SpringSecurity如何实现配置单个HttpSecurity
一、创建项目并导入依赖
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency>
二、相关配置和代码
在创建完项目时,我们得springboot项目所有接口都被保护起来了,如果要想访问必须登陆,用户名默认是user,密码在项目启动时生成在控制台。
1)我们可以设置自己得账户和密码,有两种方法配置
1.1)在application.properties中配置
spring.security.user.name=fernfei
spring.security.user.password=fernfei
spring.security.user.roles=admin
1.2)在配置类中配置
注:需要在配置类上加上@configuration注解
步骤1.2.1)
创建SecurityConfig继承WebSecurityConfigurerAdpater
步骤1.2.2)
实现WebSecurityConfigurerAdpater中的configure(AuthenticationManagerBuilder auth)方法
步骤1.2.3)
从 Spring5 开始,强制要求密码要加密,如果非不想加密,可 以使用一个过期的 PasswordEncoder 的实例
NoOpPasswordEncoder,但是不建议这么做,毕竟不安全。
这样就算完成自己定义账户密码了。
2)HttpSecurity配置
2.1)实现config(HttpSecurity http)方法
2.2)相关代码
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("admin")
.antMatchers("/db/**").hasAnyRole("admin","user")
.antMatchers("/user/**").access("hasAnyRole('admin','user')")
//剩下的其他路径请求验证之后就可以访问
.anyRequest().authenticated()
.and()
.formLogin()
.loginProcessingUrl("/dologin")
.loginPage("/login")
.usernameParameter("uname")
.passwordParameter("pwd")
.successHandler(new AuthenticationSuccessHandler() {
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
response.setContentType("application/json;charset=utf-8");
PrintWriter pw = response.getWriter();
Map<String, Object> map = new HashMap<String, Object>();
map.put("status", 200);
map.put("msg", authentication.getPrincipal());
pw.write(new ObjectMapper().writeValueAsString(map));
pw.flush();
pw.close();
}
})
.failureHandler(new AuthenticationFailureHandler() {
@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
response.setContentType("application/json;charset=utf-8");
PrintWriter pw = response.getWriter();
Map<String, Object> map = new HashMap<String, Object>();
map.put("status", 401);
if (exception instanceof LockedException) {
map.put("msg", "账户被锁定,登陆失败!");
} else if (exception instanceof BadCredentialsException) {
map.put("msg", "账户或者密码错误,登陆失败!");
} else if (exception instanceof DisabledException) {
map.put("msg", "账户被禁用,登陆失败!");
} else if (exception instanceof AccountExpiredException) {
map.put("msg", "账户已过期,登陆失败!");
} else if (exception instanceof CredentialsExpiredException) {
map.put("msg", "密码已过期,登陆失败!");
} else {
map.put("msg", "登陆失败!");
}
pw.write(new ObjectMapper().writeValueAsString(map));
pw.flush();
pw.close();
}
})
.permitAll()
.and()
.csrf().disable();
}
2.3)代码解释
2.3.1)/admin/**路径下的必须有admin角色才能访问
.antMatchers("/admin/**").hasRole("admin")
2.3.2)/db/**和/user/**下的路径,admin和user角色都可以访问
.antMatchers("/db/**").hasAnyRole("admin","user")
.antMatchers("/user/**").access("hasAnyRole('admin','user')")
2.3.3)表示剩下的任何请求只要验证之后都可以访问
.anyRequest().authenticated()
2.3.4)开启表单登陆
.formLogin()
2.3.5)登陆处理的路径
.loginProcessingUrl("/dologin")
2.3.6)登陆的页面,如果不写会使用默认的登陆页面
.loginPage("/login")
2.3.7)定义登录时,用户名的 key,默认为 username
.usernameParameter("uname")
2.3.7)定义登录时,用户名的 key,默认为 password
.passwordParameter("pwd")
2.3.8)登陆成功的处理(用于前后端分离时,直接返回json
.successHandler()
红框里面的类是存放登陆成功后的用户信息
2.3.9)下图就是登陆成功后直接返回url的方法
2.3.10)同上,登陆失败的处理
.failureHandler()
判断属于哪个异常可以更友好给用户作出提示
可以进入这个类按Ctrl+H查看类的继承关系,方便更好使用
2.3.11)permitALL()表示放开和登陆有关的接口,csrf是关闭csrf,以便我们在 postman类似的软件测试被系统给拦截了
.permitAll()
.and()
.csrf().disable();
3)controller层设置一些接口以便我们测试
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持脚本之家。
相关文章
SpringBoot 把PageHelper分页信息返回给前端的方法步骤
本文主要介绍了SpringBoot 把PageHelper分页信息返回给前端的方法步骤,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2024-01-01
这篇文章主要介绍了springboot高并发下提高吞吐量的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-11-11
SpringCloudGateway网关处拦截并修改请求的操作方法
这篇文章主要介绍了SpringCloudGateway网关处拦截并修改请求的操作方法,本文通过示例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2023-12-12
controller接口跳转到另一个controller接口的实现
这篇文章主要介绍了controller接口跳转到另一个controller接口的实现方式,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-09-09
这篇文章主要为大家详细介绍了Java数学工具类MathUtil的相关资料,文中示例代码介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2019-08-08
本篇文章主要介绍了MyBatis+MySQL 返回插入的主键ID的方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。2017-04-04
WebSocket通过一个TCP连接在客户端和服务器之间建立一个全双工、双向的通信通道,使得客户端和服务器之间的数据交换变得更加简单,本文给大家介绍了SpringBoot3集成WebSocket的全过程,并有相关的代码示例供大家参考,需要的朋友可以参考下2024-05-05
这篇文章主要介绍了一些常用排序算法整理,插入排序算法、直接插入排序、希尔排序、选择排序、冒泡排序等排序,需要的朋友可以参考下2021-07-07
这篇文章主要为大家详细介绍了java实现简单的弹球游戏,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-08-08
这篇文章主要介绍了Java线程创建与Thread类的使用方法,围绕java多线程中Thread类的使用以及有关线程对象创建和常用方法的相关资料展开详细内容,具有一定的参考价值,需要的下伙伴可以参考一下2022-06-06
最新评论