BBS论坛项目相关-13:Spring Security相关

最新推荐文章于 2024-09-08 02:01:49 发布
最新推荐文章于 2024-09-08 02:01:49 发布
阅读量824 收藏 1
点赞数
分类专栏: BBS项目 spring 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/hjukyjhg56/article/details/108041376
版权

BBS论坛项目相关-13:Spring Security相关

Spring Security

Spring Security是一个专注于为java应用程序提供身份认证和授权的框架,它的强大之处在于它可以轻松扩展以满足自定义的需求。
特征:
对身份的认证和授权提供全面的,可扩展的支持,防止各种攻击,如会话固定攻击,点击劫持,csrf攻击等。支持与Servlet API,Spring MVC等web技术集成。
Spring MVC:所有请求都发送给DispatcherSevlet,由DispatcherSevlet分发给controller处理,一个应用只有一个DispatcherSevlet,但有多个controller。拦截器可以在controller之前拦截请求,DispatcherSevlet满足javaEE的规范。Filter也是满足javaEE的规范,Filter可以拦截对servlet的请求。
SpringSecurity底层要利用统一的机制去处理系统权限,利用了javaEE规范的filter组件,底层有大概11个filter。
www.Spring4all:网站
导包:spring-boot-starter-security
引入security包权限控制立即生效,会生成随机密码用于登录。要使用数据库中的密码进行登录,需要进行配置。
首先对user实体类进行处理,user表中有type类型,表示是普通用户还是管理员或版主等。SpringSecurity对用户进行授权的时候需要一个字符串,通常让user实体类实现一个UserDetails接口,对接口的方法进行实现,如返回账号是否过期,账号是否锁定,凭证是否过期,账号是否可用,一般默认为true。还设置一个获取权限的方法,一个用户可能有多个权限,所以返回一个collection,判断user的type数值获取权限字符串。

public class User implements UserDetails {

    private int id;
    private String username;
    private String password;
    private String salt;
    private String email;
    private int type;
    private int status;
    private String activationCode;
    private String headerUrl;
    private Date createTime;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public String getSalt() {
        return salt;
    }

    public void setSalt(String salt) {
        this.salt = salt;
    }

    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }

    public int getType() {
        return type;
    }

    public void setType(int type) {
        this.type = type;
    }

    public int getStatus() {
        return status;
    }

    public void setStatus(int status) {
        this.status = status;
    }

    public String getActivationCode() {
        return activationCode;
    }

    public void setActivationCode(String activationCode) {
        this.activationCode = activationCode;
    }

    public String getHeaderUrl() {
        return headerUrl;
    }

    public void setHeaderUrl(String headerUrl) {
        this.headerUrl = headerUrl;
    }

    public Date getCreateTime() {
        return createTime;
    }

    public void setCreateTime(Date createTime) {
        this.createTime = createTime;
    }

    @Override
    public String toString() {
        return "User{" +
                "id=" + id +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                ", salt='" + salt + '\'' +
                ", email='" + email + '\'' +
                ", type=" + type +
                ", status=" + status +
                ", activationCode='" + activationCode + '\'' +
                ", headerUrl='" + headerUrl + '\'' +
                ", createTime=" + createTime +
                '}';
    }

    // true: 账号未过期.
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    // true: 账号未锁定.
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    // true: 凭证未过期.
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    // true: 账号可用.
    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> list = new ArrayList<>();
        list.add(new GrantedAuthority() {
            @Override
            public String getAuthority() {
                switch (type) {
                    case 1:
                        return "ADMIN";
                    default:
                        return "USER";
                }
            }
        });
        return list;
    }
}

userService中实现一个接口UserDetailService,重写方法loadUserByUsername根据用户名查找用户,
UserDetailService是Security底层的一个接口,Security在判断权限,检查登陆的时候会用到这个接口。

@Service
public class UserService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;

    public User findUserByName(String username) {
        return userMapper.selectByName(username);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return this.findUserByName(username);
    }
}

