2. 程式人生 > >使用SpringSecurity

使用SpringSecurity

阿新 發佈:2018-04-29
路徑 osi head false NPU doc 其中 應該 reg

前幾天寫了一個SpringBoot對攔截器的使用,在實際項目中,對一些情況需要做一些安全驗證,比如在沒有登錄的情況下訪問特定的頁面應該解釋的攔截處理。這一篇介紹使用SpringSecurity來做簡單的安全控制,由於SpringSecurity比較復雜,如果有不對的地方可以大家一起學習。

新建項目,前端頁面使用thymeleaf,加入security依賴,pom文件如下:

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.dalaoyang</groupId>
    <artifactId>springboot_security</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <packaging>jar</packaging>

    <name>springboot_security</name>
    <description>springboot_security</description>

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.5.9.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>net.sourceforge.nekohtml</groupId>
            <artifactId>nekohtml</artifactId>
            <version>1.9.15</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>


</project>

配置文件本文就是將之前整合thymeleaf的配置拿了過來,代碼如下:

##端口號
server.port=8888


##去除thymeleaf的html嚴格校驗
spring.thymeleaf.mode=LEGACYHTML5

#設定thymeleaf文件路徑 默認為src/main/resources/templates
spring.freemarker.template-loader-path=classpath:/templates
#設定靜態文件路徑,js,css等
spring.mvc.static-path-pattern=/static/**
# 是否開啟模板緩存,默認true
# 建議在開發時關閉緩存,不然沒法看到實時頁面
spring.thymeleaf.cache=false
# 模板編碼
spring.freemarker.charset=UTF-8

接下來是這篇文章重要的地方,新建一個SecurityConfig類,繼承WebSecurityConfigurerAdapter類,重寫configure(HttpSecurity httpSecurity)方法,其中/css/和/index的資源不需要驗證,直接可以請求,/user/的資源需要驗證,權限是USER,/admin/**的資源需要驗證,權限是ADMIN,登錄地址是/login,登錄失敗地址是/login_error,異常重定向到 /401,註銷跳轉到/logout。
註入AuthenticationManagerBuilder,在內存中創建一個用戶dalaoyang,密碼123的用戶,權限是USER,代碼如下:

package com.dalaoyang.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author dalaoyang
 * @Description
 * @project springboot_learn
 * @package com.dalaoyang.config
 * @email [email protected]
 * @date 2018/4/28
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    // /css/**和/index的資源不需要驗證,直接可以請求
    // /user/**的資源需要驗證,權限是USER /admin/**的資源需要驗證,權限是ADMIN
    // 登錄地址是/login 登錄失敗地址是 /login_error
    // 異常重定向到 /401
    // 註銷跳轉到 /logout
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception{
        httpSecurity
                .authorizeRequests()
                .antMatchers("/css/**","/index").permitAll()
                .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/admin/**").hasRole("ADMIN")
                .and()
                .formLogin().loginPage("/login").failureUrl("/login_error")
                .and()
                .exceptionHandling().accessDeniedPage("/401");

        httpSecurity.logout().logoutSuccessUrl("/logout");
    }


    //內存中創建用戶,用戶名為dalaoyang,密碼123,權限是USER
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("dalaoyang").password("123").roles("USER");
    }
}

創建一個TestController負責跳轉,代碼如下:

package com.dalaoyang.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * @author dalaoyang
 * @Description
 * @project springboot_learn
 * @package com.dalaoyang.controller
 * @email [email protected]
 * @date 2018/4/28
 */
@Controller
public class TestController {

    @RequestMapping("/")
    public String index(){
        return "index";
    }

    @RequestMapping("/index")
    public String index2(){
        return "index";
    }

    @RequestMapping("/user")
    public String user(){
        return "user/index";
    }

    @RequestMapping("/admin")
    public String admin(){
        return "admin/index";
    }

    @RequestMapping("/login")
    public String login(){
        return "login";
    }

