SpringBoot 安全管理(一)

一、springSecurity入门

  • 添加依赖

    <dependency>
    
            <groupId>org.springframework.boot</groupId>
    
            <artifactId>spring-boot-starter-security</artifactId></dependency>

  • 不做配置时,每次访问都需要验证,用户名默认为user,密码为启动时控制台打印的密文(每次启动都会随机生成),访问/logout即可注销登录

    • 如 Using generated security password: 31612171-4f6a-4c43-92ae-6826bc1d5e49
    • 注意,登录如果404,是因为没有配置页面,登录成功后默认跳转到 “/ ” 下面,没有页面,便404了

  • 手动配置(数据是写死的)

    • 在spring5以后,security是不允许明文的,必须加密

    • 在application.properties中配置

      spring.security.user.name=user
      
spring.security.user.password=123
      
spring.security.user.roles=admin

    • 在类中配置(注意继承了WebSecurityConfigurerAdapter,加上Configuration注解)

      @Configuration
      
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
      
    PasswordEncoder passwordEncoder(){
      
        //这个已过期,作用是无需加密,允许明文
      
        return NoOpPasswordEncoder.getInstance();
      
    }

    @Override
      
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      
        auth.inMemoryAuthentication()
      
                .withUser("user").password("123").roles("admin")
      
                .and()	//可重复添加
      
                .withUser("user1").password("123").roles("super");
      
    }
      
}

  • HttpSecurity(登陆注销相关的配置,有点长,请耐心观看)

     @Override
    
    protected void configure(HttpSecurity http) throws Exception {
    
        http.authorizeRequests() //开启登录配置
    
                .antMatchers("admin/**").hasRole("admin") // 访问/admin下需要admin角色
    
                .antMatchers("user/**").hasAnyRole("admin","user")  //访问/user下需要admin或user其中一个角色
    
                .anyRequest().authenticated() //除以上2个url 访问其他只需要登录
    
                .and()
    
                .formLogin()
    
                .loginProcessingUrl("/login")   //配置登录接口
    
        		.usernameParameter("uname") //定义用户名的key
    
                .passwordParameter("passwd") //定义密码的key
    
                //.successForwardUrl("xxxxx") 定义登录成功后跳转的页面(前后端不分离)

                .successHandler(new AuthenticationSuccessHandler() {
    
                    @Override   //定义成功后返回json数据 ,前后端分离
    
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","success");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })

                .failureHandler(new AuthenticationFailureHandler() {
    
                    @Override //定义失败后的操作(前后端分离)
    
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",401);
    
                        if (e instanceof LockedException){
    
                            map.put("msg","账户被锁定,登陆失败");
    
                        }//在lockerException的父类的父类中就有很多异常,如下图,灵活使用
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	 .permitAll()   //登录接口对所有人开放
    
                .and()

                .logout()
    
                .logoutUrl("/logout")
    
                .logoutSuccessHandler(new LogoutSuccessHandler() {
    
                    @Override //注销登录
    
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","注销成功");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	.permitAll();
    
    }

  • 多个HttpSecurity配置(使代码看起来更简洁)

    @Configuration

    public class Config2 {

      @Bean
    
  PasswordEncoder passwordEncoder(){
    
      return NoOpPasswordEncoder.getInstance();
    
  }

  @Autowired
    
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    
      auth.inMemoryAuthentication()
    
              .withUser("user").password("123").roles("admin")
    
              .and()
    
              .withUser("user1").password("123").roles("super");
    
  }

  @Configuration
    
  @Order(1) //优先级 ,数字越小,级别越高
    
  public static class AdminSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

  @Configuration
    
  public static class UserSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

    }

  • 密码加密

    • @Bean
      
    PasswordEncoder passwordEncoder(){
      
        return new BCryptPasswordEncoder();
      
    }

    • SpringSecurity使用的密码加密比MD5+盐更加严谨,即使相同的明文,加密的密文也一样,不易被暴力破解,而且不用解决存盐问题,当然,世界上没有绝对的安全加密,只能说更加安全。

    如果有对你帮助,求点个赞。

SpringBoot 安全管理(一)的更多相关文章

  1. SpringBoot安全管理--(三)整合shiro

    简介: Apache Shiro 是一一个开源的轻量级的Java安全框架,它提供身份验证.授权.密码管理以及会话管理等功能. 相对于Spring Security, Shiro框架更加直观.易用,同时 ...

