SecurityConfig配置

最新推荐文章于 2025-11-01 14:13:54 发布
原创 最新推荐文章于 2025-11-01 14:13:54 发布 · 1.5k 阅读 · 13 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot

文章目录

一、SecurityConfig

import com.example.anyimenchuang.common.handler.AccessDeniedHandlerImpl;
import com.example.anyimenchuang.common.handler.AuthenticationEntryPointImpl;
import com.example.anyimenchuang.handler.SecurityLogoutSuccessHandler;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.annotation.Resource;

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)//开启权限注解功能
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Resource
    private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;

    @Resource
    private AccessDeniedHandlerImpl accessDeniedHandler;

    @Resource
    private AuthenticationEntryPointImpl authenticationEntryPoint;
    @Resource
    private SecurityLogoutSuccessHandler securityLogoutSuccessHandler;

    //创建BCryptPasswordEncoder 注入容器 加密方式
    @Bean
    public PasswordEncoder passwordEncoder() {
        //当你将此对象注入容器时,就会自动将密码进行bc的比对校验。
        //如果输入的明文密码与数据库中的加密密码不匹配则报错。
        //切数据库中必须存储为bc加密的密码
        return new BCryptPasswordEncoder();
    }


    @Override   //配置登录的路径 及需要认证的路径
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()//关闭csrf
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 允许匿名访问
                .antMatchers("/user/add", "/user/login").anonymous()
                //放行swagger
                .antMatchers(
                        "/swagger-ui.html",
                        "/swagger-ui/index.html",
                        "/swagger-resources/**",
                        "/webjars/**",
                        "/swagger-ui/**",
                        "/v3/**",
                        "/api/**",
                        "/swagger-ui.html/**"
                ).permitAll()
//                .antMatchers("/hello").permitAll() //允许登录或者未登录都可访问
//                .antMatchers("/testCors").hasAuthority("system:dept:list222")
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        http.logout()
                .logoutUrl("/user/logout")
                .logoutSuccessHandler(securityLogoutSuccessHandler)
                .deleteCookies("JSESSIONID");
        //添加过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);
        //配置异常处理器
        http.exceptionHandling()
                //配置认证失败及授权失败处理器
                .authenticationEntryPoint(authenticationEntryPoint)
                .accessDeniedHandler(accessDeniedHandler);
        //设置跨越
        http.cors();

    }


    @Bean
    @Override  //需要通过AuthenticationManager的authenticate方法进行用户认证,所有需要在此将其注入容器
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}

二、其他配置

1.JwtAuthenticationTokenFilter

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.LoginUser;
import com.example.anyimenchuang.common.utils.sys.JwtUtils;
import io.jsonwebtoken.Claims;
import org.apache.commons.lang3.StringUtils;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.annotation.Resource;
import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Objects;


/**
 * @Description : jwt认证过滤器  定义好后需要进行配置指定的位置 在SecurityConfig中进行配置
 * 当调用其他接口时需要携带token,此处进行token验证,验证通过则放行
 */
@Component //token校验过滤器
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    @Resource
    private RedisTemplate<String, String> redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {

        // 获取token
        String token = request.getHeader("token");
        if (StringUtils.isBlank(token)) {//如果为空
            //放行  因为后面还有其他的过滤器会进行判断并提示
            filterChain.doFilter(request, response);
            return;
        }
        // 解析token
        String userId;
        try {
            Claims claims = JwtUtils.parseJWT(token);
            userId = claims.getSubject();

        } catch (Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }

        // 从redis中获取用户信息
        String redisKey = "user:" + userId;

        String value = redisTemplate.opsForValue().get(redisKey);
        LoginUser loginUser = JSON.parseObject(value, LoginUser.class);//会根据类型自动转换
        if (Objects.isNull(loginUser)) {
            throw new RuntimeException("用户未登录");
        }
        // 存入SecurityContextHolder
        // 获取权限信息封装到Authentication中  第三个为获取权限loginUser.getAuthorities()
        UsernamePasswordAuthenticationToken userToken =
                new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities());
        SecurityContextHolder.getContext().setAuthentication(userToken);
        // 放行
        filterChain.doFilter(request, response);
    }
}

2.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.SysResult;
import com.example.anyimenchuang.common.utils.sys.WebUtils;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Description : 授权失败处理器
 */
@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) {

        SysResult result = new SysResult().setCode(403).setMsg("您的权限不足");

        String json = JSON.toJSONString(result);
        //处理异常
        WebUtils.renderString(response, json);
    }
}

3.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.SysResult;
import com.example.anyimenchuang.common.utils.sys.WebUtils;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Description : 自定义认证失败异常处理器
 */
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) {
        SysResult result = new SysResult().setCode(401).setMsg("用户认证失败请查询登录");
        String json = JSON.toJSONString(result);
        //处理异常
        WebUtils.renderString(response, json);
    }
}

4.AccessDeniedHandlerImpl

代码如下(示例):

import com.alibaba.fastjson2.JSON;
import com.example.anyimenchuang.common.JSONResult;
import com.example.anyimenchuang.common.utils.sys.JwtUtils;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;
import org.springframework.stereotype.Component;

import javax.annotation.Resource;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;


@Component
public class SecurityLogoutSuccessHandler implements LogoutSuccessHandler {
    private final Logger logger = LoggerFactory.getLogger(getClass());
    @Resource
    private RedisTemplate<String, String> redisTemplate = new RedisTemplate<>();

    public SecurityLogoutSuccessHandler() {
    }

    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication)
            throws IOException {