利用Security实现系统认证和授权。Security是基于filter拦截大量请求,只需要写一个类就可以完成。
编写confige类继承WebSecurityConfigureAdapter类
重写configure的各种方法,传的参数不同:
委托模式:
AuthenticationManager:认证的核心接口
AuthenticationManagerBuilder:用于构建AuthenticationManager对象的工具
ProviderManager:AuthenticationManager接口的默认实现类
providerManager将认证委托给AuthenticationProvider(每个AuthenticationProvider负责一种登陆方式,密码,QQ,微信等);
Authentication:用于封装认证信息的接口,不同的实现类代表不同类型的认证信息
认证完之后会把认证信息封装到token里,token会被security的filter获取,存储到securityContext里,判断有没有权限都是从securityContext取出判断。
所以自定义时也需要将权限存在securityContext里。
认证逻辑

@Override
    public void configure(WebSecurity web) throws Exception {
        // 忽略静态资源的访问
        web.ignoring().antMatchers("/resources/**");
    }

    // AuthenticationManager: 认证的核心接口.
    // AuthenticationManagerBuilder: 用于构建AuthenticationManager对象的工具.
    // ProviderManager: AuthenticationManager接口的默认实现类.
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 内置的认证规则
        // auth.userDetailsService(userService).passwordEncoder(new Pbkdf2PasswordEncoder("12345"));

        // 自定义认证规则
        // AuthenticationProvider: ProviderManager持有一组AuthenticationProvider,每个AuthenticationProvider负责一种认证.
        // 委托模式: ProviderManager将认证委托给AuthenticationProvider.
        auth.authenticationProvider(new AuthenticationProvider() {
            // Authentication: 用于封装认证信息的接口,不同的实现类代表不同类型的认证信息.
            @Override
            public Authentication authenticate(Authentication authentication) throws AuthenticationException {
                String username = authentication.getName();
                String password = (String) authentication.getCredentials();

                User user = userService.findUserByName(username);
                if (user == null) {
                    throw new UsernameNotFoundException("账号不存在!");
                }

                password = CommunityUtil.md5(password + user.getSalt());
                if (!user.getPassword().equals(password)) {
                    throw new BadCredentialsException("密码不正确!");
                }

                // principal: 主要信息; credentials: 证书; authorities: 权限;
                return new UsernamePasswordAuthenticationToken(user, user.getPassword(), user.getAuthorities());
            }

            // 当前的AuthenticationProvider支持哪种类型的认证.
            @Override
            public boolean supports(Class<?> aClass) {
                // UsernamePasswordAuthenticationToken: Authentication接口的常用的实现类.
                return UsernamePasswordAuthenticationToken.class.equals(aClass);
            }
        });
    }

授权逻辑

@Override
    protected void configure(HttpSecurity http) throws Exception {
        // 登录相关配置
        http.formLogin()
                .loginPage("/loginpage")
                .loginProcessingUrl("/login")
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index");
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                        request.setAttribute("error", e.getMessage());
                        request.getRequestDispatcher("/loginpage").forward(request, response);
                    }
                });

        // 退出相关配置
        http.logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.sendRedirect(request.getContextPath() + "/index");
                    }
                });

        // 授权配置
        http.authorizeRequests()
                .antMatchers("/letter").hasAnyAuthority("USER", "ADMIN")
                .antMatchers("/admin").hasAnyAuthority("ADMIN")
                .and().exceptionHandling().accessDeniedPage("/denied");

        // 增加Filter,处理验证码
        http.addFilterBefore(new Filter() {
            @Override
            public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
                HttpServletRequest request = (HttpServletRequest) servletRequest;
                HttpServletResponse response = (HttpServletResponse) servletResponse;
                if (request.getServletPath().equals("/login")) {
                    String verifyCode = request.getParameter("verifyCode");
                    if (verifyCode == null || !verifyCode.equalsIgnoreCase("1234")) {
                        request.setAttribute("error", "验证码错误!");
                        request.getRequestDispatcher("/loginpage").forward(request, response);
                        return;
                    }
                }
                // 让请求继续向下执行.
                filterChain.doFilter(request, response);
            }
        }, UsernamePasswordAuthenticationFilter.class);

        // 记住我
        http.rememberMe()
                .tokenRepository(new InMemoryTokenRepositoryImpl())
                .tokenValiditySeconds(3600 * 24)
                .userDetailsService(userService);
    }

转发和重定向

区别转发forward()重定向sendRedirect()
根目录包含项目访问地址没有项目访问地址
地址栏不会发生变化会发生变化
哪里跳转服务端进行跳转浏览器端进行跳转
请求域中数据不会丢失会丢失

