欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

SpringSecurity安全管理開發(fā)過程

 更新時間:2024年07月10日 08:57:14   作者:二價亞鐵  
Spring?是一個非常流行和成功的?Java?應用開發(fā)框架,Spring?Security?基于?Spring?框架,提供了一套?Web?應用安全性的完整解決方案,這篇文章主要介紹了SpringSecurity安全管理,需要的朋友可以參考下

SpringSecurity安全管理

一、安全簡介

在 Web 開發(fā)中,安全一直是非常重要的一個方面,因此從應用開發(fā)的第一天就應該把安全相關的因素考慮進來,并在整個應用的開發(fā)過程中。

主要安全框架:Shiro,Spring Security

Spring Security是一個功能強大且高度可定制的身份驗證和訪問控制框架。它實際上是保護基于spring的應用程序的標準。

Spring Security是一個框架,側重于為Java應用程序提供身份驗證和授權。與所有Spring項目一樣,Spring安全性的真正強大之處在于它可以輕松地擴展以滿足定制需求。

這是一個權限框架,權限 一般會細分為功能權限,訪問權限,和菜單權限,代碼會寫的非常的繁瑣,冗余。

Spring 是一個非常流行和成功的 Java 應用開發(fā)框架。Spring Security 基于 Spring 框架,提供了一套 Web 應用安全性的完整解決方案。一般來說,Web 應用的安全性包括用戶認證(Authentication)和用戶授權(Authorization)兩個部分。用戶認證指的是驗證某個用戶是否為系統中的合法主體,也就是說用戶能否訪問該系統。用戶認證一般要求用戶提供用戶名和密碼。系統通過校驗用戶名和密碼來完成認證過程。用戶授權指的是驗證某個用戶是否有權限執(zhí)行某個操作。在一個系統中,不同用戶所具有的權限是不同的。比如對一個文件來說,有的用戶只能進行讀取,而有的用戶可以進行修改。一般來說,系統會為不同的用戶分配不同的角色,而每個角色則對應一系列的權限。

對于上面提到的兩種應用情景,Spring Security 框架都有很好的支持。在用戶認證方面,Spring Security 框架支持主流的認證方式,包括 HTTP 基本認證、HTTP 表單驗證、HTTP 摘要認證、OpenID 和 LDAP 等。在用戶授權方面,Spring Security 提供了基于角色的訪問控制和訪問控制列表(Access Control List,ACL),可以對應用中的領域對象進行細粒度的控制。

二、認識SpringSecurity

Spring Security 是針對Spring項目的安全框架,也是Spring Boot底層安全模塊默認的技術選型,他可以實現強大的Web安全控制,對于安全控制,我們僅需要引入spring-boot-starter-security 模塊,進行少量的配置,即可實現強大的安全管理!

記住幾個類:

  • WebSecurityConfigurerAdapter:自定義Security策略
  • AuthenticationManagerBuilder:自定義認證策略
  • @EnableWebSecurity:開啟WebSecurity模式
    Spring Security的兩個主要目標是 “認證” 和 “授權”(訪問控制)。

“認證”(Authentication)

身份驗證是關于驗證您的憑據,如用戶名/用戶ID和密碼,以驗證您的身份。

身份驗證通常通過用戶名和密碼完成,有時與身份驗證因素結合使用。

“授權” (Authorization)

授權發(fā)生在系統成功驗證您的身份后,最終會授予您訪問資源(如信息,文件,數據庫,資金,位置,幾乎任何內容)的完全權限。

這個概念是通用的,而不是只在Spring Security 中存在。

三、認證和授權

1.引入 Spring Security 模塊

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
 </dependency>

2.編寫 Spring Security 配置類

基礎配制

參考幫助文檔:

https://docs.spring.io/spring-security/site/docs/5.3.0.RELEASE/reference/pdf/spring-security-reference.pdf

package com.dyt.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
	protected void configure(HttpSecurity http) throws Exception {
	}
}

