web开发安全框架

提供认证和授权功能!

一.SpringSecurity

1.导入依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

    <version>2.6.9</version>

</dependency>

2.实现授权和认证功能

package com.springboot.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**

 * @author panglili

 * @create 2022-07-10-17:18

 */

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        //http Security认证,首页所有人都可以访问,功能页只有相应权限的人才能访问

        //授权

        http.authorizeHttpRequests()

                .antMatchers("/").permitAll()

                .antMatchers("/level1/**").hasRole("vip1")

                .antMatchers("/level2/**").hasRole("vip2")

                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限默认跳登录页面

        http.formLogin();

    }

    @Override

    //认证

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())

                .withUser("tata").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2")

                .and()

                .withUser("root").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2","vip3")

                .and()

                .withUser("guest").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1");

    }

}

3.超简单的注销功能

前端界面中,注销按钮处,使用thymeleaf点击到后端的security控制类中的logout

<!--注销-->

<a class="item" th:href="@{/logout}">

    <i class="sign-out icon"></i> 注销

</a>

security中的logout是spring security自己提供的,只需要用它的参数http.logout()即可。

http.logout()

4.权限控制

此功能展示相应的界面给不同用户,上面实现的功能会展示所有界面,只是不同用户点击不是自己的权限内的页面会无法展示。

导入依赖包,使得可以在thymeleaf中调用security的变量。

<!--security和thymeleaf整合包-->

<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->

<dependency>

    <groupId>org.thymeleaf.extras</groupId>

    <artifactId>thymeleaf-extras-springsecurity4</artifactId>

    <version>3.0.4.RELEASE</version>

</dependency>

在html头文件记得导入,才会有提示!!!

<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

实现不同用户的权限功能,只需要在不同前端内容中使用security的语句加以判断即可。

<div class="column" sec:authorize="hasRole('vip3')">

    <div class="ui raised segment">

        <div class="ui">

            <div class="content" >

                <h5 class="content">Level 3</h5>

                <hr>

                <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>

                <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>

                <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>

            </div>

        </div>

    </div>

</div>

当用户角色为vip3时才展示div下面的内容。

5.记住我功能实现

后端security的参数http调用方法rememberme

http.rememberMe().rememberMeParameter("remember");

前端设置一个选择框,命名为remember

<div class="field">

    <input type="checkbox" name="remember"/>记住我

</div>

二.shrio

1.导入jar

<!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->

        <dependency>

            <groupId>mysql</groupId>

            <artifactId>mysql-connector-java</artifactId>

            <version>8.0.29</version>

        </dependency>

        <!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->

        <dependency>

            <groupId>com.github.theborakompanioni</groupId>

            <artifactId>thymeleaf-extras-shiro</artifactId>

            <version>2.0.0</version>

        </dependency>

<dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.3.2</version>

        </dependency>

2.写配置功能

subject用户,securityManager管理所有用户,realm连接数据。

三大对象

package com.springboot.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.beans.factory.annotation.Qualifier;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.Map;

/**

 * @author panglili

 * @create 2022-07-10-21:15

 */

@Configuration

public class ShrioConfig {

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefault") DefaultWebSecurityManager defaultWebSecurityManager){

        ShiroFilterFactoryBean Bean = new ShiroFilterFactoryBean();

        Bean.setSecurityManager(defaultWebSecurityManager);

        //添加shrio内置过滤器

        Map<String,String> filterMap=new LinkedHashMap<>();

        //只允许带有user:add的用户去访问add页面

        filterMap.put("/user/add","perms[user:add]");

        filterMap.put("/user/update","perms[user:update]");

        Bean.setUnauthorizedUrl("/unauth");

        //设置页面认证后才能访问

        filterMap.put("/user/*","authc");

        Bean.setFilterChainDefinitionMap(filterMap);

        //设置登录页面

        Bean.setLoginUrl("/toLogin");

        return Bean;

    }

    @Bean(name="getDefault")

    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){

        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();

        securityManager.setRealm(userRealm);

        return securityManager;

    }

    @Bean(name = "userRealm")

    public UserRealm userRealm(){

        return new UserRealm();

    }

    //整合shrio和thymeleaf

    @Bean

    public ShiroDialect getShiroDialect(){

        return new ShiroDialect();

    }

}

3.realm类实现授权和认证

package com.springboot.config;

import com.springboot.pojo.userDao;

import com.springboot.service.userDaoService;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.subject.Subject;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.boot.autoconfigure.security.oauth2.resource.OAuth2ResourceServerProperties;

/**

 * @author panglili

 * @create 2022-07-10-21:16

 */

public class UserRealm extends AuthorizingRealm {

    @Autowired

    userDaoService userDaoService;

    //授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("授权功能=====>");

        //获取当前登录的对象

        Subject subject = SecurityUtils.getSubject();

        //通过当前对象取到认证里的userdao

        userDao currentUser = (userDao) subject.getPrincipal();

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //设置当前用户权限

        info.addStringPermission(currentUser.getPerms());

        return info;

    }

    //认证

    @Override

        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

            System.out.println("认证功能======>");

            UsernamePasswordToken usertoken = (UsernamePasswordToken) authenticationToken;

            //获取数据库中的名字

            userDao userDao = userDaoService.queryByName(usertoken.getUsername());

        if(userDao==null){

            return null; //返回null为一个异常,在controller中被捕获,会显示用户名错误。

        }

        return new SimpleAuthenticationInfo(userDao,usertoken.getPassword(),"");

    }

}

4.controller密码认证判断

 //登录界面

    @RequestMapping("/toLogin")

    public String toLogin(){

        return "login";

    }

    //shrio的登录权限认证

    @RequestMapping("/login")

    public String login(String username,String password,Model md){

        System.out.println("进入了login");

