SpringSecurity

最新推荐文章于 2025-04-17 23:57:38 发布
原创 最新推荐文章于 2025-04-17 23:57:38 发布 · 246 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文详细介绍SpringSecurity的使用,包括依赖配置、用户名密码手动配置、HTTP安全配置、方法安全、基于数据库认证等关键步骤。

SpringSecurity

springsecurity只需要添加一个依赖就可以保护所有的接口。

手动配置用户名和密码

  1. 配置文件中配置
	spring.security.user.name=admin
	spring.security.user.password=123456   
	spring.security.user.roles=admin

注释要另起一行;配置项目后面不要有空格。

  1. Java代码中配置
    新建一个config包,创建SecurityConfig类,继承WebSecurityConfigurerAdapter,重写configure方法。
 @Override
   protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.inMemoryAuthentication()
               .withUser("admin").password("123").roles("admin")
               .and()
               .withUser("hurui").password("456").roles("user");
   }

这个方法从springboot5以后就不行了,因为密码要加密。在代码之前添加一个passwordEncoder()方法。
要用Bean注入

	@Bean
	PasswordEncoder passwordEncoder(){
        //  已经不用了
        return NoOpPasswordEncoder.getInstance();
    }

SpringSecurity中httpSecurity配置

作用:配置拦截规则

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()    // 开启配置
	     .antMatchers("/admin/**") // 选择路径规则  =>  /admin/**  只有admin能访问
	     .hasRole("admin")   //  需要的角色
	     .antMatchers("/user/**").hasAnyRole("admin","user")
	     .anyRequest().authenticated()   // 剩下的路径,登录之后才能访问
	     .and()
	     .formLogin()    //  登录信息
	     .loginProcessingUrl("/doLogin")     // 处理登录请求的地址
	     .loginPage("/login")    //  登录页面    =>  前后端分离不配
	     .usernameParameter("user")  //  将请求字段中默认的username改为user,名字上的区别
	                             //  ?username='***' => ?user='***'
	     .passwordParameter("pwd")
	     //  successHandler登录成功返回的信息,一般用在前后端分离的项目,返回一个json
	     //  successForwardUrl()登录成功后跳转的url,
	     .successHandler(new AuthenticationSuccessHandler() {
	         @Override
	         public void onAuthenticationSuccess(HttpServletRequest req, HttpServletResponse resp,
	             Authentication authentication) throws IOException, ServletException {
	             //  authentication保存了登录成功的信息
	             resp.setContentType("application/json;charset=utf-8");
	             PrintWriter out = resp.getWriter();
	             Map<String,Object> map = new HashMap<>();
	             map.put("status",200);
	             map.put("msg",authentication.getPrincipal());
	             out.write(new ObjectMapper().writeValueAsString(map));
	             out.flush();
	             out.close();
	         }
	     })
	     .failureHandler(new AuthenticationFailureHandler() {
	         @Override
	         public void onAuthenticationFailure(HttpServletRequest req, HttpServletResponse resp,
	             AuthenticationException e) throws IOException, ServletException {
	             resp.setContentType("application/json;charset=utf-8");
	             PrintWriter out = resp.getWriter();
	             Map<String,Object> map = new HashMap<>();
	             map.put("status",500);
	             if (e instanceof LockedException) {
	                 map.put("msg","账户被锁定,登录失败");
	             } else if (e instanceof BadCredentialsException){
	                 map.put("msg","账户密码错误!");
	             } else if (e instanceof DisabledException) {
	                 map.put("msg","账户被禁用!");
	             } else if (e instanceof AccountExpiredException) {
	                 map.put("msg","账户过期!");
	             } else if (e instanceof CredentialsExpiredException) {
	                 map.put("msg","密码过期!");
	             } else {
	                 map.put("msg","登录失败!");
	             }
	             out.write(new ObjectMapper().writeValueAsString(map));
	             out.flush();
	             out.close();
	         }
	     })
	     .permitAll()    //  和登录相关的可以直接访问
	     .and()
	     .csrf().disable();  //  关闭csrf
    }

多个HttpSecurity配置

@Configuration
public class MultiHttpSecurityConfig {

    @Bean
    PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }

    @Autowired
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin").password("111").roles("admin")
                .and()
                .withUser("hurui").password("222").roles("user");
    }


    //  静态内部类配置不同的securityConfig类,Order配置优先级
    @Configuration
    @Order(1)
    public static class AdminSecurityConfig extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.antMatcher("/admin/**").authorizeRequests().anyRequest().hasRole("admin");
        }
    }

    @Configuration
    public static class OtherSecurityConfig extends WebSecurityConfigurerAdapter{
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests().anyRequest().authenticated()
               .and()
               .formLogin()
               .loginProcessingUrl("/doLogin")
               .permitAll()
               .and()
               .csrf()
               .disable();
        }
    }
}

密码加密

Spring boot自带了一个密码加密方法:BCryptPasswordEncode(),在之前的加密方法中return 这个方法就可以了。

方法安全

在方法上加注解确保方法的安全性。

  1. 在config配置类(springsecu配置类)上加注解
    @EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
    加上注解后就是有的方法是只有特定的角色才能访问。
    加上一个service层。
@Service
public class MethodService {

