2. 程式人生 > >spring實戰-Spring-security實現使用者許可權認證登入

spring實戰-Spring-security實現使用者許可權認證登入

阿新 發佈:2018-11-04

第八篇:Spring-security實現使用者許可權認證登入

spring-security原本是Acegi Security元件,該元件是一個強大的安全框架,但是使用方式很繁瑣,要配置幾百行XML。整合進Spring後,就可以通過xml或者JavaConfig的方式,很容易的就實現了系統的整合。下面示例展示了通過JavaConfig的方式整合spring-security安全框架

1,實現AbstractSecurityWebApplicationInitializer,只用寫好一個實現類就可以了,Spring系統會發現他,並用他在web容器中註冊DelegetingFilterProxy。DelegetingFilterProxy會攔截髮往應用中的請求。並將請求委託給一個ID為springSecurityFilterChain的bean,該bean可以連線一個或任意多個Filter,Spring security就是依賴著一系列servlet filter來提供不同的安全特性。這些細節我們不用管,當啟用web安全性時,會自動建立這些filter。

package com.halfworlders.idat.security;

import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {
}
2,建立SecurityConfig 

package com.halfworlders.idat.config;

import javax.sql.DataSource;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.StandardPasswordEncoder;

import com.halfworlders.idat.security.IdatUserDetailsService;
import com.halfworlders.idat.service.Userservice;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//	@Autowired
//	private DataSource dataSource;

	@Autowired
	private Userservice userservice;
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		/*
		 * 可以通過記憶體設定的方式,來做使用者登入驗證,此種方式比較適合開發和測試階段使用
		 */
		/*auth
		.inMemoryAuthentication()
		.withUser("admin")
		.password("admin")
		.roles("ADMIN");*/

		/*
		 * 可以通過資料來源設定的方式,直接基於資料庫的驗證,還可以設定密碼加密,
		 * 但此種方式要求資料庫的使用者表結構必須符合spring-security的要求
		 * 一下配上sql
		 */
		/*auth
		.jdbcAuthentication()
		.dataSource(dataSource)
		.passwordEncoder(new StandardPasswordEncoder("idatpwd"));*/

		/*
		 * 最好的是基於UserDetailService的介面方式,這樣spring-security並不知道系統通過什麼樣的方式來實現使用者資料驗證
		 * 開發人員可以在介面內以任意方式實現,增加了系統的靈活性
		 */
		auth.userDetailsService(new IdatUserDetailsService(userservice));
	}
}
3,在TilesWebConfig中匯入配置 

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "com.halfworlders.idat.controller")
@Import(SecurityConfig.class)
public class TilesWebConfig extends WebMvcConfigurerAdapter {
。。。。。
}
只需這三步,就能輕鬆的啟用了Spring security安全框架

另外再需要實現UserDetailsService

package com.halfworlders.idat.security;

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import com.halfworlders.idat.service.Userservice;

public class IdatUserDetailsService implements UserDetailsService{

	private final Userservice userservice;
	
	public IdatUserDetailsService(Userservice userservice) {
		this.userservice = userservice;
	}
	@Override
	public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
		User user = userservice.findUserByName(userName);
		if (null != user) {
			return user;
		}
		throw new UsernameNotFoundException("User name" + userName + "not find");
	}

}

UserService 

package com.halfworlders.idat.service;

import org.springframework.security.core.userdetails.User;

public interface Userservice {
	User findUserByName(String userName);
}

package com.halfworlders.idat.service.impl;

import java.util.ArrayList;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Service;

import com.halfworlders.idat.service.Userservice;

@Service
public class UserServiceImpl implements Userservice {

	@Override
	public User findUserByName(String userName) {
		List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
		grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
		return new User(userName, "admin", grantedAuthorities);
	}
}

mysql-sql

SET FOREIGN_KEY_CHECKS=0;

