SpringSecurity?Web權(quán)限方案實現(xiàn)全過程

更新時間：2024年01月31日 09:48:33 作者：zoeil

Spring Security是一個功能強大且高度可定制的身份驗證和授權(quán)框架,專門用于保護Java應用程序的Web集成,下面這篇文章主要給大家介紹了關于SpringSecurity?Web權(quán)限方案實現(xiàn)的相關資料,需要的朋友可以參考下

一、設置登錄系統(tǒng)的賬號、密碼

方式一，配置文件application.properties

spring.security.user.name=lucy
spring.security.user.password=123

方式二，編寫配置類

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String password = bCryptPasswordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("zhangsan").password(password).roles("admin");
    }
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

方式三，通過類實現(xiàn)接口UserDetailService

@Service
public class userDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException 
        List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User("zhangsan", new BCryptPasswordEncoder().encode("123"), list);
    }
}

二、數(shù)據(jù)庫查詢用戶名密碼

引入依賴

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>

建表sql

create table users(
    id bigint primary key auto_increment,
    username varchar(20) unique not null,
    password varchar(100)
);

數(shù)據(jù)源配置

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/demo?serverTimezone= GMT%2B8
    username: root
    password: 123456

實體類users

@Getter
@Setter
@AllArgsConstructor
@NoArgsConstructor
public class Users {
    private Integer id;
    private String username;
    private String password;
}

mapper

@Mapper
public interface UserMapper extends BaseMapper<Users> {
}

修改userDetailService

@Service
public class userDetailsService implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        // 使用mapper查詢數(shù)據(jù)庫
        QueryWrapper<Users> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username", s);
        Users users = userMapper.selectOne(queryWrapper);
        if (users == null) {
            throw new UsernameNotFoundException("用戶名不存在！");
        }

        List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User(users.getUsername(), new BCryptPasswordEncoder().encode(users.getPassword()), list);

    }
}

修改SecurityConfigTest

@Configuration
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

三、自定義登錄頁面

在配置類SpringSecurity中重寫configure方法

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //自定義自己編寫的登錄頁面
                .loginPage("/login.html") //登錄頁面設置
                .loginProcessingUrl("/user/login") //登錄訪問路徑
                .defaultSuccessUrl("/test/index").permitAll() //登錄成功之后，跳轉(zhuǎn)路徑
                .and().authorizeRequests()
                .antMatchers("/", "/test/hello","/user/login").permitAll() // 設置哪些路徑可以直接訪問，不需要認證
                .anyRequest().authenticated()
                .and().csrf().disable(); // 關閉csrf防護
    }

再編寫登錄頁面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

    <form action="/user/login" method="post">
        用戶名：<input type="text" name="username"/>
        <br/>
        密碼：<input type="password" name="password"/><br/>
        <input type="submit" value="login"/>
    </form>
</body>
</html>

controlller

@RestController
@RequestMapping("/test")
public class HelloController {

    @GetMapping("/hello")
    public String test() {
        return "hello, security";
    }
    @GetMapping("/index")
    public String index() {
        return "hello, index";
    }
}

啟動項目后使用的登錄頁面就是我們編寫的了

四、基于角色或權(quán)限進行訪問控制

（一）hasAuthority 方法

如果當前的主體具有指定的權(quán)限，則返回 true,否則返回 false

設置訪問/test/index需要admin角色

給用戶添加admin角色

修改角色為別的，不是admin后訪問被禁止

（二）hasAnyAuthority 方法

如果當前的主體有任何提供的角色（給定的作為一個逗號分隔的字符串列表）的話，返回 true.

（三）hasRole 方法

如果用戶具備給定角色就允許訪問 , 否則出現(xiàn) 403 。

如果當前主體具有指定的角色，則返回 true 。

底層源碼：

給用戶添加角色需要加上前綴ROLE_

修改配置文件：

注意配置文件中不需要添加” ROLE_ “，因為上述的底層代碼會自動添加與之進行匹配。

（四）hasAnyRole

表示用戶具備任何一個條件都可以訪問。

給用戶添加角色：

修改配置文件：

五、自定義403頁面

在配置類中配置

編寫unauth頁面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>沒有訪問權(quán)限</h1>
</body>
</html>

跳轉(zhuǎn)成功

六、注解使用

（一）@Secured

判斷是否具有角色，另外需要注意的是這里匹配的字符串需要添加前綴“ ROLE_ “。

使用注解先要開啟注解功能！

@EnableGlobalMethodSecurity(securedEnabled=true)

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled=true)
    public class DemosecurityApplication {
    public static void main(String[] args) {
         SpringApplication.run(DemosecurityApplication.class, args);
    }
}

controller

    @GetMapping("/update")
    @Secured({"ROLE_admin"})
    public String update() {
        return "hello, update";
    }

（二）@PreAuthorize

先開啟注解功能：

@EnableGlobalMethodSecurity (prePostEnabled = true )

@PreAuthorize：注解適合進入方法前的權(quán)限驗證， @PreAuthorize 可以將登錄用戶的 roles/permissions 參數(shù)傳到方法中。

    @GetMapping("/update")
    @PreAuthorize("hasAnyAuthority('admin')")
    public String update() {
        return "hello, update";
    }

（三）@PostAuthorize

先開啟注解功能：

@EnableGlobalMethodSecurity (prePostEnabled = true )

@PostAuthorize 注解使用并不多，在方法執(zhí)行后再進行權(quán)限驗證，適合驗證帶有返回值的權(quán)限.

