spring security 学习总结

已于 2022-07-02 12:07:19 修改
阅读量358 收藏
点赞数
分类专栏: 笔记 文章标签: 大数据 java spring boot
于 2022-07-02 11:54:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zwjapple/article/details/125570455
版权

这几天学了一下spring security ,下面总结一下学到的内容, 以方便后面查看

  1. 首先springboot 集成spring security最简单的用法、

          spring security 最简单的用法就是在pom文件添加一下依赖就可以了

      <!-- Spring Security依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

   添加好后再重新启动系统后访问任何url会出现一个spring security 自带的登录页面,默认用户名

    是user, 密码在spring boot启动日志有输出, 输入用户名密码就可以访问接口了

    其次如果你想简单指定自己用户名和密码登录也非常简单,在application.properties 添加如下配置即可

#通过配置文件配置用户名和密码
#spring.security.user.name=abc
#spring.security.user.password=123456

后面再次接口,依然会跳转spring security 自带的登录页面, 输入abc,123456登录就可以访问接口了。

还可以通过写一个配置类指定用户名和密码

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    // 基于配置类设置用户名密码
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        String password = encoder.encode("111");
        auth.inMemoryAuthentication().withUser("zuo").password(password).roles("admin");
    }

    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

这样配置完以后也可以通过指定用户名和密码登录。

一般情况我们都有自己的登录页面,下面介绍自定义登录页面的配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailService;

    // 自动登录
    @Autowired
    private DataSource dataSource;

    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        // 启动自动创建表
        //jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }
    // 自动登录


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(userDetailService).passwordEncoder(password());
    }

    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }

    // 自定义登录页面、 访问路径不需要认证
    protected void configure(HttpSecurity http) throws Exception {
        // 配置退出的地址
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/login.html").permitAll();
        // 配置没有权限访问的自定义页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");
        http.formLogin() // 自定义自己编写的登录页面
            .loginPage("/login.html") // 登录页面设置
            .loginProcessingUrl("/user/login")  // 登录的请求路径
            //.defaultSuccessUrl("/test/index").permitAll() //登录成功后跳转的路径
                .defaultSuccessUrl("/success.html").permitAll() //登录成功后跳转的路径
            .and().authorizeRequests()   // 定义哪些可以访问, 哪些不可以访问
                .antMatchers("/","/test/hello", "/user/login").permitAll()  //设置哪些路径可以直接访问 eg:"/test/hello, /user/login"不需要认证
                // 当前登录用户只有admins的权限才能访问这个路径
                //.antMatchers("/test/index").hasAuthority("admins")
                //.antMatchers("/test/index").hasAnyAuthority("admins,manager")
                //.antMatchers("/test/index").hasRole("sale")
                .antMatchers("/test/index").hasAnyRole("sale,manager")
            .anyRequest().authenticated() // 所有请求都需要认证
                //设置自动登录
                .and().rememberMe().tokenRepository(persistentTokenRepository())
                .tokenValiditySeconds(60) // 设置有效时长
                .userDetailsService(userDetailService)
            .and().csrf().disable();// 关闭csrf的防护
    }

还要定义一个userDetailSerce

@Service("userDetailService")
public class MyUserDetailService implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据用户名查询数据库
        QueryWrapper<Users> wrapper = new QueryWrapper<>();
        // where条件指定
        wrapper.eq("username", username);
        Users user = userMapper.selectOne(wrapper);

        // 判断
        if(user == null){// 数据库没有用户名
            throw new UsernameNotFoundException("用户名不存在!");
        }
        // 在userDetailsService里面设置权限
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");

        //return new User("zzz", new BCryptPasswordEncoder().encode("123"),auths);
        // 从查询数据库返回users对象得到用户名,密码返回
        return new User(user.getUsername(), new BCryptPasswordEncoder().encode(user.getPassword()),auths);
    }
}

