SpringBoot 安全管理(一)

一、springSecurity入门

  • 添加依赖

    <dependency>
    
            <groupId>org.springframework.boot</groupId>
    
            <artifactId>spring-boot-starter-security</artifactId></dependency>

  • 不做配置时,每次访问都需要验证,用户名默认为user,密码为启动时控制台打印的密文(每次启动都会随机生成),访问/logout即可注销登录

    • 如 Using generated security password: 31612171-4f6a-4c43-92ae-6826bc1d5e49
    • 注意,登录如果404,是因为没有配置页面,登录成功后默认跳转到 “/ ” 下面,没有页面,便404了

  • 手动配置(数据是写死的)

    • 在spring5以后,security是不允许明文的,必须加密

    • 在application.properties中配置

      spring.security.user.name=user
      
spring.security.user.password=123
      
spring.security.user.roles=admin

    • 在类中配置(注意继承了WebSecurityConfigurerAdapter,加上Configuration注解)

      @Configuration
      
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
      
    PasswordEncoder passwordEncoder(){
      
        //这个已过期,作用是无需加密,允许明文
      
        return NoOpPasswordEncoder.getInstance();
      
    }

    @Override
      
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      
        auth.inMemoryAuthentication()
      
                .withUser("user").password("123").roles("admin")
      
                .and()	//可重复添加
      
                .withUser("user1").password("123").roles("super");
      
    }
      
}

  • HttpSecurity(登陆注销相关的配置,有点长,请耐心观看)

     @Override
    
    protected void configure(HttpSecurity http) throws Exception {
    
        http.authorizeRequests() //开启登录配置
    
                .antMatchers("admin/**").hasRole("admin") // 访问/admin下需要admin角色
    
                .antMatchers("user/**").hasAnyRole("admin","user")  //访问/user下需要admin或user其中一个角色
    
                .anyRequest().authenticated() //除以上2个url 访问其他只需要登录
    
                .and()
    
                .formLogin()
    
                .loginProcessingUrl("/login")   //配置登录接口
    
        		.usernameParameter("uname") //定义用户名的key
    
                .passwordParameter("passwd") //定义密码的key
    
                //.successForwardUrl("xxxxx") 定义登录成功后跳转的页面(前后端不分离)

                .successHandler(new AuthenticationSuccessHandler() {
    
                    @Override   //定义成功后返回json数据 ,前后端分离
    
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","success");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })

                .failureHandler(new AuthenticationFailureHandler() {
    
                    @Override //定义失败后的操作(前后端分离)
    
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",401);
    
                        if (e instanceof LockedException){
    
                            map.put("msg","账户被锁定,登陆失败");
    
                        }//在lockerException的父类的父类中就有很多异常,如下图,灵活使用
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	 .permitAll()   //登录接口对所有人开放
    
                .and()

                .logout()
    
                .logoutUrl("/logout")
    
                .logoutSuccessHandler(new LogoutSuccessHandler() {
    
                    @Override //注销登录
    
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","注销成功");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	.permitAll();
    
    }

  • 多个HttpSecurity配置(使代码看起来更简洁)

    @Configuration

    public class Config2 {

      @Bean
    
  PasswordEncoder passwordEncoder(){
    
      return NoOpPasswordEncoder.getInstance();
    
  }

  @Autowired
    
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    
      auth.inMemoryAuthentication()
    
              .withUser("user").password("123").roles("admin")
    
              .and()
    
              .withUser("user1").password("123").roles("super");
    
  }

  @Configuration
    
  @Order(1) //优先级 ,数字越小,级别越高
    
  public static class AdminSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

  @Configuration
    
  public static class UserSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

    }

  • 密码加密

    • @Bean
      
    PasswordEncoder passwordEncoder(){
      
        return new BCryptPasswordEncoder();
      
    }

    • SpringSecurity使用的密码加密比MD5+盐更加严谨,即使相同的明文,加密的密文也一样,不易被暴力破解,而且不用解决存盐问题,当然,世界上没有绝对的安全加密,只能说更加安全。

    如果有对你帮助,求点个赞。

SpringBoot 安全管理(一)的更多相关文章

  1. SpringBoot安全管理--(三)整合shiro

    简介: Apache Shiro 是一一个开源的轻量级的Java安全框架,它提供身份验证.授权.密码管理以及会话管理等功能. 相对于Spring Security, Shiro框架更加直观.易用,同时 ...

