中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Spring Boot整合Spring Security的示例代碼

發布時間:2020-09-06 11:00:01 來源:腳本之家 閱讀:159 作者:u283056051 欄目:編程語言

本文講述Spring Boot整合Spring Security在方法上使用注解實現權限控制,使用自定義UserDetailService,從MySQL中加載用戶信息。使用Security自帶的MD5加密,對用戶密碼進行加密。頁面模板采用thymeleaf引擎。

源碼地址:https://github.com/li5454yong/springboot-security.git

1、引入pom依賴

 <parent>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-parent</artifactId>
  <version>1.4.4.RELEASE</version>
 </parent>

 <dependencies>
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-web</artifactId>
  </dependency>
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
  </dependency>
  <dependency>
   <groupId>org.springframework.security.oauth</groupId>
   <artifactId>spring-security-oauth3</artifactId>
  </dependency>
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-thymeleaf</artifactId>
  </dependency>
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-data-jpa</artifactId>
  </dependency>
  <dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-jdbc</artifactId>
  </dependency>
  <dependency>
   <groupId>mysql</groupId>
   <artifactId>mysql-connector-java</artifactId>
   <version>5.1.34</version>
  </dependency>
  <dependency>
   <groupId>com.alibaba</groupId>
   <artifactId>druid</artifactId>
   <version>1.0.15</version>
  </dependency>
 </dependencies>

這里使用druid連接池,Spring Data Jpa實現數據庫訪問。

2、配置Spring Security

@Configuration
@EnableWebMvcSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//開啟security注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
 @Bean
 @Override
 protected AuthenticationManager authenticationManager() throws Exception {
  return super.authenticationManager();
 }

 @Override
 protected void configure(HttpSecurity http) throws Exception {
  //允許所有用戶訪問"/"和"/home"
  http.authorizeRequests()
    .antMatchers("/", "/home").permitAll()
    //其他地址的訪問均需驗證權限
    .anyRequest().authenticated()
    .and()
    .formLogin()
    //指定登錄頁是"/login"
    .loginPage("/login")
    .defaultSuccessUrl("/hello")//登錄成功后默認跳轉到"/hello"
    .permitAll()
    .and()
    .logout()
    .logoutSuccessUrl("/home")//退出登錄后的默認url是"/home"
    .permitAll();
 }

 @Autowired
 public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
  auth
   .userDetailsService(customUserDetailsService())
   .passwordEncoder(passwordEncoder());

 }

 /**
  * 設置用戶密碼的加密方式為MD5加密
  * @return
  */
 @Bean
 public Md5PasswordEncoder passwordEncoder() {
  return new Md5PasswordEncoder();
 }

 /**
  * 自定義UserDetailsService,從數據庫中讀取用戶信息
  * @return
  */
 @Bean
 public CustomUserDetailsService customUserDetailsService(){
  return new CustomUserDetailsService();
 }
}

這里只做了基本的配置,設置了登錄url、登錄成功后跳轉的url、退出后跳轉到的url。使用@EnableGlobalMethodSecurity(prePostEnabled = true)這個注解,可以開啟security的注解,我們可以在需要控制權限的方法上面使用@PreAuthorize,@PreFilter這些注解。

3、自定義userDetailService

public class CustomUserDetailsService implements UserDetailsService {
 @Autowired //數據庫服務類
 private SUserService suserService;

 @Override
 public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
  //SUser對應數據庫中的用戶表,是最終存儲用戶和密碼的表,可自定義
  //本例使用SUser中的email作為用戶名:
  SUser user = suserService.findUserByEmail(userName); 

  if (user == null) {

   throw new UsernameNotFoundException("UserName " + userName + " not found");

  }

  // SecurityUser實現UserDetails并將SUser的Email映射為username
  SecurityUser securityUser = new SecurityUser(user);
  Collection<SimpleGrantedAuthority> authorities = new ArrayList<SimpleGrantedAuthority>();
  authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
  return securityUser; 

 }

}

這里只需要實現UserDetailsService 接口,重寫loadUserByUsername方法,從數據庫中取出用戶信息。最后返回一個UserDetails 實現類。

4、定義錯誤處理配置

@Configuration
public class ErrorPageConfig {
 @Bean
 public EmbeddedServletContainerCustomizer embeddedServletContainerCustomizer(){
  return new MyCustomizer();
 }
 private static class MyCustomizer implements EmbeddedServletContainerCustomizer {
  @Override
  public void customize(ConfigurableEmbeddedServletContainer container) {
   container.addErrorPages(new ErrorPage(HttpStatus.FORBIDDEN, "/403"));
  }
 }
}

訪問發生錯誤時,跳轉到”/403”.

