SecurityConfig配置

最新推荐文章于 2024-08-30 11:19:14 发布
最新推荐文章于 2024-08-30 11:19:14 发布
阅读量1.4k 收藏 12
点赞数 7
CC 4.0 BY-SA版权
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/ZYH_CKA/article/details/136345341

文章目录

一、SecurityConfig

import com.example.anyimenchuang.common.handler.AccessDeniedHandlerImpl;
import com.example.anyimenchuang.common.handler.AuthenticationEntryPointImpl;
import com.example.anyimenchuang.handler.SecurityLogoutSuccessHandler;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.annotation.Resource;

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启权限注解功能
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Resource
    private AccessDeniedHandlerImpl accessDeniedHandler;

    @Resource
    private AuthenticationEntryPointImpl authenticationEntryPoint;
    @Resource
    private SecurityLogoutSuccessHandler securityLogoutSuccessHandler;

    //创建BCryptPasswordEncoder 注入容器 加密方式
    @Bean
    public PasswordEncoder passwordEncoder() {
        //当你将此对象注入容器时,就会自动将密码进行bc的比对校验。
        //如果输入的明文密码与数据库中的加密密码不匹配则报错。
        //切数据库中必须存储为bc加密的密码
        return new BCryptPasswordEncoder();
    }


    @Override   //配置登录的路径 及需要认证的路径
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()//关闭csrf
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 允许匿名访问
                .antMatchers("/user/add", "/user/login").anonymous()
                //放行swagger
                .antMatchers(
                        "/swagger-ui.html",
                        "/swagger-ui/index.html",
                        "/swagger-resources/**",
                        "/webjars/**",
                        "/swagger-ui/**",
                        "/v3/**",
                        "/api/**",
                        "/swagger-ui.html/**"
                ).permitAll()
//                .antMatchers("/hello").permitAll() //允许登录或者未登录都可访问
//                .antMatchers("/testCors").hasAuthority("system:dept:list222")
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        http.logout()
                .logoutUrl("/user/logout")
                .logoutSuccessHandler(securityLogoutSuccessHandler)
                .deleteCookies("JSESSIONID");
        //添加过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        //配置异常处理器
        http.exceptionHandling()
                //配置认证失败及授权失败处理器
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);
        //设置跨越
        http.cors();

    }


    @Bean
    @Override  //需要通过AuthenticationManager的authenticate方法进行用户认证,所有需要在此将其注入容器
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}

二、其他配置

1.JwtAuthenticationTokenFilter

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.LoginUser;
import com.example.anyimenchuang.common.utils.sys.JwtUtils;
import io.jsonwebtoken.Claims;
import org.apache.commons.lang3.StringUtils;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.annotation.Resource;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;


/**
 * @Description : jwt认证过滤器  定义好后需要进行配置指定的位置 在SecurityConfig中进行配置
 * 当调用其他接口时需要携带token,此处进行token验证,验证通过则放行
 */
@Component //token校验过滤器
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        // 获取token
        String token = request.getHeader("token");
        if (StringUtils.isBlank(token)) {//如果为空
            //放行  因为后面还有其他的过滤器会进行判断并提示
            filterChain.doFilter(request, response);
            return;
        }
        // 解析token
        String userId;
        try {
            Claims claims = JwtUtils.parseJWT(token);
            userId = claims.getSubject();

        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }

        // 从redis中获取用户信息
        String redisKey = "user:" + userId;

        String value = redisTemplate.opsForValue().get(redisKey);
        LoginUser loginUser = JSON.parseObject(value, LoginUser.class);//会根据类型自动转换
        if (Objects.isNull(loginUser)) {
            throw new RuntimeException("用户未登录");
        }
        // 存入SecurityContextHolder
        // 获取权限信息封装到Authentication中  第三个为获取权限loginUser.getAuthorities()
        UsernamePasswordAuthenticationToken userToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(userToken);
        // 放行
        filterChain.doFilter(request, response);
    }
}

2.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.SysResult;
import com.example.anyimenchuang.common.utils.sys.WebUtils;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Description : 授权失败处理器
 */
@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) {

        SysResult result = new SysResult().setCode(403).setMsg("您的权限不足");

        String json = JSON.toJSONString(result);
        //处理异常
        WebUtils.renderString(response, json);
    }
}

3.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.SysResult;
import com.example.anyimenchuang.common.utils.sys.WebUtils;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Description : 自定义认证失败异常处理器
 */
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) {
        SysResult result = new SysResult().setCode(401).setMsg("用户认证失败请查询登录");
        String json = JSON.toJSONString(result);
        //处理异常
        WebUtils.renderString(response, json);
    }
}

4.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.JSONResult;
import com.example.anyimenchuang.common.utils.sys.JwtUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


