新项目引入安全控制

  项目中新近添加了Spring Security安全组件,前期没怎么用过,加之新版本少有参考,踩坑四天,终完成初步解决方案.其实很简单,Spring Security5相比之前版本少了许多配置,操作起来更轻量

  MariaDb登录配置加密策略

  SpringSecurity5在执行登录认证时,需预设加密策略.

  坑一:加密策略配置,验密始终不通过,报错401

  坑二:本地重写的UserDetailsService实现类在注入的时候找不到,目前图省事直接用了 @Qualifier制定

  其它,实体类user实现UserDetails,role实现GrantedAuthority与之前版本并有太大变动,可参考很多,不做赘述

  代码如下:  

  /**

     * 项目中重写的 UserDetailsService接口的实现类,需指定

     */

    @Qualifier("userService")

    @Autowired

    private UserDetailsService userDetailsService;

    /**

     * 初始验证登录  从内存中取密码

     * @param auth

     * @throws Exception

     */

    @Autowired

    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());

    }

  跨域的问题

  Springboot2.0.3处理跨域的时候特别简单,只需要在

  @EnableWebSecurity
  @Configuration
  @EnableGlobalMethodSecurity(prePostEnabled = true)
  @Order(-1)  
  等修饰下的配置类中的HttpSecurity中,加上 cors()即可,完全不需要写过滤器包装HttpServletResponse的操作  

  登录报错403,权限不足
  这里的解决方案很多,因为本文项目不大,直接关闭 csrf (跨站请求伪造)即可
  同上,csrf().disable()即可.
   
  最大坑--跨域打开,每次登录返回为匿名用户anonymousUser
  问题描述:
    跨域已打开,使用Swagger访问都没有问题,前后端分离时,SpringSecurity也正常工作,最终还是登录不成功,返回匿名用户
    关闭匿名用户即 anonymous().disable(),直接报错401,用户名或密码错误
  遇到这个问题,一直纠结在跨域上,却没有深入去查看前端http请求上给出的信息,原因很简单,登录时重定向的问题
  在HttpSecurity中,在选择 formLogin()时,其后会选择各种成功失败的url,然后代码上去实现相关的接口,其实就入坑了.
  注意:在前端使用ajax登录时,SpringSecurity只能通过重写相关成功/失败/退出等的处理器handler来完成相关处理逻辑
  完整配置类代码:
@EnableWebSecurity

@Configuration

@EnableGlobalMethodSecurity(prePostEnabled = true)

@Order(-1)

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired

    CustomizeAuthenticationSuccessHandler customizeAuthenticationSuccessHandler;

    @Autowired

    CustomizeAuthenticationFailHandler customizeAuthenticationFailHandler;

    @Autowired

    CustomizeAuthenticationAccessDenied customizeAuthenticationAccessDenied;

    @Autowired

    CustomizeAuthenticationLogout customizeAuthenticationLogout;

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        http

                .csrf().disable()

                .anonymous().disable()

                .cors().and().httpBasic()

                .and()

                // 登录成功页面与登录失败页面

                .formLogin()

                .successHandler(customizeAuthenticationSuccessHandler).failureHandler(customizeAuthenticationFailHandler).permitAll().and()

                // 权限不足,即403时跳转页面

                .exceptionHandling().accessDeniedHandler(customizeAuthenticationAccessDenied).authenticationEntryPoint(new UnauthorizedEntryPoint())

                .and().logout().logoutSuccessHandler(customizeAuthenticationLogout).permitAll().and()

                .authorizeRequests().antMatchers(HttpMethod.OPTIONS).permitAll()

                // 无需权限 即可访问

                .antMatchers("/logout").permitAll()

                // 需要USER角色才可访问

                .antMatchers("/person/**").hasRole("PERSON")

                // 需要ADMIN角色才可访问

                .antMatchers("/user/**").hasRole("ADMIN");

    }

    /**

     * 项目中重写的 UserDetailsService接口的实现类,需指定

     */

    @Qualifier("userService")

    @Autowired

    private UserDetailsService userDetailsService;

    /**

     * 初始验证登录  从内存中取密码

     * @param auth

     * @throws Exception

     */

    @Autowired

    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());

    }

}

  重写的登录成功处理器代码如下:

@Component

public class CustomizeAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    private static final Logger logger = LoggerFactory.getLogger(CustomizeAuthenticationSuccessHandler.class);

    @Override

    public void onAuthenticationSuccess(HttpServletRequest request,

                                        HttpServletResponse response, Authentication authentication)

            throws IOException, ServletException {

        logger.info("AT onAuthenticationSuccess(...) function!");

        WebAuthenticationDetails details = (WebAuthenticationDetails) SecurityContextHolder.getContext().getAuthentication().getDetails();

        logger.info("login--IP:"+details.getRemoteAddress());

        SecurityContext context = SecurityContextHolder.getContext();

        Authentication authentication1 = context.getAuthentication();

        Object principal = authentication1.getPrincipal();

        Object principal1 = authentication.getPrincipal();

        String name = authentication.getName();

        logger.info("login--name:"+name+" principal:"+principal+" principal1:"+principal1);

        PrintWriter out = null;

        try {

            out = response.getWriter();

            out.append(JSONObject.toJSONString(ResponseData.ok().putDataValue("user",principal)

                    .putDataValue("name",name)));

        } catch (IOException e){

            e.printStackTrace();

        }finally {

            if (out != null) {

                out.close();

            }

        }

    }

}

SpringBoot2.0.3 + SpringSecurity5.0.6 + vue 前后端分离认证授权的更多相关文章

  1. Flask + vue 前后端分离的 二手书App

    一个Flask + vue 前后端分离的 二手书App 效果展示: https://blog.csdn.net/qq_42239520/article/details/88534955 所用技术清单 ...

