亚洲乱码中文字幕综合,中国熟女仑乱hd,亚洲精品乱拍国产一区二区三区,一本大道卡一卡二卡三乱码全集资源,又粗又黄又硬又爽的免费视频

SpringSecurity安全管理開發(fā)過程

 更新時間:2024年07月10日 08:57:14   作者:二價亞鐵  
Spring?是一個非常流行和成功的?Java?應(yīng)用開發(fā)框架,Spring?Security?基于?Spring?框架,提供了一套?Web?應(yīng)用安全性的完整解決方案,這篇文章主要介紹了SpringSecurity安全管理,需要的朋友可以參考下

SpringSecurity安全管理

一、安全簡介

在 Web 開發(fā)中,安全一直是非常重要的一個方面,因此從應(yīng)用開發(fā)的第一天就應(yīng)該把安全相關(guān)的因素考慮進(jìn)來,并在整個應(yīng)用的開發(fā)過程中。

主要安全框架:Shiro,Spring Security

Spring Security是一個功能強(qiáng)大且高度可定制的身份驗(yàn)證和訪問控制框架。它實(shí)際上是保護(hù)基于spring的應(yīng)用程序的標(biāo)準(zhǔn)。

Spring Security是一個框架,側(cè)重于為Java應(yīng)用程序提供身份驗(yàn)證和授權(quán)。與所有Spring項目一樣,Spring安全性的真正強(qiáng)大之處在于它可以輕松地擴(kuò)展以滿足定制需求。

這是一個權(quán)限框架,權(quán)限 一般會細(xì)分為功能權(quán)限,訪問權(quán)限,和菜單權(quán)限,代碼會寫的非常的繁瑣,冗余。

Spring 是一個非常流行和成功的 Java 應(yīng)用開發(fā)框架。Spring Security 基于 Spring 框架,提供了一套 Web 應(yīng)用安全性的完整解決方案。一般來說,Web 應(yīng)用的安全性包括用戶認(rèn)證(Authentication)和用戶授權(quán)(Authorization)兩個部分。用戶認(rèn)證指的是驗(yàn)證某個用戶是否為系統(tǒng)中的合法主體,也就是說用戶能否訪問該系統(tǒng)。用戶認(rèn)證一般要求用戶提供用戶名和密碼。系統(tǒng)通過校驗(yàn)用戶名和密碼來完成認(rèn)證過程。用戶授權(quán)指的是驗(yàn)證某個用戶是否有權(quán)限執(zhí)行某個操作。在一個系統(tǒng)中,不同用戶所具有的權(quán)限是不同的。比如對一個文件來說,有的用戶只能進(jìn)行讀取,而有的用戶可以進(jìn)行修改。一般來說,系統(tǒng)會為不同的用戶分配不同的角色,而每個角色則對應(yīng)一系列的權(quán)限。

對于上面提到的兩種應(yīng)用情景,Spring Security 框架都有很好的支持。在用戶認(rèn)證方面,Spring Security 框架支持主流的認(rèn)證方式,包括 HTTP 基本認(rèn)證、HTTP 表單驗(yàn)證、HTTP 摘要認(rèn)證、OpenID 和 LDAP 等。在用戶授權(quán)方面,Spring Security 提供了基于角色的訪問控制和訪問控制列表(Access Control List,ACL),可以對應(yīng)用中的領(lǐng)域?qū)ο筮M(jìn)行細(xì)粒度的控制。

二、認(rèn)識SpringSecurity

Spring Security 是針對Spring項目的安全框架,也是Spring Boot底層安全模塊默認(rèn)的技術(shù)選型,他可以實(shí)現(xiàn)強(qiáng)大的Web安全控制,對于安全控制,我們僅需要引入spring-boot-starter-security 模塊,進(jìn)行少量的配置,即可實(shí)現(xiàn)強(qiáng)大的安全管理!

記住幾個類:

  • WebSecurityConfigurerAdapter:自定義Security策略
  • AuthenticationManagerBuilder:自定義認(rèn)證策略
  • @EnableWebSecurity:開啟WebSecurity模式
    Spring Security的兩個主要目標(biāo)是 “認(rèn)證” 和 “授權(quán)”(訪問控制)。

“認(rèn)證”(Authentication)

身份驗(yàn)證是關(guān)于驗(yàn)證您的憑據(jù),如用戶名/用戶ID和密碼,以驗(yàn)證您的身份。

身份驗(yàn)證通常通過用戶名和密碼完成,有時與身份驗(yàn)證因素結(jié)合使用。

“授權(quán)” (Authorization)

授權(quán)發(fā)生在系統(tǒng)成功驗(yàn)證您的身份后,最終會授予您訪問資源(如信息,文件,數(shù)據(jù)庫,資金,位置,幾乎任何內(nèi)容)的完全權(quán)限。