以上就基本完成了认证和授权。

 2.springcloud集成spring security的用法

首先学习了一下spring cloud的项目搭建

第一步要见一个spring boot的父工程, 然后再pom.xml添加

<packaging>pom</packaging>就可以了。 后面再在父工程里添加子模块, 子模块直接新建maven项目就可以了。

项目搭建好就可以进行每个子模块的编写。

父工程依耐如下

<properties>
		<java.version>1.8</java.version>
		<mybatis-plus.version>3.0.5</mybatis-plus.version>
		<velocity.version>2.0</velocity.version>
		<swagger.version>2.7.0</swagger.version>
		<jwt.version>0.7.0</jwt.version>
		<fastjson.version>1.2.28</fastjson.version>
		<gson.version>2.8.2</gson.version>
		<json.version>20170516</json.version>
		<cloud-alibaba.version>0.2.2.RELEASE</cloud-alibaba.version>
	</properties>
	<dependencyManagement>
		<dependencies>
			<!--Spring Cloud-->
			<dependency>
				<groupId>org.springframework.cloud</groupId>
				<artifactId>spring-cloud-dependencies</artifactId>
				<version>Hoxton.RELEASE</version>
				<type>pom</type>
				<scope>import</scope>
			</dependency>

			<dependency>
				<groupId>org.springframework.cloud</groupId>
				<artifactId>spring-cloud-alibaba-dependencies</artifactId>
				<version>${cloud-alibaba.version}</version>
				<type>pom</type>
				<scope>import</scope>
			</dependency>
			<!--mybatis-plus 持久层-->
			<dependency>
				<groupId>com.baomidou</groupId>
				<artifactId>mybatis-plus-boot-starter</artifactId>
				<version>${mybatis-plus.version}</version>
			</dependency>

			<!-- velocity 模板引擎, Mybatis Plus 代码生成器需要 -->
			<dependency>
				<groupId>org.apache.velocity</groupId>
				<artifactId>velocity-engine-core</artifactId>
				<version>${velocity.version}</version>
			</dependency>

			<dependency>
				<groupId>com.google.code.gson</groupId>
				<artifactId>gson</artifactId>
				<version>${gson.version}</version>
			</dependency>
			<!--swagger-->
			<dependency>
				<groupId>io.springfox</groupId>
				<artifactId>springfox-swagger2</artifactId>
				<version>${swagger.version}</version>
			</dependency>
			<!--swagger ui-->
			<dependency>
				<groupId>io.springfox</groupId>
				<artifactId>springfox-swagger-ui</artifactId>
				<version>${swagger.version}</version>
			</dependency>
			<!-- JWT -->
			<dependency>
				<groupId>io.jsonwebtoken</groupId>
				<artifactId>jjwt</artifactId>
				<version>${jwt.version}</version>
			</dependency>
			<dependency>
				<groupId>com.alibaba</groupId>
				<artifactId>fastjson</artifactId>
				<version>${fastjson.version}</version>
			</dependency>
			<dependency>
				<groupId>org.json</groupId>
				<artifactId>json</artifactId>
				<version>${json.version}</version>
			</dependency>
		</dependencies>
	</dependencyManagement>

还要微服务的调用需要ApiGateway网关服务,阿里巴巴的nacos做服务发现

具体我的理解是,网关就是到nacos里找到对应的ip + 端口 进行转发, 建立起一个

桥梁。需要配置指定的路由规则,下面是网关服务对应的依赖,和配置


        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-gateway</artifactId>
        </dependency>

        <!--gson-->
        <dependency>
            <groupId>com.google.code.gson</groupId>
            <artifactId>gson</artifactId>
        </dependency>

        <!--服务调用-->
        <dependency>
            <groupId>org.springframework.cloud</groupId>
            <artifactId>spring-cloud-starter-openfeign</artifactId>
        </dependency>
# 服务名
spring.application.name=service-gateway
# nacos服务地址
spring.cloud.nacos.discovery.server-addr=127.0.0.1:8342
# 使用服务发现路由
spring.cloud.gateway.discovery.locator.enabled=true

# 配置路由规则
spring.cloud.gateway.routes[0].id=service-abc
# 设置路由uri  lb://注册服务名称
spring.cloud.gateway.routes[0].uri=lb://service-abc
# 具体路径规则
spring.cloud.gateway.routes[0].predicates= Path=/*/abc/**

