电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術文章
文章詳情頁

Spring Security入門demo案例

瀏覽:2日期:2023-12-13 17:35:56
目錄一、簡介二、入門案例三、自定義認證邏輯四、自定義授權邏輯五、注銷登錄六、記住我功能七、會話管理一、簡介

Spring Security是一個高度自定義的安全框架。利用Spring IoC/DI和AOP功能,為系統提供了聲明式安全訪問控制功能,減少了為系統安全而編寫大量重復代碼的工作。主要包含如下幾個重要的內容:

認證(Authentication),系統認為用戶是否能登錄。 授權(Authorization),系統判斷用戶是否有權限去做某些事情。二、入門案例

首先引入必要的依賴:

<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId></dependency><dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId></dependency>

然后創建一個controller:

@Slf4j@RestControllerpublic class SecurityController { @GetMapping({'/', '/index'}) public String getLogin() {log.info('進入index');return 'index'; }}

此時,我們的入門案例就完成了。啟動項目,Spring Security默認就開啟了,此時訪問localhost:8080/index就會被Spring Security攔截,跳轉到內置的登錄頁面要求登錄。

默認情況下,登錄的用戶名為user,密碼在啟動項目的時候,控制臺有打印出來:

Using generated security password: 0bfad04b-7a47-40fb-ae15-2a4a7c57099b

使用如上的賬密登錄后,再次訪問localhost:8080/index就可以正常返回預期的內容index了。

如果我們不希望使用默認的用戶密碼,可以在配置文件中指定一個,如此Spring Security就會使用我們指定的,而不會使用默認的了。

spring.security.user.name=zhangxunspring.security.user.password=123123三、自定義認證邏輯

當我們開啟自定義認證邏輯后,上面的默認用戶和配置文件中的用戶就不生效了,可以先行刪除。

我們新建一個MySecurityConfig類,并繼承WebSecurityConfigurerAdapter類,用于自定義認證邏輯。

@EnableWebSecuritypublic class MySecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception {// 指定使用BCryptPasswordEncoder對前端傳過來的明文密碼進行encodePasswordEncoder encoder = new BCryptPasswordEncoder();// 用戶的真實密碼需要encode,security是比較兩個密文是否一致auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser('root').password(encoder.encode('root123')).roles(); }}

需要注意的是,密碼必須使用如上的PasswordEncoder進行編碼,否則會拋出如下錯誤:

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id 'null'

此時,我們重啟應用,訪問localhost:8080/index進入內置的登錄頁面,輸入root/root123之后就能正常返回index內容了。

四、自定義授權邏輯

一般權限管理都是基于RBAC模型的,即登錄的用戶肯定擁有某些角色,這些角色允許訪問某些資源。我們先來改造下認證的邏輯:

@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception { PasswordEncoder encoder = new BCryptPasswordEncoder(); auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser('root').password(encoder.encode('root123')).roles('admin','manager').and().withUser('manager').password(encoder.encode('mm000')).roles('manager');}

使得root用戶擁有admin和manager兩個角色,zhang用戶擁有manager一個角色。

然后我們在該配置類中再增加自定義授權的邏輯:

@Overrideprotected void configure(HttpSecurity http) throws Exception { http.authorizeRequests()// 任何角色允許訪問.antMatchers('/', '/index').permitAll()// 僅admin角色可以訪問.antMatchers('/admin/**').hasRole('admin')// admin和manager兩個角色可以訪問.antMatchers('/manager/**').hasAnyRole('admin', 'manager'); // 沒有權限則進入內置的登錄頁面 http.formLogin();}

然后為了測試,我們還需要增加幾個資源:

@Slf4j@RestControllerpublic class SecurityController { @GetMapping({'/', '/index'}) public String getLogin() {log.info('進入index');return 'index'; } @GetMapping('admin/getHello') public String getAdminHello(){return 'hello admin!'; } @GetMapping('manager/getHello') public String getManagerHello(){return 'hello manager!'; } @GetMapping('guest/getHello') public String getGuestHello(){return 'hello guest!'; }}

此時,重啟項目,我們發現:

訪問/,/index,/guest/**的資源直接就能返回,不需要認證和授權。 訪問/admin/**資源的時候,由于沒有登錄,會跳轉到內置的登錄頁面;如果已經登錄,只有root用戶登錄后才可以訪問; 訪問/admin/**資源的時候,由于沒有登錄,會跳轉到內置的登錄頁面;如果已經登錄,那么root和zhang用戶都能訪問;

我們還可以定制自己的登錄頁面,用于替換Spring Security內置的登錄頁面,這塊需要定制html頁面,本文不再詳述,比較簡單,可以參考formLogin的源碼注釋,里面講的比較清楚。

五、注銷登錄

因為我們使用的是Spring Security內置的登錄頁面,各個資源返回的也是json字符串,并非頁面,所以如何實現注銷登錄是個問題。但可以通過閱讀HttpSecurity:logout中的源碼注釋,我們基本就能學會怎么操作了。

