SpringBoot 安全管理(一)

一、springSecurity入门

  • 添加依赖

    <dependency>
    
            <groupId>org.springframework.boot</groupId>
    
            <artifactId>spring-boot-starter-security</artifactId></dependency>

  • 不做配置时,每次访问都需要验证,用户名默认为user,密码为启动时控制台打印的密文(每次启动都会随机生成),访问/logout即可注销登录

    • 如 Using generated security password: 31612171-4f6a-4c43-92ae-6826bc1d5e49
    • 注意,登录如果404,是因为没有配置页面,登录成功后默认跳转到 “/ ” 下面,没有页面,便404了

  • 手动配置(数据是写死的)

    • 在spring5以后,security是不允许明文的,必须加密

    • 在application.properties中配置

      spring.security.user.name=user
      
spring.security.user.password=123
      
spring.security.user.roles=admin

    • 在类中配置(注意继承了WebSecurityConfigurerAdapter,加上Configuration注解)

      @Configuration
      
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
      
    PasswordEncoder passwordEncoder(){
      
        //这个已过期,作用是无需加密,允许明文
      
        return NoOpPasswordEncoder.getInstance();
      
    }

    @Override
      
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
      
        auth.inMemoryAuthentication()
      
                .withUser("user").password("123").roles("admin")
      
                .and()	//可重复添加
      
                .withUser("user1").password("123").roles("super");
      
    }
      
}

  • HttpSecurity(登陆注销相关的配置,有点长,请耐心观看)

     @Override
    
    protected void configure(HttpSecurity http) throws Exception {
    
        http.authorizeRequests() //开启登录配置
    
                .antMatchers("admin/**").hasRole("admin") // 访问/admin下需要admin角色
    
                .antMatchers("user/**").hasAnyRole("admin","user")  //访问/user下需要admin或user其中一个角色
    
                .anyRequest().authenticated() //除以上2个url 访问其他只需要登录
    
                .and()
    
                .formLogin()
    
                .loginProcessingUrl("/login")   //配置登录接口
    
        		.usernameParameter("uname") //定义用户名的key
    
                .passwordParameter("passwd") //定义密码的key
    
                //.successForwardUrl("xxxxx") 定义登录成功后跳转的页面(前后端不分离)

                .successHandler(new AuthenticationSuccessHandler() {
    
                    @Override   //定义成功后返回json数据 ,前后端分离
    
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","success");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })

                .failureHandler(new AuthenticationFailureHandler() {
    
                    @Override //定义失败后的操作(前后端分离)
    
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",401);
    
                        if (e instanceof LockedException){
    
                            map.put("msg","账户被锁定,登陆失败");
    
                        }//在lockerException的父类的父类中就有很多异常,如下图,灵活使用
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	 .permitAll()   //登录接口对所有人开放
    
                .and()

                .logout()
    
                .logoutUrl("/logout")
    
                .logoutSuccessHandler(new LogoutSuccessHandler() {
    
                    @Override //注销登录
    
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    
                        response.setContentType("application/json;charset=utf-8");
    
                        PrintWriter writer = response.getWriter();
    
                        Map<String,Object> map = new HashMap<>();
    
                        map.put("status",200);
    
                        map.put("msg","注销成功");
    
                        writer.write(new ObjectMapper().writeValueAsString(map)); //将map以json格式输出
    
                        writer.flush();
    
                        writer.close();
    
                    }
    
                })
    
            	.permitAll();
    
    }

  • 多个HttpSecurity配置(使代码看起来更简洁)

    @Configuration

    public class Config2 {

      @Bean
    
  PasswordEncoder passwordEncoder(){
    
      return NoOpPasswordEncoder.getInstance();
    
  }

  @Autowired
    
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    
      auth.inMemoryAuthentication()
    
              .withUser("user").password("123").roles("admin")
    
              .and()
    
              .withUser("user1").password("123").roles("super");
    
  }

  @Configuration
    
  @Order(1) //优先级 ,数字越小,级别越高
    
  public static class AdminSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

  @Configuration
    
  public static class UserSecurityConfig extends WebSecurityConfigurerAdapter(){
    
      //参考SecurityConfig的配置
    
  }

    }

  • 密码加密

    • @Bean
      
    PasswordEncoder passwordEncoder(){
      
        return new BCryptPasswordEncoder();
      
    }

    • SpringSecurity使用的密码加密比MD5+盐更加严谨,即使相同的明文,加密的密文也一样,不易被暴力破解,而且不用解决存盐问题,当然,世界上没有绝对的安全加密,只能说更加安全。

    如果有对你帮助,求点个赞。

SpringBoot 安全管理(一)的更多相关文章

  1. SpringBoot安全管理--(三)整合shiro

    简介: Apache Shiro 是一一个开源的轻量级的Java安全框架,它提供身份验证.授权.密码管理以及会话管理等功能. 相对于Spring Security, Shiro框架更加直观.易用,同时 ...