-- ----------------------------
-- Table structure for authorities
-- ----------------------------
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(20) DEFAULT NULL,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for groups
-- ----------------------------
DROP TABLE IF EXISTS `groups`;
CREATE TABLE `groups` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `groupName` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for group_authorities
-- ----------------------------
DROP TABLE IF EXISTS `group_authorities`;
CREATE TABLE `group_authorities` (
  `group_Id` int(11) NOT NULL AUTO_INCREMENT,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`group_Id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for group_members
-- ----------------------------
DROP TABLE IF EXISTS `group_members`;
CREATE TABLE `group_members` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `group_Id` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(8) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `password` varchar(50) DEFAULT NULL,
  `enabled` tinyint(4) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;






相關推薦

spring實戰-Spring-security實現使用者許可權認證登入

第八篇:Spring-security實現使用者許可權認證登入 spring-security原本是Acegi Security元件,該元件是一個強大的安全框架,但是使用方式很繁瑣,要配置幾百行XML。整合進Spring後,就可以通過xml或者JavaConfig的方式,很容易的就實現了系統

spring實戰-Spring-security許可權認證白名單

第九篇:spring實戰-Spring-security許可權認證白名單 當我們為程式設定許可權認證時,主要是希望能夠保護需要保護的功能,並不是說所有的功能都需要被保護起來,比如說系統主頁,幫助中心等等 此時我們可以通過白名單的方式,讓某些功能對未登入使用者公開,Spring-secur

spring實戰-Spring-security自定義登入登出、防csrf攻擊及檢視保護

第十篇:Spring-security自定義登入登出、防csrf攻擊及檢視保護 這是Spring及SpringMVC的最後一篇,本次主要演示SpringSecurity更使用的示例,如自定義的登入頁面,系統登出,防止CSRF跨站攻擊,以及檢視保護檢視保護可以定義到按鈕級別的許可權 先看自

spring實戰-Spring中Filter以及處理Exception方式

第七篇:spring實戰-Spring中Filter以及處理Exception方式 Filter對於Web應用程式是至關重要的,如果web請求的字元轉換,XSS攻擊攔截等等 在SpringMVC中新增Filter也是非常方便的,可以通過重寫AbstractAnnotationConfig

spring實戰-Spring檔案上傳MultipartFile

第六篇:spring實戰-Spring檔案上傳MultipartFile 在構建網站是,處理檔案上傳功能是必須的,比如建立使用者需要使用者上傳頭像,建立伺服器列表需要上傳Excel檔案等等 在Springmvc中對檔案上傳做了比較好的支援,同時支援基於Servlet3.0的標準multi

spring實戰-Spring-Tiles模板的應用

第五篇:Spring-Tiles模板的應用 在網頁搭建時,為了保持一個站點網站的風格統一,網頁往往會包含相同的公共頭尾或者側邊欄,如果把這些功能的頁面區域寫到各個頁面裡面,會導致很多的重複工作,而且帶來繁重的後期維護成本。apache tiles 提供了一個比較好的解決方案,就是定製網頁模板

spring實戰-Spring-JSP標籤

第四篇:Spring-JSP標籤 1,Spring繫結標籤,合計14個如下 2,Spring通用標籤,合計10個,有些已經不再使用,下面重點使用messages標籤 3,繫結標籤例項 <%@ page language="java" import="jav

SpringBoot 2.0 | Security+Mybatis 許可權認證

1.簡介 Spring Security 是 Spring 家族的一個安全框架, 提供了全面的安全解決方案 , 對使用者的身份進行認證, 以及驗證每一個使用者所具有的的許可權, 根據使用者的許可權限制使用者的操作。 Mybatis 是一款優秀的持久層框架 , 支援自定義 SQL

