springsecurity是一种安全性框架,主要用于进行权限验证,下面是其基本使用方法:

  • pom.xml
<dependency>

      <groupId>org.springframework.security</groupId>

      <artifactId>spring-security-core</artifactId>

      <version>RELEASE</version>

    </dependency>

    <dependency>

      <groupId>org.springframework.security</groupId>

      <artifactId>spring-security-config</artifactId>

      <version>RELEASE</version>

    </dependency>

    <dependency>

      <groupId>org.springframework.security</groupId>

      <artifactId>spring-security-web</artifactId>

      <version>RELEASE</version>

    </dependency>

    <dependency>

      <groupId>org.springframework.security</groupId>

      <artifactId>spring-security-taglibs</artifactId>

      <version>RELEASE</version>

    </dependency>

    <dependency>

      <groupId>com.alibaba</groupId>

      <artifactId>druid</artifactId>

      <version>1.0.11</version>

    </dependency>

    <dependency>

      <groupId>org.thymeleaf.extras</groupId>

      <artifactId>thymeleaf-extras-springsecurity4</artifactId>

      <version>2.1.2.RELEASE</version>

    </dependency>

  • 设置filterproxy

    filterproxy是一个特殊的拦截器,用于拦截请求.在springsecurity中,我们需要注册DelegatingFilterProxy.只需要一个继承了

    AbstractSecurityWebApplicationInitializer的类即可,spring会自动找到它,并且在web容器注册

/**

 * 开启springsecurity

 */

public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer{

}

  • 编写安全性配置

    我们需要安全性配置来配置对应的安全属性.注意,该配置类应该在继承AbstractSecurityWebApplicationInitializer的类

    的子包下.

全部的安全配置见下:

@Configuration

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter{

    @Autowired

    DataSource dataSource;

    @Autowired

    UserRepository userRepository;

    @Bean

    public SaltSource saltSource() {

        //设置盐为hlhdidi

        return new SaltSource() {

            @Override

            public Object getSalt(UserDetails userDetails) {

                return "hlhdidi";

            }

        };

    }

    // 设置盐,用户服务service和md5编码

    @Bean

    public AuthenticationProvider authenticationProvider(){

        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();

        provider.setUserDetailsService(new UserInfoService(userRepository));

        provider.setPasswordEncoder(new Md5PasswordEncoder());

        provider.setSaltSource(saltSource());

        return provider;

    }

    @Override

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.authenticationProvider(authenticationProvider());

    }

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        // 对/user进行认证,对于其他请求允许通过

        http.authorizeRequests().antMatchers("/user").authenticated()

                .antMatchers("/item/**").authenticated()

                .antMatchers("/item/**").hasAuthority("ADMIN") //item/**的请求需要权限验证.

                .anyRequest().permitAll(); // 其他请求允许通过

       // loginPage是调用/login返回的接口,登出成功访问的url为/home,开通rememberMe.

        http.formLogin().loginPage("/login").and().logout().logoutSuccessUrl("/home")

                .and().rememberMe()

                .tokenValiditySeconds((2419200)).key("userKey");//设置token时间和私钥名称.

        // 关闭csrf,否则logout会有问题

        http.csrf().disable();

    }

}

  • rememberMe

    上面的安全配置开启了rememberMe,这里我们需要的就是提供rememberMe的选项,可以看看login.html页面,它提供了rememberMe的

    checkbox,它在Login.html页面里.

  <!--springsecurity会自动识别这个Login..-->

     <form name="f" th:action="@{/login}" method="post">

         username : <input type="text" name="username" /><br/>

         password : <input type="password" name="password"/> <br/>

         <input type="submit" value="LOGIN"/>

         <!--checkbox会被识别-->

         remember me :<input id="remember_me" name="remember-me" type="checkbox"/>

     </form>

  • 自定义的用户服务

    即UserDetailService.如下:

public class UserInfoService  implements UserDetailsService {

    UserRepository userRepository;

    public UserInfoService(UserRepository userRepository) {

        this.userRepository = userRepository;

    }

    @Override

    public UserDetails loadUserByUsername(String username)

            throws UsernameNotFoundException {

        UserInfo user = userRepository.findUserByUsername(username);

        if(user != null) {

            List<GrantedAuthority> authorities = new ArrayList<>();

            // 设置用户的权限.

            authorities.add(new SimpleGrantedAuthority("ROLE_USER"));

            return new User(user.getUsername(),user.getPassword(),authorities);

        }

        // 抛出异常不会打印在日志里面,会调回登录页面

        throw new UsernameNotFoundException("can not found username !");

    }

}

  • 保护视图

    采用thymeleaf的一些标签可以去保证某些连接不被没权限的用户访问,如下所示:

    首先需要引入thymeleaf对应的springsecurity标签库

<html lang="en" xmlns = "http://www.w3.org/1999/xhtml"

      xmlns:th = "http://www.thymeleaf.org"

      xmlns:sec = "http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

接着使用标签:

<span sec:authorize-url="/item/detail">

            <td align="center" width="150px"><a th:href="@{'/item/detail/' + ${i.id}}">详情</a></td>

</span>
  • 配置错误页面

需要注意的是springsecurity如果没有权限访问会跳转到一个默认的错误页面.因此我们需要配置错误页面,只需在web.xml里面

声明即可.

