二、SpringSecurity+auth2.0系列(form 表单模式)

最新推荐文章于 2025-04-21 06:00:00 发布
最新推荐文章于 2025-04-21 06:00:00 发布
阅读量358 收藏
点赞数
分类专栏: SpringSecurity+auth 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_38132995/article/details/120111608
版权

此模块基于模块一,读者可阅读本专栏

Form 表单模式 适合于传统模式项目 前端和后端都是我们java开发
修改配置完整代码如下

package com.thunisoft.spring_security.config;

import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.http.HttpStatus;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /**
         * 新增 HttpSecurity基础配置配置
         */
        // http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();


        /**
         * 新增HttpSecurity formLogin模式
         */
        //http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().formLogin();
        http.authorizeRequests().antMatchers("/addMember").hasAnyAuthority("addMember")
                .antMatchers("/delMember").hasAnyAuthority("delMember")
                .antMatchers("/showMember").hasAnyAuthority("showMember")
                .antMatchers("/editMember").hasAnyAuthority("editMember").
               // antMatchers("/**").fullyAuthenticated().and().formLogin()
                antMatchers("/login").permitAll().antMatchers("/**").fullyAuthenticated().and().formLogin()
                .loginPage("/login").and().csrf().disable();

    }


    /*
    * 新增授权账户
    * */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //新增一个用户为orange和admin用户,权限不一样
        auth.inMemoryAuthentication().withUser("admin").password("admin").authorities("addMember","delMember","editMember","showMember");
        auth.inMemoryAuthentication().withUser("orange").password("orange").authorities("showMember");
    }


    /**
     * 密码不做任何处理
     * @return
     */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder(){
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }





}

配置权限策略
在企业管理系统平台中,会拆分成n多个不同的账号,
每个账号对应不同的接口访问权限,
比如
账号admin所有接口都可以访问;
orange账户 只能访问/addMember接口;
代码如上代码中所示

如何修改403权限不足页面
在config包下新建配置类,代码如下

package com.thunisoft.spring_security.config;


import org.springframework.beans.factory.annotation.Configurable;
import org.springframework.boot.web.embedded.tomcat.TomcatServletWebServerFactory;
import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.servlet.server.ConfigurableServletWebServerFactory;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpStatus;

@Configuration
public class WebServerAutoConfiguration {
    /**
     * 授权失败调转页面
     * @return
     */
    @Bean
    public ConfigurableServletWebServerFactory webServerFactory() {
        TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
        ErrorPage errorPage400 = new ErrorPage(HttpStatus.BAD_REQUEST, "/error/400");
        ErrorPage errorPage401 = new ErrorPage(HttpStatus.UNAUTHORIZED, "/error/401");
        ErrorPage errorPage403 = new ErrorPage(HttpStatus.FORBIDDEN, "/error/403");
        ErrorPage errorPage404 = new ErrorPage(HttpStatus.NOT_FOUND, "/error/404");
        ErrorPage errorPage415 = new ErrorPage(HttpStatus.UNSUPPORTED_MEDIA_TYPE, "/error/415");
        ErrorPage errorPage500 = new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500");
        factory.addErrorPages(errorPage400, errorPage401, errorPage403, errorPage404, errorPage415, errorPage500);
        return factory;
    }
}

在controller包下新建errorcontroller类
代码如下:

package com.thunisoft.spring_security.controller;


import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class ErrorController {



    @RequestMapping("/error/403")
    public String error403() {
        return "您当前访问的接口权限不足!";
    }


    @RequestMapping("/error/400")
    public String error400() {
        return "您当前请求异常!";
    }

    @RequestMapping("/error/401")
    public String error401() {
        return "您的状态未认证!";
    }

    @RequestMapping("/error/404")
    public String error404() {
        return "页面未查询到!";
    }

    @RequestMapping("/error/415")
    public String error415() {
        return "请求格式错误!";
    }

    @RequestMapping("/error/500")
    public String error500() {
        return "服务器内部错误!";
    }

}

登陆页面
包controller新建登录类
代码如下

package com.thunisoft.spring_security.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class LoginController {
    @RequestMapping("/login")
    public String login() {
        return "login";
    }
}

导入freemarker依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-freemarker</artifactId>
</dependency>

自定义登录页面login.ftl
在resource下新建templates,新建这个文件

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <meta http-equiv="Content-Type" content="text/html;
            charset=ISO-8859-1">
    <title>Insert title here</title>
</head>
<body>

<h1>权限控制登陆系统</h1>
<form action="/login" method="post">
    <span>用户名称</span><input type="text" name="username"/> <br>
    <span>用户密码</span><input type="password" name="password"/> <br>
    <input type="submit" value="登陆">

