2. 程式人生 > >Spring security 4 使用java註解進行登陸驗證

Spring security 4 使用java註解進行登陸驗證

阿新 發佈:2019-01-31

本文只作為spring官方文件的補充,不會解釋spring以及hibernate的具體技術細節。
本文預設專案已經具有相關的使用者表和DAO,現在我們以此為基礎進行基本的使用者登陸認證,url許可權管理和登出設定。
網上有很多文件描述瞭如何為專案新增spring security支援。在spring boot中,我們只需要添加了配置類,就可以描述spring security的控制資訊:

package edu.nju.web.security;

import org.springframework.security.core.userdetails.UserDetailsService;
import
 
 org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import
 
 org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.crypto.password.StandardPasswordEncoder;

import
 
 javax.annotation.Resource;

/**
 * Http security config
 * @author cuiods
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private UserDetailsService userService;

    @Resource
    private SuccessHandler successHandler;

    @Resource
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception{
        auth
                .userDetailsService(userService)
                .passwordEncoder(standardEncoder());
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .antMatchers("/api/admin/**").access("hasRole('admin')")
                    .and()
                .formLogin()
                    .loginPage("/login")
                    .successHandler(successHandler)
                    .permitAll()
                    .and()
                .logout()
                    .logoutUrl("/login?logout")
                    .invalidateHttpSession(true)
                    .deleteCookies("JSESSIONID")
                    .permitAll()
                    .and()
                .csrf();
    }

    /**
     * standard password encoder: SHA-256
     * @return {@link PasswordEncoder}
     */
    @Bean
    public PasswordEncoder standardEncoder() {
        return new StandardPasswordEncoder();
    }
}

在這個類中配置了URL對應的許可權,登陸和登出對應的頁面(spring security自帶登陸頁面,預設為/login,登出為/login?logout,具體可以檢視官方文件)。
以上的程式碼的UserDetailsService是重點,UserDetailsService是一個介面,實現該介面可以定義從資料庫取出的使用者名稱、密碼、許可權等資訊。有了這些資訊,spring security可以自動進行密碼驗證和許可權管理。

package edu.nju.bl.serviceImpl;

import edu.nju.data.dao.UserDao;
import edu.nju.data.entity.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;
import java.util.ArrayList;
import java.util.HashSet;
import java.util.List;
import java.util.Set;

/**
 * person service impl
 */
@Service
public class UserServiceImpl implements UserDetailsService {

    @Resource
    private UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userDao.findByUsername(username);
        if (user==null) {
            throw new UsernameNotFoundException("Cannot find user!");
        }
        Set<GrantedAuthority> authorities = new HashSet<>();
        authorities.add(new SimpleGrantedAuthority(user.getType().toString()));
        List<GrantedAuthority> grantedAuthorities = new ArrayList<>(authorities);
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
                true,true,true,true,grantedAuthorities);
    }
}

將使用者資訊取出並封裝成org.springframework.security.core.userdetails.User類(UserDetails的實現類),在上面的配置類中進行配置,spring就會自己管理使用者的密碼驗證,並判斷使用者所處的角色。

另外,上面還提到了SuccessHandler,該類設定了登陸成功後的跳轉介面。

package edu.nju.web.security;

import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.web.DefaultRedirectStrategy;
import org.springframework.security.web.RedirectStrategy;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Collection;

/**
 * login success handler
 * @author cuiods
 */
@Component
public class SuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

    @Override
    protected void handle(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException {
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        String targetUrl = "";
        if (authorities.contains("admin")) {
            targetUrl = "/admin";
        } else if (authorities.contains("teacher")) {
            targetUrl = "/teacher";
        } else {
            targetUrl  ="/student";
        }
        redirectStrategy.sendRedirect(request,response,targetUrl);
    }
}

目前網上介紹的資料更多以簡單的描述性示例為主。本文只是介紹了spring security的一個簡單場景的應用,要全面瞭解spring security的相關內容,可以參見網上的官網文件和其他資料。

相關推薦

Spring security 4 使用java註解進行登陸驗證

本文只作為spring官方文件的補充,不會解釋spring以及hibernate的具體技術細節。 本文預設專案已經具有相關的使用者表和DAO,現在我們以此為基礎進行基本的使用者登陸認證,url許可權管理和登出設定。 網上有很多文件描述瞭如何為專案新增spri

Spring Security 4 整合Hibernate 實現持久化登入驗證(帶原始碼)

【相關已翻譯的本系列其他文章,點選分類裡面的spring security 4】 本教程將使用Spring Security 4 和hibernate向你展示持久化登入驗證. 在持久化登入驗證中,應用通過session記住使用者特徵。 一般來說,在登入介面,當你

基於註解配置的spring mvc 4 + spring security 4例項與解析

關於spring security 4(以下簡稱SS) ,我們不能不否認,學習的成本是挺高的。如果光光是複製配置程式碼而不去理解SS的各個元件的實現原理和功能,那當然還是相當簡單的一回事,因為配置的程式碼就那麼幾行 PS:本人不是大神,寫部落格只是為了增強記憶

