2. 程式人生 > >springboot 整合spring security

springboot 整合spring security

阿新 發佈:2018-11-15

轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/83576911

       spring security 是一種安全框架,主要的作用是認證和授權;其中認證則是判斷該使用者是誰,授權則是判斷該使用者有無許可權訪問該url。一個專案一般情況分為前臺的業務系統(電商網站)和後臺管理系統;其中前臺的業務系統主要操作物件為普通使用者,角色相對少,許可權也比較固定,所以在前臺的業務系統中一般不採用spring security;後臺管理系統則主要是由內部的管理員對前臺的業務系統進行相關操作,涉及到的角色較多,許可權也比較複雜,所以我們一般在後臺管理系統中採用spring security。

       接下來就通過spring boot整合一個基本的spring security。

      1、首先匯入jar包

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

     2、建立一個SecurityConfig檔案,繼承WebSecurityConfigureAdapter,重寫其中的一個config方法

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    @Autowired
    private AuthenticationSuccessHandler myAuthenticationSuccessHandler;

    @Autowired
    private MyAuthenticationFailureHander myAuthenticationFailureHander;

    @Autowired
    private SecurityProperites securityProperites;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                //跳轉的登陸頁面action
                .loginPage("/login")                
                //登陸頁面的action
                .loginProcessingUrl("/authentication/login") 
                //登陸失敗的頁面url
                .failureUrl("/login-error.jsp")
                .permitAll()
                //登陸成功的處理器
                .successHandler(myAuthenticationSuccessHandler)
                //登陸失敗的處理器
                .failureHandler(myAuthenticationFailureHander)
                .and()
                .authorizeRequests()
                //表示antMatchers括號中的url不需要許可權就可以訪問
                .antMatchers("/login",
                        "/login-error.jsp",
                        "/authentication/login",
                        "/demo-signIn.jsp",
                      
                securityProperites.getBrowserProperites().getLoginPage()).permitAll()
                //表示除了上述的url之外,其他的url訪問都需要許可權認證
                .anyRequest()
                //使用rbac框架來做許可權認證處理
                .access("@rbacService.hasPermission(request,authentication)")
                .and()
                .csrf().disable();
    }

 
3、建立User類,實現序列化介面和UserDetail物件
public class User implements Serializable,UserDetails {

    private static final long serialVersionUID = -2279654576873280156L;
    private String username;
    private String password;
    private String role;

    public void setUsername(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getRole() {
        return role;
    }

    public void setRole(String role) {
        this.role = role;
    }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

}
4、新建LoginController並寫一個login方法
@RestController
public class LoginController {

    private Logger logger = LoggerFactory.getLogger(LoginController.class);

    private RequestCache requestCache = new HttpSessionRequestCache();
    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @Autowired
    private SecurityProperites securityProperites;

    @RequestMapping("/login")
    @ResponseStatus(code = HttpStatus.UNAUTHORIZED)
    public RestFulVO login(HttpServletRequest request, HttpServletResponse response) throws IOException {
        SavedRequest savedRequest = requestCache.getRequest(request, response);
        if (savedRequest != null) {
            // 獲取引發授權跳轉的請求地址
            String targetUrl = savedRequest.getRedirectUrl();
            logger.info("此次訪問【" + targetUrl + "】沒有授權,需要跳轉到授權頁面");
            if (StringUtils.endsWithIgnoreCase(targetUrl,".jsp")) {
                redirectStrategy.sendRedirect(request,response,securityProperites.getBrowserProperites().getLoginPage());
            }
        }
        return new RestFulVO("訪問的服務需要身份認證");
    }

如果發起的請求是以.jsp結尾的,則返回到登陸頁面;否則直接返回一個json型別的資料“訪問的服務需要身份認證”

5、新建UserService物件,繼承UserDetailService,重寫其中的loadUserByUsername方法,判斷使用者輸入的username和  password是否正確

public interface UserService extends UserDetailsService {

    @Override
    UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}



@Service
public class UserServiceImpl implements UserService {

    @Autowired
    private PasswordEncoder passwordEncoder;