        String token = request.getHeader("token");
        int userId = Integer.parseInt(JwtUtils.parseJWT(token).getSubject());
        redisTemplate.delete("user:" + userId);

        logger.info("退出成功");

        response.setContentType("application/json;charset=utf-8");
        response.getWriter().write(JSON.toJSONString(new JSONResult<>(200, "success")));
    }
}
ZYH_CKA
关注
Spring Security 有什么用?附使用教程
qq_42631788的博客
08-29 947
类在 Spring Boot 应用程序中是配置和管理安全性的核心部分。它定义了应用程序的安全策略,确保未认证的用户无法访问受保护的资源,同时允许你灵活地配置身份验证和授权的方式。配置一旦生效,它会在应用程序的生命周期中持续为请求提供安全保护。
Spring security的SecurityConfig配置时 userDetailsService报错如何解决?
qq_42631788的博客
08-30 1850
仅为个人知识分享及开发中遇到的问题总结,希望对你有所帮助,若有问题欢迎指正~😊。接口的类,而你可能传递的是。通过这些修改,你应该能够将。使用,并解决上述错误。
WebMvcConfig 和 WebSecurityConfig 详解
最新发布
目前专注区块链相关技术的学习与分享
11-01 994
Spring Boot项目中的两个核心配置类WebMvcConfig和WebSecurityConfig分别负责不同功能。WebMvcConfig通过实现WebMvcConfigurer接口配置MVC行为,包括拦截器注册、静态资源映射、跨域设置等。WebSecurityConfig继承WebSecurityConfigurerAdapter,负责安全配置,包含认证授权管理、密码加密、会话策略等。实际项目中,WebMvcConfig常用于API拦截处理,而WebSecurityConfig配置JWT认证、权
Springboot +spring security,自定义认证和授权异常处理器
weixin_40991408的博客
05-26 2124
Springboot +spring security,自定义认证和授权异常处理器
Spring Security --SecurityConfig的详细配置
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security的配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
spring security 配置类——SecurityConfigration
qq_45947664的博客
10-12 721
/权限注解,访问服务需要的权限@PrePostEnabled("hasAuthority('admin')")//创建BCryptPasswordEncoder注入容器@Bean}//// @Bean//// throw new RuntimeException("手机号或者密码错误");//// }//// //查用户权限//// //把数据封装成UserDetails返回// };// }
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8417
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
Spring Security Config配置类常见问题
m0_59408612的博客
01-08 1810
在上述示例中,通过@Bean注解将BCryptPasswordEncoder实例化为一个PasswordEncoder bean,并将其返回。这样,在springSecurityFilterChain方法中就可以使用这个PasswordEncoder bean,解决passwordEncoder参数为null的问题。bean的实例化过程中,调用了一个工厂方法springSecurityFilterChain,而该方法抛出了一个异常,异常的原因是passwordEncoder参数为null。
Android networkSecurityConfig 代码配置
2401_88857275的博客
03-08 1775
步骤描述1创建文件2在中引用创建的XML配置文件3配置网络安全策略4测试应用程序以及配置是否有效。
配置Spring Security的身份验证
喵喵分享师
05-27 1146
在我们开始使用Spring Security之前,首先要配置身份验证。这个过程涉及创建用户并生成他们的身份验证。在这段视频中,我们将了解配置Spring Security身份验证的流程,这种身份验证方式会在Spring Security应用程序中验证用户身份。让我们一起来看看Spring Security的配置流程。
spring security 配置说明
shining的专栏
12-17 625
以下为若依框架中SecurityConfig对于spring security配置的说明: /** * anyRequest | 匹配所有请求路径 * access | SpringEl表达式结果为true时可以访问 * anonymous | 匿名可以访问 * denyAll ...
springsecurity的常规配置SecurityConfig
please93的博客
02-16 1257
SecurityConfig
3.Spring Security 登录成功和失败处理
smartsteps的博客
09-07 1150
失败处理流程 继承AuthenticationFailureHandler 接口 @Component("MyAuthenticationFailureHandler") public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler { protected Logger logge...
SecurityConfig
喝可乐的鱼哟
12-21 977
package com.yc.config; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
Spring Security—配置(Configuration)
深圳市多克创新科技有限公司
10-27 876
Spring Security—配置(Configuration)
spring security如何添加无需鉴权的接口?
开发者导航
05-12 1万+
1、在项目中找到spring security的配置文件2、修改配置文件找到configure()方法,添加不需要鉴权的接口请求:.antMatchers("/demo/**").anonymous()packagecom.ryi.rpcs.framework.config; importcom.ryi.rpcs.framework.security.filt...
Spring Security之Config模块详解(TODO)
热门推荐
来啊 快活啊
06-15 2万+
发博词由于软件开发中,要解决的安全的问题非常多且零碎,导致了Spring Security在配置项也很多,对于接触不久的人来说,可能本身安全方面的东西平时“工作生活”中就接触比较少,导致在学习Spring Security的过程中,有种剪不断理还乱的感觉。下面我们就通过Spring Security的Config模块的架构,来理清这个关系。Spring Security ConfigurerSpri
SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生
m0_68935893的博客
08-02 560
【代码】SecurityConfig配置:日后要熟悉一点,一开始会觉得陌生。
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1669
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
SecurityConfig配置
10-17
首先,用户要求提供关于Spring Security的SecurityConfig配置类的信息,包括使用方法和配置示例。我需要参考提供的引用内容: - 引用[1]展示了SecurityConfig类的简单实现:它扩展了WebSecurityConfigurerAdapter,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值