2. 程式人生 > >SpringBoot與SpringSecurity整合的初使用

SpringBoot與SpringSecurity整合的初使用

阿新 發佈:2019-03-04
ans manage arr ESS ini oca ngs bcrypt meta

SpringBoot與SpringSecurity整合的初使用

1.背景:

  最近的一個項目中,需要做web頁面的管理後臺,需要對不同角色進行不同的管理,特此研究了一下SpringSecurity的使用。

2.正題:

  1.采用框架:springboot,springsecurity,jpa

  2.采用idea的spring initializr 初始化一個springboot項目,勾選模塊為web,securiy,和jpa,jdbc。

  3.表結構:

     總共有三張表,分別為user,user_authorities,authentication

      user表

      技術分享圖片

      authentication表

      技術分享圖片

      user_authorities表:

      技術分享圖片

   4.代碼開始:

    4.1 首先,創建jpa對應的實體類:

      這個就不貼代碼了,根據上面的表結構創建對應的類,加上jpa對應的註解即可

    4.2 創建Repository類,繼承JpaRepository

    4.3 創建SpringSecurity配置類WebSecurityConfigurerAdapter:

      

@EnableWebSecurity
public class MySecurityConfig extends
 
 WebSecurityConfigurerAdapter {

    @Autowired
    private MyUserDetailService userDetailsService;
    @Autowired
    private AuthenticationRepository authenticationRepository;
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        http.csrf().disable();
        
 
//定義請求規則,查詢數據庫,將authentication表中的請求規則查詢配置
        List<Authentication> authentications = authenticationRepository.findAll();
        http.authorizeRequests()
                .antMatchers("/").permitAll();
        for(Authentication authentication :authentications){
            http.authorizeRequests().
                    antMatchers(authentication.getDescription())
                    .hasRole(authentication.getName().
                            substring(authentication.getName().indexOf("ROLE_")+5));
        }
        //開啟自動配置的登錄功能
        http.formLogin();
        //1./login請求來到登陸頁面
        //2.重定向到/login?error 表示登錄失敗
        //3.
        //開啟自動註銷功能
        //訪問logout表示註銷,清空session
        //註銷成功會默認返回/login?logout頁面
        //可以通過配置logoutSuccessUrl來配置註銷成功的返回地址
        http.logout().logoutSuccessUrl("/");
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }
    public DaoAuthenticationProvider authenticationProvider(){
        DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
        authenticationProvider.setPasswordEncoder(new BCryptPasswordEncoder(8));
        authenticationProvider.setUserDetailsService(userDetailsService);
        return  authenticationProvider;
    }
}

    4.4 配置 AccessDecisionManager類

    

@Service
public class MyAccessDecisionManager implements AccessDecisionManager {
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        if (configAttributes == null ) {
            throw new AccessDeniedException("對不起,您沒有此權限");
        }
        SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
        System.out.println(sdf.format(new Date())+":\t"+object.toString());
        System.out.println("configAttributes=="+configAttributes);
        System.out.println("authentication=="+authentication.getAuthorities());
        for(ConfigAttribute ca:configAttributes){
            String needRole = ca.getAttribute();
            for(GrantedAuthority userGA:authentication.getAuthorities()) {
                if(needRole.equals(userGA.getAuthority())) {   // ga is user‘s role.
                    return ;
                }
            }
        }
        throw new AccessDeniedException("對不起,您沒有此權限");
    }

    public boolean supports(ConfigAttribute arg0) {
        // TODO Auto-generated method stub
        return true;
    }

    public boolean supports(Class<?> arg0) {
        // TODO Auto-generated method stub
        return true;
    }

}

    4.5 實現一個繼承userDetailService的類,根據業務邏輯實現loadUserByUserName

@Service
public class MyUserDetailService implements UserDetailsService {
    @Autowired
    private UsersRepository userRepository;
    @Autowired
    private UserAuthoritiesRepository userAuthoritiesRepository;
    @Override
    @Transactional
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(s);
        if(user == null){
            throw new UsernameNotFoundException(s);
        }
        List<GrantedAuthority> authorities = new ArrayList<>();
        List<UserAuthorities> userAuthorities = userAuthoritiesRepository.findAllByUser(user);
        for(UserAuthorities userAuthorities1:userAuthorities){
            authorities.add(new SimpleGrantedAuthority(userAuthorities1.getAuthentication().getName()));
        }
        return new MyUserPrincipal(user,authorities);
    }
}

    4.6 實現AbstractSecurityInterceptor,繼承Filter

      

