Spring Boot整合Spring Security

Spring Boot 专栏:Spring Boot 从零单排
Spring Cloud 专栏:Spring Cloud 从零单排
GitHub:SpringBootDemo
Gitee:SpringBootDemo

Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块的默认技术选型,仅需引入spring-boot-starter-security模块,进行少量配置,即可实现强大的Web安全控制。

Spring Security的两个主要目标是认证授权(访问控制)

官方文档:https://docs.spring.io/spring-security/site/docs/5.2.0.RELEASE/reference/htmlsingle/

0 开发环境

  • JDK:1.8
  • Spring Boot:2.7.18

Spring Boot 版本升级为2.7.18,专栏中其他Spring Boot相关环境同步升级

1 引入依赖

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

2 测试

2.1 新建Controller

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "query")public String query() {return "用户查询成功";}
}

2.2 测试

启动服务,浏览器访问 127.0.0.1:8090/user/query,页面自动跳转到授权登录页

在这里插入图片描述

默认用户名为user,控制台上会打印默认密码,默认密码每次启动服务都会刷新

在这里插入图片描述

登录成功后,就可以正常访问了

在这里插入图片描述

3 自定义密码

该部分会使用到Spring Security的几个关键类,如下:

  • WebSecurityConfigurerAdapter 自定义Security策略
  • AuthenticationManagerBuilder 自定义认证策略
  • @EnableWebSecurity 开启WebSecurity模式

3.1 通过application.yml 配置

spring:security:user:name: adminpassword: 123456

3.2 自定义配置类配置

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码加密BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();//配置用户名、密码,该配置方式下,用户名和密码保存在内存中auth.inMemoryAuthentication()//密码加密方式.passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(passwordEncoder.encode("123456")).roles("admin");}
}

3.3 自定义实现类配置

3.3.1 编写UserDetailsService实现类

这里我们就直接固定写死用户名和密码,实际生产中可以从数据库中获取

@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {//设置角色,角色的概念后续介绍List<GrantedAuthority> roles = AuthorityUtils.commaSeparatedStringToAuthorityList("admin");return new User("admin", new BCryptPasswordEncoder().encode("123456"), roles);}
}

3.3.2 编写配置类

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate UserDetailsServiceImpl userDetailsService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//使用UserDetailsServiceImpl 查询用户名、密码auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());}
}

分别测试,都通过

4 用户认证和授权/基于角色和权限的访问控制

实际生产中,需要根据用户角色的权限来控制可访问的页面、可执行的操作等

4.1 新建4个页面

level-1.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: red">这是用户等级1可访问的页面</h1>
</body>
</html>

level-2.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: green">这是用户等级2可访问的页面</h1>
</body>
</html>

level-3.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: blue">这是用户等级3可访问的页面</h1>
</body>
</html>

index.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<a href="level-1.html">等级1</a><br><br>
<a href="level-2.html">等级2</a><br><br>
<a href="level-3.html">等级3</a>
</body>
</html>

4.2 修改配置类

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权,表示用户拥有指定角色//hasAuthority 为权限授权,表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录,无权限时进入登录页面http.formLogin();}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码加密BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();//配置用户名、密码,该配置方式下,用户名和密码保存在内存中auth.inMemoryAuthentication()//密码加密方式.passwordEncoder(new BCryptPasswordEncoder()).withUser("admin").password(passwordEncoder.encode("123456")).roles("admin").and().withUser("admin1").password(passwordEncoder.encode("123456")).roles("level1").and().withUser("admin2").password(passwordEncoder.encode("123456")).roles("level2").and().withUser("admin3").password(passwordEncoder.encode("123456")).authorities("level3").and().withUser("admin0").password(passwordEncoder.encode("123456")).authorities("ROLE_level1", "ROLE_level2", "level3");}
}