Java程式通過LDAP對使用者進行登陸驗證

       在去年南京專案中,客戶方要求使用者登陸需要在其他平臺下進行認證,當時客戶用的LDAP“資料庫”管理方式,後來查閱Java已經對LDAP進行了封裝,不需要下載其他jar包就可以實現。        補腦:【LDAP】是"Lightweight Directory

Spring Security框架下Restful Token的驗證方案

false rri blob 返回 sch date html 官方 form 項目使用Restful的規範,權限內容的訪問,考慮使用Token驗證的權限解決方案。 驗證方案(簡要概括): 首先,用戶需要登陸,成功登陸後返回一個Token串; 然後用戶訪問有權限的內容時需要

spring security 單一賬戶多地方登陸提醒, ajax 攔截器 Interceptor

lean odi true window post 錯誤 img commons 會話管理 spring-security.xml部分代碼: <http auto-config="false" > <access-denied-h

Spring Security 4.2.3 Filters 解析

其中 validate ali 配置 生命 擁有 path str support 一、 熟悉一個模塊的最快方法 1. 配置logback文件,打印相應的debug信息 2. 根據相應的信息,打斷點查看執行結果 二、spring 使用 DelegatingFilterP

spring-data-mono java註解方式mongo連線池帶認證配置

import com.mongodb.MongoClient; import com.mongodb.MongoClientOptions; import com.mongodb.MongoCredential; import com.mongodb.ServerAddress; import or

Spring Security 4.x -> 5.x 踩坑記錄

1. AuthenticationManager無法自動注入 在實現AbstractAuthenticationProcessingFilter重寫以使用者名稱、密碼認證時,需要顯示注入AuthenticationManager,不然會報如下錯誤: Caus

upgrade to Spring-Security 4.X後的登入問題

升級到4.2.3後,登入出現 HTTP Status 403 - Could not verify the provided CSRF token because your session was not found sec http裡面需要增加: <sec:hea

Spring Security 4.2.2 一些注意事項

1.配置檔案中的http標籤變為security:http2.security:http上的屬性use-expressions="false",如果未這麼宣告,那麼在子節點中security:intercept-url的access中直接使用角色名,則會報錯Field or

How to enable HTTP Basic Authentication in Spring Security using Java and XML Config

In the last article, I have shown you how to enable Spring security in Java application and today we'll talk about how to enable Basic HTTP authentication

spring中使用@Async註解進行非同步處理

引言: 在Java應用中,絕大多數情況下都是通過同步的方式來實現互動處理的;但是在處理與第三方系統互動的時候,容易造成響應遲緩的情況,之前大部分都是使用多執行緒來完成此類任務,其實,在spring 3.x之後,就已經內建了@Async來完美解決這個問題,本文將完成介紹@A

Spring Security 4 (03)—— 資源資訊

序言 這一篇主要是講資源的載入和認證 1.記憶體載入 <security:http auto-config="false" use-expressions="false" &g

Spring Security 4 退出後再登入,頁面停留在登入頁,Url卻多了一個Logout引數

spring security 4 的logout問題 今天在整合spring-boot 和 spring-security的時候,出現瞭如下的怪象: 配置好了基本的登入和身份驗證(自定義了一個簡單的UserDetailsService),springboo

Spring Security 4 安全檢視片段 使用標籤(Spring Security 標籤)

下一篇文章: 【剩餘文章,將盡快翻譯完畢,敬請期待。 翻譯by 明明如月 QQ 605283073】 本教程向你展示怎樣建立安全檢視層,Spring MVC web 應用中,使用Spring Security 標籤,基於使用者角色顯示或者隱藏部分jsp或

spring security 4.1兩個不錯功能介紹

一轉眼, spring security 已經發布4.1 了,檢視 了下新特性,有兩個比較值得關注: 1) 可以在pathvariable形式的URL中進行保護了   比如有個方法: [code="java"] public class WebSecurity {publi

Spring Security 4 整合Hibernate Bcrypt密碼加密(帶原始碼)

【相關已翻譯的本系列其他文章,點選分類裡面的spring security 4】 【 翻譯by 明明如月 QQ 605283073】 上一篇文章: Spring Security 4 Hibernate整合 註解和xml例子(帶原始碼) 本教程演示 使用 Spri

spring security 4.0 教程 步步深入 5

5. Java 配置 在Spring 3.1中向Spring框架添加了對Java配置的常規支援。 自Spring Security 3.2以來,一直有Spring Security Java配置支援,使使用者能夠輕鬆地配置Spring Security而不使用

Spring Security 4.x 啟用CSRF防禦後logout只能是POST請求

學習Spring Security時碰到這個問題 官方原文: 18.5.3 Logging Out Adding CSRF will update the LogoutFilter to only use HTTP POST. This ensures tha