在整合springsecurity时遇到好几个问题,自动配置登录,下线,注销用户的操作,数据基于mybatis,模版引擎用的thymeleaf+bootstrap。

一、认证时密码的加密(passwordEncoder)原理如下

  •  其中 MD5Util是自定义密码加密工具类,随便写(注意添加盐值),注意点:理解匹配密码这个过程
//认证

    @Override

    protected void configure(AuthenticationManagerBuilder auth)

            throws Exception {

        auth.userDetailsService(userDetailsService()).passwordEncoder(new  PasswordEncoder() {

            @Override

            public boolean matches(CharSequence rawPassword, String encodedPassword) {

                //匹配   =================将用户表单登录的密码和encodedPasswor(这个值是从MyUserDetailService那边封装过来的))对比=================

                return encodedPassword.equals(encode(rawPassword));

            }

            @Override

            public String encode(CharSequence rawPassword) {

                return MD5Util.encode((String) rawPassword);

            }

        });

    }
  • MyUserDetailService是一个实现了UserDetailsService(springsecurity本身的接口)的方法,在这里面实现认证的数据查询及其登录用户权限查询封装。
  • 注意点:理解权限的赋予,即当前用户在这里就已经将所有的角色封装到springsecurity本身的User中了,但是在这里并没有认证成功,单纯的进行封装而已
@Service

public class MyUserDetailService implements UserDetailsService {

    @Autowired

    UserService userService;

    @Autowired

    private SessionRegistry sessionRegistry;

    @Override

    public UserDetails loadUserByUsername(String username)  {

        if (username==null || username.equals("")) {

             throw new UsernameNotFoundException("用户名不存在");

        }

        Sys_User user=userService.getUserByName(username);

         //获得所有登录用户的信息

         List<Object> list =sessionRegistry.getAllPrincipals();

         for (Object object : list) {

             if (((User)object).getUsername().equals(user.getUsername())) {

                 throw new SessionAuthenticationException("当前用户已经在线,登录失败");

             }

             System.out.println("getAllPrincipals的遍历"+((User)object).getUsername());

         }

        //得到当前登录用户的信息

         List<SimpleGrantedAuthority> authorities = new ArrayList<>();

         for (Role role : user.getRoles()) {

             //将得到的角色封装  在后面页面认证成功后会用到

               authorities.add(new SimpleGrantedAuthority(role.getRolename()));

               System.out.println("拥有的角色:"+role.getRolename());

            }

        return  new User(user.getUsername(), user.getPassword(), authorities);

    }

}

二、授权时session的管理的配置(configure(HttpSecurity http)中)

  • 这个可以说是核心了,首先开启自动配置的注销功能(重点在开启否则默认的是自带的注销页面),LogoutUrl:自定义的登出URL,登出成功后的页面也可以自定义,这里就都不写了,在controller层实现自己定义的
//开启自动配置的注销功能。

        http.logout().permitAll();//logoutUrl("/logout").logoutSuccessUrl("/");//表示注销成功以后来到首页

        http //session管理

        .sessionManagement()

        .maximumSessions(1).maxSessionsPreventsLogin(true)

        .sessionRegistry(getSessionRegistry());
  • http.sessionManagement().invalidSessionUrl("/login") 使用未过期但完全无效的sessionid用户发送请求,也会被重定向至特定url
 http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true)
  • MaximumLogins必须是-1以允许无限制的登录,或者是一个正整数来指定最大值
  • .maximumSessions(1)设置一个用户允许登录的个数    maxSessionsPreventsLogin 启用超出报错。

    在实测后发现设定上限后 最大登录次数为设定数目 +1 比如设定数2 则最大访问数目为3 第四次开始报错
    由此 如果我们用这个配置去指定用户单登录是不行的

  • http.sessionManagement().sessionFixation().migrateSession()spring security防止篡改session

三、自定义注销,下线的实现(重点)

  • 第一种实现单纯的进行了下线,暂时将session置为无效,并未去掉(看源码部分)
if (invalidateHttpSession) {//部分源码

            HttpSession session = request.getSession(false);

            if (session != null) {

                logger.debug("Invalidating session: " + session.getId());

                session.invalidate();

            }

        }
 @RequestMapping("/logout")

    public String logout(HttpServletRequest request,HttpServletResponse response){

        /**

         * 第一种方式  单纯的离线  并未注销用户   即sessionID还在

         *

         */

        //获得注销用户的信息

        Authentication auth=SecurityContextHolder.getContext().getAuthentication();

        if (auth != null){

            //设置为离线状态

           new SecurityContextLogoutHandler().logout(request, response, auth);

        }

        return "redirect:/login";

    }
  • 第二种彻底将sessionid从sessionRegistry中移除,实现用户注销
@RequestMapping("/logout")

    public  String  logout2() {

        /**

         * 第二种  将获取到登录用户信息后将该用户sessionID置为无效   然后再从sessionRegistry中移除

         * 这种方式可以彻底注销用户登录状态

         */

    List<Object> pList=sessionRegistry.getAllPrincipals();

    List<SessionInformation>  sessionsInfo = null;

    for (Object principle : pList) {

        sessionsInfo=sessionRegistry.getAllSessions(principle, false);

    }

         System.out.println("sesssion个数"+sessionsInfo.size());

         for (SessionInformation sessionInformation : sessionsInfo) {

             //获取当前sessionid

             System.out.println("SESSIONID:"+sessionInformation.getSessionId());

             sessionInformation.expireNow();//将session置为无效然后在下一步移除

             sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());

        }

        return "redirect:/login";

    }

springboot整合springsecurity遇到的问题的更多相关文章

  1. boke练习: springboot整合springSecurity出现的问题,传递csrf

    boke练习: springboot整合springSecurity出现的问题,传递csrf freemarker模板 在html页面中加入: <input name="_csrf&q ...