注銷登錄默認就開啟了,默認是訪問/logout,和/login一樣都是Spring Security自己實現的,我們調用即可; 注銷登錄會清除服務器端的session,清除remember me等設置;這個后面再詳細解說; 注銷登錄后默認會跳轉到/login頁面;

還是如上的案例,我們在登錄后,直接調用http://localhost:8080/logout就可以實現上述的注銷登錄功能了。

但是在有些時候,我們會自定義登出的URL以及成功登出后應該跳轉到哪個URL,Spring Security也支持我們進行自定義。

@Override protected void configure(HttpSecurity http) throws Exception {http.authorizeRequests()// 任何角色允許訪問.antMatchers('/', '/index').permitAll()// 僅admin角色可以訪問.antMatchers('/admin/**').hasRole('admin')// admin和manager兩個角色可以訪問.antMatchers('/manager/**').hasAnyRole('admin', 'manager');// 沒有權限進入內置的登錄頁面http.formLogin();// 自定義登出邏輯http.logout().logoutUrl('/myLogOut').logoutSuccessUrl('/index'); }

當Post方式請求/myLogOut的時候就會觸發Spring Security的登出邏輯,并且登出后會跳轉到/index界面。

注意:在本案例中,是使用瀏覽器進行測試的,而且沒有html的頁面,所以使用瀏覽器發起post請求比較困難,那么使用get請求發起可以嗎?默認是不行的,因為Spring Security默認開啟了CSRF校驗,所有改變狀態的請求都必須以POST方式提交,為了能驗證我們這個例子,我們需要把CSRF校驗關掉,即在如上logout代碼后面加上如下的配置:

// 暫時關閉CSRF校驗,允許get請求登出http.csrf().disable();

此時再重啟應用,就可以驗證localhost:8080/myLogOut的登出邏輯了。

六、記住我功能

當我們沒有開啟記住我功能的時候,登錄root用戶后,如果關掉瀏覽器,重新打開網址,會發現登錄已經退出了,這是因為登錄信息只在當前會話有效。

如果我們想要在某個時間段以內,一直使root用戶處于登錄狀態,那么就需要在瀏覽器端設置一個cookie,在有效期內,這個cookie所屬的用戶就一直是登錄的狀態。同樣的,只要在上面注銷登錄的代碼后面加上:

// 開啟remember me功能,有效期默認14天http.rememberMe();

此時內置的登錄頁面會出現記住我的選擇框,當我們選擇上登錄后,瀏覽器端就會有當前用戶的cookie信息了(名稱為remember-me),在它過期之前,登錄狀態就一直有效。

需要用戶主動退出登錄,也就是調用我們上面的/myLogOut才能將cookie清除并退出登錄。

如果是自定義的登錄頁面,可以在后面鏈式調用rememberMeParameter()方法,傳入自己的rememberme參數名稱即可。

以上是關于Spring Security的基本使用方法,使用數據庫及其它特性將會在后面的文章中予以說明。

七、會話管理

在以上例子中,認證和授權都是Spring Security自動進行的。但是有的時候我們需要管理會話,比如從會話中獲取用戶姓名、用戶的權限信息;會話策略選擇以及會話超時設置等。

我們只需要增加如下的方法即可:

private String getName(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();Object principal = authentication.getPrincipal();if(principal == null){ return '游客';}if(principal instanceof UserDetails){ UserDetails userDetails = (UserDetails) principal; return userDetails.getUsername();} else{ return principal.toString();} }

該方法使用SecurityContextHolder獲取上下文信息,然后再獲取到其中的用戶名即可,當然其中還提供了可以獲取密碼、權限信息等方法。

Session的管理策略有以下幾種:

always,如果沒有Session就會創建一個; ifRequired,登錄時如果有需要,就創建一個; never,不會主動創建session,如果其它地方創建了session,就會使用它; stateless,不會創建也不會使用session;

其中ifRequired是默認的模式,stateless是采用token機制時,session禁用的模式,設置方法如下:

@Override protected void configure(HttpSecurity http) throws Exception {http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED); }

至于session的超時和安全可以在配置文件中設置:

# 超時時間設置server.servlet.session.timeout=3600s# 瀏覽器腳本將無法訪問cookieserver.servlet.session.cookie.http‐only=true# cookie將僅通過HTTPS連接發送server.servlet.session.cookie.secure=true

到此這篇關于Spring Security入門demo案例的文章就介紹到這了,更多相關Spring Security入門內容請搜索好吧啦網以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持好吧啦網!

