Springsecurity笔记

最新推荐文章于 2022-04-16 11:19:09 发布
最新推荐文章于 2022-04-16 11:19:09 发布
阅读量127 收藏
点赞数
文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhangxuchuan111/article/details/110304771
版权

SpringSecurity

1.依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.调试

1.默认自动开启拦截

@RestController
public class TestController {
    @RequestMapping("/test")
    public String test() {
        return "hello world";
    }
}

在这里插入图片描述

2.关闭默认拦截

//关闭默认拦截
@SpringBootApplication(exclude = SecurityAutoConfiguration.class)
public class SpringsecuritydemoApplication {
    public static void main(String[] args)
    {
        SpringApplication.run(SpringsecuritydemoApplication.class, args);
    }
}

3.自定义账号密码

spring.security.user.name=cyrus
spring.security.user.password=123

3.配置认证

1.基于内存认证

1、创建配置类集成WebSecurityConfigurerAdapter

@Configuration
@EnableWebSecurity //开启WebSecurity功能
public class WebSecurityConfig extends WebSecurityConfigurerAdapter

2、重写configure方法

@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception {
}

3、设置登录认证账号/密码

4、指定角色

 auth.inMemoryAuthentication()//使用内存用户存储
                .withUser("cyrus1")//用户名
                .password(passwordEncoder().encode("123"))//密码
                .roles();//身份
        auth.inMemoryAuthentication()
                .withUser("cyrus2")
                .password(passwordEncoder().encode("123"))
                .roles();

5、开启方法级安全

@EnableGlobalMethodSecurity(prePostEnabled = true)
//prePostEnabled = true : 拦截@PreAuthrize注解

6、配置方法级别权限控制

@PreAuthorize("hasAnyRole('admin')")
@PreAuthorize("hasAnyRole('normal','admin')")

具体代码

/**
* 配置
*/
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("cyrus1")
                .password(passwordEncoder().encode("123"))
                .roles("admin");
        auth.inMemoryAuthentication()
                .withUser("cyrus2")
                .password(passwordEncoder().encode("123"))
                .roles("normal");
    }
    //BCrypt加密
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

/**
* 测试
*/
@RestController
public class TestController {
    @RequestMapping("/hello")
    public String hello() {
        return "hello SpringSecurity";
    }
    @RequestMapping("/helloAdmin")
    @PreAuthorize("hasAnyRole('admin')")
    public String helloAdmin() {
        return "hello admin";
    }
    @RequestMapping("/helloNormal")
    @PreAuthorize("hasAnyRole('normal','admin')")
    public String helloNormal() {
        return "hello normal";
    }
}

2.基于数据库认证

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 访问授权
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()  //请求放行所有
                .antMatchers("/page/admin").hasRole("admin")
                .antMatchers("/page/user").hasRole("user")
                .antMatchers("/page/visitor").hasRole("visitor");
        //没有权限默认到登陆页面
        http.formLogin().loginPage("/toLogin").loginProcessingUrl("/login").usernameParameter("user").passwordParameter("pwd");
        //防止网站攻击  get明文传续
        http.csrf().disable(); //关闭csrf
        //注销功能      注销跳转页面
        http.logout().logoutSuccessUrl("/");
        //记住我  登陆信息放入cookie  默认过期时间2星期
        http.rememberMe().rememberMeParameter("remember");
        //默认不能进行frame跳转,需要关闭!
        http.headers().frameOptions().disable();
    }
    @Autowired
    UserDetailServiceImpl userDetailService;
    /**
     * 权限认证
     */
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailService).passwordEncoder(passwordEncoder());
    }
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

@Service
@Transactional
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    PasswordEncoder passwordEncoder;
    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        Member member = userMapper.getUserInfo(username);
        if(member == null){
            return null;
        }else{
            
            Collection<GrantedAuthority> authorities = new ArrayList<>();
            if (member.getAuthority() == 1) {
                authorities.add(new SimpleGrantedAuthority("ROLE_admin"));
                authorities.add(new SimpleGrantedAuthority("ROLE_user"));
                authorities.add(new SimpleGrantedAuthority("ROLE_visitor"));
            }
            if (member.getAuthority() == 2) {
                authorities.add(new SimpleGrantedAuthority("ROLE_user"));
                authorities.add(new SimpleGrantedAuthority("ROLE_visitor"));
            }
            if (member.getAuthority() == 3) {
                authorities.add(new SimpleGrantedAuthority("ROLE_visitor"));
            }
            //SpringSecurity登陆User信息
            User user = new User(member.getUsername(),passwordEncoder.encode(member.getPassword()),authorities);
            System.out.println("管理员信息:"+user.getUsername()+"   "+passwordEncoder.encode(member.getPassword())+"  "+user.getAuthorities());
            return user;
        }
    }