**hasRole()hasAuthority()**用法是类似的,只不过hasRole()方法会给自定义的角色名前加上 ROLE_ 前缀

在这里插入图片描述

因此在自定义用户时,如果使用**authorities()给用户设置角色时,需要自行添加上ROLE_**前缀。

roles()authorities()设置的角色或权限,最终都存放在authorities参数中,且这两个方法会互相覆盖彼此的值。

在这里插入图片描述

4.3 测试

浏览器访问

在这里插入图片描述

依次点击等级1、等级2、等级3,均自动跳转到授权登录页面,登录对应权限的用户后,可成功访问。

其中,登录admin用户,无法访问任何页面,登录admin0,可访问所有页面

在这里插入图片描述

登录权限不匹配的用户,拒绝访问

在这里插入图片描述

4.4 使用UserDetailsService类实现

UserDetailsServiceImpl

@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {List<GrantedAuthority> roles;if ("admin1".equals(s)) {roles = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_level1");} else if ("admin2".equals(s)) {roles = AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_level2");} else if ("admin3".equals(s)) {roles = AuthorityUtils.commaSeparatedStringToAuthorityList("level3");} else if ("admin0".equals(s)) {roles = AuthorityUtils.createAuthorityList("ROLE_level1", "ROLE_level2", "level3");} else {roles = AuthorityUtils.createAuthorityList("admin");}return new User(s, new BCryptPasswordEncoder().encode("123456"), roles);}
}

SecurityConfig

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate UserDetailsServiceImpl userDetailsService;@Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权,表示用户拥有指定角色//hasAuthority 为权限授权,表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录,无权限时进入登录页面http.formLogin();}@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//使用UserDetailsServiceImpl 查询用户名、密码auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());}
}

浏览器访问,测试,通过

5 常用注解

可控制用户认证访问接口

5.1 @Secured()

校验用户具有某个角色,才可访问接口

需在启动类开启注解

@EnableGlobalMethodSecurity(securedEnabled = true)

然后在接口方法上配置注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "query")@Secured("ROLE_level1")public String query() {return "用户查询成功";}@GetMapping(value = "update")@Secured({"ROLE_level1", "ROLE_level2"})public String update() {return "用户更新成功";}
}

5.2 @PreAuthorize()

在进入方法前校验用户具有某个权限或角色

需在启动类开启注解

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

然后在接口方法上配置注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "delete")@PreAuthorize("hasAnyAuthority('ROLE_level1','level3')")public String delete() {return "用户删除成功";}
}

5.3 @PostAuthorize()

在进入方法后校验用户具有某个权限或角色

需在启动类开启注解

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

然后在接口方法上配置注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "delete")@PostAuthorize("hasAnyAuthority('ROLE_level1','level3')")public String delete() {return "用户删除成功";}
}

5.4 @PostFilter()

校验权限后对数据进行过滤,只返回满足条件的数据

新建实体类

@Data
@AllArgsConstructor
@NoArgsConstructor
public class UserModel {private String username;private String password;
}

然后在方法上加上注解

@RestController
@RequestMapping("user")
public class UserController {@GetMapping(value = "queryList")@PreAuthorize("hasAnyAuthority('ROLE_level1','level3')")@PostFilter("filterObject.username == 'test'")public List<UserModel> queryList() {List<UserModel> userList = new ArrayList<>();userList.add(new UserModel("test", "qwerty"));userList.add(new UserModel("test2", "asdfgh"));userList.add(new UserModel("test3", "zxcvbn"));return userList;}
}

测试,权限验证通过后

在这里插入图片描述

5.5 @PreFilter()

校验权限后对数据进行过滤,只有满足条件的数据才能传入接口方法中

@RestController
@RequestMapping("user")
public class UserController {@PostMapping(value = "queryUser")@PreAuthorize("hasAnyAuthority('ROLE_level1','level3')")@PreFilter("filterObject.username == 'test2'")public List<UserModel> queryUser(@RequestBody List<UserModel> userModels) {return userModels;}
}

测试,权限验证通过后

在这里插入图片描述

6 记住我

配置类中开启记住我

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权,表示用户拥有指定角色//hasAuthority 为权限授权,表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录,无权限时进入登录页面http.formLogin();//记住我http.rememberMe();}