@RequestMapping("/testPostAuthorize")
@ResponseBody
@PostAuthorize("hasAnyAuthority('admin')")
public String preAuthorize(){
     System.out.println("test--PostAuthorize");
     return "PostAuthorize";
}

（四）@PreFilter

@PreFilter: 進入控制器之前對數(shù)據(jù)進行過濾

@RequestMapping("getTestPreFilter")
@PreAuthorize("hasRole('ROLE_管理員')")
@PreFilter(value = "filterObject.id%2==0")
@ResponseBody
public List<UserInfo> getTestPreFilter(@RequestBody List<UserInfo> list){
    list.forEach(t-> {
        System.out.println(t.getId()+"\t"+t.getUsername());
    });
    return list;
}

（五）@PostFilter

@PostFilter ：權(quán)限驗證之后對數(shù)據(jù)進行過濾留下用戶名是 admin1 的數(shù)據(jù)

表達式中的 filterObject 引用的是方法返回值 List 中的某一個元素

@RequestMapping("getAll")
@PreAuthorize("hasRole('ROLE_管理員')")
@PostFilter("filterObject.username == 'admin1'")
@ResponseBody
public List<UserInfo> getAllUser(){
    ArrayList<UserInfo> list = new ArrayList<>();
    list.add(new UserInfo(1l,"admin1","6666"));
    list.add(new UserInfo(2l,"admin2","888"));
    return list;
}

七、基于數(shù)據(jù)庫的記住我

使用spring security記住登錄的用戶原理

創(chuàng)建表

CREATE TABLE `persistent_logins` (
 `username` varchar(64) NOT NULL,
 `series` varchar(64) NOT NULL,
 `token` varchar(64) NOT NULL,
 `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE 
CURRENT_TIMESTAMP,
 PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

配置文件編寫數(shù)據(jù)庫的配置

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/demo?serverTimezone= GMT%2B8
    username: root
    password: 123456

配置類

默認 2 周時間。但是可以通過設置狀態(tài)有效時間，即使項目重新啟動下次也可以正常登錄。

頁面添加記住我復選框，此處： name 屬性值必須為 remember-me. 不能改為其他值

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

    <form action="/user/login" method="post">
        用戶名：<input type="text" name="username"/>
        <br/>
        密碼：<input type="password" name="password"/><br/>
        <input type="checkbox" name="remember-me"/>60s內(nèi)免登錄<br/>
        <input type="submit" value="login"/>
    </form>
</body>
</html>

八、CSRF

跨站請求偽造 （英語： Cross-site request forgery ），也被稱為 one-click attack 或者 session riding ，通?？s寫為 CSRF 或者 XSRF ，是一種挾制用戶在當前已登錄的 Web 應用程序上執(zhí)行非本意的操作的攻擊方法。跟跨網(wǎng)站腳本（ XSS ）相比， XSS 利用的是用戶對指定網(wǎng)站的信任，CSRF 利用的是網(wǎng)站對用戶網(wǎng)頁瀏覽器的信任。

跨站請求攻擊，簡單地說，是攻擊者通過一些技術手段欺騙用戶的瀏覽器去訪問一個自己曾經(jīng)認證過的網(wǎng)站并運行一些操作（如發(fā)郵件，發(fā)消息，甚至財產(chǎn)操作如轉(zhuǎn)賬和購買商品）。由于瀏覽器曾經(jīng)認證過，所以被訪問的網(wǎng)站會認為是真正的用戶操作而去運行。

這利用了 web 中用戶身份驗證的一個漏洞： 簡單的身份驗證只能保證請求發(fā)自某個用戶的瀏覽 器，卻不能保證請求本身是用戶自愿發(fā)出的 。

從 Spring Security 4.0 開始，默認情況下會啟用 CSRF 保護，以防止 CSRF 攻擊應用程序，Spring Security CSRF 會針對 PATCH ， POST ， PUT 和 DELETE 方法進行防護。

總結(jié)

到此這篇關于SpringSecurity Web權(quán)限方案實現(xiàn)的文章就介紹到這了,更多相關SpringSecurity Web權(quán)限內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家！