//    @Autowired
//    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        /*
        在實際開發過程中這裡本來是應該通過呼叫userMapper中的方法判斷使用者輸入的username和password和資料庫中的資料是否一致
        但是為了說明方便,直接new User物件
         */
        System.out.println("username:  " + username);
        String password = passwordEncoder.encode("123456");
        System.out.println("password:   " + password);
        User user = new User();
        user.setUsername(username);
        user.setPassword(password);
        user.getAuthorities();
        return user;
//        return new org.springframework.security.core.userdetails.User(username,password,AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin"));
    }
}
6、建立MyAuthenticationSuccessHandler,自定義登陸成功的處理器
@Component("myAuthenticationSuccessHandler")
public class MyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {

    private Logger logger = LoggerFactory.getLogger(MyAuthenticationSuccessHandler.class);

    @Autowired
    private ObjectMapper objectMapper;

    @Autowired
    private SecurityProperites securityProperites;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException, ServletException {

        logger.info("登陸成功......");
        //這裡可以根據實際情況,來確定是跳轉到頁面或者json格式。
        if (LoginType.JSON.equals(securityProperites.getBrowserProperites().getLoginType())) {
            //如果是返回json格式,那麼我們這麼寫
            response.setContentType("application/json;charset=UTF-8");
            response.getWriter().write(objectMapper.writeValueAsString(authentication));
        } else {
            super.onAuthenticationSuccess(request,response,authentication);
        }
    }
}

7、建立MyAuthenticationFailureHandler,自定義登陸失敗的處理器

@Component("myAuthenticationFailureHander")
public class MyAuthenticationFailureHander extends SimpleUrlAuthenticationFailureHandler {

    private Logger logger = LoggerFactory.getLogger(MyAuthenticationFailureHander.class);

    @Autowired
    private ObjectMapper objectMapper;

    @Autowired
    private SecurityProperites securityProperites;

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {

        logger.info("登陸失敗");
        if (LoginType.JSON.equals(securityProperites.getBrowserProperites().getLoginType())) {
            response.setStatus(HttpStatus.INTERNAL_SERVER_ERROR.value());
            response.setContentType("application/json");
            response.setCharacterEncoding("UTF-8");
            response.getWriter().write(objectMapper.writeValueAsString(exception));
        } else {
            super.onAuthenticationFailure(request,response,exception);
        }
    }
}

8、建立RbacService介面,定義一個介面方法,然後建立RbacServiceImpl實現該介面並重寫介面方法,以達到對使用者進行許可權認證的功能

public interface RbacService {
    boolean hasPermission(HttpServletRequest request, Authentication authentication);
}


@Component("rbacService")
public class RbacServiceImpl implements RbacService {

    private static Logger logger = LoggerFactory.getLogger(RbacServiceImpl.class);


    private AntPathMatcher antPathMatcher = new AntPathMatcher();

    @Override
    public boolean hasPermission(HttpServletRequest request, Authentication authentication) {
        Object principal = authentication.getPrincipal();
        boolean hasPermission = false;
        if (principal instanceof UserDetails) { //首先判斷先當前使用者是否是我們UserDetails物件。
            Set<String> urls = new HashSet<>(); // 資料庫讀取 //讀取使用者所擁有許可權的所有URL
            // 注意這裡不能用equal來判斷,因為有些URL是有引數的,所以要用AntPathMatcher來比較
            System.out.println(request.getRequestURI());
            for (String url : urls) {
                if (antPathMatcher.match(url, request.getRequestURI())) {
                    hasPermission = true;
                    break;
                }
            }
            if (!hasPermission) {
                logger.warn("該使用者{}沒有{}訪問許可權", principal, request.getRequestURI());
            }
        }
        return hasPermission;
    }
}

