Spring Security实战

最新推荐文章于 2024-03-25 21:52:14 发布
最新推荐文章于 2024-03-25 21:52:14 发布
阅读量797 收藏 1
点赞数
分类专栏: 传值健康 文章标签: spring java eureka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_64702880/article/details/124602122
版权

配置环境:

第一步:在health_parent父工程的pom.xml中导入Spring Security的maven坐标

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>${spring.security.version}</version>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-config</artifactId>
  <version>${spring.security.version}</version>
</dependency>

第二步:在health_backend工程的web.xml文件中配置用于整合Spring Security框架的过滤器DelegatingFilterProx 必须加它

<!--委派过滤器,用于整合其他框架-->
<filter>
  <!--整合spring security时,此过滤器的名称固定springSecurityFilterChain-->
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

实战:

必须实现这个接口的实体类 的loadUserByUsername方法 这个方法的返回值是UserDetails 一般返回它的子类 org.springframework.security.core.userdetails.User; 里面三个属性

第一个:用户名

第二个:密码 

第三个:权限集合 List<GrantedAuthority> list = new ArrayList<>(); 具体的权限角色信息存储入这里返回

          查出来的权限角色添加方式: list.add(new SimpleGrantedAuthority(role.getKeyword()));用于新增(权限或角色信息)用于返回

第一步:在health_backend工程中按照Spring Security框架要求提供SpringSecurityUserService,并且实现UserDetailsService接口

package com.itheima.service;

import com.alibaba.dubbo.config.annotation.Reference;
import com.itheima.pojo.Permission;
import com.itheima.pojo.Role;
import com.itheima.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;
import java.util.Set;

@Component
public class SpringSecurityUserService implements UserDetailsService {

       @Reference
       private Userservice userservice;

    //根据用户名查询用户信息
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    //根据用户名查询
       User user= userservice.findByUserName(username);
       //储存权限的集合 用于返回给securitu
        List<GrantedAuthority> list=new ArrayList<GrantedAuthority>();
       //判断
        if (user==null){ return null ;};
        //取出密码数据
        String password = user.getPassword();
//        进行权限赋值
         //1.取出用户的角色集合
        Set<Role> roleSet = user.getRoles();
        if (roleSet==null){return null;}
        //2;遍历角色集合 取出权限数据 将角色信息和权限信息 存入list集合
        for (Role role : roleSet) {
            //2.1取出角色的关键吃 进行存储
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            //2.2获得该角色的权限集合
            Set<Permission> permissions = role.getPermissions();
            //2,3遍历权限集合 将它的关键字存储入list
            for (Permission permission : permissions) {
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }

        }

        //新建一个UserDetails的子类 存用户名 密码 权限集合 进行返回
        org.springframework.security.core.userdetails.User securityUser=new org.springframework.security.core.userdetails.User(username,password,list);
        System.out.println(securityUser);
        return securityUser;
    }
}

第二步:创建UserService服务接口、服务实现类、Dao接口、Mapper映射文件等

第三步: 第二步的东西需要根据用户名 查出来密码和权限 角色信息

内部查询需要查出来密码 和 具体的角色权限信息 用于返回信息

第四步:在health_backend工程中提供spring-security.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                          http://www.springframework.org/schema/security
                          http://www.springframework.org/schema/security/spring-security.xsd">

    <!--
        http:用于定义相关权限控制
        指定哪些资源不需要进行权限校验,可以使用通配符
    -->
    <security:http security="none" pattern="/js/**" />
    <security:http security="none" pattern="/css/**" />
    <security:http security="none" pattern="/img/**" />
    <security:http security="none" pattern="/plugins/**" />
  
    <!--
        http:用于定义相关权限控制
        auto-config:是否自动配置
                        设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
                        设置为false时需要显示提供登录表单配置,否则会报错
        use-expressions:用于指定intercept-url中的access属性是否使用表达式
    -->
    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--
            intercept-url:定义一个拦截规则
            pattern:对哪些url进行权限控制
            access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
				  请求的用户只需拥有其中的一个角色就能成功访问对应的URL
            isAuthenticated():已经经过认证(不是匿名用户)
        -->
        <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />
        <!--form-login:定义表单登录信息-->
        <security:form-login login-page="/login.html"
                             username-parameter="username"
                             password-parameter="password"
                             login-processing-url="/login.do"
                             default-target-url="/pages/main.html"
                             always-use-default-target="true"
                             authentication-failure-url="/login.html"
        />
        
        <!--
            csrf:对应CsrfFilter过滤器
            disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,
					否则登录操作会被禁用(403)
        -->
        <security:csrf disabled="true"></security:csrf>
    </security:http>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder" 
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <!--认证管理器,用于处理认证操作-->
    <security:authentication-manager>
        <!--认证提供者,执行具体的认证逻辑-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--指定密码加密策略-->
            <security:password-encoder ref="passwordEncoder" />
        </security:authentication-provider>
    </security:authentication-manager>

