中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

SpringBoot 中Security如何使用

發布時間:2021-08-03 14:51:45 來源:億速云 閱讀:148 作者:Leah 欄目:編程語言

這篇文章將為大家詳細講解有關SpringBoot 中Security如何使用,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

什么是SpringSecurity

Security是Spring全家桶中一個安全框架,他的擴展能力非常的強,底層是一條過濾器鏈。通過簡單的配置就可以使用,但通過自己的DIY,可以把每個權限細化到每個鏈接上去。

shiro沒有學,但只推薦學一個安全框架

這里搭建的學習項目都是使用SpringBoot

獲取SpringSecurity

你可以在maven官網獲取最新版本

SpringBoot 中Security如何使用

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>2.4.2</version>
</dependency>

開始一個SpringBoot項目

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.2</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.pipihao</groupId>
    <artifactId>securitylearn</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>securitylearn</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid</artifactId>
            <version>1.1.21</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.4</version>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

項目配置文件

server:
  port: 8001

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/demo?serverTimezone=Asia/Shanghai
    username: root
    password: root
    driver-class-name: com.mysql.cj.jdbc.Driver
  thymeleaf:
    cache: false 
    # 因為Thymeleaf很多有默認配置,所以只關了這個緩存,方便刷新

數據庫文件

數據庫版本為 8.0


運行項目

SpringBoot 中Security如何使用 SpringBoot 中Security如何使用  

登錄

用戶名:user

密碼:控制臺輸出的這密碼

配置Security

方法一:通過配置文件修改登錄賬號密碼
spring:
  security:
  	user:
  	  name: xx
  	  password: xx
方法二:通過自定義配置SecurityConfig配置類

WebSecurityConfigurerAdapter 類是是Security內置提供了一個默認身份驗證的抽象類,繼承此抽象類實現configure方法則可以對驗證操作實現DIY。[于官方文檔 6.3 標題可見]

UserDetailsService接口:查詢數據庫用戶名和密碼過程

  • 創建類繼承UsernamePasswordAuthenticationFilter,重寫三個方法
    *

  • 創建類實現UserDetailService,編寫查詢數據過程,返回User對象,這個User對象是安全框架提供對象。

  • PasswordEncoder: 數據加密接口,用于返回User對象里面的密碼加密

方法三:自定義配置類UserDetailsService

定義不驗證鏈接

@Override
protected void configure(HttpSecurity http) throws Exception {
    /*
        使用and()方法表示關閉XML標記的Java配置,它允許我們繼續配置父標記。如果您閱讀代碼,它也是有道理的。我想配置授權請求并配置表單登錄并配置HTTP基本身份驗證。
         */
    http
        .authorizeRequests()
        .antMatchers("/","/no").permitAll() //可以直接訪問的路徑
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginPage("/login.html") //配置登錄路徑
        .loginProcessingUrl("/doLogin")
        .defaultSuccessUrl("/hallo")
        .permitAll()
        ; //設置 登錄的網頁

    http.csrf().disable(); //如果注釋了這一行,全部要用_csrf的對象來驗證了
}

配置訪問權限/角色

如果是配置訪問角色則使用是hasRole與hasAnyRole

這里非常建議點一下看一下hasRole的源碼 使用Role的時候,User的權限列表是需要加ROLE_前綴的

這里直接使用的是hasAnyAuthority,還有一個方法是hasAuthority

前者可以配置多個權限,而后者只能配置一個權限

接口只是顯示一個字符串

@GetMapping("test")
public String sayTest(){
    return "Test";
}
SecurityConfig代碼
@Override
protected void configure(HttpSecurity http) throws Exception {
    /*
        使用and()方法表示關閉XML標記的Java配置,它允許我們繼續配置父標記。如果您閱讀代碼,它也是有道理的。我想配置授權請求并配置表單登錄并配置HTTP基本身份驗證。
         */
    http
        .authorizeRequests()
        .antMatchers("/","/no").permitAll() //可以直接訪問的路徑
        .antMatchers("/test").hasAnyAuthority("admin") // 訪問權限
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginPage("/login.html") //配置登錄路徑
        .loginProcessingUrl("/doLogin")
        .defaultSuccessUrl("/hallo")
        .permitAll()
        ; //設置 登錄的網頁

    http.csrf().disable(); //如果注釋了這一行,全部要用_csrf的對象來驗證了
}
UserDetailsImpl代碼
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    if(StringUtils.isEmpty(username)){
        throw new RuntimeException("用戶名不能為空");
    }
    IUser iUser= userMapper.getUserByUsername(username);
    if(iUser == null){
        throw new UsernameNotFoundException("無此用戶");
    }
    /*此處查詢用戶角色*/