在hasPermission方法實現中,應該根據該使用者的id來查詢該使用者所有許可權的url集合,然後通過match方法將該使用者現在訪問的url地址(request.getRequestURI)與url集合進行匹配,如果匹配成功,則說明該使用者又許可權訪問該url,返回true;否則返回false;在實際開發過程中,這裡也應該使用Mapper根據userId查詢資料庫獲取該userId下的所有可訪問的url集合。

9、啟動測試

啟動該專案,並在位址列輸入localhost:5001/index.jsp

由於index.jsp不在antMatches中,所以首先會在RbacServiceImpl中判斷該使用者是否有許可權訪問

 .authorizeRequests()
                //表示antMatchers括號中的url不需要許可權就可以訪問
                .antMatchers("/login",
                        "/login-error.jsp",
                        "/authentication/login",
                        "/demo-signIn.jsp",
                        securityProperites.getBrowserProperites().getLoginPage()).permitAll()
                //表示除了上述的url之外,其他的url訪問都需要許可權認證
                .anyRequest()

         如果返回true,這表示該使用者擁有訪問index.jsp的許可權;如果返回false則表示該沒有沒有許可權訪問index.jsp,接下來跳到LoginAction中login方法進行判斷,由於訪問的index.jsp是以.jsp結尾的,也就是說是頁面,則再跳轉到授權頁面,也就是登陸頁面,使用者在輸入使用者名稱和密碼之後,點選登陸,由於登陸的action為“/authentication/login”不需要許可權,所以直接跳轉到UserServiceImpl中驗證使用者資訊是否正確,如果登陸失敗則通過自定義的FailureHandle返回相關資訊,如果登陸成功,則跳轉到RbacServiceImpl中重新驗證該使用者有無許可權,如果true則顯示index.jsp相關資訊,如果false則顯示該使用者沒有許可權(access deny)。

    沒有許可權的頁面:

相關推薦

springboot 整合spring security

轉載務必說明出處:https://blog.csdn.net/LiaoHongHB/article/details/83576911        spring security 是一種安全框架,主要的作用是認證和授權;其中認證則是判斷該使用者是誰,授權則

SpringBoot整合Spring Security(1)——入門程式

因為專案需要,第一次接觸Spring Security,早就聽聞Spring Security強大但上手困難,今天學習了一天,翻遍了全網資料,才僅僅出入門道,特整理這篇文章來讓後來者少踩一點坑(本文附帶例項程式,請放心食用) 本篇文章環境:SpringBoot 2.0 + Mybatis + S

SpringBoot整合Spring-Security

1、新增依賴 // 新增spring security依賴 compile('org.springframework.boot:spring-boot-starter-security') //

【轉】springboot整合spring security(一)

原文作者:王文健  來源:CSDN  轉自原文:https://blog.csdn.net/qq_29580525/article/details/79317969  但是原文有幾處錯誤,且本文也結合了其他自己的知識,可以說是上文的升級版本 一、Spring s

springboot整合spring-security實現登入控制的過程及其要點

前言 首先,整合spring-security的目的 1,實現登入控制; 2,防止同一賬號的同時多處登入。 3,實現臺介面的訪問許可權控制。 實現方式不止一種,選擇spring-security是因為它夠簡潔。 實現 闡述兩種實現方式--不用框架、採用spri

SpringBoot整合Spring Security入門體驗

一、前言 Spring Security 和 Apache Shiro 都是安全框架,為Java應用程式提供身份認證和授權。 二者

SpringBoot整合Spring Security

#### 1、Spring Security介紹 > **Spring security**,是一個強大的和高度可定製的身份驗證和訪問控制框架。它是確保基於Spring的應用程式的標準 ——來自官方參考手冊 **Spring security** 和 **shiro** 一樣,具有認證、授權、