這個概念是通用的,而不是只在Spring Security 中存在。

三、認(rèn)證和授權(quán)

1.引入 Spring Security 模塊

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
 </dependency>

2.編寫 Spring Security 配置類

基礎(chǔ)配制

參考幫助文檔:

https://docs.spring.io/spring-security/site/docs/5.3.0.RELEASE/reference/pdf/spring-security-reference.pdf

package com.dyt.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
	}
}

3.定制請求的授權(quán)規(guī)則

//授權(quán)
// 鏈?zhǔn)骄幊?
@Override
protected void configure(HttpSecurity http) throws Exception {
	//首頁所有人可以訪問,功能頁只有對應(yīng)有權(quán)限的人才能訪問
	//請求授權(quán)的規(guī)則
	http.authorizeRequests()
		.antMatchers("/").permitAll()
		.antMatchers("/level1/**").hasRole("vip1")
		.antMatchers("/level2/**").hasRole("vip2")
		.antMatchers("/level3/**").hasRole("vip3");
	//沒有權(quán)限默認(rèn)會到登錄頁面,需要開啟登錄頁面
	// /login 請求來到登錄頁
	// /login?error 重定向到這里表示登錄失敗
	http.formLogin();
}

4.測試一下:發(fā)現(xiàn),沒有權(quán)限的時候,會跳轉(zhuǎn)到登錄的頁面!

image

5.認(rèn)證規(guī)則

重寫configure(AuthenticationManagerBuilder auth)方法

//認(rèn)證
//在內(nèi)存中定義,也可以在jdbc中去拿....
//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進(jìn)行某種方式加密
//spring security 官方推薦的是使用bcrypt加密方式。
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
				.withUser("gdh").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
				.and()
				.withUser("root").password(new BCryptPasswordEncoder().encode("456")).roles("vip1","vip2","vip3")
				.and()
				.withUser("user").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
	}

測試,發(fā)現(xiàn),登錄成功,并且每個角色只能訪問自己認(rèn)證下的規(guī)則!搞定

四.權(quán)限控制和注銷

1、開啟自動配置的注銷的功能

//定制請求的授權(quán)規(guī)則
@Override
protected void configure(HttpSecurity http) throws Exception {
   //....
   //開啟自動配置的注銷的功能
	  // /logout 注銷請求
   http.logout();
}

2、我們在前端,增加一個注銷的按鈕,index.html 導(dǎo)航欄中

<a class="item" th:href="@{/logout}">
   <i class="address card icon"></i> 注銷
</a>

3、我們可以去測試一下,登錄成功后點(diǎn)擊注銷,發(fā)現(xiàn)注銷完畢會跳轉(zhuǎn)到登錄頁面!

4、但是,我們想讓他注銷成功后,依舊可以跳轉(zhuǎn)到首頁,該怎么處理呢?

// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");

5、測試,注銷完畢后,發(fā)現(xiàn)跳轉(zhuǎn)到首頁OK

6、我們現(xiàn)在又來一個需求

用戶沒有登錄的時候,導(dǎo)航欄上只顯示登錄按鈕,用戶登錄之后,導(dǎo)航欄可以顯示登錄的用戶信息及注銷按鈕!還有就是,比如kuangshen這個用戶,它只有 vip2,vip3功能,那么登錄則只顯示這兩個功能,而vip1的功能菜單不顯示!這個就是真實(shí)的網(wǎng)站情況了!該如何做呢?

我們需要結(jié)合thymeleaf中的一些功能

sec:authorize=”isAuthenticated()”:是否認(rèn)證登錄!來顯示不同的頁面

Maven依賴:

<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->
<dependency>
   <groupId>org.thymeleaf.extras</groupId>
   <artifactId>thymeleaf-extras-springsecurity5</artifactId>
   <version>3.0.4.RELEASE</version>
</dependency>

7、修改我們的 前端頁面

導(dǎo)入命名空間

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"

修改導(dǎo)航欄,增加認(rèn)證判斷

<!--登錄注銷-->
	<div class="right menu">
   <!--如果未登錄-->
   <div sec:authorize="!isAuthenticated()">
	   <a class="item" th:href="@{/login}">
		   <i class="address card icon"></i> 登錄
	   </a>
   </div>
   <!--如果已登錄-->
   <div sec:authorize="isAuthenticated()">
	   <a class="item">
		   <i class="address card icon"></i>
		  用戶名:<span sec:authentication="principal.username"></span>
		  角色:<span sec:authentication="principal.authorities"></span>
	   </a>
   </div>
  <div sec:authorize="isAuthenticated()">
	   <a class="item" th:href="@{/logout}">
		   <i class="address card icon"></i> 注銷
	   </a>
   </div>
</div>

8、重啟測試,我們可以登錄試試看,登錄成功后確實(shí),顯示了我們想要的頁面;

9、如果注銷404了,就是因?yàn)樗J(rèn)防止csrf跨站請求偽造,因?yàn)闀a(chǎn)生安全問題,我們可以將請求改為post表單提交,或者在spring security中關(guān)閉csrf功能;我們試試:在 配置中增加 http.csrf().disable();

http.csrf().disable();//關(guān)閉csrf功能:跨站請求偽造,默認(rèn)只能通過post方式提交logout請求
http.logout().logoutSuccessUrl("/");

10、我們繼續(xù)將下面的角色功能塊認(rèn)證完成!

