Spring-Security完整版配置

阿新 • • 發佈：2019-01-07

package com.niugang.config;


import java.io.IOException;
import javax.servlet.ServletException;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.web.session.SessionInformationExpiredEvent;
import org.springframework.security.web.session.SessionInformationExpiredStrategy;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import com.alibaba.fastjson.JSONObject;
@Configuration // 裡面已經包含了@Component 所以不用再上下文中在引入入了
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
// spring自帶的
@Autowired
private UserDetailsService userDetailsService;
/**
* configure(HttpSecurity)方法定義了哪些URL路徑應該被保護
*/
@Override


protected void configure(HttpSecurity http) throws Exception {

       

http.authorizeRequests()// 該方法所返回的物件的方法來配置請求級別的安全細節
.antMatchers("/login").permitAll() // 登入頁面不攔截
.antMatchers("/api/**").permitAll() // 呼叫api不需要攔截
.antMatchers(HttpMethod.POST, "/checkLogin").permitAll().anyRequest().authenticated()// 對於登入路徑不進行攔截
.and().formLogin()// 配置登入頁面
.loginPage("/login")// 登入頁面的訪問路徑;
.loginProcessingUrl("/checkLogin")// 登入頁面下表單提交的路徑
.failureUrl("/login?paramserror=true")// 登入失敗後跳轉的路徑,為了給客戶端提示
.defaultSuccessUrl("/index")// 登入成功後預設跳轉的路徑;
.and().logout()// 使用者退出操作
.logoutRequestMatcher(new AntPathRequestMatcher("/logout", "POST"))// 使用者退出所訪問的路徑，需要使用Post方式
.permitAll().logoutSuccessUrl("/login?logout=true")/// 退出成功所訪問的路徑
.and().exceptionHandling().accessDeniedPage("/403")
.and()

.csrf().disable()

                                 .headers().frameOptions()// 允許iframe內呈現。
.sameOrigin()
.and().sessionManagement()
/*如果使用者在不退出登入的情況下使用使用者名稱進行身份驗證，並試圖對“使用者”進行身份驗證，
* 那麼第一個會話將被強制終止併發送到/login?expired頁面。
*/
     .maximumSessions(1)
     //.expiredUrl("/login?expired=true")//如果是非同步請求。無法進行頁面跳轉;

    //session過期處理策略

                           .expiredSessionStrategy(new SessionInformationExpiredStrategy() {
@Override
public void onExpiredSessionDetected(SessionInformationExpiredEvent event) throws IOException, ServletException {
String header = event.getRequest().getHeader("X-Requested-With");
System.out.println("header:"+header);
if(header!=null&&header.equals("XMLHttpRequest")){//非同步請求
JSONObject object= new JSONObject();
object.put("resultCode", 302);
object.put("redirectUrl", "login?expired=true");
//返回嚴格的json資料
event.getResponse().getWriter().write(object.toJSONString());
}else{
event.getResponse().sendRedirect("/myweb/login?expired=true"); 
} 

}
});

}

       /**
* 忽略靜態資源
*/


@Override
public void configure(WebSecurity web) throws Exception {
/*
* 在springboot中忽略靜態檔案路徑，直接寫靜態檔案的資料夾 springboot預設有靜態檔案的放置路徑，如果應用spring
* security，配置忽略路徑 不應該從springboot預設的靜態檔案開始
* 如：在本專案中，所有的js和css都放在static下，如果配置忽略路徑，則不能以static開始
* 配置成web.ignoring().antMatchers("/static/*");這樣是不起作用的
*/

web.ignoring().antMatchers("/themes/**", "/script/**");

}

        /**
* 配置自定義使用者服務
*/
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
// .passwordEncoder(passwordEncoder());

}

/**
* 密碼加密
*/
/*
* @Bean public BCryptPasswordEncoder passwordEncoder() { return new
* BCryptPasswordEncoder(); }
*/
}

非同步請求session過期前端處理


$(document).ajaxComplete(function(event,request, settings){
var data=request.responseText;
var jsonObject=JSON.parse(data);
if(jsonObject.resultCode!=null&&jsonObject.resultCode==302)//根據伺服器端返回的資料判斷
   {
           window.location.href=jsonObject.redirectUrl;
   } 
 });

controller修改因為加了session管理


@RequestMapping(value = "/login", method = RequestMethod.GET)
public String toLogin(ModelMap map,String paramserror ,String expired) {
if(paramserror!=null){
map.put("errorMessage", "使用者名稱或密碼錯誤");
}
if(expired!=null&&expired.equals("true")){
map.put("expired", "賬戶在其他地方登陸");
}
return "view/login";
}

這版的配置是禁用的csrf

如果要開啟csrf,如何配置參考https://blog.csdn.net/niugang0920/article/details/79825570

微信公眾號：

JAVA程式猿成長之路

分享學習資源，學習方法，記錄程式設計師生活。

Spring-Security完整版配置

package com.niugang.config; import java.io.IOException; import javax.servlet.ServletException; import org.springframework.beans.factory.

