springSecurity之java配置篇

最新推荐文章于 2024-08-29 17:16:23 发布
最新推荐文章于 2024-08-29 17:16:23 发布
阅读量619 收藏
点赞数
分类专栏: springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/youku1327/article/details/106585143
版权

一 前言

本篇是springSecurity知识的入门第二篇,主要内容是如何使用java配置的方式进行配置springSeciruty,然后通过一个简单的示例自定义登陆页面,覆盖原有springSecurity默认的登陆页面;学习这篇的基础是 知识追寻者之前发布 过 的《springSecurity入门篇》

公众号:知识追寻者

知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;)

二 java配置

2.1配置账号密码

如下所示, 使用 @EnableWebSecurity 在配置类上开启security配置功能; 在配置类中定义bean 名为 UserDetailsService, 主要是 负责 设置账号密码,拦截URL,校验成功后重定向至URL;如果要使用多用户,使用 manager.createUser 方法即可;

/**
 * @Author lsc
 * <p> </p>
 */
@EnableWebSecurity// 开启springSecurity
public class WebSecurityConfig {

    /* *
     * @Author lsc
     * <p> 主要是让SpringSecurity知道springSecurityFilterChain负责管理应用的URL
     * 校验,通过账号,密码的方式校验成功后重定向至应用;
     *  </p>
     * @Param []
     */
    @Bean
    public UserDetailsService userDetailsService() throws Exception {
        //
        User.UserBuilder users = User.withDefaultPasswordEncoder();
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(users.username("user").password("user").roles("USER").build());
        manager.createUser(users.username("admin").password("admin").roles("USER","ADMIN").build());
        return manager;
    }

}

访问 localhost:8080/login 此时输入的密码就是 user , user ; 或者 admin, admin;

2.2 默认授权配置

如下所示 往配置类中 添加 配置类,其 继承 WebSecurityConfigurerAdapter, 重写 configure(HttpSecurity http) 方法, 此方便的作用就是Security 的授权过程,如下示例中,任何的请求都需要认证才可以访问,并且登陆页面还是security自带的登陆页面;

    @Configuration
    public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                    .authorizeRequests(authorize ->
                            authorize // 授权
                            .anyRequest() // 任何请求
                            .authenticated() // 认证认证
                    )
                    .formLogin(withDefaults()); //
        }
    }

2.3 过滤器顺序

再向配置中添加如下配置,其内容和上节内容差不多,但是 拦截的url 是 以/api 为开头的URL, 并且 是 ADMIN 角色才拥有访问权限; 使用@Order(1), 过滤器配置会优先走着条配置,其次才是上节 的配置;

    @Configuration
    @Order(1)
    public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
        protected void configure(HttpSecurity http) throws Exception {
            http
                    .antMatcher("/api/**")
                    .authorizeRequests(authorize -> authorize
                            .anyRequest().hasRole("ADMIN")
                    )
                    .httpBasic(withDefaults())
                    .formLogin(withDefaults());
        }
    }

控制层添加代码如下

    @GetMapping("api/login")
    public String login(){
        return "login";
    }

首先使用user用户访问 http://localhost:8080/api/login 账号密码校验成功后跳转应用请求url, 出现禁止页面,原因是user没有ADMIN角色权限;

然后使用admin用户登陆访问 http://localhost:8080/api/login 账号密码校验成功后跳转应用请求url 正常放问;

登陆页面如下

登陆成功后跳转如下

三 自定义登陆页面

3.1 实现自定页面登陆

自定义登陆页面 知识追寻者这边需要引入引擎模板依赖 , thymeleaf; application配置如下

spring:
  # 引擎模板配置
  thymeleaf:
    cache: false # 关闭缓存
    mode: HTML
    prefix: classpath:/templates/ # 指定 thymeleaf 模板路径
    encoding: UTF-8 # 指定字符集编码
  mvc:
    static-path-pattern: /static/** # js ,css 等静态文件路径