转发:请求转发重定向:请求重定向认证成功后,结果会通过 SecurityContextHolder存入SecurityContext中。

@RequestMapping(path = "/index", method = RequestMethod.GET)
    public String getIndexPage(Model model) {
        // 认证成功后,结果会通过SecurityContextHolder存入SecurityContext中.
        Object obj = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if (obj instanceof User) {
            model.addAttribute("loginUser", obj);
        }
        return "/index";
    }
牛客网项目---6.2.使用Spring Security实现登录功能
gouhanchi的博客
07-14 645
1.导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.废弃原来的登录拦截器 import com.nowcoder.community.
BBS论坛项目相关-15:置顶,加精,删除功能模块
hjukyjhg56的博客
08-17 1446
BBS论坛项目相关-15:置顶,加精,删除功能模块 需求 置顶,加精,删除,修改帖子类型 权限管理:版主可以执行置顶,加精操作,管理员可以删除 按钮显示:版主可以看到置顶,加精按钮,管理员可以看到删除按钮 置顶,加精,删除 注意置顶,加精等功能都需要对帖子进行更新操作,所以需要触发topic发帖事件,在事件中更新ES相关帖子详情。最后返回一个json字符串,异步提醒设置完毕 // 置顶 @RequestMapping(path = "/top", method = RequestMethod.POS
SpirngBoot整合SpringSecurity简单示例
weixin_43599265的博客
09-28 178
相关pom依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> ..
牛客网后端项目实战(三十八):Spring Security介绍
weixin_42033436的博客
05-30 493
Spring Security简单使用 实体类 public class User implements UserDetails { private int id; private String username; private String password; private String salt; private String email; private int type; private int status; private .
BBS论坛项目相关-14:Spring Security与用户权限控制
hjukyjhg56的博客
08-17 787
BBS论坛项目相关-14:Spring Security与用户权限控制 需求: 登录检查:之前使用拦截器实现,现在改为SpringSecurity实现 授权配置:对当前系统内所含的所有的请求,分配访问权限(普通用户,版主,管理员) 认证方案:绕过security认证流程,采用原本的认证方案 CSRF配置:防止CSRF攻击的基本原理,以及表单、AJAX相关的配置。 授权配置 在常量接口中配置用户权限常量。 public interface CommunityConstant { /**
Spring Security入门教程:利用Spring Security实现安全控制
最新发布
2401_86400206的博客
09-08 383
对于面试还是要好好准备的,尤其是有些问题还是很容易挖坑的,例如你为什么离开现在的公司(你当然不应该抱怨现在的公司有哪些不好的地方,更多的应该表明自己想要寻找更好的发展机会,自己的一些现实因素,比如对于我而言是现在应聘的公司离自己的家更近,又或者是自己工作到达了迷茫期,想跳出迷茫期等等)Java面试精选题、架构实战文档你的支持,我的动力;祝各位前程似锦,offer不断!加入社区:https://bbs.youkuaiyun.com/forums/4304bb5a486d4c3ab8389e65ecb71ac0。
阿里出品的Spring-Security神仙级教程(思维导图+源代码+笔记+项目
2401_84584873的博客
05-15 963
由于篇幅限制,小编在此截出几张知识讲解的图解本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】](https://bbs.youkuaiyun.com/forums/4f45ff00ff254613a03fab5e56a57acb)收录**需要这份系统化的资料的朋友,可以点击这里获取。
spring security loginProcessingUrl无效问题
wzq1915414095的博客
11-24 9258
近几天被一个朋友问道了一个loginProcessingUrl设置后无效的问题。 他的登陆页面的接口是 /loginpage 这个前端页面的登陆按钮请求的url是 /login/doLogin 前端页面代码如下 <form action="/login/doLogin" method="post"> <input type="text" name="username" /> <input type="password" name="password"/>
