首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 前端 > 正文

SpringSecurity如何实现配置单个HttpSecurity

作者:太阳之神sqh | 来源:互联网 | 2022-07-21 17:09
这篇文章主要介绍了SpringSecurity如何实现配置单个HttpSecurity,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

一、创建项目并导入依赖


org.springframework.boot
spring-boot-starter-security


org.springframework.boot
spring-boot-starter-web

二、相关配置和代码

在创建完项目时,我们得springboot项目所有接口都被保护起来了,如果要想访问必须登陆,用户名默认是user,密码在项目启动时生成在控制台。

1)我们可以设置自己得账户和密码,有两种方法配置

1.1)在application.properties中配置

spring.security.user.name=fernfei

spring.security.user.password=fernfei

spring.security.user.roles=admin

1.2)在配置类中配置

  注:需要在配置类上加上@configuration注解

步骤1.2.1)

创建SecurityConfig继承WebSecurityConfigurerAdpater

步骤1.2.2)

实现WebSecurityConfigurerAdpater中的configure(AuthenticationManagerBuilder auth)方法

步骤1.2.3)

从 Spring5 开始,强制要求密码要加密,如果非不想加密,可 以使用一个过期的 PasswordEncoder 的实例

NoOpPasswordEncoder,但是不建议这么做,毕竟不安全。

这样就算完成自己定义账户密码了。

2)HttpSecurity配置

2.1)实现config(HttpSecurity http)方法

2.2)相关代码

@Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("admin")
        .antMatchers("/db/**").hasAnyRole("admin","user")
        .antMatchers("/user/**").access("hasAnyRole('admin','user')")
        //剩下的其他路径请求验证之后就可以访问
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginProcessingUrl("/dologin")
        .loginPage("/login")
        .usernameParameter("uname")
        .passwordParameter("pwd")
        .successHandler(new AuthenticationSuccessHandler() {
          @Override
          public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter pw = response.getWriter();
            Map map = new HashMap();
            map.put("status", 200);
            map.put("msg", authentication.getPrincipal());
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .failureHandler(new AuthenticationFailureHandler() {
          @Override
          public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter pw = response.getWriter();
            Map map = new HashMap();
            map.put("status", 401);
            if (exception instanceof LockedException) {
              map.put("msg", "账户被锁定,登陆失败!");
            } else if (exception instanceof BadCredentialsException) {
              map.put("msg", "账户或者密码错误,登陆失败!");
            } else if (exception instanceof DisabledException) {
              map.put("msg", "账户被禁用,登陆失败!");
            } else if (exception instanceof AccountExpiredException) {
              map.put("msg", "账户已过期,登陆失败!");
            } else if (exception instanceof CredentialsExpiredException) {
              map.put("msg", "密码已过期,登陆失败!");
            } else {
              map.put("msg", "登陆失败!");
            }
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .permitAll()
        .and()
        .csrf().disable();
  }

2.3)代码解释

2.3.1)/admin/**路径下的必须有admin角色才能访问

.antMatchers("/admin/**").hasRole("admin")

2.3.2)/db/**和/user/**下的路径,admin和user角色都可以访问

.antMatchers("/db/**").hasAnyRole("admin","user")

.antMatchers("/user/**").access("hasAnyRole('admin','user')")

2.3.3)表示剩下的任何请求只要验证之后都可以访问

.anyRequest().authenticated()

2.3.4)开启表单登陆

.formLogin()

2.3.5)登陆处理的路径

.loginProcessingUrl("/dologin")

2.3.6)登陆的页面,如果不写会使用默认的登陆页面

.loginPage("/login")

2.3.7)定义登录时,用户名的 key,默认为 username

.usernameParameter("uname")

2.3.7)定义登录时,用户名的 key,默认为 password

.passwordParameter("pwd")

2.3.8)登陆成功的处理(用于前后端分离时,直接返回json

.successHandler()

红框里面的类是存放登陆成功后的用户信息

2.3.9)下图就是登陆成功后直接返回url的方法

2.3.10)同上,登陆失败的处理

.failureHandler()

判断属于哪个异常可以更友好给用户作出提示

可以进入这个类按Ctrl+H查看类的继承关系,方便更好使用

2.3.11)permitALL()表示放开和登陆有关的接口,csrf是关闭csrf,以便我们在 postman类似的软件测试被系统给拦截了

.permitAll()

.and()

.csrf().disable();

3)controller层设置一些接口以便我们测试

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。


推荐阅读
  • postman

    Linux 透明防火墙(网桥模式)的部署与配置

    本文介绍如何在现有网络中部署基于Linux系统的透明防火墙(网桥模式),以实现灵活的时间段控制、流量限制等功能。通过详细的步骤和配置说明,确保内部网络的安全性和稳定性。 ... [详细]
  • postman