然后在templates 下新建 login.html , 内容如下

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
<head>
    <title>Please Log In</title>
</head>
<body>
<h1>Please Log In</h1>
<div th:if="${param.error}">
    Invalid username and password.</div>
<div th:if="${param.logout}">
    You have been logged out.</div>
<form th:action="@{/login}" method="post">
    <div>
        <input type="text" name="username" placeholder="Username"/>
    </div>
    <div>
        <input type="password" name="password" placeholder="Password"/>
    </div>
    <input type="submit" value="Log in" />
</form>
</body>
</html>

springSecurity授权配置内容如下,如下所示,loginPage 配置登陆页面,注意不要带上.html,loginProcessingUrl 配置登陆url,注意这边的url要与 login.html里面的action的url一致,否则会报错;后面就是successForwardUrl 登陆成功后的转发,当然还有登陆失败的转发failureForwardUrl(), 读者按需配置即可;

    @Configuration
    @Order(1)
    public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
        protected void configure(HttpSecurity http) throws Exception {
            http
                    .antMatcher("/**")
                    .authorizeRequests(authorize -> authorize
                            .anyRequest().hasRole("USER")
                    )
                    .formLogin(form -> {
                        form
                                .loginPage("/login") // 配置登陆页
                                .loginProcessingUrl("/login")
                                .successForwardUrl("/login/success")// 登陆成功后会转发至 /login/success 请求
                                .permitAll(); // 允许所有人访问
                    })
                    .csrf().disable()
                    .httpBasic();// http请求方式 ,web 浏览器会弹出对话框

        }
    }

再将控制层内容替换如下啊,登陆逻辑就是我们请求 /login 会被转发至login.html, 然后action 提交至 /login, 这边已经到springSecurity 内部, 登陆成功后其会转发 至 /login/success;

    @GetMapping("/login")
    public String login() {
        return "login";
    }

    @PostMapping("/login/success")
    @ResponseBody
    public String success() {
        return "sucess";
    }

启动项目,浏览器输入http://localhost:8080/login 或者其它 ip + port + / path 会自动跳转至自定义 登陆页面

输入成功后会跳转的 /login/success ,返回内容如下

3.2 自定义登陆流程分析

来自官网的图片如下,是form表单登陆的流程,

  1. 首先客户端会发送未授权请求到服务端会被 FilterSecurityInterceptor 拦截标明为未授权的请求,抛出 AccessDeniedException;
  2. ExceptionTranslationFilter 会捕获 AccessDeniedException 异常
  3. 此时 AuthenticationEntryPoint 会初始化配置流程;
  4. 捕获异常后并且重定向到登陆页面
  5. 最后 在登陆页面输入账号密码就会进入认证流程;

3.3 登陆认证流程分析

官网登陆时的认证流程图片如下

  1. 账号密码输入成功后,UsernamePasswordAuthenticationFilter 就会创建UsernamePasswordAuthenticationToken;
  2. AuthenticationManager储存着用户的信息,UsernamePasswordAuthenticationToken 会被送至这边进行认证;
  3. 如果认证失败,SecurityContextHolder(主要是储存认证的数据,principle,credentials,authorities)会被清空, RememberMeServices.loginFail 与 AuthenticationFailureHandler都会被调用;
  4. 如果登陆成功SessionAuthenticationStrategy 会被唤起重新定制下一次的登陆,认证信息会被储存至SecurityContextHolder,如果配置了remberMe, RememberMeServices.loginSuccess会被调用,ApplicationEventPublisher 会发布InteractiveAuthenticationSuccessEvent,AuthenticationSuccessHandler会被调用;

简单概括就是账号密码输入后进入认证流程,发放token, 在manager中认证,如果认证成功存储认证信息,否则清空认证信息;

在这里插入图片描述

四 参考文档

官方文档

https://docs.spring.io/spring-security/site/docs/5.3.3.BUILD-SNAPSHOT/reference/html5/#servlet-authentication-form

源码地址:欢迎关注公众号:知识追寻者,后台回复 springsecurity
本套教程 :