springBoot整合spring security實現許可權管理(單體應用版)--築基初期

## 寫在前面 在前面的學習當中,我們對spring security有了一個小小的認識,接下來我們整合目前的主流框架springBoot,實現許可權的管理。 在這之前,假定你已經瞭解了基於**資源的許可權管理模型**。資料庫設計的表有 user 、role、user_role、permission、ro

springBoot整合spring security+JWT實現單點登入與許可權管理前後端分離--築基中期

## 寫在前面 在前一篇文章當中,我們介紹了springBoot整合spring security單體應用版,在這篇文章當中,我將介紹springBoot整合spring secury+JWT實現單點登入與許可權管理。 本文涉及的許可權管理模型是**基於資源的動態許可權管理**。資料庫設計的表有 user

SpringBoot 2.0.5簡單整合Spring Security遇到的坑

SpringBoot整合Security的部落格案例網上已經很多了,但個人覺得對於一個初次整合Security的同學來說,一個簡單的案例還是很有必要的。為此,上傳一個本人整合的案例,僅供大家參考,也為自己記錄一下,話不多說,表演開始。 版本介紹:SpringBoot 2.0

十二、SpringBoot 優雅的整合Spring Security

前言 至於什麼是Spring security ,主要兩個作用,使用者認證和授權。即我們常說的,使用者只有登入了才能進行其他操作,沒有登入的話就重定向到登入介面。有的使用者有許可權執行某一操作,而有的使用者不能執行則是授權。算是一個專案安全框架。和shiro 框架一樣。二者的不同大家可以百度小。Spring

七、springboot整合Spring-data-jpa

ast bstr 核心 public html 特殊 ssi 除了 使用方法 1.Spring Data JPA是什麽   由Spring提供的一個用於簡化JPA開發的框架。可以在幾乎不用寫實現的情況下,實現對數據的訪問和操作。除了CRUD外,還包括如分頁、排序等一些常用的

Spring Boot整合Spring Security

只開啟了簡單的登陸驗證 新增依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-star

springboot2.0x全系列一SpringBoot2.0x整合Spring Security

Spring Security 是一個許可權管理框架,其作用相當於之前用的比較廣泛的apache shiro,但是Spring Security 畢竟是spring出的所以整合進現在非常流行的springboot框架肯定是更為便捷的 首先搭建springboot框架,可以直接從官網進行下載dem

springbootspring security簡單使用

整理自是尚矽谷springboot高階 配置類(最重要的了) @EnableWebSecurity//這個註解組合註解裡面有@Configuration 所以不要配置@Configuration public class SecurityConfig extends WebSecurityC

springboot使用Spring Security+OAuth2做許可權控制

文章來源:http://lxgandlz.cn/404.html     前面有一篇文章Spring+Spring Security+OAuth2實現REST API許可權控制,講了Spring+Spring Security+OAuth2來實現REST API許可權

Spring Boot】--整合Spring Security

目錄 1、建立工程 2、在pom.xml新增spring security的依賴 3、自定義使用者認證邏輯 4、關於使用者物件UserDetails 5、密碼加密解密PasswordEncoder 6、自定義登入介面 7、自定義登入介面 8、自定義處理成功 9

SpringBoot 整合Spring-Data-JPA

一、使用的工具: 1、JDK1.8 2、Eclipse 3、Maven 二、建立專案 1、建立SpringBoot專案 2、Maven 依賴配置如下: <project xmlns="http://maven.apache.org/POM/4.0.0" x

spring boot整合spring security筆記

最近自己做了一個小專案,正在進行springboot和spring Security的整合,有一丟丟的感悟,在這裡分享一下:     首先,spring boot整合spring security最好是使用Thymleaf,因為spring boot官方支援使用thymleaf,這樣的話

spring boot 2.X整合spring securityspring oauth

​ 網上有很多該系列的教程,但是很多都是spring boot1.x,很少看見關於spring boot 2.0 .本人是打算做個spring cloud的web程式,這個整合我就是放在zuul上,類似於做了個閘道器的鑑權吧。。 國際通用案例