Spring Security

1 基本概念

1、两个重要的概念

  • 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。
  • 授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源。

2、完成权限管理需要的三个对象

  • 用户:主要包含用户名、密码和当前用户的角色信息,可实现认证操作。
  • 角色:主要包含角色名称、角色描述和当前角色拥有的权限信息,可实现授权操作。
  • 权限:主要包含当前权限名称、URL地址等信息,可实现动态展示菜单。
  • 三者之间的关系:用户↔角色↔权限。

3、Spring Security

  • Spring Security是Spring采用AOP思想,基于Servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级别的授权功能。

2 基本使用

1、创建项目

  • 填写项目基本信息:

图片说明

  • 添加依赖:

图片说明

  • 项目存放路径:

图片说明

  • 添加druid依赖:

    <dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>druid</artifactId>
    <version>1.1.21</version>
</dependency>

    2、设计数据库表

  • user

图片说明

  • role

图片说明

  • user_role

图片说明

3、实体类

  • User

    package com.xianhuii.entity;

import lombok.Data;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Data
public class User implements UserDetails {
    private Integer id;
    private String username;
    private String password;
    private Boolean enabled;
    private Boolean locked;
    private List<Role> roles;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Role role : roles) {
            authorities.add(new SimpleGrantedAuthority(role.getName()));
        }
        return authorities;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public String getUsername() {
        return username;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return !locked;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return enabled;
    }

}

  • Role

    package com.xianhuii.entity;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@NoArgsConstructor
@AllArgsConstructor
public class Role {
    private Integer id;
    private String name;
    private String nameZh;
}

    4、DAO层

  • application.yaml

    server:
  port: 8080
spring:
  datasource:
    type: com.alibaba.druid.pool.DruidDataSource
    url: jdbc:mysql://localhost:3306/spring-security?useUnicode=true&characterEncoding=UTF-8&serverTimezone=UTC
    username: root
    password: root
mybatis:
  mapper-locations: classpath:/mapper/*.xml
  configuration:
    map-underscore-to-camel-case: true

  • UserMapper

    package com.xianhuii.mapper;

import com.xianhuii.entity.Role;
import com.xianhuii.entity.User;

import java.util.List;

public interface UserMapper {
    User loadUserByUsername(String username);
    List<Role> getUserRolesByUid(Integer id);
}

  • UserMapper.xml

    <?xml version="1.0" encoding="UTF-8" ?>

<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.xianhuii.mapper.UserMapper">
    <!--User loadUserByUsername(String username)-->
    <select id="loadUserByUsername" resultType="com.xianhuii.entity.User">
        select * from user where username = #{username}
    </select>

    <!--List<Role> getUserRolesByUid(Integer id)-->
    <select id="getUserRolesByUid" resultType="com.xianhuii.entity.Role">
        select * from role r, user_role ur where r.id = ur.rid and ur.uid = #{id}
    </select>

</mapper>

    5、Service层

  • UserService

    package com.xianhuii.service;

import com.xianhuii.entity.User;
import com.xianhuii.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class UserService implements UserDetailsService {
    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userMapper.loadUserByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("账户不存在!");
        }
        user.setRoles(userMapper.getUserRolesByUid(user.getId()));
        return user;
    }

}

    6、配置Spring Security

      package com.xianhuii.config;

  import com.fasterxml.jackson.databind.ObjectMapper;
  import com.xianhuii.service.UserService;
  import org.springframework.beans.factory.annotation.Autowired;
  import org.springframework.context.annotation.Bean;
  import org.springframework.context.annotation.Configuration;
  import org.springframework.security.authentication.*;
  import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
  import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
  import org.springframework.security.config.annotation.web.builders.HttpSecurity;
  import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
  import org.springframework.security.core.Authentication;
  import org.springframework.security.core.AuthenticationException;
  import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
  import org.springframework.security.crypto.password.PasswordEncoder;
  import org.springframework.security.web.authentication.AuthenticationFailureHandler;
  import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
  import org.springframework.security.web.authentication.logout.LogoutHandler;
  import org.springframework.security.web.authentication.logout.LogoutSuccessHandler;

  import javax.servlet.ServletException;
  import javax.servlet.http.HttpServletRequest;
  import javax.servlet.http.HttpServletResponse;
  import java.io.IOException;
  import java.io.PrintWriter;
  import java.util.HashMap;
  import java.util.Map;

