2. 程式人生 > 實用技巧 >【SpringSecurity】02 許可權控制、自定義登陸、記住我

【SpringSecurity】02 許可權控制、自定義登陸、記住我

阿新 發佈:2020-07-29

資源過濾許可權控制】

就之前的許可權問題,例如一個user1登入成功去訪問level1的資源當然沒有問題

但是頁面還呈現了其他許可權的資源,比如level2 & level3既然呈現給了user1,

user1自然而然的就會去訪問這些不屬於他許可權的資源

所以從源頭解決的話,使用者看不到這些資源不就行了嗎?

【Security & Thymeleaf 的結合使用】

當前使用的模板引擎是Thymeleaf,這個引擎可以和Security結合使用

注意一定要更換SpringBoot版本為2.0.9的

在Junit測試使用的包都不一樣了

把錯誤的導包資訊刪除,重新導包即可

元件座標:

<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity4</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>

頁面的導航欄進行設定:

            <!--登入登出-->
            <div class="right menu">

                <!--如果未登入-->
                <div sec:authorize="!isAuthenticated()">
                    <!--未登入-->
                    <a class="item" th:href="@{/toLogin}">
                        <i class="address card icon"></i> 登入
                    </a>
                </div>

                <!--如果已登入-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item">
                        <i class="address card icon"></i>
                        使用者名稱:<span sec:authentication="principal.username"></span>
                        角色:<span sec:authentication="principal.authorities"></span>
                    </a>
                </div>

                <div sec:authorize="isAuthenticated()">
                    <a class="item" th:href="@{/logout}">
                        <i class="sign-out icon"></i> 登出
                    </a>
                </div>
            </div>

然後這個頁面的導航欄的標籤才會其效果:

老版本的登陸樣式:

效果:

顯示的很清楚具備哪些角色

但是這時候登出403禁止訪問了。。。

【關閉偽造請求的防禦】

解決登出403的問題

http.csrf().disable();//關閉csrf功能:跨站請求偽造,預設只能通過post方式提交logout請求

【對訪問的元素控制】

<div>
        <br>
        <div class="ui three column stackable grid">

            <div class="column" sec:authorize="hasRole('vip1')">
 

                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 1</h5>
                            <hr>
                            <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
                            <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
                            <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasRole('vip2')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 2</h5>
                            <hr>
                            <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
                            <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
                            <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column" sec:authorize="hasRole('vip3')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 3</h5>
                            <hr>
                            <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                            <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                            <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
                        </div>
                    </div>
                </div>
            </div>
        </div>
    </div>

可以看到首頁什麼資源都沒有了,因為我們沒有作為使用者訪問

使用者只能訪問他們所具備的角色所具備的許可權:

【記住我功能】

        // 記住我
        http.rememberMe();

登入頁會多出一個選項:

如果密碼錯誤,則不會生效,並且提示錯誤資訊:

如果登陸成功,則把瀏覽器關閉:再開啟訪問:

可以看到直接登陸成功了

可以看到是一個Cookie保證我們的資訊驗證,儲存週期14天

如果瀏覽器清除了Cookie,那麼這個記住我就作廢了

【設定自己的Login頁面】

        // 設定自己的登陸頁
        http.formLogin().loginPage("/toLogin");

登陸頁面的表單設定為:

<form th:action="@{/toLogin}" method="post">

相關推薦

SpringSecurity02 許可權控制定義登陸記住

資源過濾許可權控制 就之前的許可權問題,例如一個user1登入成功去訪問level1的資源當然沒有問題

輪播圖的組合控制元件定義屬性動輪播

  昨天到今天寫的是輪播的自動播放無限迴圈點選事件也可以自己滑動。

筆記nrf52832廣播使用--廠商定義資料應用

  需求:   1)使用藍芽不停傳送ble廣播,傳送定義的資料,並每一秒更新定義資料。

VUEvue宣告json物件定義key,value值

技術標籤:總結 1定義一個物件,和一個數組,如下 //定義一個物件 let jsonObject = {};