    @PreAuthorize("hasRole('admin')")
    public String admin(){
        return "admin can have access";
    }

    @Secured("ROLB_user")
    public String user() {
        return "user can have access";
    }

    @PreAuthorize("hasAnyRole('admin','user')")
    public String hello(){
        return "everyone can have access";
    }
}

在controller中加入相应的方法。

	@GetMapping("/hi1")
    public String hello1(){
        return methodService.admin();
    }

    @GetMapping("/hi2")
    public String hello2(){
        return methodService.user();
    }
    @GetMapping("/hi3")
    public String hello3(){
        return methodService.hello();
    }

admin角色登录之后,可以访问所有的url,但是在访问/hi2时会返回一个403,因为user()方法被限制了。

基于数据库认证

创建数据库User、Role、User-Role表。
编写实体类User和Role。

使用数据库作为SpringSecurity的用户时,用户类(user)要实现UserDetails接口。

  @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority("ROLB_" + role.getName()));
        }
        return authorities;
    }

注意角色默认有前缀ROLB_,如果数据中的字段已经有前缀了就不用加前缀的拼接。

使用数据库作为SpringSecurity的用户时,服务类(userService)要实现UserDetailsService接口。

SpringSecurity6 | 初始SpringSecurity
分享思想,留下痕迹。
10-31 1万+
大家好,我是Leo哥🫣🫣🫣,今天这个专栏我们一起来学习的系列知识。此次从零开始学习SpringSecurity的概念的和新的写法。带大家SpringSecurity从基础到精通。好了,话不多说让我们开始吧😎😎😎。是一个基于 Spring 框架的安全框架,用于在 Java 应用程序中实现身份认证和授权控制。它提供了一套全面的安全服务,可以用于保护 Web 应用程序、RESTful 服务和方法级别的安全性。验证用户的身份,并确定用户是否具有访问系统资源的权限。
springsecurity详细解析
m0_65224643的博客
07-27 1394
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条,抖音等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。系统为什么要认证?认证是为了保护系统的隐私数据与资源,用户的身份合法,方可访问该系统的资源。认证︰用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时,系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。
SpringSecurity 快速入门
时间如瑾 代码如诗
07-24 1820
在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证。认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。简单说: 认证就是让系统知道我们是谁。如何实现授权?
SpringSecurity 实战项目(一)
weixin_38927257的博客
12-02 5748
文章目录SpringSecurity 验证帐号密码security认证过程:[《Spring Security认证过程》](https://blog.csdn.net/weixin_38927257/article/details/102960752) 本文使用springboot+mybatis+SpringSecurity 实现用户权限数据库管理 实现用户和角色用数据库存储,而资源(url)和...
学习SpringSecurity这一篇就够了
怪咖@的博客
05-25 7892
Spring Security 是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
SpringSecurity入门
m0_62946761的博客
01-16 3368
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
SpringSecurity实战
最新发布
2402_83415279的博客
04-17 4474
和Shiro相比,Spring Security重量级并且配置烦琐,直至今天,依然有人以此为理由而拒绝了解Spring Security。还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的权限才可以正常使用发送红包功能,拥有发朋友圈功能的权限才可以使用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。
一文入门SpringSecurity 5
qq_73181349的博客
07-23 1149
spring security案例、底层原理初探、认证授权流程图
SpringSecurity是什么,如何学习SpringSecurity
杨荧的CSDN博客
06-21 1672
SpringSecurity是什么,如何学习SpringSecurity
SpringSecurity之——SpringBoot整合SpringSecurity
冰河的专栏
10-28 1401
一、创建工程 新建Maven工程springsecurity-demo,并编辑pom.xml文件如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XML...
SpringSecurity】之授权的使用案例
无法自律的人的博客
12-28 2425
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
SpringSecurity6从入门到上天系列第一篇:SpringSecurity6开篇介绍从概念开始把SpringSecurity6送上天
热门推荐
七叔的博客
10-30 2万+
本文是SpringSecurity6从入门到上天系列第一篇,让我们从概念开始把SpringSecurity6送上天
SpringSecurity 总结
北执南念的博客
06-10 5281
Spring Security 总结
springsecurity OAuth2.0(springboot集成springsecurity 以及springcloud集成springsecurity
qq_73182976的博客
03-12 2711
用户认证通过后,为了避免用户的每次操作都进行认证,将用户的信息保存在会话中。会话就是系统为了保持当前登录的用户的登录状态锁提供的机制。
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 9873
SpringSecurity整合基础
SpringSecurity加密
IT_LD的博客
08-20 588
相对于md5加密,SpringSecurity加密有一定的优势,参考md5加密这一篇文章: 做一些配置的修改,实现SpringSecurity加密 1.修改spring-security.xml: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.
初识SpringSecurity
路漫漫其修远兮,吾将上下而求索
05-13 1561
SpringSecurity系列文章第一篇,初识SpringSecurity、主流安全框对比和简单使用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值