IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Java知识库 -> SpringBoot之Security -> 正文阅读

[Java知识库]SpringBoot之Security

认证和授权

  • 首先导入Srcurity依赖
     <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
  • 创建config包结构并创建Security类

  • 在Security类中继承WebSecurityConfigurerAdapter方法并重写

    • 这个类中的方法大多数都使用了重载的思想
    • 要在Security主类上添加@EnableWebSecurity注解 表明这个类被Spring托管
  • 首先重写这个方法

     protected void configure(HttpSecurity http) throws Exception {
         
     }
    
  • 在里面设置页面查看权限

      //权限设置
            //permitall 设置所有人都可以访问主页
            //hasrole  设置什么样的人 可以访问什么样的界面
            http
                    .authorizeRequests().antMatchers("/").permitAll()
                    .antMatchers("/level1/**").hasRole("vip1")
                     .antMatchers("/level2/**").hasRole("vip2")
                     .antMatchers("/level3/**").hasRole("vip3");
    

antMatchers 表示要访问的页面路径 可以是Controller的一个请求
hasRole 表示要拥有的权限

  • 设置完成之后,访问页面报错403

在这里插入图片描述

403 错误 权限不足错误 Access Denied

说明我们的权限设置已经起作用了 ,然后按照常规逻辑,我们应该自动弹出登录页面 于是进行登陆页面的自动跳转

  • login页面跳转

    //没有权限 默认跳到登录页面
            http.formLogin();
    

    继续访问 出现500错误

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ykVwNvoW-1626861377585)(C:\Users\machenike\AppData\Roaming\Typora\typora-user-images\image-20210721145207921.png)]

? 500错误 需要密码编码

原因:在security5.0中 加入了密码编码的功能 ,他认为你的密码不通过编码,容易被反编译之后泄露,这样子是不安全的

于是我们再进行密码的加密

  • 密码加密

密码加密我们需要重写这个方法

protected void configure(AuthenticationManagerBuilder auth) throws Exception {
}
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder() {
       })
               .withUser("llf").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3").and()
               .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3").and()
               .withUser("guest").password(new BCryptPasswordEncoder().encode("123456") ).roles("vip1");
    }

加密完成 继续访问 成功 不同的人只能访问设置好的页面

在这里插入图片描述

我们登录guest 访问level2下的页面 就会报权限不足的错误

注销及权限控制

  • 注销

首先需要在Security配置中添加注销方法

  • 我们可以利用logout的logoutSuccessUrl(“ ”)方法 指定注销之后跳转的页面 默认情况下会重新跳到登录页面
//注销
http.logout();

//注销 并跳到首页
http.logout().logoutSuccessUrl("/");

然后在前端页面中的注销按钮上添加链接到logout即可

  <a class="item" th:href="@{/logout}">
     	 <i class="sign out icon"></i> 注销
   </a>

这个logout请求是Security自动帮我们写的

在这里插入图片描述

这样一个注销功能就实现了

  • 权限控制

    按照常规来说,不同的人进入首页后 应该显示不同权限所显示的内容 这个时候我们就需要thymeleaf与Security的整合

    首先导入依赖

           <!--thymeleaf-security5 -->
            <dependency>
                <groupId>org.thymeleaf.extras</groupId>
                <artifactId>thymeleaf-extras-springsecurity5</artifactId>
                <version>3.0.4.RELEASE</version>
    
    • 未登录的人显示登录按钮 登录的人显示注销按钮

      • 首先在页面中导入thymeleaf-Security的命名空间

         xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
        
      • 然后对登录和注销按钮进行判断

            <!--登录注销-->
                    <div class="right menu">
                        <!--未登录  显示登录按钮-->
                        <div sec:authorize="!isAuthenticated()">
                        <a class="item" th:href="@{/toLogin}">
                            <i class="address card icon"></i> 登录
                        </a>
                        </div>
                       <!-- 已登录 显示注销 和用户信息-->
                        <div sec:authorize="isAuthenticated()">
                            <a class="item">
                                用户名:<span sec:authentication="name"></span>&nbsp;
                                权限:<span sec:authentication="principal.Authorities"></span>
                            </a>
                        <a class="item" th:href="@{/logout}">
                            <i class="sign out icon"></i> 注销
                        </a>
                        </div>
        
        sec:authorize="!isAuthenticated()"
        

        核心是这句判断,
        IsAuthenticated 属性是一个布尔值,指示当前用户是否已通过身份验证(已登录)