}

4.整合thymeleaf

1.依赖

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

2.引入命名空间

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"

3.使用

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CdVXQE14-1606612256990)(C:\Users\acer\AppData\Roaming\Typora\typora-user-images\image-20201029000004759.png)] [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EqU97Qvv-1606612256996)(C:\Users\acer\AppData\Roaming\Typora\typora-user-images\image-20201029000047289.png)]

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 访问授权
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()  //请求放行所有
                .antMatchers("/page/admin").hasRole("admin")
                .antMatchers("/page/user").hasRole("user")
                .antMatchers("/page/visitor").hasRole("visitor");

        //没有权限默认到登陆页面
        http.formLogin().loginPage("/toLogin").loginProcessingUrl("/login").usernameParameter("user").passwordParameter("pwd");
        //防止网站攻击  get明文传续
        http.csrf().disable(); //关闭csrf

        //注销功能      注销跳转页面
        http.logout().logoutSuccessUrl("/");

        //记住我  登陆信息放入cookie  默认过期时间2星期
        http.rememberMe().rememberMeParameter("remember");
    }

    /**
     * 权限认证
     */
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("cyrus1")
                .password(passwordEncoder().encode("123"))
                .roles("admin","user","visitor");

        auth.inMemoryAuthentication()
                .withUser("cyrus2")
                .password(passwordEncoder().encode("123"))
                .roles("user","visitor");

        auth.inMemoryAuthentication()
                .withUser("cyrus3")
                .password(passwordEncoder().encode("123"))
                .roles("visitor");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

获取springsecurity登陆用户详情信息

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
蒙眼脚趾敲代码
关注
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
SpringSecurity笔记
最新发布
09-24
SpringSecurity笔记
Spring Security
热门推荐
qq_42953529的博客
07-18 2万+
Spring Security 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面 向切面...
spring security笔记
weixin_43966864的博客
04-16 643
1.spring security的环境搭建 首先新建一个springboot项目,只够选web中的spring web依赖 然后在pom.xml导入相关依赖 <!--thymeleaf模块--> <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5</artifa
Spring-security笔记
flight___的博客
04-15 633
spring-security环境配置,和练习时的异常
SpringSecurity 笔记
weixin_45566322的博客
06-19 249
整体概要 与 shiro相比,spring security 功能更全面,同样重量级也越大。shiro相对比较轻量。 spring security 本质就是过滤器链 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 松
springSecurity笔记
qq_46539281的博客
08-26 194
文章目录入门测试直接run主启动类,访问 test/hello 入门测试 配置pom.xml文件 <parent> <artifactId>spring-boot-starter-parent</artifactId> <groupId>org.springframework.boot</groupId> <version>2.3.4.RELEASE</version&g.
Spring Security笔记
zzxzzxhao的博客
12-07 420
SecurityContextPersistenceFilter位于过滤器顶端,是第一个起作用的过滤器 其作用:     1.执行其他过滤器之前率先判断用户的session是否存在Spring Security上下文的SecurityContext        如果存在,则取出来放入SecurityContextHolder,供Spring Security其他部分使用;        如果...
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
SpringSecurity-笔记
Y_Y925的博客
04-03 4847
SpringSecurity 1.学习目标 SpringSecurity Oauth2 SpringSecurity-Oauth2 JWT SpringSecurityOauth2整合JWT SpringSecurityOauth2整合SSO 2.SpringSecurity简介 2.1.1安全框架概述 什么是安全框架?解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 2.1.2常用的安全框架 Sprin
SpringSecurity笔记(一)
weixin_51542566的博客
08-08 286
简单案例 创建springboot工程、引入 spring-boot-starter-security 依赖,编写controller层,在访问接口方法时会跳转到springsecurity的默认登录页面 ,如下: 默认用户名:user 登录密码在控制台可以找到 web权限方案 1、设置登录的用户名和密码 方式一:通过配置文件 #spring.security.user.name=admin #spring.security.user.password=admin 方式二:通过配置类 packa
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值