spring-security settings

最新推荐文章于 2024-08-14 22:00:00 发布
原创 最新推荐文章于 2024-08-14 22:00:00 发布 · 159 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Security #Spring #配置管理 #Bean #IOC

本文详细介绍 Spring Security 的配置过程,包括 URL 拦截、登录登出设置、Session 管理等核心功能,并实现了自定义的安全拦截器及用户详细服务。
<http auto-config="true">
<!-- 配置需要拦截的 URL, 以及访问该 url 的权限 -->
<!--
<intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
<intercept-url pattern="/index.jsp" access="ROLE_USER, ROLE_USER"/>
-->

<!-- 配置登录页面 -->
<form-login login-page="/login.jsp"
login-processing-url="/login"/>

<!-- 配置登出 -->
<logout logout-url="/logout"/>

<!-- 配置 Session 管理 -->
<concurrent-session-control exception-if-maximum-exceeded="true"/>
</http>


<!-- 配置获取资源的 ResourceDetailsService 接口的实现类的 Bean -->
<beans:bean id="resourceDetailsService"
class="cn.itcast.spring.security.ResourceDetailsServiceImpl">
<beans:property name="jdbcTemplate" ref="jdbcTemplate"/>
</beans:bean>

<!-- 在 Spring 的 IOC 容器中配置自定义的 DefaultFilterInvocationDefinitionSource 实现 -->
<beans:bean id="objectDefinitionSource"
class="cn.itcast.spring.security.DefaultFilterInvocationDefinitionSourceBean">
<beans:property name="resourceDetailsService" ref="resourceDetailsService"/>
</beans:bean>

<!--
在 Spring 的 IOC 容器中重新定义 FilterSecurityInterceptor, 并为其装配 objectDefinitionSource 属性
因为在 FilterSecurityInterceptor Bean 中还有许多属性, 其它属性需要使用自动装配的方式
-->
<beans:bean
class="org.springframework.security.intercept.web.FilterSecurityInterceptor"
autowire="byType">
<beans:property name="objectDefinitionSource" ref="objectDefinitionSource"/>
<!-- 以下配置可以使当前配置的 FilterSecurityInterceptor Bean 取代系统的默认 FilterSecurityInterceptor -->
<custom-filter before="FILTER_SECURITY_INTERCEPTOR"/>
</beans:bean>

<!-- 用户详细服务 -->
<beans:bean id="userDetailsService"
class="cn.itcast.spring.security.UserDetailsServiceImpl">
<beans:property name="jdbcTemplate" ref="jdbcTemplate"/>
</beans:bean>