    List<GrantedAuthority> grantedAuthorityList =
        AuthorityUtils.createAuthorityList("admin"); // 權限的列表

    return new User(iUser.getUsername(),bCryptPasswordEncoder.encode(iUser.getPassword()),grantedAuthorityList);
}

自定義403界面

// 在此方法內加上一行  protected void configure(HttpSecurity http)
http.exceptionHandling().accessDeniedPage("/unauth.html");

權限注解

@Secured

判斷是否有角色,這里匹配的角色需要加前綴ROLE_

@GetMapping("update")
@Secured({"ROLE_manager"})
public String update(){
    return "update";
}

使用其功能時需要在application類上開起

@SpringBootApplication
@MapperScan("com.pipihao.securitylearn.mapper")
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecuritylearnApplication {
    public static void main(String[] args) {
        SpringApplication.run(SecuritylearnApplication.class, args);
    }
}

UserDetailsServiceImpl

List<GrantedAuthority> grantedAuthorityList =
    AuthorityUtils.createAuthorityList("admin","ROLE_manager");
@PreAuthorize & @PostAuthorize

此注解即有權限驗證功能,又有角色驗證功能

@GetMapping("pre1")
@PreAuthorize("hasAnyRole('ROLE_manager')")
public String prePost1(){
    return "prePost1";
}

@GetMapping("pre2")
@PreAuthorize("hasAnyAuthority('admin')")
public String prePost2(){
    return "prePost2";
}
@SpringBootApplication
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecuritylearnApplication {
    public static void main(String[] args) {
        SpringApplication.run(SecuritylearnApplication.class, args);
    }
}

@PostAuthorize 與@PreAuthorize的區別就是,Pre會先攔截后執行,而PostAuthorize是先執行,后攔截

所以我例子中沒有過多的講

@PreFilter & @PostFilter

Pre是過濾上傳的數據,Post過濾返回的數據

@GetMapping("list")
@PostFilter("filterObject.username != 'admin' ")
public List<IUser> list(){
    List<IUser> iUsers = new ArrayList<>();
    iUsers.add(new IUser(1,"admin","123"));
    iUsers.add(new IUser(2,"user","123"));
    return iUsers;
}

// Applicationo類上還是要加上下面這個注解,并設置屬性值
@EnableGlobalMethodSecurity(prePostEnabled = true)

效果圖

SpringBoot 中Security如何使用

上傳則是同理,通過注解寫好判斷,然后測試即可,注:PreFilter過濾的也只是集合和數組

用戶注銷

/*配置退出登錄*/
http.logout().logoutUrl("/logout").logoutSuccessUrl("no").permitAll();

登錄后,直接通過瀏覽器,訪問此路徑即可(是的,就是如此)

location.href='/logout';

自動登錄

下面是尚硅谷老師寫的原理圖和執行流程

SpringBoot 中Security如何使用

如果是微服務,則把數據庫改成redis,把cookie改成jwt生成的token

SpringBoot 中Security如何使用

Security 中的一個類內JdbcTokenRepositoryImpl

的常量CREATE_TABLE_SQL

create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, token varchar(64) not null, last_used timestamp not null)

有興趣的可以看看源碼 沒興趣的直接在你使用的數據庫內執行上面這行sql創建一個保存登錄信息的表

SpringBoot 中Security如何使用

JdbcTokenRepositoryImpl 是PersistentTokenRepository實現類
下面這種寫那么應該是多態了

@Autowired
private DataSource dataSource;

@Bean
public PersistentTokenRepository persistentTokenRepository(){
    JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
    jdbcTokenRepository.setDataSource(dataSource);
    //jdbcTokenRepository.setCreateTableOnStartup(true); 設置啟動時創建自動登錄表
    return jdbcTokenRepository;
}

