赞
踩
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
添加完之后启动页面内容:
所有的请求(包括根本不存在的)都必须登录,否则自动跳转到登录页面
默认的用户名是user,密码是启用项目时在控制台提示的一串UUID值
登录时,如果在打开登录页面后重启过服务器端,应该刷新登录页面,否则,
第1次输入并提交是无效的
当登录成功后,会自动跳转到此前尝试访问的URL
当登录成功后,可通过 /logout 退出登录
默认不接受普通的POST请求,如果提交POST请求,会响应403(Forbidden)
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // super.configure(http); 不要保留调用父类同名方法的代码 //当访问需要登录认证才能访问的资源时,没有登录的时候跳转到登录页面 http.formLogin(); //弹出登录页面, //设置白名单(不需要登录即可访问的资源) String[] urls={"/reg.html","/login.html","/v1/users/reg"}; http.authorizeHttpRequests() //对请求进行授权 .mvcMatchers(urls) //匹配某些路径 .permitAll() //直接放行,即不需要登录也可以访问 .anyRequest() //其他任意请求 .authenticated(); //需要通过登录认证 } }
@Service public class UserDetailServiceImpl implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { System.out.println("username = " + username); UserDetails ud = User.builder() .username("root").password("123456") .disabled(false)//是否禁用 .accountLocked(false)//是否锁定 .accountExpired(false)//账号是否过期 .credentialsExpired(false)//登录凭证是否过去 .authorities("权限") //授权,授予当前登录用户有什么权限 .build(); //判断:如果用户名输入不是root,则代表不存在 if (!username.equals("root")){ return null; // 代表用户名不存在 } return ud; } }
此时虽然设置了用户名和密码,但是密码还处于加密,需要再配置类中进行相关设置
如果在登录的时候进行了加密,则在注册的时候也要对密码进行加密
@RequestMapping("/v1/users/") public class UserController { @Autowired PasswordEncoder passwordEncoder; @Autowired(required = false) UserMapper mapper; @RequestMapping("reg") public ResultVO reg(@RequestBody UserRegDTO userRegDTO){ System.out.println("userRegDTO = " + userRegDTO); //判断用户名是否存在 UserVO userVO = mapper.selectByUsername(userRegDTO.getUsername()); if (userVO!=null){ return new ResultVO(StatusCode.USERNAME_ALREADY_EXISTS); } User user = new User(); BeanUtils.copyProperties(userRegDTO,user); //对user对象里面的密码进行加密,加密会得到60字符的长度 user.setPassword(passwordEncoder.encode(user.getPassword())); user.setCreated(new Date()); mapper.insert(user); //当给客户端响应的是Java对象时SpringMVC框架会自动将Java对象转成 //Json格式的字符串,然后将字符串响应给客户端. return new ResultVO(StatusCode.SUCCESS); }
使用自己的登录页面时,Security框架的登录认证流程不会自动启动, 需要我们在UserController处理login请求时手动开启, 手动开启时需要用到认证管理器,在Security配置类中进行配置
@Autowired(required = false)
AuthenticationManager manager;
@RequestMapping("login")
public ResultVO login(@RequestBody UserLoginDTO userLoginDTO){
//通过认证管理器启动Security的认证流程 返回认证结果对象
Authentication result = manager.authenticate(new UsernamePasswordAuthenticationToken(
userLoginDTO.getUsername(), userLoginDTO.getPassword()));
//将认证结果保存到Security上下文中 让Security框架记住登录状态
SecurityContextHolder.getContext().setAuthentication(result);
//代码执行到这里时代表登录成功!如果登录失败Security框架会抛出异常
return new ResultVO(StatusCode.SUCCESS);//登录成功
}
在实际业务中默认的UserDetails里面只有用户的用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails
目的:默认的UserDetails里面只有用户的用户名, 没有其它的信息如果需要用到类似id和nickname等信息的话需要自定义UserDetails
@Getter
@ToString
public class CustomUserDetails extends User {
private Integer id;
private String nickname;
public CustomUserDetails(Integer id,String nickname, String username, String password, Collection<? extends GrantedAuthority> authorities) {
super(username, password, authorities);
this.id=id;
this.nickname=nickname;
}
}
以id为例
/** 1:添加 @AuthenticationPrincipal CustomUserDetails cud 2: 从Security得到当前登录的用户信息 weibo.setUserId(cud.getId()); */ public class WeiboController { @Autowired(required = false) WeiboMapper mapper; @RequestMapping("insert") public ResultVO insert(@RequestBody WeiboDTO weiboDTO , @AuthenticationPrincipal CustomUserDetails cud){ Weibo weibo = new Weibo(); BeanUtils.copyProperties(weiboDTO,weibo); //当前登录对象 从Security得到当前登录的用户信息 weibo.setUserId(cud.getId()); weibo.setCreated(new Date()); mapper.insert(weibo); return new ResultVO(StatusCode.SUCCESS); }
1:UserDetailsService
实现类中添加
//模拟zzzz为管理员
String role = username.equals("zzzz")?"ADMIN":"USER";
List<GrantedAuthority> list= AuthorityUtils.createAuthorityList(role);
2:在配置类中添加@EnableGlobalMethodSecurity(prePostEnabled = true)
,开启方法的授权权限
3:在Controller中添加 @PreAuthorize("hasAnyAuthority('ADMIN')")
@RequestMapping("{id}/delete")
@PreAuthorize("hasAnyAuthority('ADMIN')") //当前登录用户必须拥有ADMIN权限否则会抛出异常
public ResultVO delete(@PathVariable Integer id){
mapper.deleteById(id);
return new ResultVO(StatusCode.SUCCESS);
}
求进行判断.
form表单,所以不存在跨域攻击的问题,通过以下代码关闭跨域攻击,否则请求受限
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。