SpringSecurity Web 权限方案

这篇具有很好参考价值的文章主要介绍了SpringSecurity Web 权限方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、设置登录系统的账号、密码

二、数据库查询用户名密码

三、自定义登录页面

四、基于角色或权限进行访问控制

(一)hasAuthority 方法

(二)hasAnyAuthority 方法

(三)hasRole 方法

(四)hasAnyRole

五、自定义403页面 

六、注解使用

(一)@Secured

(二)@PreAuthorize

(三)@PostAuthorize

(四)@PreFilter

(五)@PostFilter

七、基于数据库的记住我

八、CSRF

 


一、设置登录系统的账号、密码

方式一,配置文件application.properties

spring.security.user.name=lucy
spring.security.user.password=123

方式二,编写配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String password = bCryptPasswordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("zhangsan").password(password).roles("admin");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

方式三,通过类实现接口UserDetailService

@Service
public class userDetailsService implements UserDetailsService {


    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException 
        List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User("zhangsan", new BCryptPasswordEncoder().encode("123"), list);

    }
}

二、数据库查询用户名密码

引入依赖

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.0.5</version>
        </dependency>

建表sql

create table users(
    id bigint primary key auto_increment,
    username varchar(20) unique not null,
    password varchar(100)
);

数据源配置

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/demo?serverTimezone= GMT%2B8
    username: root
    password: 123456

实体类users

@Getter
@Setter
@AllArgsConstructor
@NoArgsConstructor
public class Users {

    private Integer id;
    private String username;
    private String password;
}

mapper

@Mapper
public interface UserMapper extends BaseMapper<Users> {
}

修改userDetailService

@Service
public class userDetailsService implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        // 使用mapper查询数据库
        QueryWrapper<Users> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username", s);
        Users users = userMapper.selectOne(queryWrapper);
        if (users == null) {
            throw new UsernameNotFoundException("用户名不存在!");
        }

        List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User(users.getUsername(), new BCryptPasswordEncoder().encode(users.getPassword()), list);

    }
}

修改SecurityConfigTest 

@Configuration
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

三、自定义登录页面

在配置类SpringSecurity中重写configure方法

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() //自定义自己编写的登录页面
                .loginPage("/login.html") //登录页面设置
                .loginProcessingUrl("/user/login") //登录访问路径
                .defaultSuccessUrl("/test/index").permitAll() //登录成功之后,跳转路径
                .and().authorizeRequests()
                .antMatchers("/", "/test/hello","/user/login").permitAll() // 设置哪些路径可以直接访问,不需要认证
                .anyRequest().authenticated()
                .and().csrf().disable(); // 关闭csrf防护

    }

再编写登录页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

    <form action="/user/login" method="post">
        用户名:<input type="text" name="username"/>
        <br/>
        密码:<input type="password" name="password"/><br/>
        <input type="submit" value="login"/>
    </form>
</body>
</html>

controlller

@RestController
@RequestMapping("/test")
public class HelloController {

    @GetMapping("/hello")
    public String test() {
        return "hello, security";
    }
    @GetMapping("/index")
    public String index() {
        return "hello, index";
    }
}

启动项目后使用的登录页面就是我们编写的 了

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

 四、基于角色或权限进行访问控制

(一)hasAuthority 方法

如果当前的主体具有指定的权限,则返回 true,否则返回 false

设置访问/test/index需要admin角色

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

给用户添加admin角色 

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

 修改角色为别的,不是admin后访问被禁止

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

(二)hasAnyAuthority 方法

如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回 true.

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

(三)hasRole 方法

如果用户具备给定角色就允许访问 , 否则出现 403
如果当前主体具有指定的角色,则返回 true

底层源码:

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端 给用户添加角色需要加上前缀ROLE_

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

修改配置文件:
注意配置文件中不需要添加” ROLE_ “,因为上述的底层代码会自动添加与之进行匹配。

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

(四)hasAnyRole

表示用户具备任何一个条件都可以访问。
给用户添加角色:
SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

修改配置文件:

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

五、自定义403页面 

在配置类中配置

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

编写unauth页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<h1>没有访问权限</h1>
</body>
</html>