    @RequestMapping("/login_error")
    public String login_error(Model model){
        model.addAttribute("login_error", "用戶名或密碼錯誤");
        return "login";
    }

    @RequestMapping("/logout")
    public String logout(Model model){
        model.addAttribute("login_error", "註銷成功");
        return "login";
    }

    @RequestMapping("/401")
    public String error(){
        return "401";
    }
}

創建一個user/index.html,用於校驗USER權限,沒有登錄的話不能直接訪問,代碼如下:

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
    <meta charset="UTF-8">
    <title>user/index</title>
</head>
<body>
user/index

<form th:action="@{/logout}" method="post">
    <input type="submit" value="註銷"/>
</form>
</body>
</html>

創建一個admin/index.html,只允許ADMIN權限訪問,代碼如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>admin</title>
</head>
<body>
admin/index
</body>
</html>

401頁面,用於沒有權限跳轉:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>401</title>
</head>
<body>
401
</body>
</html>

index頁面,任何權限都能訪問

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
    <meta charset="UTF-8">
    <title>index</title>
</head>
<body>
index
</body>
</html>

login頁面,用於登錄

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
    <meta charset="UTF-8">
    <title>login</title>
</head>
<body>
<h1>login</h1>
<form th:action="@{/login}" method="post">
    <span th:text="${login_error}"></span>
<br/>
    <input type="text" name="username">用戶名<br/>
<input type="password" name="password">密碼<br/>
    <input type="submit" value="登錄">
</form>
</body>
</html>

到這裏就全部創建完成了,啟動項目,訪問http://localhost:8888/,如圖,可以直接訪問。

技術分享圖片

訪問http://localhost:8888/user被攔截到http://localhost:8888/login,如圖

技術分享圖片

先輸入錯誤的密碼,如圖

技術分享圖片

然後輸入用戶名dalaoyang密碼123,點擊登錄結果如圖

技術分享圖片

訪問http://localhost:8888/admin,如圖,沒有權限

技術分享圖片

我們在回到http://localhost:8888/user點擊註銷,如圖

技術分享圖片

源碼下載 :大老楊碼雲

個人網站:https://dalaoyang.cn

使用SpringSecurity

相關推薦

springsecurity基於數據庫驗證用戶

location value process index.jsp mvc parameter 都是 權限 text 之前的springsecurity程序都是將數據存放在內存中的,通過 1 <security:user-service> 2

springsecurity的remember me

ice style series 如果 數據庫 pro blog 代碼 table 基於持久化的token的方法 實現原理:將生成的 token 存入 cookie 中並發送到客戶端瀏覽器,待到下次用戶訪問系統時,系統將直接從客戶端 cookie 中讀取 token 進行認

springboot+mybatis+SpringSecurity 實現用戶角色數據庫管理

.html ngs list css per title 。。 nfa from 本文使用springboot+mybatis+SpringSecurity 實現用戶權限數據庫管理 實現用戶和角色用數據庫存儲,而資源(url)和權限的對應采用硬編碼配置。 也就是角色可以訪問

SpringSecurity 進行自定義Token校驗

單獨 snapshot author 調試 wired vax net figure cas 背景 Spring Security默認使用「用戶名/密碼」的方式進行登陸校驗,並通過cookie的方式存留登陸信息。在一些定制化場景,比如希望單獨使用token串進行部分頁面的訪

使用SpringSecurity

路徑 osi head false NPU doc 其中 應該 reg 前幾天寫了一個SpringBoot對攔截器的使用,在實際項目中,對一些情況需要做一些安全驗證,比如在沒有登錄的情況下訪問特定的頁面應該解釋的攔截處理。這一篇介紹使用SpringSecurity來做簡單的