  2. SpringBoot 和Vue前后端分离入门教程(附源码)

    作者:梁小生0101 juejin.im/post/5c622fb5e51d457f9f2c2381 推荐阅读(点击即可跳转阅读) 1. SpringBoot内容聚合 2. 面试题内容聚合 3. 设计 ...

  3. SpringBoot+Vue前后端分离,使用SpringSecurity完美处理权限问题

    原文链接:https://segmentfault.com/a/1190000012879279 当前后端分离时,权限问题的处理也和我们传统的处理方式有一点差异.笔者前几天刚好在负责一个项目的权限管理 ...

  4. Springboot+vue前后端分离项目,poi导出excel提供用户下载的解决方案

    因为我们做的是前后端分离项目 无法采用response.write直接将文件流写出 我们采用阿里云oss 进行保存 再返回的结果对象里面保存我们的文件地址 废话不多说,上代码 Springboot 第 ...

  5. 解决Django+Vue前后端分离的跨域问题及关闭csrf验证

      前后端分离难免要接触到跨域问题,跨域的相关知识请参:跨域问题,解决之道   在Django和Vue前后端分离的时候也会遇到跨域的问题,因为刚刚接触Django还不太了解,今天花了好长的时间,查阅了 ...

  6. 喜大普奔,两个开源的 Spring Boot + Vue 前后端分离项目可以在线体验了

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  7. 两个开源的 Spring Boot + Vue 前后端分离项目

    折腾了一周的域名备案昨天终于搞定了. 松哥第一时间想到赶紧把微人事和 V 部落部署上去,我知道很多小伙伴已经等不及了. 1. 也曾经上过线 其实这两个项目当时刚做好的时候,我就把它们部署到服务器上了, ...

  8. beego-vue URL重定向(beego和vue前后端分离开发,beego承载vue前端分离页面部署)

    具体过程就不说,是搞这个的自然会动,只把关键代码贴出来. beego和vue前后端分离开发,beego承载vue前端分离页面部署 // landv.cnblogs.com //没有授权转载我的内容,再 ...

  9. Jeecg-Boot 2.0 版本发布,基于Springboot+Vue 前后端分离快速开发平台

    目录 Jeecg-Boot项目简介 源码下载 升级日志 Issues解决 v1.1升级到v2.0不兼容地方 系统截图 Jeecg-Boot项目简介 Jeecg-boot 是一款基于代码生成器的智能开发 ...

随机推荐

  1. JS中AOP的实现和运用

    在编写js的时候,我们有时会遇到针对某种场景做处理,比如在方法开始的时候校验参数,执行方法前检查权限,或是删除前给出确认提示等等.这些校验方法.权限检测.确认提示,规则可能都是相同的,在每个方法前去调 ...

  2. 从源码看Spring Security之采坑笔记(Spring Boot篇)

    一:唠嗑 鼓捣了两天的Spring Security,踩了不少坑.如果你在学Spring Security,恰好又是使用的Spring Boot,那么给我点个赞吧!这篇博客将会让你了解Spring S ...

  3. 蛙蛙推荐: TensorFlow Hello World 之平面拟合

    tensorflow 已经发布了 2.0 alpha 版本,所以是时候学一波 tf 了.官方教程有个平面拟合的类似Hello World的例子,但没什么解释,新手理解起来比较困难. 所以本文对这个案例 ...

  4. VS2012添加数据库连接时报错,未能加载文件或程序集microsoft.sqlserver.management.sdk.sfc

    今天在VS2012中添加数据库连接时报错 未能加载文件或程序集microsoft.sqlserver.management.sdk.sfc,Version=11.0 查了很多资料,最后下载安装了Sha ...

  5. 关于function和task的说明

    1.  关于函数function调用,总结两个要点: 1.  函数调用一般产生一个值,这个值被赋值给某个变量 2.  函数所返回的值只能是一个,不可以是多个,不能像C语言中采用指针的方式返回多个值.因 ...

  6. echarts x轴 增加滚动条

    charts x轴 增加滚动条 在option 配置项中添加 [ dataZoom 中配置 ] 设置x轴滚动条 效果图: 动态拖动 以下参考代码 dataZoom配置 官网写法 option = { ...

  7. django 路由系统,数据库操作

    一.修改配置 数据库 DATABASES = { 'default': { 'ENGINE': 'django.db.backends.mysql', 'NAME':'dbname', 'USER': ...

  8. python 的内存回收,及深浅Copy详解

    一.python中的变量及引用 1.1 python中的不可变类型: 数字(num).字符串(str).元组(tuple).布尔值(bool<True,False>) 接下来我们讲完后你就 ...

  9. Django之在Python中调用Django环境

    Django之在Python中调用Django环境 新建一个py文件,在其中写下如下代码: import os if __name__ == '__main__': os.environ.setdef ...

  10. Django之事务

    Django之事务 事务就是将一组操作捆绑在一起,只有当这一组操作全部都成功以后这个事务才算成功;当这组操作中有任何一个没有操作成功,则这个操作就会回滚,回到操作之前的状态. 其中牵扯到向数据库中写数 ...