启动服务,访问页面,登录页面增加了记住我选择框

在这里插入图片描述

登录成功后,cookie中已保存用户信息,默认时间为2周

在这里插入图片描述

7 注销

7.1 配置类中开启注销

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权,表示用户拥有指定角色//hasAuthority 为权限授权,表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录,无权限时进入登录页面http.formLogin();//记住我http.rememberMe();//开启注销,注销成功后回首页http.logout().logoutSuccessUrl("/");}

7.2 level-* 页面增加注销按钮

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
<h1 style="color: red">这是用户等级1可访问的页面</h1>
<br><br>
<a href="/logout">注销</a>
</body>
</html>

其他两个页面做相同修改

启动服务,登录成功后点击注销按钮,注销成功,返回首页,访问页面需再次登录

8 自定义登录页

8.1 新建登录页login.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title><meta charset="UTF-8"><title>Login Page</title><style>body {font-family: Arial, sans-serif;background-color: #f5f5f5;}.container {width: 300px;margin: auto;padding: 40px;border: 1px solid #ccc;background-color: white;box-shadow: 0 0 10px rgba(0, 0, 0, 0.1);}h2 {text-align: center;}label {display: block;margin-bottom: 10px;}input[type="text"],input[type="password"] {width: 100%;padding: 6px;border: 1px solid #ccc;outline: none;}button {width: 100%;padding: 10px;color: white;background-color: #4CAF50;cursor: pointer;border: none;outline: none;}button:hover {opacity: 0.9;}</style>
</head>
<body>
<div class="container"><h2>登录</h2><form action="/login" method="post"><label for="username">用户名</label><input type="text" id="username" name="username"><br><br><label for="password">密码</label><input type="password" id="password" name="password"><br><br><input type="checkbox" name="remember-me" title="记住我">记住我<br><br><button type="submit">登 录</button></form>
</div>
</body>
</html>

8.2 配置类中开启自定义登录页

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//请求授权的规则//开启认证http.authorizeRequests()//首页所有人可访问.antMatchers("/").permitAll()//功能页对应角色或权限才能访问//hasRole 为角色授权,表示用户拥有指定角色//hasAuthority 为权限授权,表示用户拥有指定权限.antMatchers("/level-1.html").hasRole("level1").antMatchers("/level-2.html").hasRole("level2").antMatchers("/level-3.html").hasAuthority("level3");//开启登录,无权限时进入登录页面//自定义登录页http.formLogin().loginPage("/login.html").loginProcessingUrl("/login");//关闭csrf防护http.csrf().disable();//记住我http.rememberMe();//开启注销,注销成功后回首页http.logout().logoutSuccessUrl("/");}

这里,自定义登录,默认用户参数是username,默认密码参数是password,默认记住我参数是remember-me,如果需要自定义登录表单的参数,做如下修改

        //开启登录,无权限时进入登录页面http.formLogin().loginPage("/login.html").loginProcessingUrl("/login").usernameParameter("username").passwordParameter("password");//关闭csrf防护http.csrf().disable();//记住我http.rememberMe().rememberMeParameter("remember-me");

启动服务,访问地址,跳转到自定义登录页

在这里插入图片描述

9 自定义403页面

9.1 新建403.html

<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><title>Title</title>
</head>
<body>
权限不足,无法访问
</body>
</html>

9.2 配置类中开启自定义403页面

    @Overrideprotected void configure(HttpSecurity http) throws Exception {//...其他代码...//自定义403页面http.exceptionHandling().accessDeniedPage("/403.html");}

启动服务,浏览器访问,登录无权限用户后提示

在这里插入图片描述

至此,Spring Boot整合Spring Security实现用户认证和授权基本用法已讲解完毕,且测试通过。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/285802.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