Spring實戰——Spring MVC的高階技術

先回顧一下Spring實戰——構建Spring Web應用程式中使用java配置構建的SpringMVC框架。以下會提供SpringMVC配置的替代方案。 一、SpringMVC配置的替代方案 注意:在Spring實戰——構建Spring Web應用程式一文中說過:使用java配置Spr

spring-security 個性化使用者認證流程——自定義登入頁面(可配置)

1.定義自己的登入頁面我們需要根據自己的業務系統構建自己的登入頁面以及登入成功、失敗處理在spring security提供給我的登入頁面中,只有使用者名稱、密碼框,而自帶的登入成功頁面是空白頁面(可以重定向之前請求的路徑中),而登入失敗時也只是提示使用者被鎖定、過期等資訊。 在實際的開發中,則需要更

Spring Boot+Spring Security+Spring Social專案開發(六):開發APP認證框架、Spring Security OAuth核心原始碼、重構三種登入方式、重構社交登入

說在前面 博主最近會有很多專案跟大家一起分享,做完後會上傳github上的,希望讀友們能給博主提提意見哈哈 這個專案是第三方登入和安全方面的,關於後臺與app和網站的登入連線操作的實戰專案 各位如果可以就給我star哈哈謝謝啦 S

[許可權管理系統(四)]-spring boot +spring security簡訊認證+redis整合

[許可權管理系統]spring boot +spring security簡訊認證+redis整合   現在主流的登入方式主要有 3 種:賬號密碼登入、簡訊驗證碼登入和第三方授權登入,前面一節Spring security(三)---認證過程已分析了spring security賬號密碼方式登陸,現在我們來分

Spring Security OAuth2.0認證授權六:前後端分離下的登入授權

歷史文章 > [Spring Security OAuth2.0認證授權一:框架搭建和認證測試](https://blog.kdyzm.cn/post/24) > [Spring Security OAuth2.0認證授權二:搭建資源服務](https://blog.kdyzm.cn/post/25)

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

spring boot security 防止使用者重複登入(原創)

原理:在認證成功通過後,在顯示登入成功頁面之前,也就是在SavedRequestAwareAuthenticationSuccessHandler類中操作。 新增一個集合sessionMap 用於儲存認證成功的會話,鍵名為會話ID, 每次有使用者登入認證通過都要判斷一下是否重複登入

Java架構-(十) 整合spring cloud雲架構 - SSO單點登入之OAuth2.0登入認證(1)

之前寫了很多關於spring cloud的文章,今天我們對OAuth2.0的整合方式做一下筆記,首先我從網上找了一些關於OAuth2.0的一些基礎知識點,幫助大家回顧一下知識點: 一、oauth中的角色 client:呼叫資源伺服器API的應用 Oauth 2.0 Provide

spring boot spring security 自定義 filter FilterSecurityInterceptor 訪問資源 靜態資源 和 不需要許可權訪問都失效了

問題:spring boot security 中, filters="none"  對應哪個? 自定義AbstractSecurityInterceptor後  靜態資源也進入攔截器,登陸頁面,permitall 也失效, 還是進

Spring Security Oauth2 單點登入案例實現和執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Oauth2 OAuth是一個關於授權的開放網路標準,在全世界得到的廣泛的應用,目前是2.0的版本。OAuth2在“客戶端”與“服務提供商”之間

【開源專案】Spring Security三大許可權框架案例講解01—專案初始化

GitHub 前言 大致簡介專案主要逐步迭代講解Spring Security + Spring Social + Spring Security OAuth + REST服務開發,通過實際的案例開發來講解,專案註解詳細適合作為教程案例,同時對程式碼的演進還有重構

spring-security-oauth2(三) 認證流程原始碼分析

認證流程原始碼分析 之前的程式碼中,我們自定義了登陸路徑,自定義成功和失敗處理器以及自定義的使用者登陸資訊校驗,下面我們通過簡單的原始碼分析,來把這些串聯起來 認證流程處理說明 認證結果如何在多個請求之間共享 獲取認證使用者資訊 認證處理流程說明 spring-