欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解

 更新時(shí)間:2018年05月18日 15:18:19   作者:whyalwaysmea  
這篇文章主要介紹了SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧

Spring Security 基本介紹

這里就不對(duì)Spring Security進(jìn)行過(guò)多的介紹了,具體的可以參考官方文檔

我就只說(shuō)下SpringSecurity核心功能:

  1. 認(rèn)證(你是誰(shuí))
  2. 授權(quán)(你能干什么)
  3. 攻擊防護(hù)(防止偽造身份)

基本環(huán)境搭建

這里我們以SpringBoot作為項(xiàng)目的基本框架,我這里使用的是maven的方式來(lái)進(jìn)行的包管理,所以這里先給出集成Spring Security的方式

<dependencies>
  ...
    <dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
  ...
</dependencies>

然后建立一個(gè)Web層請(qǐng)求接口

@RestController
@RequestMapping("/user")
public class UserController {
  @GetMapping
  public String getUsers() {    
    return "Hello Spring Security";
  }
}

接下來(lái)可以直接進(jìn)行項(xiàng)目的運(yùn)行,并進(jìn)行接口的調(diào)用看看效果了。

通過(guò)網(wǎng)頁(yè)的調(diào)用

我們首先通過(guò)瀏覽器進(jìn)行接口的調(diào)用,直接訪問(wèn)http://localhost:8080/user,如果接口能正常訪問(wèn),那么應(yīng)該顯示“Hello Spring Security”。

但是我們是沒(méi)法正常訪問(wèn)的,出現(xiàn)了下圖的身份驗(yàn)證輸入框


這是因?yàn)樵赟pringBoot中,默認(rèn)的Spring Security就是生效了的,此時(shí)的接口都是被保護(hù)的,我們需要通過(guò)驗(yàn)證才能正常的訪問(wèn)。 Spring Security提供了一個(gè)默認(rèn)的用戶,用戶名是user,而密碼則是啟動(dòng)項(xiàng)目的時(shí)候自動(dòng)生成的。

我們查看項(xiàng)目啟動(dòng)的日志,會(huì)發(fā)現(xiàn)如下的一段Log

Using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

當(dāng)然你看到的password肯定和我是不一樣的,我們直接用user和啟動(dòng)日志中的密碼進(jìn)行登錄。

登錄成功后,就跳轉(zhuǎn)到了接口正常調(diào)用的頁(yè)面了。

如果不想一開(kāi)始就使能Spring Security,可以在配置文件中做如下的配置:

# security 使能
security.basic.enabled = false

剛才看到的登錄框是SpringSecurity是框架自己提供的,被稱為httpBasicLogin。顯示它不是我們產(chǎn)品上想要的,我們前端一般是通過(guò)表單提交的方式進(jìn)行用戶登錄驗(yàn)證的,所以我們就需要自定義自己的認(rèn)證邏輯了。

自定義用戶認(rèn)證邏輯

每個(gè)系統(tǒng)肯定是有自己的一套用戶體系的,所以我們需要自定義自己的認(rèn)證邏輯以及登錄界面。
這里我們需要先對(duì)SpringSecurity進(jìn)行相應(yīng)的配置

@Configuration
public class BrowerSecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()          // 定義當(dāng)需要用戶登錄時(shí)候,轉(zhuǎn)到的登錄頁(yè)面。
        .and()
        .authorizeRequests()    // 定義哪些URL需要被保護(hù)、哪些不需要被保護(hù)
        .anyRequest()        // 任何請(qǐng)求,登錄后可以訪問(wèn)
        .authenticated();
  }
}

接下來(lái)再配置用戶認(rèn)證邏輯,因?yàn)槲覀兪怯凶约旱囊惶子脩趔w系的

@Component
public class MyUserDetailsService implements UserDetailsService {

  private Logger logger = LoggerFactory.getLogger(getClass());

