2. 程式人生 > >spring security 基本配置

spring security 基本配置

阿新 發佈:2018-12-01

給大家推薦個靠譜的公眾號程式設計師探索之路,大家一起加油

git專案地址:https://github.com/ZhZGod/spring-security-demo.git

1.實現

org.springframework.security.core.userdetails.UserDetailsService,這裡可以定義從哪裡得到使用者資訊,以及分裝成security的user

import com.zzh.entity.UserEntity;
import com.zzh.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

@Service
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserEntity userEntity = userService.getByUsername(username);
        if (userEntity == null){
            throw new UsernameNotFoundException("使用者不存在!");
        }
        List<SimpleGrantedAuthority> simpleGrantedAuthorities = createAuthorities(userEntity.getRoles());
        return new User(userEntity.getUsername(), userEntity.getPassword(), simpleGrantedAuthorities);
    }

    /**
     * 根據自己的實際情況可以進行 自定義 我的是user表裡有一個欄位儲存的許可權而且是,號分隔的
     * 許可權字串轉化
     * @param roleStr 許可權字串
     */
    private List<SimpleGrantedAuthority> createAuthorities(String roleStr){
        String[] roles = roleStr.split(",");
        List<SimpleGrantedAuthority> simpleGrantedAuthorities = new ArrayList<>();
        for (String role : roles) {
            simpleGrantedAuthorities.add(new SimpleGrantedAuthority(role));
        }
        return simpleGrantedAuthorities;
    }

}

2.WebSecurityConfig,具體作用見程式碼註釋

import org.springframework.beans.factory.BeanInitializationException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import javax.annotation.PostConstruct;

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)//使用註解的許可權形式時 這個註解和下面的authenticationManagerBean要加上
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
    @Autowired
    private MyUserDetailsService myUserDetailsService;
    @Autowired
    private AuthenticationManagerBuilder authenticationManagerBuilder;
    @Autowired
    private MyConfig myConfig;

    /**
     * 指定  校驗使用者資訊的地方  和 密碼編碼方式
     */
    @PostConstruct
    public void init() {
        try {
            authenticationManagerBuilder
                    .userDetailsService(myUserDetailsService)
                    .passwordEncoder(myConfig.passwordEncoder());
        } catch (Exception e) {
            throw new BeanInitializationException("Security configuration failed", e);
        }
    }

    /**
     * 忽略的路徑
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()
                .antMatchers(HttpMethod.OPTIONS, "/**")
                .antMatchers("/app/**/*.{js,html}")
                .antMatchers("/bower_components/**")
                .antMatchers("/i18n/**")
                .antMatchers("/content/**")
                .antMatchers("/swagger-ui/index.html")
                .antMatchers("/test/**")
                .antMatchers("/h2-console/**")
                .antMatchers("/mylogin");
    }
    /**
     * 匹配 "/", "/index", "/mylogin", "/register" 路徑,不需要許可權即可訪問
     * 登入地址為 "/mylogin",登入成功預設跳轉到頁面 "/user"
     * 退出登入的地址為 "/logout",退出成功後跳轉到頁面 "/login"
     * 預設啟用 CSRF 我這裡給禁用了
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/", "/index", "/mylogin", "/register").permitAll()//在這地方也可以配置哪些路徑不需要許可權
                //.antMatchers("/user/**").hasRole("USER")//不使用註解也可以在這裡配置 /user/以下的 路徑 都需要USER許可權
                //.antMatchers("/user").hasRole("USER")//   /user路徑需要USER許可權
                .anyRequest().authenticated()//其餘的所有請求都需要驗證
                .and()
                .formLogin().loginPage("/mylogin").defaultSuccessUrl("/user")//自定義 登入頁面的地址  登入成功後的地址
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login");//自定義 登出的地址  登出成功後的地址
    }

    @Override
    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
}

3.security 自帶的有登入/login和登出/logout介面,當然 可以自定義

附錄:

MyConfig

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class MyConfig {
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    //    @Bean  示例 自己寫加密方式
//    public PasswordEncoder passwordEncoder() {
//        return new MyPasswordEncoder();
//    }
}

MyPasswordEncoder:

import org.springframework.security.crypto.password.PasswordEncoder;

public class MyPasswordEncoder implements PasswordEncoder {
    /**
     * 只是在原有的密碼基礎上增加了"1"字元
     * @param rawPassword
     * @return
     */
    public String encode(CharSequence rawPassword) {
        return rawPassword.toString()+"1";
    }

    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if (encodedPassword != null && encodedPassword.length() != 0) {
            if ((rawPassword.toString()+"1").equals(encodedPassword)){
                return true;
            }
        }
        return false;
    }
}

相關推薦

spring security 基本配置

給大家推薦個靠譜的公眾號程式設計師探索之路,大家一起加油 git專案地址:https://github.com/ZhZGod/spring-security-demo.git 1.實現 org.springframework.security.core.userdetails.Use

