415");
        ErrorPage errorPage500 = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500");
        factory.addErrorPages(errorPage400, errorPage401, errorPage403, errorPage404, errorPage415, errorPage500);
        return factory;
    }
}
@Controller
public class ErrorController {

	// 403权限不足页面
	@RequestMapping("/error/403")
	public String error() {
		return "/error/403";
	}
	...
}

2)、登入页

http.authorizeRequests()
                //配置查询订单权限
                .antMatchers("/showOrder").hasAnyAuthority("showOrder")
                //配置新增订单权限
                .antMatchers("/addOrder").hasAnyAuthority("addOrder")
                //配置修改订单权限
                .antMatchers("/updateOrder").hasAnyAuthority("updateOrder")
                //配置删除订单权限
                .antMatchers("/deleteOrder").hasAnyAuthority("deleteOrder")
                //配置自定义登入页,禁用csrf(方便演示)
                .antMatchers("/**").fullyAuthenticated().and().formLogin().loginPage("/login").and().csrf().disable();

3)、自定义认证成功或者失败处理

@Component
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

	public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse res, AuthenticationException auth)
			throws IOException, ServletException {
		System.out.println("用户认证失败");
		res.sendRedirect("https://www.zhqwfj.xyz");
	}

}

@Component
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

	// 用户认证成功
	public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse res, Authentication auth)
			throws IOException, ServletException {
		System.out.println("用户登陆成功");
		res.sendRedirect("/");
	}
}

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Autowired
    private MyAuthenticationSuccessHandler successHandler;
	@Autowired
    private MyAuthenticationFailureHandler failHandler;
	// 用户认证信息
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		// 设置用户账号信息和权限
		 auth.inMemoryAuthentication().withUser("admin").password("123456").authorities("showOrder","addOrder","updateOrder","deleteOrder");
		 // 添加 useradd账号 只有添加查询和添加订单权限
		 auth.inMemoryAuthentication().withUser("userAdd").password("123456")
			.authorities("showOrder","addOrder");
	}

	// 配置HttpSecurity 拦截资源
	protected void configure(HttpSecurity http) throws Exception {
// 拦截请求, 权限名称
		http.authorizeRequests()
		.antMatchers("/showOrder").hasAnyAuthority("showOrder")
		.antMatchers("/addOrder").hasAnyAuthority("addOrder")
		.antMatchers("/login").permitAll()
		.antMatchers("/updateOrder").hasAnyAuthority("updateOrder")
		.antMatchers("/deleteOrder").hasAnyAuthority("deleteOrder")
		//并且关闭csrf
		.antMatchers("/**").fullyAuthenticated().and().formLogin().loginPage("/login").successHandler(successHandler).failureHandler(failHandler).and().csrf().disable();
		
	
	}

	// SpringBoot2.0抛弃了原来的NoOpPasswordEncoder,要求用户保存的密码必须要使用加密算法后存储,在登录验证的时候Security会将获得的密码在进行编码后再和数据库中加密后的密码进行对比
	@Bean
	public static NoOpPasswordEncoder passwordEncoder() {
		return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
	}