 跳转成功

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

六、注解使用

(一)@Secured

判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ ROLE_ “。
使用注解先要开启注解功能!
@EnableGlobalMethodSecurity(securedEnabled=true)
@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled=true)
    public class DemosecurityApplication {
    public static void main(String[] args) {
         SpringApplication.run(DemosecurityApplication.class, args);
    }
}

 controller

    @GetMapping("/update")
    @Secured({"ROLE_admin"})
    public String update() {
        return "hello, update";
    }

(二)@PreAuthorize

先开启注解功能:
@EnableGlobalMethodSecurity (prePostEnabled = true )
@PreAuthorize:注解适合进入方法前的权限验证, @PreAuthorize 可以将登录用户的 roles/permissions 参数传到方法中。
    @GetMapping("/update")
    @PreAuthorize("hasAnyAuthority('admin')")
    public String update() {
        return "hello, update";
    }

(三)@PostAuthorize

先开启注解功能:
@EnableGlobalMethodSecurity (prePostEnabled = true )
@PostAuthorize 注解使用并不多,在方法执行后再进行权限验证,适合验证带有返回值的权限.
@RequestMapping("/testPostAuthorize")
@ResponseBody
@PostAuthorize("hasAnyAuthority('admin')")
public String preAuthorize(){
     System.out.println("test--PostAuthorize");
     return "PostAuthorize";
}

(四)@PreFilter

@PreFilter: 进入控制器之前对数据进行过滤
@RequestMapping("getTestPreFilter")
@PreAuthorize("hasRole('ROLE_管理员')")
@PreFilter(value = "filterObject.id%2==0")
@ResponseBody
public List<UserInfo> getTestPreFilter(@RequestBody List<UserInfo> list){
    list.forEach(t-> {
        System.out.println(t.getId()+"\t"+t.getUsername());
    });
    return list;
}

(五)@PostFilter

@PostFilter :权限验证之后对数据进行过滤 留下用户名是 admin1 的数据
表达式中的 filterObject 引用的是方法返回值 List 中的某一个元素
@RequestMapping("getAll")
@PreAuthorize("hasRole('ROLE_管理员')")
@PostFilter("filterObject.username == 'admin1'")
@ResponseBody
public List<UserInfo> getAllUser(){
    ArrayList<UserInfo> list = new ArrayList<>();
    list.add(new UserInfo(1l,"admin1","6666"));
    list.add(new UserInfo(2l,"admin2","888"));
    return list;
}

七、基于数据库的记住我

使用spring security记住登录的用户原理

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

创建表

CREATE TABLE `persistent_logins` (
 `username` varchar(64) NOT NULL,
 `series` varchar(64) NOT NULL,
 `token` varchar(64) NOT NULL,
 `last_used` timestamp NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE 
CURRENT_TIMESTAMP,
 PRIMARY KEY (`series`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

配置文件编写数据库的配置

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/demo?serverTimezone= GMT%2B8
    username: root
    password: 123456

配置类

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端

默认 2 周时间。但是可以通过设置状态有效时间,即使项目重新启动下次也可以正常登录。

SpringSecurity Web 权限方案,spring security,前端,java,spring,spring security,后端文章来源地址https://www.toymoban.com/news/detail-819634.html

页面添加记住我复选框,此处: name 属性值必须为  remember-me. 不能改为其他值
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>

    <form action="/user/login" method="post">
        用户名:<input type="text" name="username"/>
        <br/>
        密码:<input type="password" name="password"/><br/>
        <input type="checkbox" name="remember-me"/>60s内免登录<br/>
        <input type="submit" value="login"/>
    </form>
</body>
</html>

八、CSRF

跨站请求伪造 (英语: Cross-site request forgery ),也被称为 one-click attack 或者 session riding ,通常缩写为 CSRF 或者 XSRF , 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方法。跟 跨网站脚本 XSS )相比, XSS 利用的是用户对指定网站的信任,CSRF 利用的是网站对用户网页浏览器的信任。
跨站请求攻击,简单地说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己曾经认证过的网站并运行一些操作(如发邮件,发消息,甚至财产操作如转账和购买商品)。由于浏览器曾经认证过,所以被访问的网站会认为是真正的用户操作而去运行。
这利用了 web 中用户身份验证的一个漏洞: 简单的身份验证只能保证请求发自某个用户的浏览 器,却不能保证请求本身是用户自愿发出的
Spring Security 4.0 开始,默认情况下会启用 CSRF 保护,以防止 CSRF 攻击应用程序,Spring Security CSRF 会针对 PATCH POST PUT DELETE 方法进行防护。

到了这里,关于SpringSecurity Web 权限方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Spring security权限管理

    主要内容 一、Spring Security简介 1.概括 ​ Spring Security是一个高度自定义的 安全框架 。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 ​ 使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或

    2024年02月03日
    浏览(36)
  • 安全框架Spring Security是什么?如何理解Spring Security的权限管理?