  2. SpringBoot整合SpringSecurity简单实现登入登出从零搭建

    技术栈 : SpringBoot + SpringSecurity + jpa + freemark ,完整项目地址 : https://github.com/EalenXie/spring-secu ...

  3. SpringBoot整合SpringSecurity示例实现前后分离权限注解

    SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证 作者:Sans_ juejin.im/post/5da82f066fb9a04e2a73daec 一.说 ...

  4. 9、SpringBoot整合之SpringBoot整合SpringSecurity

    SpringBoot整合SpringSecurity 一.创建项目,选择依赖 选择Spring Web.Thymeleaf即可 二.在pom文件中导入相关依赖 <!-- 导入SpringSecu ...

  5. boke练习: springboot整合springSecurity出现的问题,post,delete,put无法使用

    springboot 与 SpringSecurity整合后,为了防御csrf攻击,只有GET|OPTIONS|HEAD|TRACE|CONNECTION可以通过. 其他方法请求时,需要有token ...

  6. SpringBoot整合SpringSecurity实现JWT认证

    目录 前言 目录 1.创建SpringBoot工程 2.导入SpringSecurity与JWT的相关依赖 3.定义SpringSecurity需要的基础处理类 4. 构建JWT token工具类 5 ...

  7. SpringBoot 整合 SpringSecurity 梳理

    文档 Spring Security Reference SpringBoot+SpringSecurity+jwt整合及初体验 JSON Web Token 入门教程 - 阮一峰 JWT 官网 Sp ...

  8. SpringBoot整合SpringSecurity简单案例

    在我们开发项目的过程中经常会用到一些权限管理框架,Java领域里边经常用的可能就是shiro了,与之对应的还有SpringSecurity,SpringSecurity可以说是非常强大,与Spring ...

  9. SpringBoot整合SpringSecurity,SESSION 并发管理,同账号只允许登录一次

    重写了UsernamePasswordAuthenticationFilter,里面继承AbstractAuthenticationProcessingFilter,这个类里面的session认证策略 ...

随机推荐

  1. Android--自定义Dialog style

    <style name="dialog" parent="@android:style/Theme.Dialog"> <item name=& ...

  2. vue 写一个瀑布流插件

    效果如图所示: 采用了预先加载图片,再计算高度的办法..网络差的情况下,可能有点卡 新建 vue-water-easy.vue  组件文件 <template> <div class ...

  3. Codeforces Round #588 (Div. 1) 简要题解

    1. 1229A Marcin and Training Camp 大意: 给定$n$个对$(a_i,b_i)$, 要求选出一个集合, 使得不存在一个元素好于集合中其他所有元素. 若$a_i$的二进制 ...

  4. 使用parted对Linux未分区部分进行分区

    1. 使用命令parted -l 查看当前分区 可以看到硬盘有2396GB即有2.5T , 但是分区就分了50G一个盘, 需要分剩下部分 [root@localhost ~]# parted -l M ...

  5. Electron-vue中通过WebAudioApi实现录音功能,并转换为mp3格式,实时监测音频设备变化

    实现以下功能: 1.检测当前音频环境,是否支持录音(WebAudio Api): 2.获取输入.输出设备列表,获取电脑默认的音频设备: 3.试音功能,通过分析录音样本数据,判断是否录到声音: 4.实时 ...

  6. svn提交时把node_modules忽略掉

    空白处右键>选中TortoiseSVN>设置(settings)>常规设置(General)>Subversion>编辑(edit)>在弹出的config文件中找g ...

  7. 解决Maven 编译出的jar中没有主清单属性

    出现这个问题的原因是 pom 中没有添加主程序入口 在配置中添加如下配置 <plugin> <groupId>org.apache.maven.plugins</grou ...

  8. 总结一下几个for循环常见用法和区别

    1.for循环//有人喜欢使用一个临时变量把长度缓存起来,说是数据量大时效果更好(我本人没有去验证) for(j = 0,len=arr.length; j < len; j++) { //执行 ...

  9. js垃圾回收及内存泄漏

    js垃圾回收 js能够自动回收申请却未使用的内存,由于每次清除需要的性能较大,不是时时在刷新,而是每隔一段时间才进行一次. 回收的两种方式 标记清除(常用) 在内存中先标记变量,然后清除那些那些进入环 ...

  10. iOS开发常见的宏定义(实用)

    iOS开发过程中使用一些常用的宏可以提高开发效率,提高代码的重用性:将这些宏放到一个头文件里然后再放到工程中的-Prefix.pch文件中(或者直接放到-Prefix.pch中)直接可以使用,灰常方便 ...