部署Zabbix Agents添加使能监测服务器_Linux平台_Yum源/Archive多模式

Linux平台 一、从yum源脚本安装部署Zabbix-Agent,添加Linux Servers/PC 概述 Zabbix 主要有以下几个组件组成: Zabbix Server:Zabbix 服务端,Zabbix的核心组件,它负责接收监控数据并触发告警,还负责将监控数据持久化到数据库中。 Zabbix Agent:Zabbix客户端,部署在被监…

Hbase 王者荣耀数据表 HBase常用Shell命令

大数据课本&#xff1a; HBase常用Shell命令 在使用具体的Shell命令操作HBase数据之前&#xff0c;需要首先启动Hadoop&#xff0c;然后再启动HBase&#xff0c;并且启动HBase Shell&#xff0c;进入Shell命令提示符状态&#xff0c;具体命令如下&#xff1a; $ cd /usr/local…

Linux--进程(1)

目录 前言 1.冯诺依曼体系结构 2. 操作系统(Operator System)--第一个被加载的软件 3.进程 3.1基本概念 3.2Linux中的PCB 3.3通过系统调用创建子进程-fork初识 fork&#xff1a;创建一个子进程 为什么要创建子进程&#xff1f; fork的原理&#xff1a; 进一步了解fo…

关于OceanBase中旁路导入的应用分享

背景 前段时间&#xff0c;在用户现场协助进行OceanBase的性能测试时&#xff0c;我注意到用户常常需要运用 insert into select 将上亿行的数据插入到一张大宽表里&#xff0c;这样的批量数据插入操作每次都需要耗时半个小时左右。对这一情况&#xff0c;我提议用户尝试采用旁…

【UE5】动画蒙太奇简述

项目资源文末百度网盘自取 动画蒙太奇基本功能 动画蒙太奇&#xff08;Animation Montage&#xff09; 可以将多个 动画序列&#xff08;Animation Sequences&#xff09; 合并为单个资产并通过蓝图播放&#xff0c;还可以将一个蒙太奇动画切分为多个 蒙太奇分段&#xff08;M…

Prompt-RAG:在特定领域中应用的革新性无需向量嵌入的RAG技术

论文地址&#xff1a;https://arxiv.org/ftp/arxiv/papers/2401/2401.11246.pdf 原文地址&#xff1a;https://cobusgreyling.medium.com/prompt-rag-98288fb38190 2024 年 3 月 21 日 虽然 Prompt-RAG 确实有其局限性&#xff0c;但在特定情况下它可以有效地替代传统向量嵌入 …

外包干了5年,技术退步明显.......

先说一下自己的情况&#xff0c;大专生&#xff0c;18年通过校招进入杭州某软件公司&#xff0c;干了接近4年的功能测试&#xff0c;今年年初&#xff0c;感觉自己不能够在这样下去了&#xff0c;长时间呆在一个舒适的环境会让一个人堕落! 而我已经在一个企业干了四年的功能测…

DC-5靶机

一.环境搭建 1.下载地址 靶机下载地址&#xff1a;https://download.vulnhub.com/dc/DC-5.zip 2.虚拟机配置 切换nat模式&#xff0c;有问题全选重试和是&#xff0c;打到这了&#xff0c;我感觉这个配置我都不用写了&#xff0c;启动靶机如下图所示即可 二.开始渗透 1.信…

红黑树进阶:正向与反向迭代器的实现及map、set的封装实践

文章目录 一、引言二、红黑树迭代器设计1、迭代器的基本概念和分类2、正向迭代器设计a.迭代器结构定义b.迭代器的 与 -- 3、反向迭代器设计a.反向迭代器的必要性b.反向迭代器的实现要点 4、红黑树封装迭代器 三、使用红黑树实现Map四、红黑树实现Set五、细节理解1、 typname的使…

Linux 在线yum安装: PostgreSQL 15.6数据库

Linux 在线yum安装&#xff1a; PostgreSQL 15.6数据库 1、PostgreSQL数据库简介2、在线安装PostgreSQL15.63、配置 PostgreSQL的环境变量4、使用默认用户登录PostgreSQL5、配置 PostgreSQL 允许远程登录6、修改 PostgreSQL 默认端口7、创建数据库和表、远程用户zyl8、pgAdmin远…