  @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    logger.info("用戶的用戶名: {}", username);
    // TODO 根據(jù)用戶名,查找到對(duì)應(yīng)的密碼,與權(quán)限

    // 封裝用戶信息,并返回。參數(shù)分別是:用戶名,密碼,用戶權(quán)限
    User user = new User(userame, "123456",
              AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    return user;
 }
}

這里我們沒(méi)有進(jìn)行過(guò)多的校驗(yàn),用戶名可以隨意的填寫(xiě),但是密碼必須得是“123456”,這樣才能登錄成功。

同時(shí)可以看到,這里User對(duì)象的第三個(gè)參數(shù),它表示的是當(dāng)前用戶的權(quán)限,我們將它設(shè)置為”admin”。

運(yùn)行一下程序進(jìn)行測(cè)試,會(huì)發(fā)現(xiàn)登錄界面有所改變


這是因?yàn)槲覀冊(cè)谂渲梦募信渲昧?code>http.formLogin()

我們這里隨便填寫(xiě)一個(gè)User,然后Password寫(xiě)填寫(xiě)一個(gè)錯(cuò)誤的(非123456)的。這時(shí)會(huì)提示校驗(yàn)錯(cuò)誤:

同時(shí)在控制臺(tái),也會(huì)打印出剛才登錄時(shí)填寫(xiě)的user

現(xiàn)在我們?cè)賮?lái)使用正確的密碼進(jìn)行登錄試試,可以發(fā)現(xiàn)就會(huì)通過(guò)校驗(yàn),跳轉(zhuǎn)到正確的接口調(diào)用頁(yè)面了。

UserDetails

剛剛我們?cè)趯?xiě)MyUserDetailsService的時(shí)候,里面實(shí)現(xiàn)了一個(gè)方法,并返回了一個(gè)UserDetails。這個(gè)UserDetails 就是封裝了用戶信息的對(duì)象,里面包含了七個(gè)方法

public interface UserDetails extends Serializable {
  // 封裝了權(quán)限信息
  Collection<? extends GrantedAuthority> getAuthorities();
  // 密碼信息
  String getPassword();
  // 登錄用戶名
  String getUsername();
  // 帳戶是否過(guò)期
  boolean isAccountNonExpired();
  // 帳戶是否被凍結(jié)
  boolean isAccountNonLocked();
  // 帳戶密碼是否過(guò)期,一般有的密碼要求性高的系統(tǒng)會(huì)使用到,比較每隔一段時(shí)間就要求用戶重置密碼
  boolean isCredentialsNonExpired();
  // 帳號(hào)是否可用
  boolean isEnabled();
}

我們?cè)诜祷豒serDetails的實(shí)現(xiàn)類User的時(shí)候,可以通過(guò)User的構(gòu)造方法,設(shè)置對(duì)應(yīng)的參數(shù)

密碼加密解密

SpringSecurity中有一個(gè)PasswordEncoder接口

public interface PasswordEncoder {
  // 對(duì)密碼進(jìn)行加密
  String encode(CharSequence var1);
  // 對(duì)密碼進(jìn)行判斷匹配
  boolean matches(CharSequence var1, String var2);
}

我們只需要自己實(shí)現(xiàn)這個(gè)接口,并在配置文件中配置一下就可以了。

這里我暫時(shí)以默認(rèn)提供的一個(gè)實(shí)現(xiàn)類進(jìn)行測(cè)試

// BrowerSecurityConfig 
@Bean
public PasswordEncoder passwordEncoder() {
   return new BCryptPasswordEncoder();
 }

加密使用:

@Component
public class MyUserDetailsService implements UserDetailsService {


  private Logger logger = LoggerFactory.getLogger(getClass());

  @Autowired
  private PasswordEncoder passwordEncoder;

  @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    logger.info("用戶的用戶名: {}", username);

    String password = passwordEncoder.encode("123456");
    logger.info("password: {}", password);