</form>

<#if RequestParameters['error']??>
用户名称或者密码错误
</#if>
</body>
</html>

配置application.yml
次数为配置页面的参数

spring:
  freemarker:
    settings:
      classic_compatible: true
      datetime_format: yyy-MM-dd HH:mm
      number_format: 0.##
    suffix: .ftl
    template-loader-path: classpath:/templates

运行项目,进行登录测试

Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8263
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
oauth2.0 mysql设计_OAuth2.0系列之信息数据库存储实践(六)
weixin_35822534的博客
02-19 1120
@1、OAuth2.0信息存储方式在前面文章中我们学习了OAuth2的一些基本概念,对OAuth2有了基本的认识,也对OAuth2.0的几种授权模式进行了实践,比如授权码模式在前面的学习中,我们配置客户端信息,一般会如下配置,如果有多个客户端的话,就复制一遍,修改一些参数,很显然,这种在生产环境是不适应的,所以Spring Security OAuth2是有提供几种存储方式的,默认是基于内存存储@...
springBoot+security+oauth2 资源和认证分离的密码模式
08-09
springBoot+security+oauth2 资源和认证分离的密码模式
一、SpringSecurity+auth2.0系列(Basic基础认证)
qq_38132995的博客
09-04 1043
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 **Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(.
SpringSecurity资源服务器:OAuth2ResourceServer配置
最新发布
程序媛学姐的博客
04-21 939
在实际应用中,通常需要从JWT令牌中提取额外的信息,如用户角色、权限等,并将其转换为Spring Security认可的Authentication对象。Spring Security提供了JwtAuthenticationConverter接口,可以自定义JWT到Authentication的转换逻辑。@Component// 设置权限声明的key,默认是scope或scp// 设置权限前缀,默认是SCOPE_@Override。
SpringSecurity配置form表单登录
weixin_45633353的博客
11-04 386
SpringSecurity 依赖包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 几个重要的接口 一. passwordEncoder encode 方法用来对明文密码进
java微服务 Spring Security+oauth2form提交 鉴权
wangmj518的专栏
10-03 260
场景:微服务系统中使用oauth2 的 Bearer 方式鉴权,对于from提交的数据,无法鉴权,百度的富文本编辑器 ueditor 中上传图片都是使用form 伪ajax提交,导致401。1、修改百度富文本编辑器的源码ueditor.all.min.js,在调用上传图片方法的时候,加入额外参数。4、在后台的过滤器中进行处理,针对接收到的额外参数,5、重写 getHeaders 方法。3、修改复制的图片自动上传的方法。2、还有修改doAjax方法。
认证中心(单点登陆)之SpringSecurity+OAuth2
hukehukehukehuke的博客
08-25 885
认证中心(单点登陆)之SpringSecurity+OAuth2
Spring_Security+JWT+oauth2.0
柊泓迅的博客
07-05 1165
引入sercurity依赖之后,当访问后台资源,security都会判断你是否登录,没有登录就跳到登陆页面。(除了你放行的请求) 账户密码是security默认给的,user , 密码是随机生成的。SpringSecurity 本质是一个过滤器链: 从启动是可以获取到过滤器链:遇到相关请求就会执行相关拦截判断 代码底层流程:重点看三个过滤器: FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。 super.beforeInvocation(fi)
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1323
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Oauth2+jwt+redis+cookie+springsecurity+springboot+springcloud(用户登录认证授权)
种一颗十年前的树
02-25 6528
用户认证分析 1). 单点登录 一处登录 , 处处运行 ; SSO —> Single Sign On 作用: A. 解决集群环境下的登录问题 ; B. 解决多套互信的系统之间的登录问题 ; ----------> 天猫 , 淘宝 , 天猫超市 , 天猫国际 ; 2). 第三方登录 QQ登录 微博登录 微信登录 认证解决方案 1). 单点登录流程 2). 第三方登录 第三方登...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3816
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Auth2.0 java方式实现代码
qililong88的博客
04-27 6165
在对接的时候用到了Auth2.0,对方用的C#写的项目并给我发了如下的demo: 官网:https://getkong.org/plugins/oauth2-authentication/ 会linux的应该能看懂,直接在linux里执行却不通,后来在¥ curl 后加  "-k"之后就访问通了,原来是因为他用的HTTPS,需要认证,但是没有证书,所以要加上忽略 服务器认证证书,
SpringSecurity()表单登录之登录认证
黄沙客栈
08-17 617
SpringSecurity()表单登录之登录认证 springsecurity是spring推荐的安全权限框架,今天我们来看看它的原理,后面会放github地址 springsecurity包含了两部分:登录认证和访问授权 1.登录认证 –首先我们来看看表单登录,表单登录需要在security配置类里面配置HttpSecurity 的 formLogin @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnable
OAuth 2.0微服务身份认证():java实现过程
kylin058的博客
08-23 1万+
Spring Boot 有了Spring Boot这样的神器,可以很简单的使用强大的Spring框架。你需要关心的事儿只是创应用,不必再配置了,“Just run!”,这可是Josh Long每次演讲必说的,他的另一句必须说的就是“make jar not war”,这意味着,不用太关心是Tomcat还是Jetty或者Undertow了。专心解决逻辑问题,这当然是个好事儿,部署简单了很
OAuth2.0结构以及字段说明
xiangjunyes的博客
11-27 3404
官方sql地址 https://github.com/spring-projects/spring-security-oauth/blob/master/spring-securityoauth2/src/test/resources/schema.sql github 访问的比较缓慢。sql贴在下面了 /* SQLyog Ultimate v12.08 (64 bit) MySQL - 8.0.16 : Database - security_authority *********************
