Spring Security 认证的三种方式及简单的授权

简介: Spring Security 认证的三种方式及简单的授权


  1. 默认身份验证
    在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录
  2. 内存身份验证
    自定义用户名和密码
    新建一个SecurityConfig的配置类,继承WebSecurityConfigurerAdapter类,重写configure(AuthenticationManagerBuilder auth)自定义身份认证
/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        /*1.基于内存的身份认证*/
        //添加两个账户密码
        auth.inMemoryAuthentication().passwordEncoder(encoder)
                .withUser("admin").password(encoder.encode("admin")).roles("admin")
                .and()
                .withUser("junko").password(encoder.encode("123456")).roles("common");
    }
}
  1. 启动项目,需要输入上面定义好的账户密码才能进行登录,这里有三张表,分别为用户、权限、用户-权限表
  2. 使用UserDetails进行身份认证
    创建查询用户及用户权限的接口
@Mapper
public interface TUserMapper {
  /*根据用户名去查询用户讯息*/
  @Select("select * from t_user where username=#{username}")
  public TUser selectUserByUserName(String username);
}
@Mapper
public interface AuthorityMapper {
  /*根据用户名去查询用户权限*/
  public List<Authority> selectAuthorityByUserName(String username);
}
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="net.junko.mapper.AuthorityMapper">
    <select id="selectAuthorityByUserName" resultType="net.junko.bean.Authority" parameterType="string">
        select a.* from t_user u,t_authority a,user_authority au where u.id=au.uid and a.id=au.aid and u.username=#{username}
    </select>
</mapper>
  1. 编写UserDetailsServiceImpl实现类
    前面说过,使用数据库的查询方法进行授权认证,需要实现UserDetailsService接口,重写loadUserByUsername方法
@Service
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    @Autowired
    TUserMapper userMapper;
    @Autowired
    AuthorityMapper authorityMapper;
    /*根据前端登录页面传入的用户名,查询出数据库对应的用户信息和用户权限,
    把用户信息和权限封装成UserDetails对象,交给SpringSecurity进行身份认证*/
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        /*根据用户名查询用户信息、权限信息*/
        TUser user = userMapper.selectUserByUserName(s);
        List<Authority> authorities = authorityMapper.selectAuthorityByUserName(s);
        /*遍历封装用户权限*/
        List<SimpleGrantedAuthority>  authorityList = new ArrayList<>();
    for (int i=0;i<authorities.size();i++)
        {
            authorityList.add(new SimpleGrantedAuthority(authorities.get(i).getAuthority()));
        }
        if(user!=null)
        {
            /*将用户名、密码、用户权限封装成UserDetails对象*/
            UserDetails userDetails = new User(user.getUsername(),encoder.encode(user.getPassword()),authorityList);
            return userDetails;
        }
        else {
            throw new UsernameNotFoundException("用户不存在");
        }
    }
}
  1. 在SecurityConfig类内配置根据UserDetails进行身份认证
    之前2的内存身份验证记得注释掉,注入UserDetailsServiceImpl
/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserDetailsServiceImpl userDetailsService;
    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        /*1.基于内存的身份认证*/
//        auth.inMemoryAuthentication().passwordEncoder(encoder)
//                .withUser("admin").password(encoder.encode("admin")).roles("admin")
//                .and()
//                .withUser("cai").password(encoder.encode("123457")).roles("common");
        /*2.使用UserDetails进行身份认证*/
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
        }
 }
  1. 测试,登录时用数据库内存储的用户信息
    用户授权管理
    在做好了认证方式后,想要指定不同的权限访问不同的页面,即自定义访问控制,则需要再进行一些设置
    在SecurityConfig配置类内重写configue(HttpSecurity http)方法,如果用户没有访问某页面的权限,会出现403页面错误,该错误页面提示可以根据自己的项目进行修改。
/*开启安全管理配置*/
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    UserDetailsServiceImpl userDetailsService;
    /*自定义身份认证*/
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /*密码编译器*/
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        /*1.基于内存的身份认证*/
//        auth.inMemoryAuthentication().passwordEncoder(encoder)
//                .withUser("admin").password(encoder.encode("admin")).roles("admin")
//                .and()
//                .withUser("cai").password(encoder.encode("123457")).roles("common");
        /*2.使用UserDetails进行身份认证*/
        auth.userDetailsService(userDetailsService).passwordEncoder(encoder);
    }
    /*自定义用户权限*/
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /*自定义访问控制*/
        http.authorizeRequests()
                .antMatchers("/").permitAll()  //表示放行“/”访问
                //根据用户拥有的不同权限配置访问权限
                .antMatchers("/admin/**").hasAuthority("admin")
                .antMatchers("/common/**").hasAuthority("common")
                .and()
                .formLogin();
    }
}
  1. 在自定义用户权限设置后,就可以实现/路径下的页面不需要认证即可访问,/admin/**下的页面,则需要登录的用户具有admin权限才能访问,同理/common/**