@Service
public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
    @Autowired
    private FilterInvocationSecurityMetadataSource securityMetadataSource;
    @Autowired
    public void setMyAccessDecisionManager(MyAccessDecisionManager myAccessDecisionManager) {
        super.setAccessDecisionManager(myAccessDecisionManager);
    }

    public FilterInvocationSecurityMetadataSource getSecurityMetadataSource(){
        return this.securityMetadataSource;
    }
    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        //fi裏面有一個被攔截的url
        //裏面調用MyInvocationSecurityMetadataSource的getAttributes(Object object)這個方法獲取fi對應的所有權限
        //再調用MyAccessDecisionManager的decide方法來校驗用戶的權限是否足夠
        InterceptorStatusToken token = super.beforeInvocation(fi);
        try {
            //執行下一個攔截器
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } finally {
            super.afterInvocation(token, null);
        }
    }
    @Override
    public Class<?> getSecureObjectClass() {
        return FilterInvocation.class;
    }

    @Override
    public SecurityMetadataSource obtainSecurityMetadataSource() {
        return this.securityMetadataSource;
    }
}

    4.7 實現FilterInvocationSecurityMetadataSource

@Service
public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {

    private HashMap<String, Collection<ConfigAttribute>> map = null;

    @Autowired
    private AuthenticationRepository authenticationRepository;
    /**
     * 加載權限表中所有權限,這裏不想從數據庫中獲取直接寫在了這
     */
    public void loadResourceDefine() {
        map = new HashMap<>();
        Collection<ConfigAttribute> array;
//        ConfigAttribute cfg, cfg1,cfg2;
        array = new ArrayList<>();
        List<Authentication> authentications = authenticationRepository.findAll();
        for(Authentication authentication:authentications){
            System.out.println(authentication);
            ConfigAttribute cfg = new SecurityConfig(authentication.getName());
            array.add(cfg);
            map.put(authentication.getDescription(),array);
        }
    }
    //此方法是為了判定用戶請求的url 是否在權限表中,如果在權限表中,則返回給 decide 方法,
    // 用來判定用戶是否有此權限。如果不在權限表中則放行。
    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        System.out.println("object的類型為:" + object.getClass());
        FilterInvocation filterInvocation = (FilterInvocation) object;
        String url = filterInvocation.getRequestUrl();
        System.out.println("訪問的URL地址為(包括參數):" + url);
        url = filterInvocation.getRequest().getServletPath();
        System.out.println("訪問的URL地址為:" + url);
        if (map == null)
            loadResourceDefine();
        //object 中包含用戶請求的request 信息
        final HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String resUrl;
        for (Iterator<String> iter = map.keySet().iterator(); iter.hasNext(); ) {
            resUrl = iter.next();
            matcher = new AntPathRequestMatcher(resUrl);
            //matches() 方法用於檢測字符串是否匹配給定的正則表達式
            boolean a = matcher.matches(request);
            if (matcher.matches(request)) {
                Collection<ConfigAttribute> c = map.get(resUrl);
                return map.get(resUrl);
            }
        }
        return null;
//        return collection;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        //UsernamePasswordAuthenticationToken.class.equals(clazz);
        return FilterInvocation.class.isAssignableFrom(clazz);
        //return true;
    }
}

    

    

SpringBoot與SpringSecurity整合的初使用

相關推薦

SpringBootSpringSecurity整合使用

ans manage arr ESS ini oca ngs bcrypt meta SpringBoot與SpringSecurity整合的初使用 1.背景:   最近的一個項目中,需要做web頁面的管理後臺,需要對不同角色進行不同的管理,特此研究了一下SpringS

springbootActiveMQ整合

nds 消息 ring str and info 開啟 int ng- 前言   很多項目, 都不是一個系統就做完了. 而是好多個系統, 相互協作來完成功能. 那, 系統與系統之間, 不可能完全獨立吧?   如: 在學校所用的管理系統中, 有學生系統, 資產系統, 宿舍系

SpringBootMybatis整合

ror toolbar public prop drive ping img select 技術 (1)pom.xml中引入jar包,如下:這裏不需要引入spring-boot-starter-jdbc依賴,因為mybatis-spring-boot-starter中已經包

SpringBootShiro整合

一、資料庫設計 ​  這裡主要涉及到五張表:使用者表,角色表(使用者所擁有的角色),許可權表(角色所涉及到的許可權),使用者-角色表(使用者和角色是多對多的),角色-許可權表(角色和許可權是多對多的).表結構建立的sql語句如下: CREATE TABLE `module` (

