Spring Security的相关配置

最新推荐文章于 2022-10-19 14:00:11 发布
最新推荐文章于 2022-10-19 14:00:11 发布
阅读量165 收藏 2
点赞数
分类专栏: 框架 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanyuneixin1/article/details/106458682
版权

下面的配置方法都是在继承WebSecurityConfigurerAdapter类情况下实现的:

在内存中配置用户名和密码
  • 继承WebSecurityConfigurerAdapter类,重写
    configure(AuthenticationManagerBuilder auth)
    方法
        auth.inMemoryAuthentication()
                .withUser("javaBoy")
                .password("123456")
                .roles("admin");
不拦截某些访问路径
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**","/css/**","/image/**");
    }

拦截、登录相关配置(前后端未分离) ``````

下面的类都是重写configure(HttpSecurity http)实现的

  • and()方法,相当于关联2个配置
  • 下面的跳转页面,你都需要在teamplates下面拥有相关的页面才行,配置页面不是这里的重点
设置登录界面
  • 如果发现用户没有登录,就将他的访问请求修改为/login
  • 用户填完用户名和密码后,就可以请求/dologin登录
  • 可以将登录的userName修改为name
  • 可以将登录的password修改为pwd
  • 登录成功后,设置服务器端直接跳转到/success
  • 也可以设置将登录成功后,跳转到之前拦截的网址,如果没有拦截网站,则跳转到到/success
  • 登录失败界面/file
                .and()
                .formLogin()
                .loginPage("/login")            //设置未登录跳转路径为“/login”
                .loginProcessingUrl("/dologin") //登录访问接口
                .usernameParameter("name")
                .passwordParameter("pwd")
//                .successForwardUrl("/success") //服务端跳转  登录成功后,跳转到success页面
                .defaultSuccessUrl("/success") //重定向  和上面的不能同时存在,如果登录之前没有拦截网站,登录之后就会调整到设定页面,否则,跳转到拦截页面
                .failureForwardUrl("/fail") //登录失败跳转
前后端分量的情况(json传输)
  • 这里就不需要登录界面,登录成功或者识别的界面也不需要了
  • 返回的都是json信息,我们根据业务需要,自定义相关的业务信息
                .and()
                .formLogin()
                .successHandler((req,resp,authentication) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString(authentication.getPrincipal()));//返回的是登录信息
                    out.flush();
                    out.close();
                })
  • 登录失败,返回的json信息

                .failureHandler((req,resp,exception) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString(exception.getMessage()));//返回的信息错误的异常信息
                    out.flush();
                    out.close();
                })
                .permitAll()
  • 未登录时候,返回json提示信息
                .exceptionHandling()
                .authenticationEntryPoint((req, resp, exception) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString("尚未登录,请登录"));//返回的信息可以修改为json信息
                    out.flush();
                    out.close();
                });
  • 注销登录
               .and()
                .logout()
                .logoutUrl("/logout") //配置登录失败请求
                .logoutSuccessHandler((req,resp,authentication) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString("注销成功"));
                    out.flush();
                    out.close();
                })
                .permitAll()
注销接口
  • 注销的接口设置为/logout,默认是GET请求
  • 我们也可以使用POST请求,.logoutRequestMatcher(new AntPathRequestMatcher("/logout","POST"))
  • 清除认证clearAuthentication(true),默认就是true
  • 清除session信息,默认就是trueinvalidateHttpSession(true)
                .and()
                .logout()
                .logoutUrl("/logout") //配置登录失败请求
//                .logoutRequestMatcher(new AntPathRequestMatcher("/logout","POST")) //将登录失败的请求,从get方法,换为post方法
                .invalidateHttpSession(true)// 清除session信息  默认就是true
                .clearAuthentication(true) //清除认证 默认就是true
                .permitAll()
                .and()
                .csrf().disable(); //这里是为了方便测试

完整代码如下:

package com.brige.security;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.DelegatingPasswordEncoder;
import org.springframework.security.crypto.password.Md4PasswordEncoder;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.util.matcher.AndRequestMatcher;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import java.io.PrintWriter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    @Bean
    PasswordEncoder passwordEncoder(){
//        return new BCryptPasswordEncoder();
        return NoOpPasswordEncoder.getInstance();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("javaBoy")
                .password("123456")
                .roles("admin");
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**","/css/**","/image/**");
    }

    //非前后端分离的写法
//    @Override
//    protected void configure(HttpSecurity http) throws Exception {
//        http.authorizeRequests()
//                .anyRequest().authenticated() //所有的访问都需要权限
//                .and()
//                .formLogin()
//                .loginPage("/login")
//                .loginProcessingUrl("/dologin")
//                .usernameParameter("name")
//                .passwordParameter("pwd")
                .successForwardUrl("/success") //服务端跳转  登录成功后,跳转到success页面
//                .defaultSuccessUrl("/success") //重定向  和上面的不能同时存在,如果登录之前没有拦截网站,登录之后就会调整到设定页面,否则,跳转到拦截页面
//                .failureForwardUrl("/file") //登录失败跳转
//                .and()
//                .logout()
//                .logoutUrl("/logout") //配置登录失败请求
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout","POST")) //将登录失败的请求,从get方法,换为post方法
//                .invalidateHttpSession(true)// 清除session信息  默认就是true
//                .clearAuthentication(true) //清除认证 默认就是true
//                .permitAll()
//                .and()
//                .csrf().disable();
//    }