相关文章
|
23天前
|
JSON 安全 Java
什么是JWT?如何使用Spring Boot Security实现它?
什么是JWT?如何使用Spring Boot Security实现它?
85 5
|
2月前
|
安全 Java 数据库
安全无忧!在 Spring Boot 3.3 中轻松实现 TOTP 双因素认证
【10月更文挑战第8天】在现代应用程序开发中,安全性是一个不可忽视的重要环节。随着技术的发展,双因素认证(2FA)已经成为增强应用安全性的重要手段之一。本文将详细介绍如何在 Spring Boot 3.3 中实现基于时间的一次性密码(TOTP)双因素认证,让你的应用安全无忧。
137 5
|
4月前
|
SQL Java 测试技术
在Spring boot中 使用JWT和过滤器实现登录认证
在Spring boot中 使用JWT和过滤器实现登录认证
273 0
|
13天前
|
安全 Java 数据安全/隐私保护
基于内存认证的 Spring Security
通过本文的介绍,希望您能够深入理解基于内存认证的Spring Security配置与使用方法,并能够在实际开发中灵活应用这一技术,提升应用的安全性和用户体验。
44 9
|
28天前
|
JSON 安全 算法
Spring Boot 应用如何实现 JWT 认证?
Spring Boot 应用如何实现 JWT 认证?
65 8
|
5月前
|
安全 Java 数据安全/隐私保护
使用Spring Security实现细粒度的权限控制
使用Spring Security实现细粒度的权限控制
|
5月前
|
安全 Java 数据库
实现基于Spring Security的权限管理系统
实现基于Spring Security的权限管理系统
|
4月前
|
Java Spring
【Azure Spring Cloud】Spring Cloud Azure 4.0 调用Key Vault遇见认证错误 AADSTS90002: Tenant not found.
【Azure Spring Cloud】Spring Cloud Azure 4.0 调用Key Vault遇见认证错误 AADSTS90002: Tenant not found.
|
4月前
|
消息中间件 安全 Java
Spring Boot 基于 SCRAM 认证集成 Kafka 的详解
【8月更文挑战第4天】本文详解Spring Boot结合SCRAM认证集成Kafka的过程。SCRAM为Kafka提供安全身份验证。首先确认Kafka服务已启用SCRAM,并准备认证凭据。接着,在`pom.xml`添加`spring-kafka`依赖,并在`application.properties`中配置Kafka属性,包括SASL_SSL协议与SCRAM-SHA-256机制。创建生产者与消费者类以实现消息的发送与接收功能。最后,通过实际消息传递测试集成效果与认证机制的有效性。
189 4
|
4月前
|
Java Spring 安全
Spring 框架邂逅 OAuth2:解锁现代应用安全认证的秘密武器,你准备好迎接变革了吗?
【8月更文挑战第31天】现代化应用的安全性至关重要,OAuth2 作为实现认证和授权的标准协议之一,被广泛采用。Spring 框架通过 Spring Security 提供了强大的 OAuth2 支持,简化了集成过程。本文将通过问答形式详细介绍如何在 Spring 应用中集成 OAuth2,包括 OAuth2 的基本概念、集成步骤及资源服务器保护方法。首先,需要在项目中添加 `spring-security-oauth2-client` 和 `spring-security-oauth2-resource-server` 依赖。
58 0