您可能感興趣的文章:

springboot集成gzip和zip數(shù)據(jù)壓縮傳輸(適用大數(shù)據(jù)信息傳輸)
?在大數(shù)據(jù)量的傳輸中,壓縮數(shù)據(jù)后進行傳輸可以一定程度的解決速度問題,本文主要介紹了springboot集成gzip和zip數(shù)據(jù)壓縮傳輸,具有一定的參考價值,感興趣的可以了解一下
2023-09-09
Java多線程的實現(xiàn)方式詳解
這篇文章主要介紹了Java多線程的實現(xiàn)方式詳解,線程就是進程中的單個順序控制流,也可以理解成是一條執(zhí)行路徑,java中之所以有多線程機制,目的就是為了提高程序的處理效率,需要的朋友可以參考下
2023-08-08
Mybatis執(zhí)行update失敗的解決
這篇文章主要介紹了Mybatis執(zhí)行update失敗的解決方案，具有很好的參考價值，希望對大家有所幫助。如有錯誤或未考慮完全的地方，望不吝賜教
2021-09-09
Kotlin 基礎教程之反射
這篇文章主要介紹了Kotlin 基礎教程之反射的相關資料,需要的朋友可以參考下
2017-06-06
SpringBoot整合新版SpringSecurity完整過程
Spring Security是保障Spring應用程序安全的強大框架,而新版的Spring Security引入了lambda表達式來配置,使得安全配置更加簡潔、優(yōu)雅,本文將介紹如何在Spring Boot項目中整合新版Spring Security,需要的朋友可以參考下
2024-02-02
關于Java8新特性Optional類的詳細解讀
Optional類是一個容器類，它可以保存類型T的值，代表這個值存在?；蛘邇H僅保存null，表示這個值不存在,原來用 null 表示一個值不存在，現(xiàn)在Optional 可以更好的表達這個概念。并且可以避免空指針異常,需要的朋友可以參考下
2023-05-05
Vscode中不再支持JDK8的原因分析及解決方案
這篇文章主要介紹了Vscode中不再支持JDK8的解決方案,本文給大家分享三種解決方案，通過實例代碼給大家介紹的非常詳細，對大家的學習或工作具有一定的參考借鑒價值，需要的朋友可以參考下
2020-08-08
詳解SpringBoot讀取Yml配置文件的3種方法
本文主要介紹了詳解SpringBoot讀取Yml配置文件的3種方法，文中通過示例代碼介紹的非常詳細，對大家的學習或者工作具有一定的參考學習價值，需要的朋友們下面隨著小編來一起學習學習吧
2023-04-04
java之抽象類和繼承抽象類解讀
這篇文章主要介紹了java之抽象類和繼承抽象類,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
2023-11-11
基于servlet實現(xiàn)統(tǒng)計網(wǎng)頁訪問次數(shù)
這篇文章主要為大家詳細介紹了基于servlet實現(xiàn)統(tǒng)計網(wǎng)頁訪問次數(shù)，文中示例代碼介紹的非常詳細，具有一定的參考價值，感興趣的小伙伴們可以參考一下
2022-02-02

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

SpringSecurity?Web權(quán)限方案實現(xiàn)全過程

目錄

一、設置登錄系統(tǒng)的賬號、密碼

二、數(shù)據(jù)庫查詢用戶名密碼

三、自定義登錄頁面

四、基于角色或權(quán)限進行訪問控制

（一）hasAuthority 方法

（二）hasAnyAuthority 方法

（三）hasRole 方法

（四）hasAnyRole

五、自定義403頁面

六、注解使用

（一）@Secured

（二）@PreAuthorize

（三）@PostAuthorize

（四）@PreFilter

（五）@PostFilter

七、基于數(shù)據(jù)庫的記住我

八、CSRF

總結(jié)

相關文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线 免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

SpringSecurity?Web權(quán)限方案實現(xiàn)全過程

目錄

一、設置登錄系統(tǒng)的賬號、密碼

二、數(shù)據(jù)庫查詢用戶名密碼

三、自定義登錄頁面

四、基于角色或權(quán)限進行訪問控制

（一）hasAuthority 方法

（二）hasAnyAuthority 方法

（三）hasRole 方法

（四）hasAnyRole

五、自定義403頁面

六、注解使用

（一）@Secured

（二）@PreAuthorize

（三）@PostAuthorize

（四）@PreFilter

（五）@PostFilter

七、基于數(shù)據(jù)庫的記住我

八、CSRF

總結(jié)

相關文章

最新評論

大家感興趣的內(nèi)容

最近更新的內(nèi)容

常用在線小工具

国产无遮挡裸体免费直播视频,久久精品国产蜜臀av,动漫在线视频一区二区,欧亚日韩一区二区三区,久艹在线免费视频,国产精品美女网站免费,正在播放 97超级视频在线观看,斗破苍穹年番在线观看免费,51最新乱码中文字幕

一、設置登錄系統(tǒng)的賬號、密碼

三、自定義登錄頁面

四、基于角色或權(quán)限進行訪問控制

五、自定義403頁面

七、基于數(shù)據(jù)庫的記住我