    //前后端分离的写法
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated() //所有的访问都需要权限
                .and()
                .formLogin()
                .successHandler((req,resp,authentication) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString(authentication.getPrincipal()));//返回的是登录信息
                    out.flush();
                    out.close();
                })
                .failureHandler((req,resp,exception) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString(exception.getMessage()));//返回的信息错误的异常信息
                    out.flush();
                    out.close();
                })
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/logout") //配置登录失败请求
                .logoutSuccessHandler((req,resp,authentication) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString("注销成功");
                    out.flush();
                    out.close();
                })
                .permitAll()
                .and()
                .csrf().disable()
                .exceptionHandling()
                .authenticationEntryPoint((req, resp, exception) ->{
                    resp.setContentType("application/json;charset=utf-8");
                    PrintWriter out = resp.getWriter();
                    out.write(new ObjectMapper().writeValueAsString("尚未登录,请登录"));//返回的信息可以修改为json信息
                    out.flush();
                    out.close();
                });
    }
}
Bonjour~Bridge
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security基本配置方法解析
08-25
主要介绍了Spring Security基本配置方法解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security3.0升级至3.2.4版本注意事项
u012708831的博客
12-04 2781
配置Spring Security实现用户-角色-权限-资源四层管理,从3.0版本,升级到3.2.4版本时需要注意如下: 1、配置文件修改,样式改为http://www.springframework.org/schema/security/spring-security-3.2.xsd 2、代码修改,在3.2.4版本中没有UrlMatcherAntUrlPathMatcher,自定义类Ls
spring security 登录、权限管理配置
Abel.lin的专栏
04-24 1万+
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表)  2)用户发出请求  3)过滤器拦截(MySecurityFilter:doFilter)  4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes)  5)匹配用户拥有权限和请求权限(MyAcce
org.springframework.util.AntPathMatcher.doMatch(AntPathMatcher.java:86)
张鲲鹏的专栏
10-21 636
java.lang.NullPointerException org.springframework.util.AntPathMatcher.doMatch(AntPathMatcher.java:86) org.springframework.util.AntPathMatcher.match(AntPathMatcher.java:66) org.springframework.s...
spring工具类AntPathMatcher
热门推荐
z69183787的专栏
04-08 2万+
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 package cn.bidlink.wsmp.commons.security;
Spring Boot (三)集成spring security
a286352250的博客
11-14 7839
项目GitHub地址 : https://github.com/FrameReserve/TrainingBoot Spring Boot (三)集成spring security,标记地址: https://github.com/FrameReserve/TrainingBoot/releases/tag/0.0.3 pom.xml 只列举 Spring S
详解Spring Security 简单配置
08-30
本篇文章主要介绍了详解Spring Security 简单配置,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解springSecurity之java配置
08-18
主要介绍了详解springSecurity之java配置篇,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
详解spring security 配置多个AuthenticationProvider
08-30
主要介绍了详解spring security 配置多个AuthenticationProvider ,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity如何实现配置单个HttpSecurity
08-18
主要介绍了SpringSecurity如何实现配置单个HttpSecurity,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
java自实现过滤器_SpringSecurity学习之自定义过滤器的实现代码
weixin_33479485的博客
02-27 264
我们系统中的认证场景通常比较复杂,比如说用户被锁定无法登录,限制登录ip等。而springsecuriy最基本的是基于用户与密码的形式进行认证,由此可知它的一套验证规范根本无法满足业务需要,因此扩展势在必行。那么我们可以考虑自己定义filter添加至springsecurity的过滤器栈当中,来实现我们自己的验证需要。本例中,基于前篇的数据库的student表来模拟一个简单的例子:当student...
Spring-Security完整版配置
盲目的拾荒者的博客
04-08 9533
package com.niugang.config; import java.io.IOException; import javax.servlet.ServletException; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.anno...
SpringSecurity配置
qq_45733154的博客
10-19 8094
SpringSecurity配置与使用
SpringSecurity配置类--常用配置
qq_52211542的博客
10-07 3289
SpringSecurity配置类--常用配置
Spring Security中successHandler和failureHandler使用
白小纯的博客
06-11 1万+
前言 successHandler和failureHandler是Spring Security中两个较为强大的用来处理登录成功和失败的回调函数,通过它们两个我们就可以自定义一些前后端数据的交互。 successHandler 该方法有三个参数 req:相当与HttpServletRequest res:相当与HttpServletRespose authentication:这里保存了我们登录后的用户信息 进行如下配置 .successHandler((req, resp, authentication
Spring Security权限管理相关配置加注解
【冯立雄】的博客
05-11 1831
xml version="1.0" encoding="UTF-8"?> xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http://www.springframework.
一文搞懂SpringSecurityspring-security配置文件详解,史上最全
zeng的博客
10-14 4617
一、认证和授权概念 1.、在生产环境下我们如果不登录系统是否能对业务进行操作? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 2、是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 二、Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spr
Spring Security 做前后端分离的数据交互
qq_40548741的博客
07-30 1999
在前后端分离项目中,项目的交互都是通过 JSON 来进行,无论登录成功还是失败,后端只需返回是否成功的JSON给前端,由前端决定页面的跳转问题,和后端没有关系了。 前面两章我们已经简单的使用了Spring Security做表单跳转,前后端分离需要用到successHandler来配置登录成功的回调。 前两章传送门 Spring Security初使用 Spring Security自定义表单登录详解 successHandler 的功能十分强大,甚至已经囊括了 defaultSuccessUrl 和 su
SpringSecurity配置
最新发布
07-28
2. 创建Spring Security配置类:创建一个类,用于配置Spring Security相关设置。这个类应该扩展自WebSecurityConfigurerAdapter,并使用@EnableWebSecurity注解进行标记。 3. 配置身份验证:在配置类中,你可以...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值