Spring Security 整體配置

第一部分: web.xml的配置 使用過SpringSecurity的朋友都知道,首先需要在web.xml進行以下配置: <filter> <filter-name>springSecurityFilterChain</filter-name> &

spring security配置多個 AuthenticationManager

基於spring-security4.2.x和security-oauth2.3.x 在使用Security配置Oauth2.0的時候需要多個authenticationManager來管理來自不同方向的認證管理,比如一個clientAuthenticationManager用來認證client

Spring security 基本感知

流程 1.接收請求 1、HTTP基本身份驗證請求通過過濾器鏈直到它到達BasicAuthenticationFilter。 2、HTTP摘要式身份驗證請求通過過濾器鏈,直到它到達DigestAuthenticationFilter。 3、登入表單提交請求(登入表單身份驗證請求)通過過

maven專案 spring-mvc基本配置

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchem

Spring基本配置及概念

                                     Spring      概念:開源的框架 一站式的 貫穿表現層業務層持久層 可以無縫的結合他們        核心思想 控制反轉(IOC) 面向切面(AOP)       是一個超級大工廠 (幫助我們例項化類的 不需要我們自己new 只

SpringBoot 學習(一)---- SpringBoot 核心 之 Spring Boot基本配置介紹

一、關閉某個自動配置 通過上一篇 @SpringBootApplication 下的 @EnableAutoConfiguration 可知,Spring Boot 會根據專案中的jar包依賴,自動做出配置,Spring Boot支援的部分自動配置如下圖(非常多):

第二章 Spring MVC基本配置

本章目標 @Controlol註解 @RequestMaping註解 Servlet API 請求引數的處理 返回結果的處理 為什麼使用註解 目前越來越多的主流框架都支援註解,同樣Spring也支援基於註解的"零配置"。 註解相比XML的優勢: 它可以充分利用

spring框架基本配置檔案語法

1.spring配置檔案的基本語法:applicationContext.xml配置檔案: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns:xsi="http://www.w3.org/2001/XM

Spring安全許可權管理(Spring Security配置使用)

1.Spring Security簡要介紹Spring Security以前叫做acegi,是後來才成為Spring的一個子專案,也是目前最為流行的一個安全許可權管理框架,它與Spring緊密結合在一起。Spring Security關注的重點是在企業應用安全層為您提供服務,

SpringBoot8-Spring MVC-Spring MVC基本配置

        Spring MVC的定製配置需要我們的配置類繼承一個WebMvcConfigurerAdapter類,並在此類使用@EnableWebMvc註解,並開啟對Spring MVC的配置支援,這樣我們就可以重寫這個類的方法,完成我們的常用配置。        

spring security 概述& 配置檔案詳解

通常,安全任務是由應用伺服器完成使用者認證和對資源的授權,這些任務也可以委託給Spring security處理這些任務從而減輕應用伺服器負擔,Spring安全基本上通過實施標準的javax.servlet.Filter來處理這些任務,您需要宣告下面的過濾器在web.xm

SpringBoot通過自己的配置檔案或者從資料庫spring security動態配置url許可權

我使用springboot的時候想做自己的配置檔案的,用不了xml就重寫了過濾器 首先需要了解spring security內建的各種filter: Alias Filter Class Namespace Element or Attribute CHANNEL

Spring Security應用開發(10) 並發控制之基本介紹

authorize 失效 session report 表示 container 頁面 屬性 ren 同一個用戶使用不同的瀏覽器登錄,將會導致什麽結果呢?Spring Security提供了多種選項。 <!-- session管理 --> <

spring security oauth2 jwt 認證和資源分離的配置文件(java類配置版)

boot cond lan 資源分離 測試 sql adapter 依賴 註入 最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多,不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

(一)關於spring security的簡要介紹以及相關配置和jar包認識

重要 force cnblogs control 自定義攔截器 compute 編寫 -- 靈活 Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring

ssm整合基本配置文件(springMvc,spring,mybatis)

springmvc onf src ron 目錄 解析 jstl 什麽 註解 jar包:spring的所有包,springMvc是所有包,mybatis的所有包,數據庫驅動包,jstl包(jsp頁面需要); 基本配置文件:springMvc.xml(springMvc的核心

spring security+cas(cas proxy配置)

interface iteye RF lns key sock nag spec uitable 什麽時候會用到代理proxy模式? 舉一個例子:有兩個應用App1和App2,它們都是受Cas服務器保護的,即請求它們時都需要通過Cas 服務器的認證。現在需要在App1中通過

spring單元測試的基本配置

code unit ext bsp 配置 con ner extc contex @RunWith(SpringJUnit4ClassRunner.class) @ContextConfiguration(locations = { "classpath:trade.ap

Spring Security】七、RememberMe配置

rop 基於 fig mep alias tom 保存 統一 source 一、概述 RememberMe 是指用戶在網站上能夠在 Session 之間記住登錄用戶的身份的憑證,通俗的來說就是用戶登陸成功認證一次之後在制定的一定時間內可以不用再輸入用戶名和密碼進行自動登錄