    // 參數(shù)分別是:用戶名,密碼,用戶權(quán)限
    User user = new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    return user;
  }
}

這里簡(jiǎn)單的對(duì)123456進(jìn)行了加密的處理。我們可以進(jìn)行測(cè)試,發(fā)現(xiàn)每次打印出來(lái)的password都是不一樣的,這就是配置的BCryptPasswordEncoder所起到的作用。

個(gè)性化用戶認(rèn)證邏輯

自定義登錄頁(yè)面

在之前的測(cè)試中,一直都是使用的默認(rèn)的登錄界面,我相信每個(gè)產(chǎn)品都是有自己的登錄界面設(shè)計(jì)的,所以我們這一節(jié)了解一下如何自定義登錄頁(yè)面。

我們先寫(xiě)一個(gè)簡(jiǎn)單的登錄頁(yè)面

<!DOCTYPE html>
<html lang="en">
<head>
  <meta charset="UTF-8">
  <title>登錄頁(yè)面</title>
</head>
<body>
  <h2>自定義登錄頁(yè)面</h2>
  <form action="/user/login" method="post">
    <table>
      <tr>
        <td>用戶名:</td>
        <td><input type="text" name="username"></td>
      </tr>
      <tr>
        <td>密碼:</td>
        <td><input type="password" name="password"></td>
      </tr>
      <tr>
        <td colspan="2"><button type="submit">登錄</button></td>
      </tr>
    </table>
  </form>
</body>
</html>

完成了登錄頁(yè)面之后,就需要將它配置進(jìn)行SpringSecurity

// BrowerSecurityConfig.java
@Override
protected void configure(HttpSecurity http) throws Exception {
  http.formLogin()          // 定義當(dāng)需要用戶登錄時(shí)候,轉(zhuǎn)到的登錄頁(yè)面。
      .loginPage("/login.html")      // 設(shè)置登錄頁(yè)面
      .loginProcessingUrl("/user/login") // 自定義的登錄接口
      .and()
      .authorizeRequests()    // 定義哪些URL需要被保護(hù)、哪些不需要被保護(hù)
      .antMatchers("/login.html").permitAll()   // 設(shè)置所有人都可以訪問(wèn)登錄頁(yè)面
      .anyRequest()        // 任何請(qǐng)求,登錄后可以訪問(wèn)
      .authenticated()
      .and()
      .csrf().disable();     // 關(guān)閉csrf防護(hù)
}

這樣,每當(dāng)我們?cè)L問(wèn)被保護(hù)的接口的時(shí)候,就會(huì)調(diào)轉(zhuǎn)到login.html頁(yè)面

處理不同類型的請(qǐng)求

因?yàn)楝F(xiàn)在一般都前后端分離了,后端提供接口供前端調(diào)用,返回JSON格式的數(shù)據(jù)給前端。剛才那樣,調(diào)用了被保護(hù)的接口,直接進(jìn)行了頁(yè)面的跳轉(zhuǎn),在web端還可以接受,但是在App端就不行了, 所以我們還需要做進(jìn)一步的處理。

這里做一下簡(jiǎn)單的思路整理

首先來(lái)寫(xiě)自定義的Controller,當(dāng)需要身份認(rèn)證的時(shí)候就跳轉(zhuǎn)過(guò)來(lái)

@RestController
public class BrowserSecurityController {

  private Logger logger = LoggerFactory.getLogger(getClass());

  // 原請(qǐng)求信息的緩存及恢復(fù)
  private RequestCache requestCache = new HttpSessionRequestCache();