<!-- 配置用户信息 -->
<authentication-provider user-service-ref="userDetailsService">
<!-- 对密码进行 MD5 加密 -->
<password-encoder hash="md5">
<salt-source user-property="username"/>
</password-encoder>
</authentication-provider>
mcfly57
关注
spring mybatis 设置settings操作
xinbaobaoer的博客
12-29 6244
mybatis spring配置原生配置
Spring Boot 3.5.0新特性发布,spring-security-oauth2-authorization-server使用1.5.2
曼陀罗的博客
06-03 2476
Prometheus Client 1.0.0是一个备受期待的流行 Java 指标库版本,它包含一些突破性的变化,包括但不限于对本机直方图的内置支持、与 OpenTelemetry 跟踪的无缝集成以及对 OpenTelemetry Exporter 的支持。spring-boot-actuator 模块现在包含 SBOM 端点。Spring Boot 进入了全新的 3.x 时代了,3.1.x 和 3.0.x 也相继停止维护了,商业支持的版本也只有 2.7+ 了,2.6.x 以下的版本彻底退出历史舞台。
Spring Setting
weixin_30307267的博客
04-05 204
Spring 会 根据版本不同所要求的 lib 都不一样。。 请认真确认下 建完project 第一个要看的就是 web.xml 红色字体:file名 根据不同请自行变动 褐色字体: 变数名 可以有不同 紫色字体: controller 接近ext 灰色底部: 我的spring是 3.0.7relase 如果你的lib 不一样这里也会有所不同 请注意 前奏...
MySQL安装时apply security settings错误
大神编程靠左脑,水货编程靠鼠标。。。
01-18 836
转自:http://topic.youkuaiyun.com/u/20090613/16/e9ab3a56-06c4-40dd-8a45-728a64e2dd60.html 今天为了安装MySQl,先是start service 不通过,再是Apply security settings 不通过(报了个1045的Error),后来终于搞到它通过了,解决办法如下: 解决办法1. 卸载重装,不设roo
安装MySql时apply security settings报错解决方法
07-03
解决apply security settings报错
Mysql安装过程中出现apply security settings错误的解决方法
IcebergSteven的博客
06-27 2万+
在学习Mysql的过程中,首先要安装Mysql。然而在第一遍安装过程中难免会出现安装错误的时候,当卸载后第二次安装(或者第三次甚至更多次)的时候,往往在安装最后一步会出现apply security settings错误。现在网上存在的普遍方法可能对绝大多数人的问题都不适用,究其原因是因为你没有将之前安装失败的残留文件彻底清除干净,最可能被你忽视的就是一个隐藏文件夹的配置你没有删除。
spring-boot-3.2.6+spring-security-6.2.4+oauth2整合github示例
sjy_2010的专栏
08-14 940
spring-boot-3.2.6+spring-security-6.2.4+oauth2整合github示例
spring-security-oauth2-authorization-server官方默认初始化数据库sql(详细注释版)
weixin_43887251的博客
07-31 690
注释解释了每个表的用途以及各列的含义。
springmvc4+spring4+mybatis3+spring-security3的环境搭建
11-23
在本文中,我们将深入探讨如何搭建一个基于Spring MVC 4、Spring 4、MyBatis 3和Spring Security 3的开发环境。这个环境适用于构建企业级的Java Web应用程序,提供强大的模型-视图-控制器(MVC)架构、持久层解决...
spring-security-oauth2:测试输出
06-19
该项目为使用 Spring Security 和 OAuth (1a) 和 OAuth2 提供支持。 它提供了使用标准 SpringSpring Security 编程模型和配置习惯用法来实现这些协议的使用者和提供者的功能。 入门 从或克隆,然后使用 Maven ...
spring 面试题及答案
u011510160的专栏
05-14 1580
目录 Spring 概述依赖注入Spring beansSpring注解Spring数据访问Spring面向切面编程(AOP)Spring MVC Spring 概述 1. 什么是spring? Spring 是个java企业级应用的开源开发框架。Spring主要用来开发Java应用,但是有些扩展是针对构建J2EE平台的web应用。Spring 框架目标是简化Java企业级应用开发,并
Android系统中增加Settings中的自定义Key值
分享技术与经验的博客
09-22 5300
Android系统中增加Settings中的自定义Key值 Settings.Global:全局系统设置 Settings.Secure:安全系统设置 Settings.System:系统设置
Spring Security打造一个简单Login登录页面,实现登录+跳转+注销+角色权限功能,核心代码不到100行!
m0_59562547的博客
10-20 6075
#Spring Security简介 信息安全可以说是任何公司的红线,一般项目都会有严格的认证和授权操作。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,来自于Spring家族,专注于为 Java 应用程序提供身份验证和授权,它是保护基于Spring应用程序的事实上的行业标准。 就我理解和使用而言,Spring Security配置即用、功能强大、非常灵活,能将开发人员从大量安全协议和开发中解脱出来,更加专注于业务。 #Login登录页面设计思路和流程图: 认证和授
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码、短信验证码和github三种登录方式)
向心行者
09-15 9785
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
MySQL安装过程中出现“APPLY security settings错误”的解决方案
晓风残月xj
11-19 1万+
最近准备自学MySQL,于是对照网上的教程自己安装了一遍,结果由于某种原因准备卸载准备重新安装,但安装到最后一步提示“APPLY security settings错误”,四处寻找解决方案,始终无法解决。有人说关闭防火墙,用MySQL自带的卸载包卸载,手动清除所有关于MySQL的所有文件,用杀毒软件清空注册表,但始终提示那个错误,甚至有时还没到那一步就提示错误,一时半会不知道怎么解决,但坚信网络的力量,最终成功解决了。鉴于网上的其他资料太杂,在此汇总一下,希望能帮助到那些同样困惑的朋友!
MySQL安装applying security settings错误解决方案
不要和代码过不去
07-02 2万+
第一:卸载已经安装的MySQL程序 第二:c盘搜索mysql  相关的mysql文件全部删除。 第三:删除注册表信息 HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Eventlog/Applications/MySQL HKEY_LOCAL_MACHINE/SYSTEM/ControlSet
SpringBoot2基础(一) settings.xml配置maven源、注册组件、配置绑定
一直走,不要回头
06-09 2963
基本要求 java8及以上,maven 3.3及以上