ChatGLM3 Linux 部署

1.首先需要下载本仓库&#xff1a; git clone https://github.com/THUDM/ChatGLM3 2.查看显卡对应的torch 版本 官方文档说明&#xff1a; Start Locally | PyTorch 例如&#xff1a; a. 先查看显卡的CUDA版本 nvcc --version 查看对应版本 Previous PyTorch Versions …

接口测试常用工具及测试方法(基础篇)

&#x1f345; 视频学习&#xff1a;文末有免费的配套视频可观看 &#x1f345; 关注公众号【互联网杂货铺】&#xff0c;回复 1 &#xff0c;免费获取软件测试全套资料&#xff0c;资料在手&#xff0c;涨薪更快 接口一般来说有两种&#xff0c;一种是程序内部的接口&#xff…

家用智能洗地机哪个牌子好?4款型号让你解锁高效省力生活体验

在今天的社会中&#xff0c;随着生活节奏的加快&#xff0c;人们对于家庭清洁的需求不断增加。传统的清洁方法已经无法满足现代家庭的需求。因此&#xff0c;洗地机作为一种高效、方便的清洁工具&#xff0c;已经成为了许多家庭首选的清洁设备。然而&#xff0c;在市场上&#…

个人可以做知识付费网站吗

个人可以做知识付费网站吗 个人能够做学问付费网站吗&#xff1f;答案是肯定的&#xff01;如今个人做学问付费网站并不需求太多的资金和技术支持&#xff0c;我们只需求购置一台效劳器或虚拟主机&#xff0c;然后在该主机空间上搭建一个WordPress网站&#xff0c;最后运用带有…

Unity-UGUI系统

UGUI是什么 UGUI是Unity引擎内自带的UI系统官方称之为:Unity Ul 是目前Unity商业游戏开发中使用最广泛的UI系统开发解决方案 它是基于Unity游戏对象的UI系统&#xff0c;只能用来做游戏UI功能 不能用于开发Unity编辑器中内置的用户界面 六大基础组件 概述 Canvas EventS…

光明源:农村智慧公厕主要包括哪些功能

随着乡村振兴战略的深入推进&#xff0c;农村面貌日新月异&#xff0c;生活品质也水涨船高。在这一崭新的农村画卷中&#xff0c;智慧公厕作为生活环境的一部分&#xff0c;正以其独特的魅力引领着人们对美好生活的向往。今日&#xff0c;让我们一同探寻农村智慧公厕的璀璨功能…

openssl 升级1.1.1.1k 到 3.0.13

下载 https://www.openssl.org/source/ tar -zxvf openssl-3.0.13.tar.gzcd openssl-3.0.13/./config enable-fips --prefix/usr/local --openssldir/usr/local/opensslmake && make install 将原有openssl备份 mv /usr/bin/openssl /usr/bin/openssl.bak mv /usr/i…

使用 STL 容器发生异常的常见原因分析与总结

目录 1、概述 2、使用STL列表中的元素越界 3、遍历STL列表删除元素时对迭代器自加处理有问题引发越界 4、更隐蔽的遍历STL列表删除元素时引发越界的场景 5、多线程同时操作STL列表时没有加锁导致冲突 6、对包含STL列表对象的结构体进行memset操作导致STL列表对象内存出异…

2024蓝桥杯每日一题(树状数组2)

备战2024年蓝桥杯 -- 每日一题 Python大学A组 试题一&#xff1a;数星星 试题二&#xff1a;小朋友排队 试题三&#xff1a;逆序对数量 试题四&#xff1a;火柴排队 试题一&#xff1a;数星星 【题目描述】 天空中有一些星星&#xff0c;这些星星都在…

3.18_C++_day6_作业

作业要求&#xff1a; 程序代码&#xff1a; #include <iostream>using namespace std;class Animal { private:string name;string color;int *age; public://无参构造函数Animal(){cout << "Animal::无参构造函数" << endl;}//有参构造函数Anim…