SecurityConfig的方法

@Override
protected void configure(HttpSecurity http) throws Exception {
    /*自定義403鏈接*/
    http.exceptionHandling().accessDeniedPage("/unauth.html");
    /*配置退出登錄*/
    http.logout().logoutUrl("/logout").logoutSuccessUrl("/no").permitAll();
    /*
        使用and()方法表示關閉XML標記的Java配置,它允許我們繼續配置父標記。如果您閱讀代碼,它也是有道理的。我想配置授權請求并配置表單登錄并配置HTTP基本身份驗證。
         */
    http
        .authorizeRequests()
        .antMatchers("/","/no").permitAll() //可以直接訪問的路徑
        .antMatchers("/test").hasAnyAuthority("admin")
        .antMatchers("/unauth").hasAnyAuthority("xxx")
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginPage("/login.html") //配置登錄路徑
        .loginProcessingUrl("/doLogin")
        .defaultSuccessUrl("/hallo")
        .permitAll()
        
        // -------------------就是下面這坨
        .and()
        .rememberMe().tokenRepository(persistentTokenRepository())
        .tokenValiditySeconds(60) // 自動保存的時間,秒為單位
        .userDetailsService(userDetailsService)
        ; //設置 登錄的網頁

    http.csrf().disable(); //如果注釋了這一行,全部要用_csrf的對象來驗證了
}

下面是登錄界面

<form action="/doLogin" method="POST">
    user:<input type="text" name="username"><br>
    pswd:<input type="text" name="password"><br>
    <!--必須name=remember-me不然,是無法接收到是否自動登錄的信息的-->
    自動登錄 <input type="checkbox" name="remember-me"><br>
    <input type="submit">
</form>

然后在登錄的時候打個勾,就可以自動登錄了

在DB中會出現如下的信息

SpringBoot 中Security如何使用

CSRF指令認證

第一步 把下面這一行注釋了就開啟了,也就是說他其實是默認開啟的

如果沒有關閉,則會NullPointerException

//http.csrf().disable();

Spring Security CSRF 會針對Patch,Post,Put,Delete方法進行防護。(都是一些要更改數據的方法)

系統默認提供了一個csrfToken對象放在HttpSession中,也就是我們所見到了_csrf對象

此對象可以直接使用

開啟CSRF后,則登錄的時【POST】,也需要驗證CSRF,而使用HttpSession則需要使用模板引擎,這里我們使用的是Thymeleaf而非JSP。(大同小異)

注:使用Thymeleaf的時候,類上的Controller注解不能寫成RestController,不然無法生效的

@Controller
public class LoginController {

    @GetMapping("login")
    public String login(){
        return "login";
    }
}
<!doctype html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <meta name="viewport"
          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>登錄</title>
</head>
<body>
<!--沒加th:則不會有隱藏域自動生成-->
<form th:action="'/doLogin'" method="POST">
    user:<input type="text" name="username"><br>
    pswd:<input type="text" name="password"><br>
    <!--必須name=remember-me不然,是無法接收到是否自動登錄的信息的-->
    自動登錄 <input type="checkbox" name="remember-me"><br>
    <input type="submit">
</form>
</body>
</html>

切記,默認開了CSRF,則每個表單中應當手動添加一個隱藏域

當Thymeleaf因為你使用了th,則自動給你生成了。

所以 th:action="'/doLogin'" 這樣寫可以省事

如下圖

SpringBoot 中Security如何使用

關于SpringBoot 中Security如何使用就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

桐城市| 大丰市| 宽甸| 安康市| 彭州市| 金溪县| 武义县| 荃湾区| 宿迁市| 钦州市| 淳化县| 穆棱市| 沾益县| 原平市| 齐河县| 鲜城| 岱山县| 兰州市| 忻城县| 怀柔区| 夏津县| 凤冈县| 新营市| 东乌珠穆沁旗| 彭州市| 大渡口区| 万宁市| 宣汉县| 龙南县| 盱眙县| 化隆| 永安市| 综艺| 龙川县| 新平| 广丰县| 渭南市| 项城市| 丰宁| 白山市| 祁阳县|