<!-- sec:authorize="hasRole('vip1')" -->
<div class="column" sec:authorize="hasRole('vip1')">
   <div class="ui raised segment">
	   <div class="ui">
		   <div class="content">
			   <h5 class="content">Level 1</h5>
			   <hr>
			   <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
			   <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
			   <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
		   </div>
	   </div>
   </div>
</div>
<div class="column" sec:authorize="hasRole('vip2')">
   <div class="ui raised segment">
	   <div class="ui">
		   <div class="content">
			   <h5 class="content">Level 2</h5>
			   <hr>
			   <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
			   <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
			   <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
		   </div>
	   </div>
   </div>
</div>
<div class="column" sec:authorize="hasRole('vip3')">
   <div class="ui raised segment">
	   <div class="ui">
		   <div class="content">
			   <h5 class="content">Level 3</h5>
			   <hr>
			   <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
			   <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
			   <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
		   </div>
	   </div>
   </div>
</div>

11、測試一下!

12、權(quán)限控制和注銷搞定!

五.記住我

現(xiàn)在的情況,我們只要登錄之后,關(guān)閉瀏覽器,再登錄,就會讓我們重新登錄,但是很多網(wǎng)站的情況,就是有一個記住密碼的功能,這個該如何實(shí)現(xiàn)呢?很簡單

1、開啟記住我功能

//定制請求的授權(quán)規(guī)則
@Override
protected void configure(HttpSecurity http) throws Exception {
//。。。。。。。。。。。
   //記住我
   http.rememberMe();
}

2、我們再次啟動項目測試一下,發(fā)現(xiàn)登錄頁多了一個記住我功能,我們登錄之后關(guān)閉 瀏覽器,然后重新打開瀏覽器訪問,發(fā)現(xiàn)用戶依舊存在!

3、我們點(diǎn)擊注銷的時候,可以發(fā)現(xiàn),spring security 幫我們自動刪除了這個 cookie

4、結(jié)論:登錄成功后,將cookie發(fā)送給瀏覽器保存,以后登錄帶上這個cookie,只要通過檢查就可以免登錄了。如果點(diǎn)擊注銷,則會刪除這個cookie。

六.定制登錄頁

現(xiàn)在這個登錄頁面都是spring security 默認(rèn)的,怎么樣可以使用我們自己寫的Login界面呢?

1、在剛才的登錄頁配置后面指定 loginpage

http.formLogin().loginPage("/toLogin");

2、然后前端也需要指向我們自己定義的 login請求

<a class="item" th:href="@{/toLogin}">
   <i class="address card icon"></i> 登錄
</a>

3、我們登錄,需要將這些信息發(fā)送到哪里,我們也需要配置,login.html 配置提交請求及方式,方式必須為post:

在 loginPage()源碼中的注釋上有寫明:

<form th:action="@{/login}" method="post">
   <div class="field">
	   <label>Username</label>
	   <div class="ui left icon input">
		   <input type="text" placeholder="Username" name="username">
		   <i class="user icon"></i>
	   </div>
   </div>
   <div class="field">
	   <label>Password</label>
	   <div class="ui left icon input">
		   <input type="password" name="password">
		   <i class="lock icon"></i>
	   </div>
   </div>
   <input type="submit" class="ui blue submit button"/>
</form>

4、這個請求提交上來,我們還需要驗(yàn)證處理,怎么做呢?我們可以查看formLogin()方法的源碼!我們配置接收登錄的用戶名和密碼的參數(shù)!

http.formLogin()
  .usernameParameter("username")
  .passwordParameter("password")
  .loginPage("/toLogin")
  .loginProcessingUrl("/login"); // 登陸表單提交請求

5、在登錄頁增加記住我的多選框

<input type="checkbox" name="remember"> 記住我

6、后端驗(yàn)證處理!