Spring-Security整合CAS之Spring-Security.xml部分配置詳解

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://w

Spring Security 實現 antMatchers 配置路徑的動態獲取

1. 為什麼要實現動態的獲取 antMatchers 配置的資料這兩天由於公司專案的需求，對 spring security 的應用過程中需要實現動態的獲取 antMatch

spring security oauth2.0配置詳解

spring security oauth2.0 實現目標現在很多系統都支援第三方賬號密碼等登陸我們自己的系統，例如：我們經常會看到，一些系統使用微信賬號，微博賬號、QQ賬號等登陸自己的系統，我們現在就是要模擬這種登陸的方式，很多大的公司已經實現了這

spring security預設引數配置

Spring Security 內建屬性引數 Spring Boot 提供的內建配置引數以security為字首，具體屬性如下： # SECURITY (SecurityProperties 類中) security.basic.authorize-mode=role

spring Security 重複登入配置無效的問題

關於spring Security重複登入的配置，百度一大堆，我這裡就不囉嗦了。今天碰到按照網上的配置，但是感覺配置無效，同一使用者還是可以登入，不知道為什麼，開始以為是自己配置的又問題。再三確認感覺自己的配置沒有一點問題，所有查詢原因：檢視原始碼發現 o

spring security 採用資料庫配置檢測使用者登入，並跳轉不同頁面

applicationContext-security.xml <?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schem

IntelliJ IDEA tomcat 完整版配置

轉載自： https://www.cnblogs.com/Miracle-Maker/articles/6476687.html查詢該問題的童鞋我相信IntelliJ IDEA，Tomcat的下載，JDK等其他的配置都應該完成了，那我直接進入正題了。1.新建一個專案2.由於這

spring security 基礎入門(配置詳解)

<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterPr

SSM Spring SpringMVC Mybatis框架整合Java配置完整版

　　以前用著SSH都是老師給配好的，自己直接改就可以。但是公司主流還是SSM,就自己研究了一下Java版本的配置。網上大多是基於xnl的配置，但是越往後越新的專案都開始基於JavaConfig配置了，這也是寫此文章的原因。不論是eclipse還是myeclipse 都沒有整合mybatis的相關元件，Spri

spring security oauth2 jwt 認證和資源分離的配置文件（java類配置版）

boot cond lan 資源分離測試 sql adapter 依賴註入最近再學習spring security oauth2。下載了官方的例子sparklr2和tonr2進行學習。但是例子裏包含的東西太多，不知道最簡單最主要的配置有哪些。所以決定自己嘗試搭建簡單版

(一)關於spring security的簡要介紹以及相關配置和jar包認識

重要 force cnblogs control 自定義攔截器 compute 編寫 -- 靈活 Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring

Spring MVC框架下將數據庫內容前臺頁面顯示完整版【獲取數據庫人員參與的事件列表】

XML 獲取 utf-8 字段 eas jsp r.java 增刪 otp 1.書寫jsp頁面包括要顯示的內容【people.jsp】 <!-- 此處包括三個方面內容： 1.包含文本輸入框查詢按鈕查詢結果顯示位置（p

Windows Server 2012系統配置指南_完整版PDF電子書下載帶索引書簽目錄高清版_1

window鏈接: https://pan.baidu.com/s/1tn7mPLbuxoZlLvbiuKMYzQ 密碼: 173m　本書由臺灣知名的微軟技術專家戴有煒先生傾力編著，是他*推出的Windows Server 2012三卷力作中的系統配置指南篇。　　書中延續了作者的一貫寫作風格：大量的實例演示兼

IntelliJ IDEA最新版配置Tomcat（完整版教程）

filter 運行 next art uri 我沒圖片 ali fire 查找該問題的童鞋我相信IntelliJ IDEA，Tomcat的下載，JDK等其他的配置都應該完成了，那我直接進入正題了。1.新建一個項目2.由於這裏我們僅僅為了展示如何成功部署Tomcat，以及配

Spring Boot RabbitMQ 延遲消息實現完整版

throws 曾經 nfa header 面試 you ble 程序記得概述曾經去網易面試的時候，面試官問了我一個問題，說下完訂單後，如果用戶未支付，需要取消訂單，可以怎麽做我當時的回答是，用定時任務掃描DB表即可。面試官不是很滿意，提出：用定時任務無法

spring security+cas(cas proxy配置)

interface iteye RF lns key sock nag spec uitable 什麽時候會用到代理proxy模式？舉一個例子：有兩個應用App1和App2，它們都是受Cas服務器保護的，即請求它們時都需要通過Cas 服務器的認證。現在需要在App1中通過

【Spring Security】七、RememberMe配置

rop 基於 fig mep alias tom 保存統一 source 一、概述 RememberMe 是指用戶在網站上能夠在 Session 之間記住登錄用戶的身份的憑證，通俗的來說就是用戶登陸成功認證一次之後在制定的一定時間內可以不用再輸入用戶名和密碼進行自動登錄

Spring整合Quartz框架實現定時任務跑批（Maven完整版）

觸發器 delay cut www 方法 lin job 定時任務任務調度 Quartz 介紹Quartz is a full-featured, open source job scheduling service that can be integrated with

Spring Could 2.0 eureka 配置spring.security後其他服務無法連線註冊中心

Eureka的Server端和Client端成功啟動，服務註冊、發現都正常。但是在Client端向Server端請求註冊服務時，需要驗證使用者名稱和密碼，問題出現。分析原因查資料瞭解到新版（Spring Cloud 2.0 以上）的securit

Spring-Security完整版配置

相關推薦