  2. SpringBoot安全管理--(二)基于数据库的认证

    简介: 上篇文章向读者介绍的认证数据都是定义在内存中的,在真实项目中,用户的基本信息以及角色等都存储在数据库中,因此需要从数据库中获取数据进行认证. 开始: 首先建表并且插入数据: pom.xml & ...

  3. SpringBoot安全管理--(一)SpringSecurity基本配置

    简介: Spring Boot针对Spring Security提供了自动化配置方案,因此可以使Spring Security非常容易地整合进Spring Boot项目中,这也是在Spring Boo ...

  4. 2流高手速成记(之五):Springboot整合Shiro实现安全管理

    废话不多说,咱们直接接上回 上一篇我们讲了如何使用Springboot框架整合Nosql,并于文章最后部分引入了服务端Session的概念 而早在上上一篇中,我们则已经讲到了如何使用Springboo ...

  5. Shiro 核心功能案例讲解 基于SpringBoot 有源码

    Shiro 核心功能案例讲解 基于SpringBoot 有源码 从实战中学习Shiro的用法.本章使用SpringBoot快速搭建项目.整合SiteMesh框架布局页面.整合Shiro框架实现用身份认 ...

  6. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础授权权限

    上一篇<[原]无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限>介绍了实现Shiro的基础认证.本篇谈谈实现 ...

  7. 【原】无脑操作:IDEA + maven + Shiro + SpringBoot + JPA + Thymeleaf实现基础认证权限

    开发环境搭建参见<[原]无脑操作:IDEA + maven + SpringBoot + JPA + Thymeleaf实现CRUD及分页> 需求: ① 除了登录页面,在地址栏直接访问其他 ...

  8. springboot 注册dao层 service 层

    可以使用三种注解来引入DAO层的接口到spring容器中.1.@Mapper,写在每一个DAO层接口上,如下: 2.@MapperScan和@ComponentScan两者之一.前者的意义是将指定包中 ...

  9. 补习系列(6)- springboot 整合 shiro 一指禅

    目标 了解ApacheShiro是什么,能做什么: 通过QuickStart 代码领会 Shiro的关键概念: 能基于SpringBoot 整合Shiro 实现URL安全访问: 掌握基于注解的方法,以 ...

随机推荐

  1. P6474 [NOI Online #2 入门组] 荆轲刺秦王

    P6474 [NOI Online #2 入门组] 荆轲刺秦王 bfs+差分+卡常 本来我其实是场内选手,但是因为记错提交时间,晚了半小时才交,交不上了,就自动降级为了场外选手 题面复杂,不简述了 首 ...

  2. 刷短视频看新闻看小说也能赚钱的几款APP

    一.抖音极速版 发啦! 刷短视频也能赚钱 第1步:下载[抖音极速版] 第2步:填我邀请码[831008243] 第3步:立刻提现最高[38元]红包 二.今日头条极速版 1元现金速撸 下载[今日头条极速 ...

  3. LeetCode 56,57,60,连刷三题不费劲

    本文始发于个人公众号:TechFlow,原创不易,求个关注 今天是LeetCode专题的第34篇文章,刚好接下来的题目比较简单,很多和之前的做法类似.所以我们今天出一个合集,一口气做完接下来的57.5 ...

  4. 201771030115-牛莉梅 实验一 软件工程准备-<初学《构建之法--现代软件工程》的疑问>

    项目 内容 课程班级博客链接 https://edu.cnblogs.com/campus/xbsf/nwnu2020SE 这个作业要求链接 https://www.cnblogs.com/nwnu- ...

  5. Android自定义顶部栏及侧滑菜单和fragment+viewpag滑动切换的实现

    嘿嘿嘿,关于android滑动的操作,是不是经常都会用到呢. 我肯定也要学习一下啦. https://blog.csdn.net/u013184970/article/details/82882107 ...

  6. Unity2019.3缺少Cinemachine插件/AssetStore搜索不到

    Unity2019.1版本都还自带Cinemachine,到2019.3就没有了(原因暂时未知),PackageManager里没有,到资源商店里搜索也找不到 解决方法: Windows>Pac ...

  7. Redis 学习笔记(一) 字符串 SDS

    SDS 简单动态字符串. SDS的结构: struct sdshdr{ int len;//记录BUF数组中已使用字节的数量 ,等于SDS所八寸字符串的长度 int free;//记录BUF数组中未使 ...

  8. JDBC07 事务

    事务 事务基本概念 一组要么同时执行成功,要么同时执行失败的SQL语句,是数据库操作的一个执行单元(比如:银行中,对账户的操作和日志的记录是一组事务) 事务开始于: -连接到数据库上,并执行一条DML ...

  9. JDBC04 PreparedStatement

    PreparedStatement类 存在预编译,用占位符去填参数(参数索引从1开始算),可以防止SQL注入 try { Class.forName("com.mysql.cj.jdbc.D ...

  10. bash初始化小建议

    bash有一些很好用但已经常被人忽略的小技巧,谨以此文记录下…… 1. 给history命令加上时间 history的命令很好用,他可以记录我们之前做了哪些操作,有了这些记录,我们可以很快捷的重复执行 ...