知识追寻者
关注
专栏目录
Java Spring Security 入门指南
java专栏
08-20 543
我们将在上面的基础上添加一个简单的基于角色的访问控制功能。// 不使用密码加密 } @Override protected void configure(HttpSecurity http) throws Exception {
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security安全配置
coolshyman的博客
07-25 2042
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
Spring Security配置
qq_46005551的博客
03-27 2382
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
Spring Security配置详细
最新发布
2401_83447580的博客
08-29 1014
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,专为基于Spring的应用程序设计。本教程将指导你如何在一个简单的Spring Boot应用程序中集成Spring Security,以实现基本的用户认证和授权功能。
Spring security配置
行云的博客
07-07 2307
SpringSecurity认证一、HttpBasic模式登录认证 SpringSecurity 自带一种基础认证模式实现方式:创建WebSecurityConfig配置类/** * Spring Securtiy配置类 */@Configuration //配置类public class WebSecurityConfig extends WebSecurit...
springsecurity 配置
lanlan112233的博客
04-13 1415
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
SpringSecurity配置
qq_45733154的博客
10-19 8340
SpringSecurity配置与使用
详解springSecurityjava配置
08-18
Spring SecurityJava 配置 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring SecurityJava 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2141
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
java中自定义Spring Security权限控制管理示例(实战
08-31
1. **自定义Voter**:Voter是Spring Security的核心组件之一,它负责投票决定用户是否具有访问某个资源的权限。在这里,我们需要创建一个自定义的Voter,让它能够根据URL和HTTP方法与数据库中的权限配置进行匹配。...
Spring Boot】配置 Spring Security
书山有路,学海无涯。记录成长,追逐梦想
08-02 2559
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
Spring Security学习(二)Spring Security Guides
u011730792的专栏
04-09 791
翻译自Spring Security Guides配置方式主要有四种配置方式 Hello Spring Security Java Config Hello Spring Security with Boot Hello Spring Security Xml Config Hello Spring MVC Security Java Config 我根据需要,主要参考了Hello Spring S
Spring安全权限管理(Spring Security配置使用)
在交流中成长
03-12 4万+
1.Spring Security简要介绍Spring Security以前叫做acegi,是后来才成为Spring的一个子项目,也是目前最为流行的一个安全权限管理框架,它与Spring紧密结合在一起。Spring Security关注的重点是在企业应用安全层为您提供服务,你将发现业务问题领域存在着各式各样的需求。银行系统跟电子商务应用就有很大的不同。电子商务系统与企业销售自动化工具又有很大不同。
Spring Security简单配置与使用
qq_45957210的博客
04-25 246
配置 要使用Security就要继承WebSecurityConfigurerAdapter并重写授权规则和认证规则 import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import o
spring security配置详解
05-05 9176
最近在项目中用到了Spring Security 2为了实现自己的一些逻辑,所以粗略的读了一次他的代码,和文档。文档中介绍了Spring Security 的大体框架和原理。但是对于如何扩展Spring Security,使它更适合自己的项目并没有详细的介绍,这点比较遗憾。所以硬着头皮,大致过了一次他的代码。 以下是我扩展的需求:1、用户登录是判断用户登录错误次数是否超
SpringSecurityjava配置
远方的少年
04-06 486
     大多spring的那套东西,都支持注解和xml两种方式进行配置,而xml配置则通常比较麻烦,需要记住一大堆标签,通常提示也不是很到位,用xml配置需要我们对整个过程和各种标签都十分的熟悉,而这对于初学者通常都是比较难的一件事情,意味着学习时间需要更多。所以大多在项目中简单快捷的方式就是使用注解或者java类进行配置,更容易上手,springSecurity也提供了Java配置的方式。 ...
SpringSecurity java配置详解:自定义登录页面
基础内容建立在已有的《springSecurity入门》之上。" Spring SecurityJava中一个强大的安全框架,用于管理应用程序的访问控制。本文章聚焦于Spring SecurityJava配置方法,这对于那些希望通过代码而非XML...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值