SpringBootMyBatis整合,底層資料庫為mysql的使用示例

 專案下載連結:https://github.com/DFX339/bootdemo.git   新建maven專案,web專案,專案名為 bootdemo   專案結構目錄如下:還有個pom.xml檔案沒有在截圖裡面   專案需要編寫的檔案主

SpringBootDubbo整合的幾種方式

SpringBoot與Dubbo整合有幾種方式,通常需要根據專案實際情況來進行選擇。 SpringBoot與dubbo整合的三種方式: 1)匯入dubbo-starter,在application.properties配置屬性,使用@Service【暴露服務】使用@Referen

SpringBootJMS整合(中介軟體為ActiveMQ)

一、ActiveMQ學習 1、基本概念以及介紹 Apache ActiveMQ是最受歡迎和強有力的開源訊息和整合模式伺服器,支援許多跨語言客戶端和協議,便利使用企業整合模式還有許多先進的特性。 相關命令 activemq start:啟動 activemq stop:關閉 管理介面: htt

springbootdocker整合三部曲之docker安裝

springboot專案與docker整合,首先需要的是安裝docker,這裡介紹在windows上安裝docker。 windows上安裝docker,其實是藉助virtualbox安裝了一個boot2docker-vm的虛擬機器,另外提供了一個類linux的命令列工具m

springbootdocker整合三步曲之專案打包部署

前面我們構建了jdk執行環境的映象,這裡我們只需要將springboot專案打包到該映象中,形成一個新的映象springboot-docker,到時候,利用這個映象啟動容器。再做埠對映,就可以訪問我們部署在docker中的springboot專案了。 1、構建springb

springBoot logback 整合

直接看下面的程式碼塊,詳細說明都在程式碼中。 <?xml version="1.0" encoding="UTF-8"?> <configuration debug="false"> <!--定義日誌檔案的儲存地址 勿在 LogBack

SpringbootWebSocket整合實現聊天功能

首先要在pom.xml中匯入websocket的依賴 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>s

Springboot Redis 整合 簡易Redis工具類實現

最近專案需要處理一項資料量比較大的業務,考慮之下,高頻訪問/讀取決定使用Redis.自己的Springboot框架下研究了Redis兩天,把成果總結一下 開發環境介紹 JDK1.7 Redis 基礎依賴 org.mybatis.spring.boot myba

SpringBootMyBatis整合——java.sql.SQLSyntaxErrorException: ORA-00911: 無效字元

問題出現的原因: 我在delete語句後添加了分號,為什麼呢?原因是這條語句我是在Oracle中正常執行好後copy過來的,所以把分號也複製過來了。 問題排查: 遇到這個異常時,要學會看日誌輸出的sq

SpringBootDubbo整合的三種方式

前置條件(匯入依賴) (1)、匯入dubbo-starter (2)、匯入dubbo的其他依賴 SpringBoot與dubbo整合的三種方式: 一、匯入dubbo-starter依賴,在 application.properties 或者 application.ym

35 SpringBootRedis整合

1 引入依賴 <!-- Redis --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-s

31 SpringBootJPA整合

jpa維護困難,不建議使用(個人拙見) 1 依賴匯入 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifact

30 SpringBootMybatis整合

1 準備 1.1 引入依賴 <dependency> <groupId>org.mybatis.spring.boot</groupId> <artifactId>mybatis-spring-boot-starter</

Springboot系列之SpringbootMybatis整合

前言 技術部落格那麼多,為什麼自己整理呢?太過零散的知識點不易記憶,且查詢的時候也不是太方便,眼過千遍不如手過一遍的操作一遍,即使Springboot已經很好的整合了各項的技術框架,但實際操作的時候也會發現一些問題。我會將可能出現的問題記錄一下,博文時刻更新。 預備知識: Springboot 2.0.6

SpringBootShiro整合-許可權管理實戰視訊筆記(之三)

本文內容大部分來自黑馬視訊的SpringBoot與Shiro整合-許可權管理實戰視訊,在此記錄為個人學習筆記。 可按步驟操作,無法實操的實戰blog都是耍流氓。 七、Shiro授權-使用Shiro過濾器實現授權頁面攔截 1. 在S

SpringBootShiro整合-許可權管理實戰視訊筆記(之一)

本文內容大部分來自黑馬視訊的SpringBoot與Shiro整合-許可權管理實戰視訊,在此記錄為個人學習筆記。 可按步驟操作,無法實操的實戰blog都是耍流氓。 一、搭建SpringBoot開發環境 1. 安裝好開發軟體和Mave