  2. SpringBoot安全管理--(二)基于数据库的认证

    简介: 上篇文章向读者介绍的认证数据都是定义在内存中的,在真实项目中,用户的基本信息以及角色等都存储在数据库中,因此需要从数据库中获取数据进行认证. 开始: 首先建表并且插入数据: pom.xml & ...

  3. SpringBoot安全管理--(一)SpringSecurity基本配置

    简介: Spring Boot针对Spring Security提供了自动化配置方案,因此可以使Spring Security非常容易地整合进Spring Boot项目中,这也是在Spring Boo ...

  4. 2流高手速成记(之五):Springboot整合Shiro实现安全管理

    废话不多说,咱们直接接上回 上一篇我们讲了如何使用Springboot框架整合Nosql,并于文章最后部分引入了服务端Session的概念 而早在上上一篇中,我们则已经讲到了如何使用Springboo ...

  5. Shiro 核心功能案例讲解 基于SpringBoot 有源码

    Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...

  6. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础授权权限

    上一篇<[原]无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限>介绍了实现Shiro的基础认证.本篇谈谈实现 ...

  7. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限

    开发环境搭建参见<[原]无脑操作:IDEA + maven + SpringBoot + JPA + Thymeleaf实现CRUD及分页> 需求: ① 除了登录页面,在地址栏直接访问其他 ...

  8. springboot 注册dao层 service 层

    可以使用三种注解来引入DAO层的接口到spring容器中.1.@Mapper,写在每一个DAO层接口上,如下: 2.@MapperScan和@ComponentScan两者之一.前者的意义是将指定包中 ...

  9. 补习系列(6)- springboot 整合 shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

随机推荐

  1. CentOS安装配置nginx和php

    今天买了台阿里云服务器用于日常开发测试(新人9块钱半年).系统版本CentOS 6.5 64位. 首先安装nginx: yum install nginx 参考文档: 在CentOS 6上搭建LNMP ...

  2. windows下flume 采集如何支持TAILDIR和tail

    一.问题:Windows 下 flume采集配置TAILDIR的时候,会报如下错误: agent.sources.seqGenSrc.type = TAILDIR agent.sources.seqG ...

  3. ES[7.6.x]学习笔记(七)IK中文分词器

    在上一节中,我们给大家介绍了ES的分析器,我相信大家对ES的全文搜索已经有了深刻的印象.分析器包含3个部分:字符过滤器.分词器.分词过滤器.在上一节的例子,大家发现了,都是英文的例子,是吧?因为ES是 ...

  4. 解决json字符串转为对象时LocalDateTime异常问题

    1 出现异常 这次的异常出现在前端向后端发送请求体里带了两个日期,在后端的实体类中,这两个日期的格式都是JDK8中的时间类LocalDateTime.默认情况下,LocalDateTime只能解析20 ...

  5. JVM系列-2、JVM内存结构

    一.JVM内存结构 1.1.栈(JVM Stacks) 存放局部变量(定义在方法中的变量和定义在方法参数列表上的变量).对象引用(reference类型,它不等同于对象本身,根据不同的虚拟机实现,它可 ...

  6. java结合email实现自动推送

    1.获取表中最后一条数据 public static String demo() throws SQLException { String sql = "select * FROM baox ...

  7. 设计模式之GOF23建造者模式

    组件很多,装配顺序不定 本质: 1,分离了对象子组件的单独构造(Builder负责)和装配(Director负责),从而可以构造出复杂的对象,这个模式适用于某个对象的构建过程复杂的情况下使用 2,实现 ...

  8. LeetCode链表专题

    链表 套路总结 1.多个指针 移动 2.虚假链表头:凡是有可能删除头节点的都创建一个虚拟头节点,代码可以少一些判断(需要用到首部前一个元素的时候就加虚拟头指针) 3.快慢指针 如leetcode160 ...

  9. webpack的proxytable的配置

    这个一定不能忘记了/rest/后面的/,否则就是404找不到接口 这样的实现效果是 this.axios.post('/api/delShare', qs.stringify({'Id':Number ...

  10. Azure B2C登录,react-web端实现,自定义登录页面ui

    import React, { Component } from 'react'; import Particles from 'react-particles-js'; import { Form, ...