5、Controller接口

@Controller
public class IndexController {

 @Resource
 private SUserService sUserService;

 @RequestMapping("/home")
 public String home() {
  return "home";

 }


 @PreAuthorize("hasRole('user')")
 @RequestMapping(value = "/admin",method = RequestMethod.GET)
 public String toAdmin(){

  return "helloAdmin";
 }

 @RequestMapping("/hello")
 public String hello() {

  return "hello";

 }

 @RequestMapping("/login")
 public String login(){
  return "login";
 }

 @RequestMapping("/")
 public String root() {
  return "index";

 }

 @RequestMapping("/403")
 public String error(){
  return "403";
 }
}

在toAdmin()方法上面使用了@PreAuthorize(“hasRole(‘user')”),表示訪問這個方法需要擁有user角色。如果希望控制到權限層面,可以使用@PreAuthorize(“hasPermission()”)。這里只是用了其中的一個用法,更多的使用方法可以去看官方文檔。需要注意的是,Spring Security默認的角色前綴是”ROLE_”,使用hasRole方法時已經默認加上了,因此我們在數據庫里面的用戶角色應該是“ROLE_user”,在user前面加上”ROLE_”前綴。

6、測試

啟動項目,訪問http://localhost:1130/login

Spring Boot整合Spring Security的示例代碼

點擊登錄后進入到“/hello”

Spring Boot整合Spring Security的示例代碼

點擊跳轉到管理員頁面

Spring Boot整合Spring Security的示例代碼

在后臺的“/admin”這個url對應的方法上面,限制了用戶必須要擁有“user”角色。在數據庫中也設置了登錄的用戶有這個角色。
現在我們修改數據庫中的用戶角色,改為“ROLE_admin”。退出登錄后重新登錄,再次點擊“前往管理員頁面”按鈕,會跳轉到如下頁面。

Spring Boot整合Spring Security的示例代碼 

因為現在沒有了“user”權限,所以訪問的時候拋出了異常,被攔截后重定向到了“/403”。

7、POST方式訪問,錯誤碼403

首先,把“/admin”改為POST請求

 @PreAuthorize("hasRole('user')")
 @RequestMapping(value = "/admin",method = RequestMethod.POST)
 public String toAdmin(){
  return "helloAdmin";
 }

把“前往管理員頁面”按鈕的請求方式從原來的form表達get提交,改為ajax方式POST提交。至于為什么不是用form的POST提交后面再講。先修改代碼

<body>

<h2 th:inline="text">Hello [[${#httpServletRequest.remoteUser}]]!</h2>

<!--<form th:action="@{/logout}" method="post">

 <input type="submit" value="Sign Out"/>
</form>
<form th:action="@{/admin}" method="get">
 <input th:type="submit" th:value="前往管理員頁面"/>

</form>-->
<a th:href="@{/admin}" rel="external nofollow" >前往管理員用戶頁面</a>
<input th:type="submit" onclick="testPost()" th:value="前往管理員頁面"/>
</body>
<script>
 function testPost() {
  $.ajax({
   url:"/admin",
   type:'POST',

   success:function (data) {

   }
  });
 }
</script>

點擊“前往管理員頁面”按鈕,在調試臺可以看到如下

Spring Boot整合Spring Security的示例代碼 

這是因為框架內部防止CSRF(Cross-site request forgery跨站請求偽造)的發生,限制了除了get以外的大多數方法。

下面說解決辦法:

首先在標簽內添加如下內容。

 <meta name="_csrf" th:content="${_csrf.token}"/>
 <meta name="_csrf_hader" th:content="${_csrf.headerName}"/>

只要添加這個token,后臺就會驗證這個token的正確性,如果正確,則接受post訪問。
然后在ajax代碼中添加以下代碼:

var token = $('meta[name="_csrf"]').attr("content");
var header = $('meta[name="_csrf_hader"]').attr("content");
$(document).ajaxSend(function(e,xhr,opt){
   xhr.setRequestHeader(header,token);
  });

這樣就可以正常使用POST、DELETE等其他方式來訪問了。

上面說到使用表單的POST方式來提交,通過查看頁面源代碼可以看到

Spring Boot整合Spring Security的示例代碼 

框架在form表單中自動插入了一個隱藏域,value值就是那個token,所以使用form表單來提交POST請求是可以直接通過的,而ajax方式提交的話,需要加上那段代碼。

好了,這篇文章就講到這,后面還會有文章講述REST API風格如何來使用Spring Security來控制權限。

以上就是本文的全部內容,希望對大家的學習有所幫助,也希望大家多多支持億速云。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

于都县| 额济纳旗| 惠来县| 射阳县| 安泽县| 新宾| 白玉县| 重庆市| 如东县| 罗平县| 南和县| 新化县| 时尚| 芦溪县| 大渡口区| 扬州市| 湖南省| 米易县| 湟源县| 临汾市| 长丰县| 普陀区| 汝南县| 得荣县| 桂林市| 牡丹江市| 郎溪县| 龙游县| 岳普湖县| 武清区| 奇台县| 城固县| 高州市| 沛县| 民乐县| 东安县| 辉南县| 澄城县| 偃师市| 阿克陶县| 清丰县|