  // 用于重定向
  private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

  /**
   * 當(dāng)需要身份認(rèn)證的時(shí)候,跳轉(zhuǎn)過(guò)來(lái)
   * @param request
   * @param response
   * @return
   */
  @RequestMapping("/authentication/require")
  @ResponseStatus(code = HttpStatus.UNAUTHORIZED)
  public BaseResponse requireAuthenication(HttpServletRequest request, HttpServletResponse response) throws IOException {
    SavedRequest savedRequest = requestCache.getRequest(request, response);

    if (savedRequest != null) {
      String targetUrl = savedRequest.getRedirectUrl();
      logger.info("引發(fā)跳轉(zhuǎn)的請(qǐng)求是:" + targetUrl);
      if (StringUtils.endsWithIgnoreCase(targetUrl, ".html")) {
        redirectStrategy.sendRedirect(request, response, "/login.html");
      }
    }

    return new BaseResponse("訪問(wèn)的服務(wù)需要身份認(rèn)證,請(qǐng)引導(dǎo)用戶到登錄頁(yè)");
  }
}

當(dāng)然還需要將配置文件進(jìn)行相應(yīng)的修改, 這里我就不貼代碼了。 就是將該接口開(kāi)放出來(lái) 。

擴(kuò)展:

這里我們是寫(xiě)死了如果是從網(wǎng)頁(yè)訪問(wèn)的接口,那么就跳轉(zhuǎn)到”/login.html”頁(yè)面,其實(shí)我們可以擴(kuò)展一下,將該跳轉(zhuǎn)地址配置到配置文件中,這樣會(huì)更方便的。

自定義處理登錄成功/失敗

在之前的測(cè)試中,登錄成功了都是進(jìn)行了頁(yè)面的跳轉(zhuǎn)。

在前后端分離的情況下,我們登錄成功了可能需要向前端返回用戶的個(gè)人信息,而不是直接進(jìn)行跳轉(zhuǎn)。登錄失敗也是同樣的道理。

這里涉及到了Spring Security中的兩個(gè)接口AuthenticationSuccessHandlerAuthenticationFailureHandler。我們可以實(shí)現(xiàn)這個(gè)接口,并進(jìn)行相應(yīng)的配置就可以了。 當(dāng)然框架是有默認(rèn)的實(shí)現(xiàn)類的,我們可以繼承這個(gè)實(shí)現(xiàn)類再來(lái)自定義自己的業(yè)務(wù)

@Component("myAuthenctiationSuccessHandler")
public class MyAuthenctiationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

  private Logger logger = LoggerFactory.getLogger(getClass());

  @Autowired
  private ObjectMapper objectMapper;

  @Override
  public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
                    Authentication authentication) throws IOException, ServletException {

    logger.info("登錄成功");

    response.setContentType("application/json;charset=UTF-8");
    response.getWriter().write(objectMapper.writeValueAsString(authentication));
  }
}

這里我們通過(guò)response返回一個(gè)JSON字符串回去。

這個(gè)方法中的第三個(gè)參數(shù)Authentication,它里面包含了登錄后的用戶信息(UserDetails),Session的信息,登錄信息等。

@Component("myAuthenctiationFailureHandler")
public class MyAuthenctiationFailureHandler extends SimpleUrlAuthenticationFailureHandler {

  private Logger logger = LoggerFactory.getLogger(getClass());

  @Autowired
  private ObjectMapper objectMapper;

  @Override
  public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                    AuthenticationException exception) throws IOException, ServletException {

    logger.info("登錄失敗");

    response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
    response.setContentType("application/json;charset=UTF-8");
    response.getWriter().write(objectMapper.writeValueAsString(new BaseResponse(exception.getMessage())));
  }
}

這個(gè)方法中的第三個(gè)參數(shù)AuthenticationException,包括了登錄失敗的信息。

同樣的,還是需要在配置文件中進(jìn)行配置,這里就不貼出全部的代碼了,只貼出相應(yīng)的語(yǔ)句

.successHandler(myAuthenticationSuccessHandler) // 自定義登錄成功處理 
.failureHandler(myAuthenticationFailureHandler) // 自定義登錄失敗處理

代碼

完整的代碼可以點(diǎn)我查看

以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • 詳解Mybatis模板(已優(yōu)化)適合小白

