SpringBoot 安全管理(一)

一、springSecurity入门

  • 添加依赖

    <dependency>
    
            <groupId>org.springframework.boot</groupId>
    
            <artifactId>spring-boot-starter-security</artifactId></dependency>

  • 不做配置时,每次访问都需要验证,用户名默认为user,密码为启动时控制台打印的密文(每次启动都会随机生成),访问/logout即可注销登录

    • 如 Using generated security password: 31612171-4f6a-4c43-92ae-6826bc1d5e49
    • 注意,登录如果404,是因为没有配置页面,登录成功后默认跳转到 “/ ” 下面,没有页面,便404了

  • 手动配置(数据是写死的)

    • 在spring5以后,security是不允许明文的,必须加密

    • 在application.properties中配置

      spring.security.user.name=user
      
spring.security.user.password=123
      
spring.security.user.roles=admin

    • 在类中配置(注意继承了WebSecurityConfigurerAdapter,加上Configuration注解)

      @Configuration
      
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
      
    PasswordEncoder passwordEncoder(){
      
        //这个已过期,作用是无需加密,允许明文
      
        return NoOpPasswordEncoder.getInstance();
      
    }

    @Override
      
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      
        auth.inMemoryAuthentication()
      
                .withUser("user").password("123").roles("admin")
      
                .and()	//可重复添加
      
                .withUser("user1").password("123").roles("super");
      
    }
      
}

  • HttpSecurity(登陆注销相关的配置,有点长,请耐心观看)

     @Override
    
    protected void configure(HttpSecurity http) throws Exception {
    
        http.authorizeRequests() //开启登录配置
    
                .antMatchers("admin/**").hasRole("admin") // 访问/admin下需要admin角色
    
                .antMatchers("user/**").hasAnyRole("admin","user")  //访问/user下需要admin或user其中一个角色
    
                .anyRequest().authenticated() //除以上2个url 访问其他只需要登录
    
                .and()
    
                .formLogin()
    
                .loginProcessingUrl("/login")   //配置登录接口
    
        		.usernameParameter("uname") //定义用户名的key
    
                .passwordParameter("passwd") //定义密码的key
    
                //.successForwardUrl("xxxxx") 定义登录成功后跳转的页面(前后端不分离)

                .successHandler(new AuthenticationSuccessHandler() {
    
                    @Override   //定义成功后返回json数据 ,前后端分离
    
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","success");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })

                .failureHandler(new AuthenticationFailureHandler() {
    
                    @Override //定义失败后的操作(前后端分离)
    
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",401);
    
                        if (e instanceof LockedException){
    
                            map.put("msg","账户被锁定,登陆失败");
    
                        }//在lockerException的父类的父类中就有很多异常,如下图,灵活使用
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	 .permitAll()   //登录接口对所有人开放
    
                .and()

                .logout()
    
                .logoutUrl("/logout")
    
                .logoutSuccessHandler(new LogoutSuccessHandler() {
    
                    @Override //注销登录
    
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","注销成功");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	.permitAll();
    
    }

  • 多个HttpSecurity配置(使代码看起来更简洁)

    @Configuration

    public class Config2 {

      @Bean
    
  PasswordEncoder passwordEncoder(){
    
      return NoOpPasswordEncoder.getInstance();
    
  }

  @Autowired
    
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    
      auth.inMemoryAuthentication()
    
              .withUser("user").password("123").roles("admin")
    
              .and()
    
              .withUser("user1").password("123").roles("super");
    
  }

  @Configuration
    
  @Order(1) //优先级 ,数字越小,级别越高
    
  public static class AdminSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

  @Configuration
    
  public static class UserSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

    }

  • 密码加密

    • @Bean
      
    PasswordEncoder passwordEncoder(){
      
        return new BCryptPasswordEncoder();
      
    }

    • SpringSecurity使用的密码加密比MD5+盐更加严谨,即使相同的明文,加密的密文也一样,不易被暴力破解,而且不用解决存盐问题,当然,世界上没有绝对的安全加密,只能说更加安全。

    如果有对你帮助,求点个赞。

SpringBoot 安全管理(一)的更多相关文章

  1. SpringBoot安全管理--(三)整合shiro

    简介: Apache Shiro 是一一个开源的轻量级的Java安全框架,它提供身份验证.授权.密码管理以及会话管理等功能. 相对于Spring Security, Shiro框架更加直观.易用,同时 ...