实战:功能强大齐全BBS论坛项目Echo简介
为无为,事无事,味无味。
07-15 1020
Echo 是一套前后端不分离的开源社区系统,基于目前主流 Java Web 技术栈(SpringBoot + MyBatis + MySQL + Redis + Kafka + Elasticsearch + Spring Security + ...),并提供详细的开发文档和配套教程。
Spring-Boot-Bbs:Spring启动公告板
05-19
在“Spring-Boot-Bbs项目中,我们可以配置Spring Security,为用户提供注册、登录功能,并控制对公告板的访问权限。 最后,测试是保证代码质量的关键步骤。Spring Boot提供了丰富的测试支持,括单元测试和集成...
开源bbs源码java-BBS:Hiskey的论坛
06-06
bbs 源码 java 技术栈 JDK8 Spring-Boot1.5.8 Spring-Security Spring-JPA Hibernate-Search5.8.0 Freemarker Sqlite(或MySQL) Bootstrap3 Ehcache 呃,就是spring全家桶 特性 社区兼容性(IE9+) 页面自适应布局 ...
开源bbs源码java-NEW-BBS:新购物
06-06
bbs 源码 java 技术栈 JDK8 Spring-Boot1.5.8 Spring-Security Spring-JPA Hibernate-Search5.8.0 Freemarker Sqlite(或MySQL) Bootstrap3 Ehcache 呃,就是spring全家桶 特性 社区兼容性(IE9+) 页面自适应布局 ...
Spring Boot项目05 - BBS项目源码
08-07
在本项目"Spring Boot项目05 - BBS项目源码"中,我们深入探讨了如何使用Spring Boot构建一个在线论坛BBS)系统。这个项目的核心是利用Spring Boot的便捷特性和强大的功能来搭建后端服务,并结合前端页面实现用户...
Spring事务及其注解
hjukyjhg56的博客
04-20 1694
Spring事务及其注解目录页Spring事务相关Spring事务的表达方式Spring事务的原理本质Spring和事务的关系Spring事务三要素事务的传播特性事务常出现的问题事务的隔离级别事务超时事务的只读属性事务的回滚规则Spring事务的注解配置事务注解的本质Spring声明式事务实现原理AOP与AspectJ的区别:Spring事务加载过程: Spring事务相关 Spring事务是Spring框架中的重要知识点,本文只是对之前秋招的学习成果进行简单总结。 Spring事务的表达方式 sprin
BBS论坛项目相关-18:热帖排行模块
hjukyjhg56的博客
08-17 1256
BBS论坛项目相关-18:热帖排行模块 热帖排行 根据帖子是否加精,评论数,点赞数,收藏数以及发布时间等进行计算加分然后排名 Log(精华分+评论数10+点赞数2+收藏数*2)+(发布时间-纪元) 用log让前期评论点赞等权重较重,后期影响较小。 为了效率较高,每次点赞评论等不立即进行算分,而是放入redis中进行缓存,之后定时进行计算。 设计一个帖子分数的key,当发生点赞评论等操作时就存入redis中。 redis中只是存储帖子分数发生变化的帖子id,所以使用redis的set存储,去重,防止重复计算。
BBS论坛项目相关-17:Spring Quartz任务执行和调度
hjukyjhg56的博客
08-17 772
BBS论坛项目相关-17:Spring Quartz任务执行和调度 任务执行和调度 线程池就是首先创建一些线程,它们的集合称为线程池。使用线程池可以很好地提高性能,线程池在系统启动时即创建大量空闲的线程,程序将一个任务传给线程池,线程池就会启动一条线程来执行这个任务,执行结束以后,该线程并不会死亡,而是再次返回线程池中成为空闲状态,等待执行下一个任务。 JDK线程池: ExecutorService :普通线程池 ScheduledExecutorService:可执行定时任务的线程池 Spring线程池:
BBS论坛项目相关-16:Redis高级数据类型
hjukyjhg56的博客
08-17 756
BBS论坛项目相关-16:Redis高级数据类型 HyperLogLog 采用一种基数算法,用于完成独立总数的统计 占据空间小,无论统计多少个数据,只占12k的内存空间 不精确的统计算法,标准误差为0.81% // 统计20万个重复数据的独立总数. @Test public void testHyperLogLog() { String redisKey = "test:hll:01"; for (int i = 1; i <= 100000; i++
Springboot随手记
hjukyjhg56的博客
06-19 699
Spring学到哪写到哪,随便写写Spring底层IOC控制反转的发展Bean注入SpringBoot创建Bean实例的过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 Spring底层 IOC控制反转的发展 IOC控制反转是一
JAVA企业论坛实战:Spring框架下的BBS项目开发
资源摘要信息:"BBS.rar_Spring实战_java企业bbs_java实战项目" 知识点: 1. Spring框架技术:Spring是一个开源的Java平台,它最初由Rod Johnson创建,并且在2003年首次发布。Spring框架的核心特性可以用于任何Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值