3.定制請求的授權規(guī)則

//授權
// 鏈式編程
@Override
protected void configure(HttpSecurity http) throws Exception {
	//首頁所有人可以訪問,功能頁只有對應有權限的人才能訪問
	//請求授權的規(guī)則
	http.authorizeRequests()
		.antMatchers("/").permitAll()
		.antMatchers("/level1/**").hasRole("vip1")
		.antMatchers("/level2/**").hasRole("vip2")
		.antMatchers("/level3/**").hasRole("vip3");
	//沒有權限默認會到登錄頁面,需要開啟登錄頁面
	// /login 請求來到登錄頁
	// /login?error 重定向到這里表示登錄失敗
	http.formLogin();
}

4.測試一下:發(fā)現,沒有權限的時候,會跳轉到登錄的頁面!

image

5.認證規(guī)則

重寫configure(AuthenticationManagerBuilder auth)方法

//認證
//在內存中定義,也可以在jdbc中去拿....
//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進行某種方式加密
//spring security 官方推薦的是使用bcrypt加密方式。
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
				.withUser("gdh").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
				.and()
				.withUser("root").password(new BCryptPasswordEncoder().encode("456")).roles("vip1","vip2","vip3")
				.and()
				.withUser("user").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
	}

測試,發(fā)現,登錄成功,并且每個角色只能訪問自己認證下的規(guī)則!搞定

四.權限控制和注銷

1、開啟自動配置的注銷的功能

//定制請求的授權規(guī)則
@Override
protected void configure(HttpSecurity http) throws Exception {
   //....
   //開啟自動配置的注銷的功能
	  // /logout 注銷請求
   http.logout();
}

2、我們在前端,增加一個注銷的按鈕,index.html 導航欄中

<a class="item" th:href="@{/logout}">
   <i class="address card icon"></i> 注銷
</a>

3、我們可以去測試一下,登錄成功后點擊注銷,發(fā)現注銷完畢會跳轉到登錄頁面!

4、但是,我們想讓他注銷成功后,依舊可以跳轉到首頁,該怎么處理呢?

// .logoutSuccessUrl("/"); 注銷成功來到首頁
http.logout().logoutSuccessUrl("/");

5、測試,注銷完畢后,發(fā)現跳轉到首頁OK

6、我們現在又來一個需求

用戶沒有登錄的時候,導航欄上只顯示登錄按鈕,用戶登錄之后,導航欄可以顯示登錄的用戶信息及注銷按鈕!還有就是,比如kuangshen這個用戶,它只有 vip2,vip3功能,那么登錄則只顯示這兩個功能,而vip1的功能菜單不顯示!這個就是真實的網站情況了!該如何做呢?

我們需要結合thymeleaf中的一些功能

sec:authorize=”isAuthenticated()”:是否認證登錄!來顯示不同的頁面

Maven依賴:

<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->
<dependency>
   <groupId>org.thymeleaf.extras</groupId>
   <artifactId>thymeleaf-extras-springsecurity5</artifactId>
   <version>3.0.4.RELEASE</version>
</dependency>

7、修改我們的 前端頁面

導入命名空間

xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"

修改導航欄,增加認證判斷

<!--登錄注銷-->
	<div class="right menu">
   <!--如果未登錄-->
   <div sec:authorize="!isAuthenticated()">
	   <a class="item" th:href="@{/login}">
		   <i class="address card icon"></i> 登錄
	   </a>
   </div>
   <!--如果已登錄-->
   <div sec:authorize="isAuthenticated()">
	   <a class="item">
		   <i class="address card icon"></i>
		  用戶名:<span sec:authentication="principal.username"></span>
		  角色:<span sec:authentication="principal.authorities"></span>
	   </a>
   </div>
  <div sec:authorize="isAuthenticated()">
	   <a class="item" th:href="@{/logout}">
		   <i class="address card icon"></i> 注銷
	   </a>
   </div>
</div>

8、重啟測試,我們可以登錄試試看,登錄成功后確實,顯示了我們想要的頁面;

9、如果注銷404了,就是因為它默認防止csrf跨站請求偽造,因為會產生安全問題,我們可以將請求改為post表單提交,或者在spring security中關閉csrf功能;我們試試:在 配置中增加 http.csrf().disable();

http.csrf().disable();//關閉csrf功能:跨站請求偽造,默認只能通過post方式提交logout請求
http.logout().logoutSuccessUrl("/");

10、我們繼續(xù)將下面的角色功能塊認證完成!