Spring常用的接口和类(三)
caomiao2006的专栏
07-10 968
一、CustomEditorConfigurer类      CustomEditorConfigurer可以读取实现java.beans.PropertyEditor接口的类,将字符串转为指定的类型。更方便的可以使用PropertyEditorSupport。PropertyEditorSupport实现PropertyEditor接口,必须重新定义setAsText。     
oauth2.0 java_[JavaWeb]SpringSecurity-OAuth2.0 统一认证、资源分离的配置,用于分布式架构、模块化开发的认证体系...
weixin_36128239的博客
02-13 318
首先是 Dao 的配置文件:application-dao.xml1 2 3 xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"4 xmlns:context="http://www.springframework.org/schema/context"5 xsi:schemaLocation="http://www.springframew...
Spring Security()OAuth2认证详解
热门推荐
乌龟的专栏
08-11 1万+
1、OAuth2.0 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。 1.1 OAuth2.0 相关名词解释 Resource owner(资源拥有者):拥有该资源的最终用户,他有访问资源的账号密码; Resource server(资源服务器):拥有受保护资源的服务器,如果请求包含正确的访问令牌,可以访问资源; Client(客户端):访问资源的客户端,会使用访问令牌去获取资源服务器的资源,可
用spring security Oauth2.0写一个授权登录的详情步骤流程
05-26
使用 Spring Security OAuth2.0 实现授权登录的步骤如下: 1. 添加 Spring Security OAuth2.0 依赖:在 `pom.xml` 文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.3.4.RELEASE</version> </dependency> ``` 2.一个实体类 `User`,用来示用户信息,包括 `id`、`username`、`password`、`roles` 等信息。 3.一个 `UserDetailsService` 接口的实现类 `UserDetailsServiceImpl`,用来从数据库中获取用户信息,并返回一个 `UserDetails` 对象。 ```java @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("用户不存在"); } List<GrantedAuthority> authorities = new ArrayList<>(); for (String role : user.getRoles()) { authorities.add(new SimpleGrantedAuthority(role)); } return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), authorities); } } ``` 4.一个 `AuthorizationServerConfigurerAdapter` 类来配置授权服务器。 ```java @Configuration @EnableAuthorizationServer public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter { @Autowired private AuthenticationManager authenticationManager; @Autowired private UserDetailsService userDetailsService; @Autowired private DataSource dataSource; @Bean public TokenStore tokenStore() { return new JdbcTokenStore(dataSource); } @Override public void configure(ClientDetailsServiceConfigurer clients) throws Exception { clients.jdbc(dataSource); } @Override public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { endpoints.tokenStore(tokenStore()) .authenticationManager(authenticationManager) .userDetailsService(userDetailsService); } } ``` 5.一个 `WebSecurityConfigurerAdapter` 类来配置 Spring Security。 ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsServiceImpl userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/oauth/**").permitAll() .anyRequest().authenticated() .and() .formLogin().permitAll() .and() .csrf().disable(); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 6. 在控制器中添加一个请求 `/oauth/authorize`,用来处理授权请求。 ```java @Controller public class AuthorizationController { @RequestMapping("/oauth/authorize") public String authorize() { return "authorize"; } } ``` 7.一个视图 `authorize.html`,用来显示授权界面。该视图中包含一个表单,用来输入用户名和密码。 ```html <!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org"> <head> <title>授权</title> </head> <body> <form th:action="@{/oauth/authorize}" method="post"> <label>用户名:</label> <input type="text" name="username"><br> <label>密码:</label> <input type="password" name="password"><br> <button type="submit">授权</button> </form> </body> </html> ``` 8. 启动应用程序,并访问 `/oauth/authorize`,输入用户名和密码后,将跳转到授权页面,选择授权后,将返回一个授权码或令牌,用于后续的访问。 以上就是使用 Spring Security OAuth2.0 实现授权登录的详细步骤流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

@我不是大鹏

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值