    告别传统文件传输,迎接新一代高效工具Croc

    在现代网络环境中,两台计算机之间的文件传输需求日益增长。传统的FTP和SSH方式虽然有效,但其配置复杂、步骤繁琐,难以满足快速且安全的传输需求。本文将介绍一种基于Go语言开发的新一代文件传输工具——Croc,它不仅简化了操作流程,还提供了强大的加密和跨平台支持。 ... [详细]
  • layout

    golang常用库:配置文件解析库/管理工具viper使用

    golang常用库:配置文件解析库/管理工具viper使用
    golang常用库:配置文件解析库管理工具-viper使用-一、viper简介viper配置管理解析库,是由大神SteveFrancia开发,他在google领导着golang的 ... [详细]
  • json

    Deepin系统下MySQL 5.7安装指南

    本文详细记录了在基于Debian的Deepin 20操作系统上安装MySQL 5.7的具体步骤,包括软件包的选择、依赖项的处理及远程访问权限的配置。 ... [详细]
  • json

    FastJSON解析与数据提取技巧

    探讨如何高效使用FastJSON进行JSON数据解析,特别是从复杂嵌套结构中提取特定字段值的方法。 ... [详细]
  • npm

    Ionic 5 APK打包与QRScanner插件优化:常见问题及解决方案

    本文总结了在使用Ionic 5进行Android平台APK打包时遇到的问题,特别是针对QRScanner插件的改造。通过详细分析和提供具体的解决方法,帮助开发者顺利打包并优化应用性能。 ... [详细]
  • json

    Composer Registry Manager:PHP的源切换管理工具

    Composer Registry Manager:PHP的源切换管理工具
    本文介绍了一个用于Composer的源切换管理工具——Composer Registry Manager。该项目旨在简化Composer包源的管理和切换,避免与常见的CRM系统混淆,并提供了详细的安装和使用指南。 ... [详细]
  • js

    Git 分布式版本控制系统:远程仓库的深入探讨

    本文详细介绍了Git分布式版本控制系统中远程仓库的概念和操作方法。通过具体案例,帮助读者更好地理解和掌握如何高效管理代码库。 ... [详细]
  • json

    DLP数据泄露检测原理浅析

    最近团队在部署DLP,作为一个技术人员对于黑盒看不到的地方还是充满了好奇心。多次咨询乙方人员DLP的算法原理是什么,他们都以商业秘密为由避而不谈,不得已只能自己查资料学习,于是有了下面的浅见。身为甲方,虽然不需要开发DLP产品,但是也有必要弄明白DLP基本的原理。俗话说工欲善其事必先利其器,只有在懂这个工具的原理之后才能更加灵活地使用这个工具,即使出现意外情况也能快速排错,越接近底层,越接近真相。根据DLP的实际用途,本文将DLP检测分为2部分,泄露关键字检测和近似重复文档检测。 ... [详细]
  • json

    解析猫鼬 findOne 方法返回 null 的原因

    本文探讨了在通过 API 端点调用时,使用猫鼬(Mongoose)的 findOne 方法总是返回 null 的问题,并提供了详细的解决方案和建议。 ... [详细]
  • build

    深入解析 Spring Security 用户认证机制

    深入解析 Spring Security 用户认证机制
    本文将详细介绍 Spring Security 中用户登录认证的核心流程,重点分析 AbstractAuthenticationProcessingFilter 和 AuthenticationManager 的工作原理。通过理解这些组件的实现,读者可以更好地掌握 Spring Security 的认证机制。 ... [详细]
  • js

    使用SSH密钥对实现Linux系统免密码登录

    本文详细介绍如何在Linux系统中配置SSH密钥对,以实现从一台主机到另一台主机的无密码登录。内容涵盖密钥对生成、公钥分发及权限设置等关键步骤。 ... [详细]
  • js

    Python 工具推荐 | PyHubWeekly 第二十一期:提升命令行体验的五大工具

    Python 工具推荐 | PyHubWeekly 第二十一期:提升命令行体验的五大工具
    本期 PyHubWeekly 为大家精选了 GitHub 上五个优秀的 Python 工具,涵盖金融数据可视化、终端美化、国际化支持、图像增强和远程 Shell 环境配置。欢迎关注并参与项目。 ... [详细]
  • js

    并发编程 12—— 任务取消与关闭 之 shutdownNow 的局限性

    并发编程 12—— 任务取消与关闭 之 shutdownNow 的局限性
    Java并发编程实践目录并发编程01——ThreadLocal并发编程02——ConcurrentHashMap并发编程03——阻塞队列和生产者-消费者模式并发编程04——闭锁Co ... [详细]
  • js

    无屏幕环境下树莓派4B的安装与配置指南

    本文将详细介绍如何在没有显示器的情况下,使用Raspberry Pi Imager为树莓派4B安装操作系统,并进行基本配置,包括设置SSH、WiFi连接以及更新软件源。 ... [详细]
author-avatar
太阳之神sqh
这个家伙很懒,什么也没留下!
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有