Mysql安装时出现APPLY security settings错误
热门推荐
x-long
10-28 3万+
最近在学习drupal的过程中,其安装之前需要的环境为PHP+Mysql+Apache,而在对应的安装Mysql,却在安装时出现了APPLY security settings错误,经过许久的揣摩,发现第一次安装时不会出现这样的错误,而在重新安装时,就会很容易的出现apply security setting error(access denied for user 'root@localhost
MySQL重新安装出现 Apply security settings问题(已解决)
AsajuHuishi的博客
12-10 2232
今天重新安装MySQL5.5,首先在控制面板卸载了原来的MySQL,安装新的却卡在了最后一步。按照一些教程的方法,修改了MySQL的名称为“MySQL5”,仍然会卡在Apply security settings这个位置。解决办法如下: 关闭所有杀毒软件 在Everything查找MySQL,删除名称为MySQL的文件夹 主要考虑的位置:一个是C盘的Program Files、Program Files(x86),ProgramData,另外就是D盘或者E盘下面的Program Files、Program
spring-security-oauth2 + spring boot 3.3.5
最新发布
10-17
<think>我们在Spring Boot 3.3.5环境下讨论Spring Security OAuth2的使用和配置。根据引用[2]和[4],需要注意: 1. 传统的Spring Security OAuth2项目已经弃用,官方推荐使用Spring Authorization Server(内置在Spring Security 5.7+)。 2. 对于Spring Boot 3.x(包括3.3.5),应该使用spring-security-oauth2-authorization-server。 因此,在Spring Boot 3.3.5中,我们不会使用旧的spring-security-oauth2客户端库,而是使用新的Spring Authorization Server(用于构建授权服务器)和Spring Security OAuth2客户端(用于构建客户端应用)。 用户问题中提到了“接入GitHub社区登录”,这是一个典型的OAuth2客户端场景(即我们的应用作为客户端,使用GitHub作为授权服务器)。因此,我们重点讨论如何在Spring Boot 3.3.5中配置OAuth2客户端(使用GitHub登录)。 步骤: 1. 添加依赖 2. 配置GitHub OAuth2客户端信息 3. 配置安全规则 4. 创建用户服务(可选,用于将GitHub登录用户关联到本地用户) 注意:这里我们只讨论客户端配置(即使用GitHub登录),不讨论授权服务器(即我们自己提供OAuth2服务)。 具体步骤: 1. 添加依赖(Maven): ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> </dependency> ``` 2. 在`application.yml`(或`application.properties`)中配置GitHub客户端信息: ```yaml spring: security: oauth2: client: registration: github: # 注册ID,可以自定义,但通常用github client-id: your-github-client-id client-secret: your-github-client-secret scope: user:email # 根据需要申请scope,例如获取用户邮箱 ``` 注意:需要先在GitHub上注册OAuth应用(在GitHub的Settings -> Developer settings -> OAuth Apps中创建),获取client-id和client-secret。 3. 配置安全规则(Java配置): ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize .requestMatchers("/", "/login**", "/error**").permitAll() .anyRequest().authenticated() ) .oauth2Login(oauth2 -> oauth2 .loginPage("/login") // 自定义登录页面(可选) ); return http.build(); } } ``` 4. 如果需要自定义用户信息映射(例如,将GitHub返回的用户信息映射到我们自己的用户对象),可以配置一个自定义的`OAuth2UserService`: ```java import org.springframework.security.oauth2.client.userinfo.DefaultOAuth2UserService; import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest; import org.springframework.security.oauth2.core.user.OAuth2User; import org.springframework.stereotype.Service; @Service public class CustomOAuth2UserService extends DefaultOAuth2UserService { @Override public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2UserAuthenticationException { OAuth2User user = super.loadUser(userRequest); // 在这里进行自定义处理,例如提取用户信息并转换为本地用户 return user; } } ``` 然后在安全配置中指定这个自定义服务: ```java @Configuration @EnableWebSecurity public class SecurityConfig { private final CustomOAuth2UserService customOAuth2UserService; public SecurityConfig(CustomOAuth2UserService customOAuth2UserService) { this.customOAuth2UserService = customOAuth2UserService; } @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(authorize -> authorize // ... 同上 ... ) .oauth2Login(oauth2 -> oauth2 .userInfoEndpoint(userInfo -> userInfo .userService(customOAuth2UserService) ) ); return http.build(); } } ``` 常见问题及解决方案: 1. 问题:登录后无法获取用户邮箱? 原因:GitHub默认返回的用户信息中不包含邮箱,需要申请`user:email` scope,并且在获取用户信息时显式请求邮箱字段。 解决方案:在配置中确保scope包含`user:email`,并在自定义的`OAuth2UserService`中通过GitHub的API获取邮箱(因为邮箱信息在另一个端点)。 在`CustomOAuth2UserService`中,可以这样获取邮箱: ```java // 在loadUser方法内 String email = getEmailFromGitHub(userRequest.getAccessToken()); // 然后将邮箱信息添加到用户属性中 ``` 其中`getEmailFromGitHub`方法需要调用GitHub的API(https://api.github.com/user/emails)并解析返回的邮箱列表(可能需要选择主邮箱)。 2. 