@Component
public class SecurityLogoutSuccessHandler implements LogoutSuccessHandler {
    private final Logger logger = LoggerFactory.getLogger(getClass());
    @Resource
    private RedisTemplate<String, String> redisTemplate = new RedisTemplate<>();

    public SecurityLogoutSuccessHandler() {
    }

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException {

        String token = request.getHeader("token");
        int userId = Integer.parseInt(JwtUtils.parseJWT(token).getSubject());
        redisTemplate.delete("user:" + userId);

        logger.info("退出成功");

        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(new JSONResult<>(200, "success")));
    }
}
ZYH_CKA
关注
spring security 配置类——SecurityConfigration
qq_45947664的博客
10-12 689
/权限注解,访问服务需要的权限@PrePostEnabled("hasAuthority('admin')")//创建BCryptPasswordEncoder注入容器@Bean}//// @Bean//// throw new RuntimeException("手机号或者密码错误");//// }//// //查用户权限//// //把数据封装成UserDetails返回// };// }
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8353
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
Spring Security --SecurityConfig的详细配置
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security的配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
spring security 配置说明
shining的专栏
12-17 589
以下为若依框架中SecurityConfig对于spring security配置的说明: /** * anyRequest | 匹配所有请求路径 * access | SpringEl表达式结果为true时可以访问 * anonymous | 匿名可以访问 * denyAll ...
springsecurity的常规配置SecurityConfig
please93的博客
02-16 1221
SecurityConfig
3.Spring Security 登录成功和失败处理
smartsteps的博客
09-07 1131
失败处理流程 继承AuthenticationFailureHandler 接口 @Component("MyAuthenticationFailureHandler") public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler { protected Logger logge...
Spring security的SecurityConfig配置时 userDetailsService报错如何解决?
qq_42631788的博客
08-30 1662
仅为个人知识分享及开发中遇到的问题总结,希望对你有所帮助,若有问题欢迎指正~😊。接口的类,而你可能传递的是。通过这些修改,你应该能够将。使用,并解决上述错误。
Spring Security Config配置类常见问题
m0_59408612的博客
01-08 1679
在上述示例中,通过@Bean注解将BCryptPasswordEncoder实例化为一个PasswordEncoder bean,并将其返回。这样,在springSecurityFilterChain方法中就可以使用这个PasswordEncoder bean,解决passwordEncoder参数为null的问题。bean的实例化过程中,调用了一个工厂方法springSecurityFilterChain,而该方法抛出了一个异常,异常的原因是passwordEncoder参数为null。
配置Spring Security的身份验证
喵喵分享师
05-27 1121
在我们开始使用Spring Security之前,首先要配置身份验证。这个过程涉及创建用户并生成他们的身份验证。在这段视频中,我们将了解配置Spring Security身份验证的流程,这种身份验证方式会在Spring Security应用程序中验证用户身份。让我们一起来看看Spring Security的配置流程。
10、SpringSecurity自定义认证配置
weixin_44478828的博客
01-27 1131
经过上一小结配置,我们发现用户认证通过后,资源是都可被访问的。如果我们想为不同的用户指定不同的访问资源,该如何实现呢?接下来,我们通过配置为不同用户访问授权。@Bean@Override@Overridehttp.formLogin()//开启默认form表单登录方式.and().logout()//登出用默认的路径登出 /logout.permitAll()//允许所有的用户访问登录或者登出的路径.and()
SecurityConfig
喝可乐的鱼哟
12-21 958
package com.yc.config; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
Spring Security—配置(Configuration)
深圳市多克创新科技有限公司
10-27 743
Spring Security—配置(Configuration)
Spring Security之Config模块详解(TODO)
热门推荐
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security在配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring Security的Config模块的架构,来理清这个关系。Spring Security ConfigurerSpri
SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生
m0_68935893的博客
08-02 529
【代码】SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生。
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1606
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
Spring Security Config : WebSecurityConfiguration Web 安全配置
Details Inside Spring
09-02 4898
package org.springframework.security.config.annotation.web.configuration; // 忽略 import 行 /** * Spring Security 的配置类 : * 1. 使用一个 WebSecurity 对象创建执行 Spring Security 基于web的安全任务的 FilterChainProxy 对象。...
菜鸟日记——Spring Security整合JWT的代码及流程详细解析(一,securityconfig部分)(超详细)