<error-page>

		<error-code>403</error-code>

		<location>/WEB-INF/templates/error/error_403.html</location>

	</error-page>

springsecurity实战的更多相关文章

  1. SpringSecurity实战记录(一)开胃菜:基于内存的表单登录小Demo搭建

    Ps:本次搭建基于Maven管理工具的版本,Gradle版本可以通过gradle init --type pom命令在pom.xml路径下转化为Gradle版本(如下图) (1)构建工具IDEA In ...

  2. 你还不了解SpringSecurity吗?快来看看SpringSecurity实战总结~

    SpringSecurity简介:   权限管理中的相关概念 主体 principal: 使用系统的用户或设备或从其他系统远程登录的用户等等,简单说就是谁使用系统谁就是主体. 认证 authentic ...

  3. SpringBoot学习笔记(十五:OAuth2 )

    @ 目录 一.OAuth 简介 1.什么是OAuth 2.OAuth 角色 3.OAuth 授权流程 4.OAuth授权模式 4.1.授权码 4.2.隐藏式 4.3.密码式 4.4.凭证式 二.实践 ...

  4. SpringSecurity权限管理系统实战—一、项目简介和开发环境准备

    目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战-三 ...

  5. SpringSecurity权限管理系统实战—二、日志、接口文档等实现

    系列目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战 ...

  6. SpringSecurity权限管理系统实战—四、整合SpringSecurity(上)

    目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战-三 ...

  7. SpringSecurity权限管理系统实战—六、SpringSecurity整合jwt

    目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战-三 ...

  8. SpringSecurity权限管理系统实战—七、处理一些问题

    目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战-三 ...

  9. SpringSecurity权限管理系统实战—八、AOP 记录用户、异常日志

    目录 SpringSecurity权限管理系统实战-一.项目简介和开发环境准备 SpringSecurity权限管理系统实战-二.日志.接口文档等实现 SpringSecurity权限管理系统实战-三 ...

随机推荐

  1. 理解JavaScript中的作用域链

    理解了作用域链,闭包就不难理解了,所以本文主要谈一谈我对作用域链的理解.   关于JavaScript中变量的作用域,全局变量在程序中始终都有定义.局部变量在声明它的函数体内以及其内部所嵌套的函数内始 ...

  2. MVC 全局拦截aciton

    上篇:MVC 拦截指定的action 有时,我们需要对所有aciton在执行前/后做一些(预)处理,如何实现呢? 1.定义一个action筛选类.继承至System.Web.Mvc.IActionFi ...

  3. 微信小程序开发 [02] 页面注册和基本组件

    1.页面注册 既然我们希望跳转到新的页面,那自然要新建页面相关的文件才行.在开篇已经讲过,一个小程序页面由四个文件组成,假如我们的页面名为welcome,那么这四个文件则是: welcome.js w ...

  4. THUSC 2017 D1T2 杜老师

    这是个非常有趣的数学题啦... 其实大概推一推式子就能得到一个信息,就是答案一定是$2$的整数次幂,并且其实答案就是$2^{R-L+1-sum}$,其中$sum$表示有多少个数不能用$L-i-1$的数 ...

  5. 【LeetCode206】Reverse Linked List★

    题目描述: 解题思路: 关于单链表的反转有迭代和递归两种方法,方法不在多,本文主要介绍迭代的方法. 迭代的方法,要使用三个指针,需要注意一点的是指针的初始化,对第一个指针初始化为pre=null,第二 ...

  6. debian系统下改语言设置

    debian系统下改语言设置 安装debian 的时候选择了中文zh_CN_UTF-8,然后进系统后想换成en_US_UTF-8 可以使用一下命令选择:找到需要的语言 确定即可 dpkg-reconf ...

  7. STM32-M0中断优先级介绍

    先解释中断优先级,后面讲代码的实现. 差异:M0的中断优先级相比于M4,没有用到分组,且只用到了2个bit位(即0~3)来设置,数值越小,优先级越高:同等优先级,根据终端号的大小来决定谁先执行. 根据 ...

  8. python 回溯法 子集树模板 系列 —— 10、m着色问题

    问题 图的m-着色判定问题 给定无向连通图G和m种不同的颜色.用这些颜色为图G的各顶点着色,每个顶点着一种颜色,是否有一种着色法使G中任意相邻的2个顶点着不同颜色? 图的m-着色优化问题 若一个图最少 ...

  9. Gitlab+Jenkins学习之路(十四)之自动化脚本部署实践

    目录 一.环境说明和准备 1.环境说明 2.服务器准备工作 二.发布脚本编写 1.自动化部署流程设计 2.自动化部署脚本编写 三.发布测试 1.开发机和github添加ssh信任 2.克隆项目到开发机 ...

  10. JAVA 文件读取写入后 md5值不变的方法

    假如我们想把某文件读入 StringBuffer 并写入新文件,新文件md5值需要保持不变(写入新文件后保证和源文件一模一样), 我们就需要在操作 StringBuffer 时附加换行符: Strin ...