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />
</beans>

第五步

Spring Security实战系列】Spring Security实战(一)
每一名出色的架构师,必定是一位优秀程序员
09-07 6734
一 概要 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 如何使用spring security,总共有四种用法,从简到深为: 1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo; 2、使用数据库,根据spring securi
全网首发阿里内部Spring Security项目实战搭建
欢迎来到我的博客
12-24 4578
Spring Security 的前身是 Acegi Security,在被收纳为Spring 子项目后正式更名为Spring Security。在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框架,支持更加现代化的密码加密方式。 可以预见,在Java应用安全领域,Spring Security会成为被首先推崇的解决方案,就像我们看到服务器就会联想到Linux一样顺理成章 总目录: 声明:Spring Security王者晋级文档 以及相
一篇搞懂springsecurity项目实战(纯干货)
BASK2311的博客
03-25 1106
目前来看比较合适的开源项目就是若依,有时间可以拉下来源码看下,另外说句题外话推荐下我自己的AI平台,国内稳定使用gpt3.5等AI模型:BoomAI一般的认证授权的表设计是基于RBAC权限模型设计的,若依的权限设计一共5个表用户实体表,代码如下: java复制代码对于的表sql如下: sql复制代码角色实体表,代码如下: java复制代码对应表的创建 SQL 如下: sql复制代码字段都写上注释,不多解释 roleKey 属性,对应的角色标识字符串,可以对应多个角色标识,使用逗号分隔
Spring-Securty(Spring安全框架):项目实战
热门推荐
weixin_48972377的博客
11-01 3万+
一、简单了解 Spring-securitySpring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的事实标准。 Spring Security是一个重点为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求 1.1 构建Spring-Boot项目,并导入依赖 Gradle: implementation 'org.springframewor
[Springsecurity]springsecurity 基础实战
green hand的博客
06-02 461
spring security入门实战,描述了基本组件。spring security基于spring Aop原理开发的一个认证鉴权组件。
Spring Security 实战干货.pdf
04-22
Spring Security 实战干货.pdf
SpringSecurity实战
最新发布
04-15
SpringSecurity实战
SpringSecurity实战代码
11-04
实战代码将带你深入理解并实际操作SpringSecurity的核心功能,包括用户认证与授权、注销、权限限制、"记住我"功能以及首页定制。 1. 用户认证与授权:在SpringSecurity中,认证过程是识别用户身份,而授权则是...
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring ...
SpringSecurity实战教程.txt
12-21
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,...
Spring Security实战例子
09-08
Spring Security实战例子资源里面有4个小项目,都是利用maven搭建的。数据库要建立一个security的表
springsecurity实战(一)
qq_19126341的博客
04-16 381
前言 一个良好的认证服务应该同时支持以下几点: 同时支持多种认证方式 同时支持多种前端渠道 支持集群环境,跨应用工作,防护与身份认证相关的攻击 完成这样的工作不难,如何写出可重用可扩展的代码来,可能就需要多花一些心思。下面就给我一起实战起来吧。 项目搭建 工程结构 jy-security 该工程是一个聚合工程.在该工程中我们先引入spirng io platform和spring clo...
springcloud入门到精通系列】1.准备工作创建父项目设置环境
Andyluna的博客
12-19 370
1.准备工作 项目采用idea创建、使用maven构建工具 修改/etc/hosts 在最下面 新增4行配置 127.0.0.1 eureka01 127.0.0.1 eureka02 127.0.0.1 eureka03 127.0.0.1 eureka04 2.新建一个项目spring-cloud-study父项目,用来管理所有spring cloud项...
SpringSecurity实战解析
Shawn的个人博客
04-07 1099
提供了两种认证方式:HttpBasic 认证和 HttpForm 表单认证。HttpBasic 认证不需要我们编写登录页面,当浏览器请求 URL 需要认证才能访问时,页面会自动弹出一个登录窗口,要求用户输入用户名和密码进行认证。大多数情况下,我们还是通过编写登录页面进行 HttpForm 表单认证(现在默认是这个模式)一般认证成功后的用户信息是通过 Session 在多个请求之间共享,实现将已认证的用户信息对象 Authentication 与 Session 绑定要开启Spring方法级安全,在添加了。
SpringSecurity最全实战讲解
roykingw的专栏
09-28 3596
文章目录Spring Security 专题一、基本概念认证授权会话RBAC模型二、一个自己实现的权限模型 BasicAuth:三、SpringBoot Security 快速上手1、项目搭建步骤2、用SpringBoot Security重新实现我们上个应用的认证和授权逻辑。3、项目测试4、了解SpringBoot Security项目的扩展点四、SpringBoot Security工作原理1、 结构总览2、认证流程2.1 AuthenticationProvider接口:认证处理器2.2 Authen
带你了解SpringSecurity,快来看看SpringSecurity实战总结~
老男孩的架构路
11-09 808
Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是 Spring 家族中的成员。Spring Security基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。主要包括“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
阿里内部强推的SpringScurity实战笔记,与君共分享
老男孩的架构路
09-21 591
Spring Scurity 的前身是Acegi Security, 在被收纳为Spring子项目后正式更名为Spring Security。现已升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框架,支持更加现代化的密码加密方式。可以预见,在Java应用安全领域,Spring Security 会成为被首先推崇的解决方案,就像我们看到服务器就会联想到Linux一样顺理成章。
Spring Security实战系列源码解析与运行指南
标题所揭示的知识点聚焦于“Spring Security实战源码”,这表明内容涉及的是以Spring Security为核心的安全框架的实际应用与源码分析。Spring Security是广泛应用于Java EE应用程序的安全框架,特别强调保护Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值