zahuilg10的博客
01-02 2547
文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 当刚开始学习spring security整合JWT时总是无法分清楚JWT整合的具体过程,在网上找到的代码总是没有详细的注释,所以写了这样一篇文章,来记录 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np import pand
WebSecurityConfiguration
awds18338701279的博客
07-06 2286
WebSecurityConfiguration 当我们使用注解@EnableWebSecurity启用Spring Security时,其实导入了一个配置类WebSecurityConfiguration,如下所示: 该配置类WebSecurityConfiguration使用一个WebSecurity对象基于用户指定的或者默认的安全配置,创建一个FilterChainProxy bean来对用户请求进行安全过滤。这个FilterChainProxy bean的名称为springSecurityFilte
SpringSecurity------WebSecurityConfiguration配置
ywb201314的专栏
03-15 2005
简单的说,这个类的作用就是用来创建FilterChainProxy,FilterChainProxy是一个Servlet Filter,他是一组SecurityFilterChain的代理,用于管理这些SecurityFilterChain。这个方法是接口ImportAware的方法,当前配置类是通过@EnableWebSecurity注解上的@Import注解引入的,实现该接口的方法使得当前配置类可以获取到@EnableWebSecurity的debug属性值。
Securityconfig配置处理跨域
最新发布
03-13
<think>好的,我现在要解决用户在Spring Security配置中遇到的CORS问题。用户提到参考了引用[1],其中提到了使用@CrossOrigin注解的方式,但可能他们在Spring Security环境下遇到了问题。首先,我需要回忆一下在Spring Security中配置CORS的方法,以及可能需要注意的事项。 首先,Spring Security的过滤器链可能会拦截请求,导致CORS配置失效。即使应用层面配置了CORS,如果Spring Security的配置没有正确处理预检请求(OPTIONS),仍然会出现跨域问题。因此,用户需要在SecurityConfig中显式地启用CORS支持,并确保相关的配置正确。 接下来,我应该考虑两种常见的配置方式:一种是使用Spring Security提供的CorsConfigurationSource,另一种是自定义过滤器。第一种方法更符合Spring Security的推荐做法,通过Bean定义CorsConfigurationSource,然后在配置中启用cors()。 另外,用户可能还需要处理特定的路径或HTTP方法的权限问题,例如预检请求OPTIONS需要被允许,否则即使CORS配置正确,请求还是会被拒绝。因此,在配置HttpSecurity时,需要确保antMatchers(HttpMethod.OPTIONS, "/**").permitAll(),这样预检请求不会被拦截。 可能出现的错误包括:未正确配置CorsConfigurationSource的allowedOrigins、methods等参数,或者忘记在SecurityConfig中调用cors()方法。此外,如果同时存在其他CORS配置(如@CrossOrigin注解或全局的WebMvcConfigurer),可能会引起冲突,需要确保配置的一致性。 最后,用户可能需要具体的代码示例来参考,所以需要提供一个SecurityConfig配置示例,包括CorsConfigurationSource的定义和HttpSecurity的配置。同时,提醒用户注意版本差异,比如不同Spring BootSpring Security版本中的配置方式可能略有不同,需要根据实际情况调整。</think>在Spring Security中配置跨域资源共享(CORS)时,需注意其过滤器链会覆盖其他CORS配置。以下是两种常用解决方案: ### 方案一:通过CorsConfigurationSource配置(推荐) ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .cors().configurationSource(corsConfigurationSource()) // 启用CORS配置 .and() .authorizeRequests() .antMatchers(HttpMethod.OPTIONS, "/**").permitAll() // 允许OPTIONS预检请求 // 其他安全配置... .and() .csrf().disable(); } @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfiguration configuration = new CorsConfiguration(); configuration.setAllowedOrigins(Arrays.asList("http://localhost:3000")); // 允许的源 configuration.setAllowedMethods(Arrays.asList("GET","POST","PUT","DELETE","OPTIONS")); // 允许的方法 configuration.setAllowedHeaders(Arrays.asList("*")); // 允许的请求头 configuration.setAllowCredentials(true); // 允许携带凭证 UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); source.registerCorsConfiguration("/**", configuration); // 对所有路径生效 return source; } } ``` ### 方案二:自定义CORS过滤器 ```java @Bean public FilterRegistrationBean<CorsFilter> corsFilter() { UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource(); CorsConfiguration config = new CorsConfiguration(); config.setAllowCredentials(true); config.addAllowedOrigin("http://localhost:3000"); config.addAllowedHeader("*"); config.addAllowedMethod("*"); source.registerCorsConfiguration("/**", config); FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<>(new CorsFilter(source)); bean.setOrder(0); // 设置最高优先级 return bean; } ``` ### 常见问题解决 1. **预检请求被拦截** 确保配置包含`.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()` 2. **Credentials凭证问题** 当携带Cookie时需同时设置: ```java configuration.setAllowCredentials(true); configuration.setAllowedOrigins(Arrays.asList("http://trusted-domain.com")); // 不能使用通配符* ``` 3. **配置优先级冲突** 若同时存在多个CORS配置,需确保Spring Security的配置具有最高优先级[^1]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值