elementUi關於el-form使用定義校驗規則的傳參問題

需求:在很多時候,我們的form表單並不是一個個寫出來的,而是通過資料遍歷渲染的,所以繫結的prop值 model值 rule值等等都不是常規的寫法

LINTcpplint修改版:定義編碼風格檢查工具lint

github:https://github.com/skullboyer/code-check Code Check 本倉介紹的內容涉及程式碼靜態檢查和編碼風格檢查

python異常處理定義異常斷言原理與用法分析

本文例項講述了python異常處理定義異常斷言原理與用法。分享給大家供大家參考,具體如下:

22.Flume監控定義元件面試題

Flume監控之Ganglia 1.1 前言 Ganglia是UC Berkeley發起的一個開源監視專案,設計用於測量數以千計的節點。每臺計算機都執行一個收集和傳送度量資料(如處理器速度記憶體使用量等)的名為gmond的守護程序。它將

javascript數學物件定義物件正則表示式物件10.0

10數學物件 (1)絕對值 var n = -12; var res = Math.abs(n); //12 console.log(res); (2)隨機數

vue框架之swiper定義指令過濾器及單檔案元件等相關內容-114

1 生命週期 1 mounted用的最多:向後端傳送請求,定時器初始化2 destroyed:元件銷燬--->給元件寫一個定時器-->元件銷燬,定時器清除

22 this定義屬性定義索引網站換膚函式封裝複用函式的引數

22 this定義屬性定義索引網站換膚函式封裝複用函式的引數 this

Python基礎學習筆記——定義一個僱員類Employee(屬性運算子過載定義id判斷薪水)

技術標籤:pyhon基礎python 此問題來自高淇老師講義課後習題: 問題描述: 定義一個 Employee 僱員類,要求如下: (1) 屬性有:idnamesalary (2) 運算子過載+:實現兩個物件相加時,預設返回他們的薪水和 (3

elementui 繫結多個market點和label,修改icon定義extData繫結事件

1.el-amap-marker 程式碼 <el-amap-marker v-for=\"(marker,index) in markers\" :key =\"\'marker\'+index\"

vue學習筆記(四)--來源尚矽谷《收集表單資料過濾器內建指令定義指令生命週期非單檔案元件單檔案元件》

十三收集表單資料 收集表單資料: 若:<input type=\"text\"/>,則v-model收集的是value值,使用者輸入的就是value值。

SpringSecurity01 授權認證登出

前提情要 Security學習地址: https://www.bilibili.com/video/BV1KE411i7bC 狂神的微信筆記:

各種擬合,一元多元對數指數單峰定義擬合

其中引用到了apache的common-math的jar包,主要用於矩陣運算,下載地址: http://commons.apache.org/proper/commons-math/userguide/fitting.html

Maven從入門到精通 02-Maven 的核心概念:POM座標依賴

Maven 的核心概念:POM座標依賴 筆記來源:Maven零基礎入門教程(一套輕鬆搞定maven工具)

Flume概述及組成入門案例進階(事務拓撲結構)不同拓撲案例定義資料流監控Ganglia

概述 1定義 日誌採集聚合傳輸的系統,基於流式結構 即:讀取本地磁碟資料,寫入HDFS或kafka

實用場景基於mybatis-plus實現資料來源動態操作定義載入

簡介 基於springboot,mybatis plus集成了一套多資料來源的解決方案,在使用時引入相應的外掛dynamic-datasource-spring-boot-starter,可以實現資料來源的動態新增刪除等功能,對於多租戶或者分庫等操作可以根據

分享apache 網頁301重定向定義400/403/404/500錯誤頁面

首先簡單介紹一下,.htaccess檔案是Apache伺服器中的一個配置檔案(Nginx伺服器沒有),它負責相關目錄下的網頁配置。通過對.htaccess檔案進行設定,可以幫我們實現:網頁301重定向、自定義400/403/404/500錯誤頁面