  2. SpringBoot安全管理--(二)基于数据库的认证

    简介: 上篇文章向读者介绍的认证数据都是定义在内存中的,在真实项目中,用户的基本信息以及角色等都存储在数据库中,因此需要从数据库中获取数据进行认证. 开始: 首先建表并且插入数据: pom.xml & ...

  3. SpringBoot安全管理--(一)SpringSecurity基本配置

    简介: Spring Boot针对Spring Security提供了自动化配置方案,因此可以使Spring Security非常容易地整合进Spring Boot项目中,这也是在Spring Boo ...

  4. 2流高手速成记(之五):Springboot整合Shiro实现安全管理

    废话不多说,咱们直接接上回 上一篇我们讲了如何使用Springboot框架整合Nosql,并于文章最后部分引入了服务端Session的概念 而早在上上一篇中,我们则已经讲到了如何使用Springboo ...

  5. Shiro 核心功能案例讲解 基于SpringBoot 有源码

    Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...

  6. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础授权权限

    上一篇<[原]无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限>介绍了实现Shiro的基础认证.本篇谈谈实现 ...

  7. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限

    开发环境搭建参见<[原]无脑操作:IDEA + maven + SpringBoot + JPA + Thymeleaf实现CRUD及分页> 需求: ① 除了登录页面,在地址栏直接访问其他 ...

  8. springboot 注册dao层 service 层

    可以使用三种注解来引入DAO层的接口到spring容器中.1.@Mapper,写在每一个DAO层接口上,如下: 2.@MapperScan和@ComponentScan两者之一.前者的意义是将指定包中 ...

  9. 补习系列(6)- springboot 整合 shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

随机推荐

  1. 题解 bzoj 4398福慧双修(二进制分组)

    二进制分组,算个小技巧 bzoj 4398福慧双修 给一张图,同一条边不同方向权值不同,一条边只能走一次,求从1号点出发再回到1号点的最短路 一开始没注意一条边只能走一次这个限制,打了个从一号点相邻节 ...

  2. 2020最新nginx+gunicorn+supervisor部署基于flask开发的项目的生产环境的详细攻略

    本攻略基于ubuntu1804的版本,服务器用的华为云的服务器,python3(python2已经在2020彻底停止维护了,所以转到python3是必须的)欢迎加我的QQ6398903,或QQ群讨论相 ...

  3. YUM 安装lnmy

    yum -y install nginx systemctl start nginx.service yum -y install php php-fpm php-mysql php-gd libjp ...

  4. Redux在项目中的文件结构

    React + Redux   今天我们来唠唠在React一般项目中,使用Redux进行状态管理的时候,相对的如何存放reducer.action.api之类文件的结构与使用时机吧.本章默认看官们已经 ...

  5. D. Kefa and Dishes(状压)

    永久打开的传送门 \(这次总算没有写砸........\) \(设f[i][j]为上一次吃的i物品状态为j的最大收益\) \(那么我们就暴力枚举所有状态i,然后在当前状态找出一个没吃的食物j,再去找一 ...

  6. centos系统克隆

    首先保证虚拟机处于关机状态. 1.修改网卡信息 vi /etc/sysconfig/network-scripts/ifcfg-eth0 删除网卡信息HWADDR与UUID信息 修改IPADDR信息为 ...

  7. Prime Path素数筛与BFS动态规划

    埃拉托斯特尼筛法(sieve of Eratosthenes ) 是古希腊数学家埃拉托斯特尼发明的计算素数的方法.对于求解不大于n的所有素数,我们先找出sqrt(n)内的所有素数p1到pk,其中k = ...

  8. Spring Boot学习 之 Spring Boot Actuator(一)

    Spring Boot版本:2.1.4.RELEASE 启用: spring-boot-actuator模块提供了一系列的用于监控的端点.最简单的开启这个功能的方法就是,在pom文件中添加如下的依赖. ...

  9. 一些常见的pro文件配置

    UI_DIR = ./ui #ui文件目录 TARGET = Test #最终生成目标名 DESTDIR = $$PWD/../test #目标生成目录,$$PWD表示当前目录下 DLLDESTDIR ...

  10. STM32 外部中断详解(原理+配置代码)

    本文介绍了STM32基于标准外设库的外部中断配置,以及基于参考手册如何更加寄存器配置外部中断 文章目录 1 前言 2 STM32的外部中断 3 中断服务函数的映射关系 4 外部中断的配置 5 寄存器的 ...