  @Configuration
  @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
  public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
      @Autowired
      UserService userService;

      // 配置密码加密规则
      @Bean
      PasswordEncoder passwordEncoder() {
          return new BCryptPasswordEncoder(10);
      }

      // 配置认证规则
      @Override
      protected void configure(AuthenticationManagerBuilder auth) throws Exception {
          auth.userDetailsService(userService);
      }

      // 配置授权规则
      @Override
      protected void configure(HttpSecurity http) throws Exception {
          http.authorizeRequests()
                  .antMatchers("/admin/**")
                  .hasRole("ADMIN")
                  .antMatchers("/user/**")
                  .access("hasAnyRole('ADMIN', 'USER')")
                  .antMatchers("/db/**")
                  .access("hasRole('ADMIN') and hasRole('DBA')")
                  .anyRequest()
                  .authenticated()
                  .and()
                  .formLogin()
                  .loginProcessingUrl("/login")
                  .permitAll()
                  .and()
                  .formLogin()
                  .loginPage("/login_page")
                  .loginProcessingUrl("/login")
                  .usernameParameter("name")
                  .passwordParameter("passwd")
                  .successHandler(new AuthenticationSuccessHandler() {
                      @Override
                      public void onAuthenticationSuccess(HttpServletRequest request,
                                                          HttpServletResponse response,
                                                          Authentication authentication) throws IOException, ServletException {
                          Object principal = authentication.getPrincipal();
                          response.setContentType("application/json;charset=utf-8");
                          PrintWriter writer = response.getWriter();
                          response.setStatus(200);
                          Map<String, Object> map = new HashMap<>();
                          map.put("status", 200);
                          map.put("msg", principal);
                          ObjectMapper om = new ObjectMapper();
                          writer.write(om.writeValueAsString(map));
                          writer.flush();
                          writer.close();
                      }
                  })
                  .failureHandler(new AuthenticationFailureHandler() {
                      @Override
                      public void onAuthenticationFailure(HttpServletRequest request,
                                                          HttpServletResponse response,
                                                          AuthenticationException e) throws IOException, ServletException {
                          response.setContentType("application/json;charset=utf-8");
                          PrintWriter writer = response.getWriter();
                          response.setStatus(401);
                          Map<String, Object> map = new HashMap<>();
                          map.put("status", 401);
                          if (e instanceof LockedException) {
                              map.put("msg", "账户被锁定,登录失败!");
                          } else if (e instanceof BadCredentialsException) {
                              map.put("msg", "账户名或密码输入错误,登录失败!");
                          } else if (e instanceof DisabledException) {
                              map.put("msg", "账户被禁用,登录失败!");
                          } else if (e instanceof AccountExpiredException) {
                              map.put("msg", "账户已过期,登录失败!");
                          } else if (e instanceof CredentialsExpiredException) {
                              map.put("msg", "密码已过期,登录失败!");
                          } else {
                              map.put("msg", "登录失败!");
                          }
                          ObjectMapper om = new ObjectMapper();
                          writer.write(om.writeValueAsString(map));
                          writer.flush();
                          writer.close();
                      }
                  })
                  .permitAll()
                  .and()
                  .logout()
                  .logoutUrl("/logout")
                  .clearAuthentication(true)
                  .invalidateHttpSession(true)
                  .addLogoutHandler(new LogoutHandler() {
                      @Override
                      public void logout(HttpServletRequest request,
                                         HttpServletResponse response,
                                         Authentication authentication) {

                      }
                  })
                  .logoutSuccessHandler(new LogoutSuccessHandler() {
                      @Override
                      public void onLogoutSuccess(HttpServletRequest request,
                                                  HttpServletResponse response,
                                                  Authentication authentication) throws IOException, ServletException {
                          response.sendRedirect("/login_page");
                      }
                  })
                  .and()
                  .csrf()
                  .disable();
      }
  }
全部评论