问题:在Spring Boot 3.x中配置OAuth2客户端时遇到属性无法解析? 检查依赖是否正确引入了`spring-boot-starter-oauth2-client`,并且配置的property路径是否正确(注意:在Spring Boot 3.x中,配置路径为`spring.security.oauth2.client.registration`)。 3. 问题:登录后重定向到/login?或者无限重定向? 检查安全配置中的`authorizeHttpRequests`,确保登录页面(如`/login`)和重定向的端点(如`/login/oauth2/code/*`)是允许访问的(上面示例中通过`/login**`已经允许了所有以/login开头的路径)。同时,确保错误页面(如`/error`)也允许访问。 4. 问题:使用Spring Boot 3.x时出现类或方法找不到? 确保没有引入旧的spring-security-oauth2-client依赖(如`org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure`),因为旧库不兼容Spring Boot 3.x。 总结:在Spring Boot 3.3.5中使用Spring Security实现GitHub登录,主要步骤是添加OAuth2客户端依赖、配置客户端注册信息、配置安全规则。如果需要更复杂的用户信息处理,可以通过自定义`OAuth2UserService`实现。 参考文献: [^1]: GitHub的OAuth2登录流程 [^2]: Spring Security OAuth2已弃用,推荐迁移到Spring Authorization Server [^4]: spring-security-oauth2-authorization-server与Spring Boot 3.x整合 §§相关问题§§ 1. 除了GitHub,如何在Spring Boot 3.3.5中配置Google登录? 2. 如何自定义OAuth2登录成功后的处理逻辑(比如重定向到特定页面)? 3. 在Spring Boot 3.3.5中如何同时配置多个OAuth2提供商(如GitHub和Google)? </think>在 Spring Boot 3.3.5 环境下使用 Spring Security OAuth2 进行 GitHub 社区登录的配置和使用方法如下(基于官方推荐的最新方案): ### 一、核心依赖配置 根据引用[2]和[4],**传统 Spring Security OAuth2 已弃用**,需使用新的授权服务器组件: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-oauth2-client</artifactId> <!-- 客户端支持 --> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-oauth2-authorization-server</artifactId> <version>1.1.2</version> <!-- 适配 Spring Boot 3.3.5 --> </dependency> ``` ### 二、GitHub OAuth2 登录配置 1. **GitHub 应用注册**: - 在 GitHub → Settings → Developer settings → OAuth Apps 创建应用 - 获取 `Client ID` 和 `Client Secret` - 设置回调地址:`http://localhost:8080/login/oauth2/code/github` 2. **application.yml 配置**: ```yaml spring: security: oauth2: client: registration: github: client-id: your_github_client_id client-secret: your_github_client_secret scope: user:email, read:user # 所需权限 provider: github: authorization-uri: https://github.com/login/oauth/authorize token-uri: https://github.com/login/oauth/access_token user-info-uri: https://api.github.com/user ``` ### 三、安全配置类 ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/", "/login**").permitAll() .anyRequest().authenticated() ) .oauth2Login(oauth2 -> oauth2 .loginPage("/login") // 自定义登录页 .defaultSuccessUrl("/home", true) // 登录成功跳转 ) .logout(logout -> logout .logoutSuccessUrl("/") ); return http.build(); } } ``` ### 四、用户信息处理(可选) 自定义用户映射服务: ```java @Service public class CustomOAuth2UserService extends DefaultOAuth2UserService { @Override public OAuth2User loadUser(OAuth2UserRequest request) { OAuth2User user = super.loadUser(request); Map<String, Object> attributes = user.getAttributes(); // 提取GitHub返回的用户信息(示例) String username = (String) attributes.get("login"); String email = (String) attributes.get("email"); // 构建本地用户实体 return new CustomUser(username, email, user.getAuthorities()); } } ``` ### 五、常见问题解决方案 1. **401 认证失败**: - 检查 GitHub 应用回调地址是否与配置一致 - 确认 `client-id` 和 `client-secret` 无拼写错误 - 确保 GitHub 应用的 `Authorization callback URL` 包含 `/login/oauth2/code/github` 2. **Scope 权限不足**: ```yaml # 增加所需权限 scope: - user:email - read:org ``` 3. **配置不生效**: - 确认使用 `@Configuration` 注解配置类 - 检查是否存在多个 `WebSecurityConfigurerAdapter` 冲突 4. **旧版兼容问题**: - 移除传统依赖 `spring-security-oauth2-autoconfigure` - 避免使用已弃用的 `@EnableOAuth2Client` 注解 ### 六、流程说明(OAuth2 授权码流程) 1. 用户访问 `/login` 重定向到 GitHub 授权页 2. GitHub 回调到 `/login/oauth2/code/github` 3. Spring Security 自动交换令牌并获取用户信息 4. 通过 `CustomOAuth2UserService` 映射为本地用户[^4] > **重要提示**:Spring Boot 3.x 必须使用 JDK 17+,授权服务器配置需严格遵循 [Spring Authorization Server 文档](https://docs.spring.io/spring-authorization-server/docs/current/reference/html/getting-started.html)[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值