}

夏木炎
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
狂神spring-security静态资源.zip
10-07
狂神spring-security静态资源.zip
Spring Security核心组件之授权
clyu的博客
01-01 3508
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 一、 URL层面的授权 1.1 访问控制url的匹配 在配置类中http.authorizeRequests()主要是对url进行控制。配置顺序会影响之后授权的效果,越是具体的应该放在前面,越是笼统的应该放到后面。 anyRequ
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
SpringSecuritySpringSecurity版本5.7.4静态资源放行失败解决,SpringBoot版本2.7.5
nifengdeshuye的博客
11-21 4736
Spring Security静态资源访问被拦截,无法实现。static目录无法访问,但其它的目录可以访问,或者配置SpringMVC的静态资源映射,映射到static目录。
SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403
hd_cash的博客
05-13 9612
1:静态资源和无需权限页面放行 如果是static下的静态资源或者无需验证身份即可访问的页面,可以通过在SpringSecurity的配置类中配置放行: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //无需认证的为static下的静态资源,以及/index请求 .antMa
Spring boot项目设置加载静态资源的路径(spring.resources.static-locations)
热门推荐
南熏门前一只喵
10-25 2万+
默认Springboot将从如下位置按如下顺序加载jar包对应前端静态资源: 1.jar包同级static目录 2.jar包同级public目录 3.jar包同级resource目录 4.jar包/META-INF/resources 在调试模式下,Springboot将从class目录中按如下顺序加载对应前端静态资源 1.class目录下static目录 2.class目录下public目录 3...
SpringSecurity 配置静态资源和请求不启用过滤器链
你今天真好看呀
08-21 2083
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的和方法级的。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。
SpringBoot整合权限控制SpringSecurity.docx
12-10
SpringBoot整合权限控制SpringSecurity
springboot整合Security、OAuth2实现权限控制
09-24
通过用户角色实现用户登录鉴权,springboot+Redis+Security+OAuth2
springboot springsecurity动态权限控制
09-18
springboot springsecurity动态权限控制,实现数据库动态管理菜单权限
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot整合Spring Security的详细教程
08-18
主要介绍了SpringBoot整合Spring Security的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Boot 静态资源访问
weixin_51311741的博客
05-12 1万+
静态资源访问 Spring Boot 访问静态资源SpringBoot 项目中没有我们之前常规 web 开发的WebContent(WebApp),它只有 src 目录。在 src/main/resources 下面有两个文件夹,static 和 templates。 SpringBoot 默认在 static 目录中存放静态页面,而 templates 中放动态页面。 1 static 目录 Spring Boot 通过 classpath/static 目录访问静态资源。注意存放静态资源
Spring Boot2 系列教程(十一)Spring Boot 中的静态资源配置
江南一点雨的专栏
10-17 3078
当我们使用 SpringMVC 框架时,静态资源会被拦截,需要添加额外配置,之前老有小伙伴在微信上问松哥 Spring Boot 中的静态资源加载问题:“松哥,我的 HTML 页面好像没有样式?”,今天我就通过一篇文章,来和大伙仔细聊一聊这个问题。 1. SSM 中的配置 要讲 Spring Boot 中的问题,我们得先回到 SSM 环境搭建中,一般来说,我们可以通过 <mvc:resour...
解决Spring Boot访问resources目录下的static资源问题(详细版)
dubulingbo的博客
12-23 2万+
Spring boot 日常填坑
SpringBoot静态资源的访问与管理
weixin_50216991的博客
05-05 1930
主要讲解SpringBoot静态资源管理。
SpringBoot静态资源访问配置
小青年的博客
02-07 5949
一、默认静态资源映射规则 Spring Boot 默认将 / 的所有访问映射到以下目录: classpath:/static classpath:/public classpath:/resources classpath:/META-INF/resources 接下来,在 main/resources下新建 static、public 和 resources 三个文件夹,分别放入 a.png、b.png 和 c.png三张图片,启动项目,分别访问: http://localhost:8080/a.png
SpringBoot_静态资源目录及访问
Mudrock__的博客
05-23 6032
一.静态资源目录 默认静态资源目录为resources目录下的static 不过META-INF/resources、public、resources、static均为官方指定的静态资源目录,但除static外均需要自行创建 其读取优先级为 /META-INF/resources > resources > static > public 若不想使用官方指定的静态资源目录,可进行自行配置,但需要注意的是,一旦自行配置静态资源目录,官方配置将失效 spring.resou
快速构建Spring boot项目
最新发布
Fxdll的博客
04-22 663
2、运行4、开发环境热部署查看目前已有的依赖。
springboot整合security进行权限校验
03-29
Spring Boot是一个快速开发应用程序的框架,Spring Security是一个安全框架,可以对应用程序进行身份验证和授权。在Spring Boot中,可以将Spring Security与应用程序集成,实现对用户身份验证和授权的支持。 以下是在Spring Boot整合Spring Security进行权限校验的步骤: 1. 添加Spring Security依赖 在build.gradle或pom.xml中添加Spring Security依赖: ``` implementation 'org.springframework.boot:spring-boot-starter-security' ``` 2. 创建Spring Security配置类 创建一个继承自WebSecurityConfigurerAdapter的配置类: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private BCryptPasswordEncoder bCryptPasswordEncoder; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and().formLogin() .and().logout().logoutUrl("/logout").logoutSuccessUrl("/login") .permitAll(); } } ``` 在configure方法中配置Spring Security: - 配置用户认证,使用UserDetailsService实现类和BCryptPasswordEncoder进行密码加密 - 配置请求授权,指定请求路径需要哪些角色才能访问 - 配置登录页面和登出路径 3. 创建用户实体类和用户认证实现类 创建一个用户实体类和一个实现UserDetailsService接口的用户认证实现类: ``` @Entity @Table(name = "users") public class User implements UserDetails { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(name = "username") private String username; @Column(name = "password") private String password; @Column(name = "enabled") private boolean enabled; @ManyToMany(fetch = FetchType.EAGER) @JoinTable(name = "user_roles", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "role_id")) private Set<Role> roles = new HashSet<>(); // getters and setters @Override public Collection<? extends GrantedAuthority> getAuthorities() { return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList()); } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } } ``` ``` @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } return user; } } ``` 4. 创建角色实体类和角色认证实现类 创建一个角色实体类和一个实现GrantedAuthority接口的角色认证实现类: ``` @Entity @Table(name = "roles") public class Role implements GrantedAuthority { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(name = "name") private String name; // getters and setters @Override public String getAuthority() { return name; } } ``` ``` @Service public class RoleServiceImpl implements RoleService { @Autowired private RoleRepository roleRepository; @Override public Role findByName(String name) { return roleRepository.findByName(name); } } ``` 5. 创建控制器 创建一个控制器,用于测试权限校验: ``` @RestController public class TestController { @GetMapping("/admin") public String admin() { return "Hello Admin"; } @GetMapping("/user") public String user() { return "Hello User"; } } ``` 6. 启动应用程序 现在可以启动应用程序并访问控制器中的/admin和/user路径。只有具有相应角色的用户才能访问。 以上是在Spring Boot整合Spring Security进行权限校验的步骤,希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值