spring security 相关(jwt创建token)之类的就不在这里说了,内容太多了。 跟springboot 的差不多。 特别记录一下我不会的东西。

zwjapple
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
securityjava springboot项目中使用springSecurity安全框架
m0_66998390的博客
08-23 1943
java springboot项目中使用springSecurity安全框架
SpringSecurity
weixin_43732943的博客
05-19 432
3、访问任意controller会跳转到login页面,使用如上密码登录,就可以访问controller资源。在控制台中出现默认密码,这就是我们没有实现自定义密码,SpringSecurity帮我们自动生成的密码。5、出现下面的页面说明我们已经登录成功了(因为我没有写任何东西,所以页面会出现404异常)。1、在SpringBoot项目中的pom.xml文件中添加SpringSecurity依赖。4、如果直接访问login页面,输入用户名密码之后会显示404。2、启动SpringBoot项目中的启动类。
Java17 --- SpringSecurity之前后端分离处理
最新发布
qq_46093575的博客
06-16 294
【代码】Java --- SpringSecurity之前后端分离处理。
Spring Security框架配置及使用
m0_72106802的博客
09-08 588
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。Spring Security框架是目前认证和授权的主流应用框架,用以划分用户管理员权限,自身也提供BCrypt算法用于密码的加密处理,并且这种算法更加安全。
SpringSecurity认证添加pom.xml依赖,实现MP代码生成,创建配置Controller,自定义MD5加密,BCryptPasswordEncoder密码编码器,以及CSRF防御
qq_73126462的博客
01-22 1176
创建自定义MD5加密类并实现@Override//对密码进行 md5 加密​@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5加密密码保存到数据库表中。CSRF,跨站请求伪造)是一种利用用户已登录的身份在用户不知情的情况下发送恶意请求的攻击方式。
Spring Security 基础使用
奇妙的代码
11-23 748
Spring Security 是基于 Spring 应用的框架,具有功能强大且高度可定制的身份验证和访问控制的特点。
Spring Security学习总结
06-10
在"Spring Security学习总结一(补命名空间配置)"的文件中,可能涵盖了如何在Spring Security的XML配置中补充命名空间的步骤。命名空间的引入是为了简化配置,例如`<http>`元素用于配置安全拦截和访问规则,`...
SpringSecurity学习总结一.pdf
11-26
SpringSecurity学习总结一.pdf
Spring Security学习总结
05-21
Spring Security学习总结
使用SpringSecurity
bluemoon_0的博客
02-20 224
使用SpringSecurity
SpringSecurity使用详细讲解,附源码详细每一步的引导
m0_53464000的博客
08-23 382
权限认证的思路其实非常简单,我在登录的时候根据用户查询到权限信息,然后交给SpringSecurity框架,并且存到reids中就可以。截止到这一步,简单的登录校验就做好了,sucrity会根据返回的user自己比较密码,注意密码存储数据库时一定要加密,否则比对不成功。截至这里我们测试,登录成功之后,拿到返回的token,将token放在请求头中,成功访问,如果没有token就说明请求非法。前面我们说到了,当用户登录成功之后,我们会把生成的jwt返回给前端,然后前端在每次请求的时候都要带上这个token,
SpringSecurity入门
qq_56113699的博客
08-31 160
1.SpringSecurity简介 1.安全框架概述 什么是安全框架概述?解决系统安全问题的框架,如果没有安全框架,我们需要说动的处理每个资源的访问控制,非常的烦恼,使用安全框架我们可以通过配置的方式实现对资源的访问控制 2.常用的安全框架 SpringSecurity:Spring家族的一员,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架他提供了一组可以在Spring应用上下文中配置的Bean,**充分利用了Spring IOC (控制反转)DI(依赖注入)和AO
Spring Security 5.7 的简单搭建流程
qq_43670559的博客
04-17 2085
Spring Security 5.7 的简单搭建流程 1 环境搭建 1.1 pom 文件中依赖的引入 该流程搭建的是一个前后端分离的项目,环境搭建使用 Spring boot 2.7.10 和 Spring Security 5.7,数据库使用 MySQL8、druid、 MyBatis-Plus 具体pom文件的引入为: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/
spring security 3.2 pom配置
极客on之路
11-18 3089
3.2.0.RELEASE org.springframework.security spring-security-web ${org.springframework.security.version} org.springframework.security spring-security-config ${org.spring
spring Security的笔记与简单使用
qq_61267719的博客
05-07 430
spring Security的笔记与简单使用
Spring Security 快速入门
快乐的小三菊的博客
12-13 450
Spring Security 快速入门
SpringSecurity学习总结-1 第二章 项目基础模块搭建
Mr_XiMu的博客
02-15 377
SpringSecurity学习总结-1 第二章 项目基础模块搭建
Spring Security入门与安全实践
"Spring Security 学习总结文档" Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java EE应用程序,尤其是Spring生态系统的Web应用中。它旨在为应用提供全面的安全服务,包括用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值