    大家好,我是卷心菜。本篇主要讲解Spring Security的基本介绍和架构分析,如果您看完文章有所收获,可以三连支持博主哦~,嘻嘻。 🎁 作者简介: 在校大学生一枚,Java领域新星创作者,Java、Python正在学习中,期待和大家一起学习一起进步~ 💗 个人主页:我是一棵卷心菜的

    2024年02月02日
    浏览(52)
  • 13.Spring security权限管理

    13.1什么是权限管理 Spring security支持多种不同的认证方式,但是无论开发者使用哪种认证方式,都不会影响授权功能的使用,spring security很好地实现了认证和授权两大功能的解耦。 13.2Spring security权限管理策略 从技术上来说,spring security中提供的权限管理功能主要有两种类型

    2023年04月12日
    浏览(74)
  • 【Spring Security系列】一文带你了解权限框架与Spring Security核心概念

    权限框架是软件开发中用于管理 用户权限和访问控制 的工具。在企业或者我们毕设复杂的系统中,不同的用户或角色需要拥有不同的访问和操作权限,以确保系统的安全性和数据完整性。今天我们就讨论一下Java中的安全框架! 在企业的开发中,Spring Security,Shiro都是比较流

    2024年04月16日
    浏览(39)
  • SpringBoot整合Spring Security实现权限控制

    要对Web资源进行保护,最好的办法莫过于Filter 要想对方法调用进行保护,最好的办法莫过于AOP。 Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。 如图所示,一个请求想要访问到API就会从左到右经过蓝线框里的过滤器,其中 绿色部分是负责认证的

    2024年02月15日
    浏览(36)
  • Spring Security--守护你的功能权限

    首先,让我们明确一下什么是Spring Security以及前后端分离路径拦截器。Spring Security是一个基于Spring框架的安全框架,它提供了一系列的安全服务,包括但不限于认证、授权、加密和会话管理等。而前后端分离路径拦截器是指在前后端分离的情况下,根据用户角色和权限对请求

    2024年02月06日
    浏览(45)
  • Spring Security之基于HttpRequest配置权限

    今天我们重点聊聊授权方式的另外一种:基于HttpServletRequest配置权限 一个典型的配置demo 从这里也可以看出,要实现基于RBAC,还是比较容易的。也比较容易使用。但是如果想要动态的增加角色,就需要我们定制AuthorizationManager。 HttpSecurity是负责构建DefaultSecurityFilterChain的。而

    2024年04月11日
    浏览(41)
  • Spring Security 中自定义权限表达式

    前言 这是我在这个网站整理的笔记,有错误的地方请指出,关注我,接下来还会持续更新。 作者:神的孩子都在歌唱 通过编程授权方法 首先,声明一个 Bean,如下所示: 然后,在注解中以如下方式引用该 Bean: Spring Security 将在每次方法调用时调用该Bean上的给定方法。 这样

    2024年02月06日
    浏览(52)
  • Spring Security实现用户身份验证及权限管理

    Spring Security是Spring生态的一个成员,提供了一套Web应用安全性的完整解决方案。 Spring Security 旨在以一种自包含的方式进行操作,因此你不需要在 Java 运行时环境中放置任何特殊的配置文件。这种设计使部署极为方便,因为可以将目标 工件 (无论是 JAR还是WAR)从一个系统复

    2024年02月05日
    浏览(37)
  • 权限管理详解:认证、授权及Spring Security配置解析

    深入探讨权限管理的重要性与实现方式,包括认证、授权概念,基于角色和资源的访问控制方案,以及Spring Security框架的概述和快速入门指南。

    2023年04月10日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包