  2. SpringBoot安全管理--(二)基于数据库的认证

    简介: 上篇文章向读者介绍的认证数据都是定义在内存中的,在真实项目中,用户的基本信息以及角色等都存储在数据库中,因此需要从数据库中获取数据进行认证. 开始: 首先建表并且插入数据: pom.xml & ...

  3. SpringBoot安全管理--(一)SpringSecurity基本配置

    简介: Spring Boot针对Spring Security提供了自动化配置方案,因此可以使Spring Security非常容易地整合进Spring Boot项目中,这也是在Spring Boo ...

  4. 2流高手速成记(之五):Springboot整合Shiro实现安全管理

    废话不多说,咱们直接接上回 上一篇我们讲了如何使用Springboot框架整合Nosql,并于文章最后部分引入了服务端Session的概念 而早在上上一篇中,我们则已经讲到了如何使用Springboo ...

  5. Shiro 核心功能案例讲解 基于SpringBoot 有源码

    Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...

  6. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础授权权限

    上一篇<[原]无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限>介绍了实现Shiro的基础认证.本篇谈谈实现 ...

  7. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限

    开发环境搭建参见<[原]无脑操作:IDEA + maven + SpringBoot + JPA + Thymeleaf实现CRUD及分页> 需求: ① 除了登录页面,在地址栏直接访问其他 ...

  8. springboot 注册dao层 service 层

    可以使用三种注解来引入DAO层的接口到spring容器中.1.@Mapper,写在每一个DAO层接口上,如下: 2.@MapperScan和@ComponentScan两者之一.前者的意义是将指定包中 ...

  9. 补习系列(6)- springboot 整合 shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

随机推荐

  1. java学习first_day

    java枚举 public class EnumMethodDemo { enum Color {RED, GREEN, BLUE;} enum Size {BIG, MIDDLE, SMALL;} ...

  2. nginx代理路径配置总结

    一.发现问题 配置nginx代理的时候,发现location配置的路径和代理的上下文路径的组合不同,服务端接收到的uri的路径不同,导致了controller的RequestMapping匹配出现问题 ...

  3. [hdu5402 Travelling Salesman Problem]YY

    题意:给一个n*m的矩形,每个格子有一个非负数,求一条从(1,1)到(n,m)的路径(不能经过重复的格子),使得经过的数的和最大,输出具体的方案 思路:对于row为奇数的情况,一行行扫下来即可全部走完 ...

  4. [hdu3484]枚举

    题意:给两个个01矩阵,有两种操作,(1)交换两列(2)反转某一行.求能否通过若干操作使两矩阵相等 思路:(把所有对B的操作放到A上来,这一定是可以做到一样的效果的)枚举B矩阵的第一列对应A矩阵的第几 ...

  5. Jetson AGX Xavier/Ubuntu安装SSD

    参考 https://blog.csdn.net/xingdou520/article/details/84309155 1. 查看硬盘所有分区 sudo fdisk -lu 会找到/dev/nvme ...

  6. shell脚本命令 运行python文件&python命令行运行python代码

    单独的python文件运行的时候 报错: 在shell脚本中,运行shell脚本命令:在Python命令行中,运行Python代码.然而,“python hello.py”是一个脚本命令,不是pyth ...

  7. 【Leetcode】164. Maximum Gap 【基数排序】

    Given an unsorted array, find the maximum difference between the successive elements in its sorted f ...

  8. lrzsz-神一样的上传下载工具

    yum list lrzsz rz sz filename

  9. Element Form表单实践(上)

    作者:小土豆biubiubiu 博客园:https://www.cnblogs.com/HouJiao/ 掘金:https://juejin.im/user/58c61b4361ff4b005d9e8 ...

  10. 贝叶斯优化(Bayesian Optimization)只需要看这一篇就够了,算法到python实现

    贝叶斯优化 (BayesianOptimization) 1 问题提出 神经网咯是有许多超参数决定的,例如网络深度,学习率,正则等等.如何寻找最好的超参数组合,是一个老人靠经验,新人靠运气的任务. 穷 ...