//定制記住我的參數(shù)!
http.rememberMe().rememberMeParameter("remember");

7、測試,OK

完整配制代碼

package com.dyt.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
//AOP 橫切 攔截器
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	//授權(quán)
	// 鏈?zhǔn)骄幊?
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		//首頁所有人可以訪問,功能頁只有對應(yīng)有權(quán)限的人才能訪問
		//請求授權(quán)的規(guī)則
		http.authorizeRequests()
				.antMatchers("/").permitAll()
				.antMatchers("/level1/**").hasRole("vip1")
				.antMatchers("/level2/**").hasRole("vip2")
				.antMatchers("/level3/**").hasRole("vip3");
		//沒有權(quán)限默認(rèn)會到登錄頁面,需要開啟登錄頁面
		http.formLogin()
				.usernameParameter("username")
				.passwordParameter("password")
				.loginPage("/toLogin")
				.loginProcessingUrl("/login"); // 登陸表單提交請求
		http.csrf().disable();//關(guān)閉csrf功能:跨站請求偽造,默認(rèn)只能通過post方式提交logout請求
		//記住我
		http.rememberMe().rememberMeParameter("remember");
		//開啟自動配置的注銷的功能
		// /logout 注銷請求
		// .logoutSuccessUrl("/"); 注銷成功來到首頁
		http.logout().logoutSuccessUrl("/");
	}
	//認(rèn)證
	//在內(nèi)存中定義,也可以在jdbc中去拿....
	//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
	//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進(jìn)行某種方式加密
	//spring security 官方推薦的是使用bcrypt加密方式。
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
				.withUser("gdh").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
				.and()
				.withUser("root").password(new BCryptPasswordEncoder().encode("456")).roles("vip1","vip2","vip3")
				.and()
				.withUser("user").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
	}
}

到此這篇關(guān)于SpringSecurity安全管理的文章就介紹到這了,更多相關(guān)SpringSecurity安全管理內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!

相關(guān)文章

  • Java調(diào)用python的方法(jython)

    Java調(diào)用python的方法(jython)

    這篇文章主要介紹了Java調(diào)用python的方法(jython),小編覺得挺不錯的,現(xiàn)在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2017-06-06
  • SpringBoot整合SpringDataRedis的示例代碼

    SpringBoot整合SpringDataRedis的示例代碼

    這篇文章主要介紹了SpringBoot整合SpringDataRedis的示例代碼,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2021-05-05
  • Java Spring攔截器案例詳解

    Java Spring攔截器案例詳解

    這篇文章主要介紹了Java Spring攔截器案例詳解,本篇文章通過簡要的案例,講解了該項技術(shù)的了解與使用,以下就是詳細(xì)內(nèi)容,需要的朋友可以參考下
    2021-08-08
  • Java Floyd算法求有權(quán)圖(非負(fù)權(quán))的最短路徑并打印

    Java Floyd算法求有權(quán)圖(非負(fù)權(quán))的最短路徑并打印

    這篇文章主要介紹了Java Floyd算法求有權(quán)圖(非負(fù)權(quán))的最短路徑并打印,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-07-07
  • 基于Java開發(fā)實(shí)現(xiàn)ATM系統(tǒng)

    基于Java開發(fā)實(shí)現(xiàn)ATM系統(tǒng)

    這篇文章主要為大家詳細(xì)介紹了基于Java開發(fā)實(shí)現(xiàn)ATM系統(tǒng),文中示例代碼介紹的非常詳細(xì),具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2022-08-08
  • RabbitMQ排他性隊列Exclusive Queue詳解

    RabbitMQ排他性隊列Exclusive Queue詳解

    這篇文章主要介紹了RabbitMQ排他性隊列Exclusive Queue詳解,如果你想創(chuàng)建一個只有自己可見的隊列,即不允許其它用戶訪問,RabbitMQ允許你將一個Queue聲明成為排他性的Exclusive Queue,需要的朋友可以參考下
    2023-08-08
  • 解決Feign配置RequestContextHolder.getRequestAttributes()為null的問題

    解決Feign配置RequestContextHolder.getRequestAttributes()為null的問題

    這篇文章主要介紹了解決Feign配置RequestContextHolder.getRequestAttributes()為null的問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2024-01-01
  • Mybatis使用on duplicate key update的實(shí)現(xiàn)操作

    Mybatis使用on duplicate key update的實(shí)現(xiàn)操作

    本文主要介紹了Mybatis使用on duplicate key update的實(shí)現(xiàn)操作,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2023-07-07
  • Java反射之Call stack introspection詳解

    Java反射之Call stack introspection詳解

    這篇文章主要介紹了Java反射之Call stack introspection詳解,具有一定參考價值,需要的朋友可以了解下。
    2017-11-11
  • Java實(shí)現(xiàn)簡單的模板渲染

    Java實(shí)現(xiàn)簡單的模板渲染

    這篇文章主要為大家詳細(xì)介紹了Java實(shí)現(xiàn)簡單的模板渲染的相關(guān)資料,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-12-12

最新評論