        明白了这个属性的作用 就等于理清了我们上面的思路

在这里插入图片描述

没有登陆之前 我们只有登录按钮

在这里插入图片描述

登录之后 有了登录角色的信息

  • 接下来就是思考 vip不同等级的人应该有不同的展示页面

    <div class="column"  sec:authorize="hasRole('vip1')">
    <div class="column"  sec:authorize="hasRole('vip2')">
    <div class="column"  sec:authorize="hasRole('vip3')">
    

    将对应的语句 放在对应权限才能访问的页面的第一个div标签中 进行判断

    hasRole:拥有了角色 在这 我们可以理解为拥有的权限 大致意思就是 有vip1权限就显示vip1的内容 以此类推

    设置完成后进行测试访问

    • 没有登陆的情况下 我们没有任何权限 所以不显示任何内容

在这里插入图片描述

- 登录了root账户 拥有所有权限

在这里插入图片描述

  这样一来 权限控制的功能我们也完成了

记住我和登录页定制

  • 记住我

    • 记住我功能和注销功能一样 只需要在配置中添加一个方法即可
    http.rememberMe();
    

在这里插入图片描述

上图就是设置与否的区别 这里的记住我的功能 相当于是将cookie保存了起来 即使我们页面关闭也不会丢失 cookie有效期为15天

  • 登录页面定制

    如果我们不想用Security自带的登录页面 想要我们自己的登录页面 也是可以的

         //没有权限 默认跳到登录页面
            http.formLogin().loginPage("/tologin");
    

    在formlogin的后面加上loginpage的方法即可 括号里写上登录的请求链接

    如果我们前端登录页面的action请求和这个请求一样 并且账号密码的name是username和password 我们就可以不用写登录的判断 Security会自动帮我们做出判断

    如果不一样 我们可以在配置中加上登录的账号密码的name

     http.formLogin().loginPage("/tologin").passwordParameter().usernameParameter()
    
    • 思考 使用自己的页面如何实现记住我功能及注销

      使用自己的登录页面 首先需要在登录页面添加 记住我的多选框按钮

      <div style="text-align: center">
              <input type="checkbox" name="remember" >记住我
        </div>
      

      然后将这个name的参数 传给配置中的http.remember()这个方法

         //记住我功能
              http.rememberMe().rememberMeParameter("remember");
      

      这样就实现了记住我的功能 在我们关闭网页之后 重新访问 一样可以不用登录

      • 注销

        使用自己的登录页面完成注销功能 会有一个404的错误 这是Secruity自动开启了CSRF的脚本攻击校验 我们只需要关闭它即可

         http.csrf().disable();
        

    总结

Security采用链式编程,所有方法之间使用.连接 ,分号表示重写的这个方法的结束

如果想要多次使用一个方法,可以使用and()将其连接起来 就像我们设置用户和密码一样

设计用户、密码我们采用了内存加载的方式,在实际业务中,应该从后台接受这些值

inMemoryAuthentication()
jdbcAuthentication()

Security采用AOP的思想 横向切入 在不影响程序运行的前提下 进行增强

使用Security 我们可以不用再写登录和注销的逻辑判断

Security是拦截器、过滤器功能的延申

Security总配置

package com.llf.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity
public class Securitty extends WebSecurityConfigurerAdapter {



    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //权限设置
        //permitall 设置所有人都可以访问主页
        //hasrole  设置什么样的人 可以访问什么样的界面
        http
                .authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                 .antMatchers("/level2/**").hasRole("vip2")
                 .antMatchers("/level3/**").hasRole("vip3");

        http.csrf().disable();
        //没有权限 默认跳到登录页面
        http.formLogin().loginPage("/tologin");
        //注销 并跳到首页
        http.logout().logoutSuccessUrl("/");
        //记住我功能
        http.rememberMe().rememberMeParameter("remember");



    }
    @Override
    //用户认证

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder() {
       })
               .withUser("llf").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3").and()
               .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3").and()
               .withUser("guest").password(new BCryptPasswordEncoder().encode("123456") ).roles("vip1");
    }
}

  Java知识库 最新文章
计算距离春节还有多长时间
系统开发系列 之WebService(spring框架+ma
springBoot+Cache(自定义有效时间配置)
SpringBoot整合mybatis实现增删改查、分页查
spring教程
SpringBoot+Vue实现美食交流网站的设计与实
虚拟机内存结构以及虚拟机中销毁和新建对象
SpringMVC---原理
小李同学: Java如何按多个字段分组
打印票据--java
上一篇文章      下一篇文章      查看所有文章
加:2021-07-22 14:00:25  更:2021-07-22 14:03:48 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/18 18:20:19-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码