SpringBoot19 集成SpringSecurity01 -> 環境搭建、SpringSecurity驗證

登錄 war 必須 -s splay serializa AI ID config 1 環境搭建   1.1 創建一個SpringBoot項目     項目腳手架 -> 點擊前往   1.2 創建一個Restful接口     新建一個Controller類即可

springSecurity自定義認證配置

pojo property ood 目錄 spring註解 web tex poj uri 上一篇講了springSecurity的簡單入門的小demo,認證用戶是在xml中寫死的。今天來說一下自定義認證,讀取數據庫來實現認證。當然,也是非常簡單的,因為僅僅是讀取數據庫,權

springboot整合springsecurity遇到的問題

首頁 move close success 分享 沒有 pass ons url 在整合springsecurity時遇到好幾個問題,自動配置登錄,下線,註銷用戶的操作,數據基於mybatis,模版引擎用的thymeleaf+bootstrap。 一、認證時密碼的加密(p

基於SpringBoot+SpringSecurity+mybatis+layui實現的一款權限系統

數據操作 myba lan boot png 以及 bubuko 其中 yui 這是一款適合初學者學習權限以及springBoot開發,mybatis綜合操作的後臺權限管理系統 其中設計到的數據查詢有一對一,一對多,多對多,聯合分步查詢,充分利用mybatis的強大實現各

SpringSecurity身份驗證基礎入門

logo submit world! authorize group author port glob oba pom.xml添加依賴 1 <dependency> 2 <groupId>org.springframew

springSecurity手動登錄

根據 請求 並且 ESS 過程 認證方式 cep 用戶 ets springSecurity 每種認證方式都要寫一大推類 1.要寫Token封裝認證信息 2.要寫UserDetailsService的實現獲取用戶信息 3.要寫provider調用UserDetail

Springboot中使用springsecurity

cte 進行 cti 使用註解 extends nbsp 接口 配置 conf 簡單記錄springboot中使用springsecurity作為權限安全驗證框架的步驟。 原理解析,連接分享。感覺寫的不錯記錄下來 https://blog.csdn.net/code_

springSecurity之http Basic認證

引言: HTTP基礎認證(BA)是一種簡單的認證機制。當一個web客戶端需要保護任何web資源的時候,伺服器會發送一個帶有401狀態碼(未授權)的HTTP迴應,還有類似WWW-Authenticate: Basic realm=”realm here” 的 WWW-Authenticate HTTP

SpringSecurity入門

分頁插件 實現類 nco servle help let mpi jdb end 一 創建maven項目 SpringSecurityTest 用maven-archetype-webapp 引入依賴 <?xml version="1.0" encoding="UT

新版的 Springsecurity request.getRequestDispatcher).forward(request, response); 404 問題,已解決

舊版本的 可以直接 轉發登陸 request.getRequestDispatcher).forward(request, response); 新版本的轉發會404,原因 SpringSecurity 過濾器不支援轉發 可以加上以下配置解決 securi

SpringSecurity限制iframe引用頁面。出現X-Frame-Options deny問題

由於專案中集成了springSecurity框架,導致頁面無法被iframe引用。 網上解決辦法很兩種,一種是修改web.xml,增加fiflter過濾器,我試了並沒解決問題。 Spring Security下,X-Frame-Options預設為DENY,非Spring Securit

SpringSecurity(二)基於資料庫使用者登入

一、使用SpringSecurity提用的User物件 1. 新建一個MyUserService類 @Component public class MyUserService implements UserDetailsService { @Override public

SpringSecurity(一)自定義登入介面

1. 新建一個SpringBoot工程 新增如下依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifact

關於SpringSecurity的重定向到loginPage()頁面的一個坑

背景: SpringBoot+SpringSecurity搭建的一個web服務,註冊到SpringEureka註冊中心,通過SpringZuul進行統一閘道器訪問 問題: 我們知道,當我要訪問該web服務的一個請求 /test 且該請求需要使用者認證,那麼SpringSecurity

SpringBoot+SpringSecurity之如何forword到登入頁面

當我們在專案中引入了SpringSecurity框架進行身份校驗的時候,如果某個請求需要使用者身份認證,那麼SpringSecurity會將使用者redirect到登入頁面。但是有些時候我們希望是forward到登入頁面而不是redirect到登入頁面,這種情況下可做如下配置: @Bean publi