標簽: Spring
相關文章:
主站蜘蛛池模板: 齿轮减速机_齿轮减速电机-VEMT蜗轮蜗杆减速机马达生产厂家瓦玛特传动瑞环机电 | Eiafans.com_环评爱好者 环评网|环评论坛|环评报告公示网|竣工环保验收公示网|环保验收报告公示网|环保自主验收公示|环评公示网|环保公示网|注册环评工程师|环境影响评价|环评师|规划环评|环评报告|环评考试网|环评论坛 - Powered by Discuz! | 立刷【微电签pos机】-嘉联支付立刷运营中心| 蜜蜂职场文库_职场求职面试实用的范文资料大全 | 脑钠肽-白介素4|白介素8试剂盒-研域(上海)化学试剂有限公司 | 诺冠气动元件,诺冠电磁阀,海隆防爆阀,norgren气缸-山东锦隆自动化科技有限公司 | 广西教师资格网-广西教师资格证考试网 | 实战IT培训机构_IT培训班选大学生IT技术培训中心_中公优就业 | 非标压力容器_碳钢储罐_不锈钢_搪玻璃反应釜厂家-山东首丰智能环保装备有限公司 | 电缆接头_防水接头_电缆防水接头_防水电缆接头_上海闵彬 | 即用型透析袋,透析袋夹子,药敏纸片,L型涂布棒-上海桥星贸易有限公司 | 太原装修公司_山西整装家装设计_太原室内装潢软装_肖邦家居 | 振动筛,震动筛,圆形振动筛,振动筛价格,振动筛厂家-新乡巨宝机电 蒸汽热收缩机_蒸汽发生器_塑封机_包膜机_封切收缩机_热收缩包装机_真空机_全自动打包机_捆扎机_封箱机-东莞市中堡智能科技有限公司 | 小型单室真空包装机,食品单室真空包装机-百科 | 杭州双螺杆挤出机-百科 | 吹塑加工_大型吹塑加工_滚塑代加工-莱力奇吹塑加工有限公司 | 物联网卡_物联网卡购买平台_移动物联网卡办理_移动联通电信流量卡通信模组采购平台? | 药品冷藏箱厂家_低温冰箱_洁净工作台-济南欧莱博电子商务有限公司官网 | 碎石机设备-欧版反击破-欧版颚式破碎机(站)厂家_山东奥凯诺机械 高低温试验箱-模拟高低温试验箱订制-北京普桑达仪器科技有限公司【官网】 | 有机肥设备生产制造厂家,BB掺混肥搅拌机、复合肥设备生产线,有机肥料全部加工设备多少钱,对辊挤压造粒机,有机肥造粒设备 -- 郑州程翔重工机械有限公司 | 嘉兴泰东园林景观工程有限公司_花箱护栏| 中式装修设计_室内中式装修_【云臻轩】中式设计机构 | 钢板仓,大型钢板仓,钢板库,大型钢板库,粉煤灰钢板仓,螺旋钢板仓,螺旋卷板仓,骨料钢板仓 | 密集架-密集柜厂家-智能档案密集架-自动选层柜订做-河北风顺金属制品有限公司 | 自动化展_机器人展_机床展_工业互联网展_广东佛山工博会 | 纯水电导率测定仪-万用气体检测仪-低钠测定仪-米沃奇科技(北京)有限公司www.milwaukeeinst.cn 锂辉石检测仪器,水泥成分快速分析仪-湘潭宇科分析仪器有限公司 手术室净化装修-手术室净化工程公司-华锐手术室净化厂家 | 济南侦探调查-济南调查取证-山东私家侦探-山东白豹调查咨询公司 密集架|电动密集架|移动密集架|黑龙江档案密集架-大量现货厂家销售 | 自动气象站_气象站监测设备_全自动气象站设备_雨量监测站-山东风途物联网 | 内窥镜-工业内窥镜厂家【上海修远仪器仪表有限公司】 | 医用空气消毒机-医用管路消毒机-工作服消毒柜-成都三康王 | 德州万泰装饰 - 万泰装饰装修设计软装家居馆 | 低气压试验箱_高低温低气压试验箱_低气压实验箱 |林频试验设备品牌 | 多功能三相相位伏安表-变压器短路阻抗测试仪-上海妙定电气 | 济南ISO9000认证咨询代理公司,ISO9001认证,CMA实验室认证,ISO/TS16949认证,服务体系认证,资产管理体系认证,SC食品生产许可证- 济南创远企业管理咨询有限公司 郑州电线电缆厂家-防火|低压|低烟无卤电缆-河南明星电缆 | 北京开业庆典策划-年会活动策划公司-舞龙舞狮团大鼓表演-北京盛乾龙狮鼓乐礼仪庆典策划公司 | 大流量卧式砂磨机_强力分散机_双行星双动力混合机_同心双轴搅拌机-莱州市龙跃化工机械有限公司 | 深圳美安可自动化设备有限公司,喷码机,定制喷码机,二维码喷码机,深圳喷码机,纸箱喷码机,东莞喷码机 UV喷码机,日期喷码机,鸡蛋喷码机,管芯喷码机,管内壁喷码机,喷码机厂家 | 水稻烘干机,小麦烘干机,大豆烘干机,玉米烘干机,粮食烘干机_巩义市锦华粮食烘干机械制造有限公司 水环真空泵厂家,2bv真空泵,2be真空泵-淄博真空设备厂 | 济南网站策划设计_自适应网站制作_H5企业网站搭建_济南外贸网站制作公司_锐尚 | 100_150_200_250_300_350_400公斤压力空气压缩机-舰艇航天配套厂家 | 洗瓶机厂家-酒瓶玻璃瓶冲瓶机-瓶子烘干机-封口旋盖压盖打塞机_青州惠联灌装机械 |