        System.out.println(username+password);

        //获取当前用户

        Subject subject = SecurityUtils.getSubject();

        //封装用户的登录数据

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        //执行登录方法

        try{

            subject.login(token);

            return "index";

        }catch (UnknownAccountException e){

            md.addAttribute("msg","用户名错误");

            return "login";

        }catch (IncorrectCredentialsException e){

            md.addAttribute("msg","密码错误");

            return "login";

        }

    }

    //没有权限的情况

    @RequestMapping("/unauth")

    @ResponseBody

    public String unauth(){

        return "没有权限访问!";

    }

    //退出登陆

    @RequestMapping("/logout")

    public String logOut(){

        Subject subject = SecurityUtils.getSubject();

        subject.logout();

        return "login";

    }

springboot中实现权限认证的两个框架的更多相关文章

  1. springboot集成轻量级权限认证框架sa-token

    sa-token是什么? sa-token是一个JavaWeb轻量级权限认证框架,主要解决项目中登录认证.权限认证.Session会话等一系列由此衍生的权限相关业务.相比于其他安全性框架较容易上手. ...

  2. 在springboot中使用Mybatis Generator的两种方式

    介绍 Mybatis Generator(MBG)是Mybatis的一个代码生成工具.MBG解决了对数据库操作有最大影响的一些CRUD操作,很大程度上提升开发效率.如果需要联合查询仍然需要手写sql. ...

  3. Django 中使用权限认证

    权限认证 权限概念 """ 在实际开发中,项目中都有后台运营站点,运营站点里面会存在多个管理员, 那么不同的管理员会具备不同的任务和能力,那么要实现这样的管理员功能,那么 ...

  4. 权限认证与授权(Shrio 框架)

    权限概述 认证: 系统提供的用于识别用户身份的功能, 通常登录功能就是认证功能; -- 让系统知道你是谁 授权: 系统授予用户可以访问哪些功能的证书. -- 让系统知道你能做什么! 常见的权限控制方式 ...

  5. ubuntu 14.04中Elasticsearch 2.3 中 Nginx 权限认证

    前言:本文实现了nginx简单保护elasticsearch,类似的保护也可以采用elasticsearch 官方插件shield 一.准备密码 1.确认htpasswd是否已经安装 which ht ...

  6. Codeigniter-实现权限认证

    两种方法 钩子函数 集成核心Controller 方法一,钩子函数: 一直没找到CI的权限认证扩展,以前好像找到过一个老外的扩展,不过不怎么好用,现在记不清了,后来仿着jsp firter的方式用CI ...

  7. SpringBoot中使用Fastjson/Jackson对JSON序列化格式化输出的若干问题

    来源 :https://my.oschina.net/Adven/blog/3036567 使用springboot-web编写rest接口,接口需要返回json数据,目前国内比较常用的fastjso ...

  8. **[权限控制] 利用CI钩子实现权限认证

    http://codeigniter.org.cn/forums/thread-10877-1-1.html 一直没找到CI的权限认证扩展,以前好像找到过一个老外的扩展,不过不怎么好用,现在记不清了, ...

  9. 【Shiro】Apache Shiro架构之权限认证(Authorization)

    Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shir ...

随机推荐

  1. 创建第一个c程序

    创建,组织,生成 ,生成. 1.我们先创建一个win32项目. 文件->新建->项目->Visual C++ ->Win32   输入项目名称   选择项目保存位置 很重要的一 ...

  2. css3 做出顶边倾斜的 梯形 div

    效果图: <html> <head> <meta charset="utf-8"> <title>顶边倾斜的div梯形</ti ...

  3. docker容器的持久化存储:Volume

    独立于docker容器的持久化存储: 法(1):自动将服务器文件夹挂载到容器内部文件夹/usr/share/nginx/html,这样只修改服务器文件夹下的内容即可对应修改容器内部文件夹的内容 将服务 ...

  4. K-MEANS算法【聚类】

    可视化 聚类 最简单实用的聚类算法:K-MEANS算法 K值:数据分成几份 质心:簇的中心点 优化目标:K个簇的(每个簇中的每个点距离质心的距离)的和最小 ci中心点,x个别点 工作流程: 设置K值, ...

  5. go-micro集成链路跟踪的方法和中间件原理

    前几天有个同学想了解下如何在go-micro中做链路跟踪,这几天正好看到wrapper这块,wrapper这个东西在某些框架中也称为中间件,里边有个opentracing的插件,正好用来做链路追踪.o ...

  6. 如何使用Docker构建前端项目

    原文链接 Docker单独部署前端项目和Node项目是非常便捷的,在这里分享一下Docker的使用,主要聊聊它的部署实践.(我是window10专业版安装Docker) Docker Docker是一 ...

  7. kernel 劫持seq_operations && 利用pt_regs

    kernel 劫持seq_operations && 利用pt_regs 劫持seq_operations进行栈迁移 seq_operations是一个大小为0x20的结构体,在打开/ ...

  8. 02-C高级编程

    Day01 笔记 1 typedef使用 1.1 起别名 - 简化struct关键字 1.2 区分数据类型 1.3 提高代码移植性 2 void使用 2.1 不可以利用void创建变量 无法给无类型变 ...

  9. JAVA - 序列化的方式

    JAVA - 序列化的方式 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程.在序列化期间,对象将其当前状态写入到临时或持久性存储区.以后,可以通过从存储区中读 ...

  10. 互联网大厂目标管理OKR实践落地与反思

    上一篇「 互联网公司目标管理OKR和绩效考核的误区 」介绍了使用 OKR 时要澄清的一些概念,但是实际使用中又如何呢?我们快手也是很大的互联网公司,大家都是年轻人,思维活跃,容易接受新事物,敢尝试,但 ...