<!-- sec:authorize="hasRole('vip1')" -->
<div class="column" sec:authorize="hasRole('vip1')">
   <div class="ui raised segment">
	   <div class="ui">
		   <div class="content">
			   <h5 class="content">Level 1</h5>
			   <hr>
			   <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
			   <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
			   <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
		   </div>
	   </div>
   </div>
</div>
<div class="column" sec:authorize="hasRole('vip2')">
   <div class="ui raised segment">
	   <div class="ui">
		   <div class="content">
			   <h5 class="content">Level 2</h5>
			   <hr>
			   <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
			   <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
			   <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
		   </div>
	   </div>
   </div>
</div>
<div class="column" sec:authorize="hasRole('vip3')">
   <div class="ui raised segment">
	   <div class="ui">
		   <div class="content">
			   <h5 class="content">Level 3</h5>
			   <hr>
			   <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
			   <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
			   <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
		   </div>
	   </div>
   </div>
</div>

11、測試一下!

12、權限控制和注銷搞定!

五.記住我

現在的情況,我們只要登錄之后,關閉瀏覽器,再登錄,就會讓我們重新登錄,但是很多網站的情況,就是有一個記住密碼的功能,這個該如何實現呢?很簡單

1、開啟記住我功能

//定制請求的授權規(guī)則
@Override
protected void configure(HttpSecurity http) throws Exception {
//。。。。。。。。。。。
   //記住我
   http.rememberMe();
}

2、我們再次啟動項目測試一下,發(fā)現登錄頁多了一個記住我功能,我們登錄之后關閉 瀏覽器,然后重新打開瀏覽器訪問,發(fā)現用戶依舊存在!

3、我們點擊注銷的時候,可以發(fā)現,spring security 幫我們自動刪除了這個 cookie

4、結論:登錄成功后,將cookie發(fā)送給瀏覽器保存,以后登錄帶上這個cookie,只要通過檢查就可以免登錄了。如果點擊注銷,則會刪除這個cookie。

六.定制登錄頁

現在這個登錄頁面都是spring security 默認的,怎么樣可以使用我們自己寫的Login界面呢?

1、在剛才的登錄頁配置后面指定 loginpage

http.formLogin().loginPage("/toLogin");

2、然后前端也需要指向我們自己定義的 login請求

<a class="item" th:href="@{/toLogin}">
   <i class="address card icon"></i> 登錄
</a>

3、我們登錄,需要將這些信息發(fā)送到哪里,我們也需要配置,login.html 配置提交請求及方式,方式必須為post:

在 loginPage()源碼中的注釋上有寫明:

<form th:action="@{/login}" method="post">
   <div class="field">
	   <label>Username</label>
	   <div class="ui left icon input">
		   <input type="text" placeholder="Username" name="username">
		   <i class="user icon"></i>
	   </div>
   </div>
   <div class="field">
	   <label>Password</label>
	   <div class="ui left icon input">
		   <input type="password" name="password">
		   <i class="lock icon"></i>
	   </div>
   </div>
   <input type="submit" class="ui blue submit button"/>
</form>

4、這個請求提交上來,我們還需要驗證處理,怎么做呢?我們可以查看formLogin()方法的源碼!我們配置接收登錄的用戶名和密碼的參數!

http.formLogin()
  .usernameParameter("username")
  .passwordParameter("password")
  .loginPage("/toLogin")
  .loginProcessingUrl("/login"); // 登陸表單提交請求

5、在登錄頁增加記住我的多選框

<input type="checkbox" name="remember"> 記住我

6、后端驗證處理!

//定制記住我的參數!
http.rememberMe().rememberMeParameter("remember");