    詳解Mybatis模板(已優(yōu)化)適合小白

    這篇文章主要介紹了Mybatis模板(已優(yōu)化)適合小白,本文通過(guò)實(shí)例代碼給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2021-03-03
  • Java線程池隊(duì)列LinkedTransferQueue示例詳解

    Java線程池隊(duì)列LinkedTransferQueue示例詳解

    這篇文章主要為大家介紹了Java線程池隊(duì)列LinkedTransferQueue示例詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2022-12-12
  • 詳解Maven環(huán)境的搭建與idea配置

    詳解Maven環(huán)境的搭建與idea配置

    本篇文章主要介紹了詳解Maven環(huán)境的搭建與idea配置,小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過(guò)來(lái)看看吧
    2017-12-12
  • 深入解析Java編程中接口的運(yùn)用

    深入解析Java編程中接口的運(yùn)用

    這篇文章主要介紹了Java編程中接口的運(yùn)用,接口是Java面向?qū)ο蟮睦^承特性的體現(xiàn),需要的朋友可以參考下
    2015-10-10
  • Java中Lombok的@Builder注解注意事項(xiàng)

    Java中Lombok的@Builder注解注意事項(xiàng)

    這篇文章主要介紹了Java中Lombok的@Builder注解注意事項(xiàng),使用Lombok也會(huì)造成很多問(wèn)題,尤其@Builder 有個(gè)很大的坑,已經(jīng)見(jiàn)過(guò)好幾次由于使用@Builder注解導(dǎo)致默認(rèn)值失效的問(wèn)題,如果測(cè)試時(shí)沒(méi)有在意這個(gè)問(wèn)題,就很容易引發(fā)線上問(wèn)題,需要的朋友可以參考下
    2023-12-12
  • SpringAop切入點(diǎn)execution表達(dá)式的深入講解

    SpringAop切入點(diǎn)execution表達(dá)式的深入講解

    Spring AOP 可能會(huì)經(jīng)常使用 execution切入點(diǎn)指示符,下面這篇文章主要給大家介紹了關(guān)于SpringAop切入點(diǎn)execution表達(dá)式的相關(guān)資料,需要的朋友可以參考下
    2021-08-08
  • java中ResultSet遍歷數(shù)據(jù)操作

    java中ResultSet遍歷數(shù)據(jù)操作

    這篇文章主要介紹了java中ResultSet遍歷數(shù)據(jù)操作,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。一起跟隨小編過(guò)來(lái)看看吧
    2020-08-08
  • Java實(shí)現(xiàn)的不同圖片居中剪裁生成同一尺寸縮略圖功能示例

    Java實(shí)現(xiàn)的不同圖片居中剪裁生成同一尺寸縮略圖功能示例

    這篇文章主要介紹了Java實(shí)現(xiàn)的不同圖片居中剪裁生成同一尺寸縮略圖功能,涉及java針對(duì)圖片的讀取、屬性修改等相關(guān)操作技巧,需要的朋友可以參考下
    2017-09-09
  • 一文帶你了解微服務(wù)架構(gòu)中的"發(fā)件箱模式"

    一文帶你了解微服務(wù)架構(gòu)中的"發(fā)件箱模式"

    微服務(wù)架構(gòu)如今非常的流行,這個(gè)架構(gòu)下可能經(jīng)常會(huì)遇到“雙寫(xiě)”的場(chǎng)景。本文就和大家分享一個(gè)“發(fā)件箱模式”,?感興趣的小伙伴可以了解一下
    2023-01-01
  • idea2019.2安裝MybatisCodeHelper插件的超詳細(xì)教程

    idea2019.2安裝MybatisCodeHelper插件的超詳細(xì)教程

    這篇文章主要介紹了idea2019.2安裝MybatisCodeHelper插件的教程,本文給大家介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2020-09-09

最新評(píng)論