相关推荐

04-29 20:46
已编辑
重庆大学 Java
27 日常实习 蔚来一、二面
官网投递,忘记录音了,有些忘了一面自我介绍ConcurrentHashMap和HashMap的区别?ConcurrentHashMap是怎么保证并发安全的?说一下第一个项目,为什么要做这个项目?收获了什么?Bean的生命周期如何实现?介绍下你的代码流程Spring事务是怎么实现的呢?将一下第二个项目,为什么要做的这项目?收获了什么?对于你这个项目,你需要进行优化,你会从哪几个方面入手(感觉是个很好的问题,比较开放)代码优化,if-else多的改策略模式,公共部分重复提取出来用AOPMySQL索引优化,加索引,建立联合索引SQL语句优化,确保索引被使用架构优化,Redis集群,读写分离等.......
查看20道真题和解析
点赞 评论 收藏
分享
04-28 11:03
安克创新 Anker_软件开发(准入职员工)
安克创新内推-安克创新内推码
安克创新电子工程师面经一面&nbsp;技术面&nbsp;30多分钟1.自我介绍2.挑选自己觉得最好的项目,详细讲解3.项目分步的策略4.比赛做的东西,针对提问二面&nbsp;综合面1.自我介绍2.项目遇到的问题?如何解决?(个人讲解大概4&nbsp;5点)3.团队中是否遇到分歧?如何解决?4.项目中是否与甲方直接对接?三面&nbsp;HR面1.自我介绍2.大概讲解项目经历3.项目中意见不一致解决办法及原因4.是否了解其他的知识5.家里的一些情况就是聊天,几乎没有专业的提问。安克创新给我体验还是不错的,每一个面试官态度都特别好,几乎不会有打断说话这种情况。500+Offer&nbsp;|&nbsp;安克创新2025春季全球校园招聘正式启动【公司介绍】跨境电商龙头,...
安克HR面27人在聊
点赞 评论 收藏
分享
03-15 20:46
北京邮电大学 Java
点赞 评论 收藏
分享
03-31 18:02
门头沟学院 Java
也是拒绝过腾讯的人了
白日梦想家_等打包版:不要的哦佛给我
腾讯开奖344人在聊
点赞 评论 收藏
分享
04-27 11:38
SHEIN_HR(准入职员工)
shein内推-shein内推码
刚上线了26届暑期实习岗位,抓紧投递!1.&nbsp;242是真的存在吗?&nbsp;是的,242属于不成文的考勤规则,一般1095的出勤基本就能达标了,并且午休和晚饭时间也是包含在内,所以也没有那么难。另外并不是各个部门都会严抓工时和考勤,像我之前的部门就没有。但大多数时候大家加班也并不是因为工时,是因为活根本干不完。&nbsp;2.&nbsp;xx部门加班多吗?&nbsp;各个部门情况并不一样,具体要看部门职责、leader作风以及个人的工作效率和工作习惯。举个例子,核心部门项目很多,那加班肯定就多;当然具体哪个部门什么情况,也是内部的人才会清楚啦。&nbsp;3.&nbsp;加班有补贴吗?&nbsp;8点下班就有加班费了,如果工时达标的话每个月加班费是可以去...
SHEIN希音工作强度 65人发布
点赞 评论 收藏
分享
评论
点赞
收藏
分享

全站热榜

更多

创作者周榜

更多
正在热议
更多
# 找工作,行业重要还是岗位重要? #
9335次浏览 133人参与
# 五一之后,实习真的很难找吗? #
48050次浏览 347人参与
# 盲审过后你想做什么? #
13219次浏览 117人参与
# 国企还是互联网,你怎么选? #
123134次浏览 957人参与
# 外包能不能当跳板? #
22525次浏览 192人参与
# 你觉得通信/硬件有必要实习吗? #
92701次浏览 891人参与
# 潍柴工作体验 #
17149次浏览 17人参与
# 领导秒批的请假话术 #
10437次浏览 76人参与
# 设计人如何选offer #
98783次浏览 690人参与
# 央国企投递记录 #
79845次浏览 1318人参与
# 五一假期,你打算“躺”还是“卷”? #
35921次浏览 468人参与
# 蚂蚁集团工作体验 #
10873次浏览 70人参与
# 小厂实习有必要去吗 #
42468次浏览 260人参与
# 应届生进小公司有什么影响吗 #
67352次浏览 984人参与
# 如果校招重来我最想改变的是 #
245525次浏览 2782人参与
# 一句话证明你在找工作 #
292921次浏览 2412人参与
# 面试等了一周没回复,还有戏吗 #
116381次浏览 1081人参与
# 秋招前后对offer的期望对比 #
272248次浏览 2076人参与
# 你觉得比亚迪今年还有春招吗? #
186375次浏览 1048人参与
# 如果不工作真的会快乐吗 #
101803次浏览 871人参与
牛客网
牛客企业服务