7、測試,OK

完整配制代碼

package com.dyt.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
//AOP 橫切 攔截器
@EnableWebSecurity // 開啟WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	//授權
	// 鏈式編程
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		//首頁所有人可以訪問,功能頁只有對應有權限的人才能訪問
		//請求授權的規(guī)則
		http.authorizeRequests()
				.antMatchers("/").permitAll()
				.antMatchers("/level1/**").hasRole("vip1")
				.antMatchers("/level2/**").hasRole("vip2")
				.antMatchers("/level3/**").hasRole("vip3");
		//沒有權限默認會到登錄頁面,需要開啟登錄頁面
		http.formLogin()
				.usernameParameter("username")
				.passwordParameter("password")
				.loginPage("/toLogin")
				.loginProcessingUrl("/login"); // 登陸表單提交請求
		http.csrf().disable();//關閉csrf功能:跨站請求偽造,默認只能通過post方式提交logout請求
		//記住我
		http.rememberMe().rememberMeParameter("remember");
		//開啟自動配置的注銷的功能
		// /logout 注銷請求
		// .logoutSuccessUrl("/"); 注銷成功來到首頁
		http.logout().logoutSuccessUrl("/");
	}
	//認證
	//在內存中定義,也可以在jdbc中去拿....
	//Spring security 5.0中新增了多種加密方式,也改變了密碼的格式。
	//要想我們的項目還能夠正常登陸,需要修改一下configure中的代碼。我們要將前端傳過來的密碼進行某種方式加密
	//spring security 官方推薦的是使用bcrypt加密方式。
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
				.withUser("gdh").password(new BCryptPasswordEncoder().encode("123")).roles("vip2","vip3")
				.and()
				.withUser("root").password(new BCryptPasswordEncoder().encode("456")).roles("vip1","vip2","vip3")
				.and()
				.withUser("user").password(new BCryptPasswordEncoder().encode("123")).roles("vip1");
	}
}

到此這篇關于SpringSecurity安全管理的文章就介紹到這了,更多相關SpringSecurity安全管理內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • Java調用python的方法(jython)

    Java調用python的方法(jython)

    這篇文章主要介紹了Java調用python的方法(jython),小編覺得挺不錯的,現在分享給大家,也給大家做個參考。一起跟隨小編過來看看吧
    2017-06-06
  • SpringBoot整合SpringDataRedis的示例代碼

    SpringBoot整合SpringDataRedis的示例代碼

    這篇文章主要介紹了SpringBoot整合SpringDataRedis的示例代碼,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2021-05-05
  • Java Spring攔截器案例詳解

    Java Spring攔截器案例詳解

    這篇文章主要介紹了Java Spring攔截器案例詳解,本篇文章通過簡要的案例,講解了該項技術的了解與使用,以下就是詳細內容,需要的朋友可以參考下
    2021-08-08
  • Java Floyd算法求有權圖(非負權)的最短路徑并打印

    Java Floyd算法求有權圖(非負權)的最短路徑并打印

    這篇文章主要介紹了Java Floyd算法求有權圖(非負權)的最短路徑并打印,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2019-07-07
  • 基于Java開發(fā)實現ATM系統

    基于Java開發(fā)實現ATM系統

    這篇文章主要為大家詳細介紹了基于Java開發(fā)實現ATM系統,文中示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2022-08-08
  • RabbitMQ排他性隊列Exclusive Queue詳解

    RabbitMQ排他性隊列Exclusive Queue詳解

    這篇文章主要介紹了RabbitMQ排他性隊列Exclusive Queue詳解,如果你想創(chuàng)建一個只有自己可見的隊列,即不允許其它用戶訪問,RabbitMQ允許你將一個Queue聲明成為排他性的Exclusive Queue,需要的朋友可以參考下
    2023-08-08
  • 解決Feign配置RequestContextHolder.getRequestAttributes()為null的問題

    解決Feign配置RequestContextHolder.getRequestAttributes()為null的問題

    這篇文章主要介紹了解決Feign配置RequestContextHolder.getRequestAttributes()為null的問題,具有很好的參考價值,希望對大家有所幫助,如有錯誤或未考慮完全的地方,望不吝賜教
    2024-01-01
  • Mybatis使用on duplicate key update的實現操作

    Mybatis使用on duplicate key update的實現操作

    本文主要介紹了Mybatis使用on duplicate key update的實現操作,文中通過示例代碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友們下面隨著小編來一起學習學習吧
    2023-07-07
  • Java反射之Call stack introspection詳解

    Java反射之Call stack introspection詳解

    這篇文章主要介紹了Java反射之Call stack introspection詳解,具有一定參考價值,需要的朋友可以了解下。
    2017-11-11
  • Java實現簡單的模板渲染

    Java實現簡單的模板渲染

    這篇文章主要為大家詳細介紹了Java實現簡單的模板渲染的相關資料,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-12-12

最新評論