Spring Security六:自定义认证
经过前面的学习咱们能够使用spring security完成简单的认证和受权,可是实际项目中用户的数据每每都是存在数据库中,登陆页面也须要能够自由定制,下面咱们就来学习使用spring security如何完成java
建立mavean项目选择模板 mavean-archetype-webappmysql
1.1 自定义登陆页面:
建立登陆页面,结构以下:web
在WEBCONFIG.java中配置认证页面地址spring
//默认Url根路径跳转到/login,此url为spring security提供
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("redirect:/login-view");
registry.addViewController("/login-view").setViewName("login");
}
}
安全配置:sql
在WebSecurityConfig中配置表单登陆信息:数据库
http
.authorizeRequests()
.antMatchers("/r/**").authenticated()
.anyRequest().permitAll()
.and()
.formLogin()
.loginPage("/login-view")
.loginProcessingUrl("/login")
.successForwardUrl("/login-success")
.permitAll();浏览器
(1) 容许表单登陆安全
(2) 指定本身的登陆页以重定向方式跳转到/login-viewcookie
(3) 指定登陆处理的url也就是填写用户名密码之后提交到的地址session
(4) 指定登陆成功后跳转到的URL
(5) 容许全部用户登陆之后访问全部URL
测试:
输入用户名密码点击登陆报403错
问题解决:
Spring security为防止CSRF(跨站请求伪造)的发生,限制除了get之外的大多数方法。
屏蔽CSRF控制,即spring security再也不限制CSRF
配置WebSecurityConfig
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
…
}
链接数据库
前面的例子咱们是将用户的信息保存在内存中,实际项目中每每是从数据库中读取用户的信息进行验证,下面看看如何使用数据库中的用户信息进行登陆,根据前面的研究咱们知道只须要从新定义UserDetailService便可实现根据用户帐号查询数据库。
1. 建立数据库
建立user_db数据库
CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';
2.建立t_user表
CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用户id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用户姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手机号',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC
3.定义dataSource在application.properties配置
spring.datasource.url=jdbc:mysql://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
4.添加依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.47</version>
</dependency>
5.定义实体类
@Data
public class UserDto {
private String id;
private String username;
private String password;
private String fullname;
private String mobile;
}
6.定义数据访问类
@Repository
public class UserDao {
@Autowired
JdbcTemplate jdbcTemplate;
public UserDto getUserByUsername(String username){
String sql ="select id,username,password,fullname from t_user where username = ?";
List<UserDto> list = jdbcTemplate.query(sql, new Object[]{username}, new
BeanPropertyRowMapper<>(UserDto.class));
if(list == null && list.size() <= 0){
return null;
}
return list.get(0);
}
}
7.定义UserDetailService
在service包下定义SpringDataUserDetailsService实现UserDetailService接口
@Service
public class SpringDataUserDetailsService implements UserDetailsService {
@Autowired
UserDao userDao;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//登陆帐号
System.out.println("username="+username);
//根据帐号去数据库查询...
UserDto user = userDao.getUserByUsername(username);
if(user == null){
return null;
}
//这里暂时使用静态数据
UserDetails userDetails =
User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
return userDetails;
}
}
8.测试
9. 使用BcryptPasswordEncoder
在安全配置类中定义BcryptPasswordEncoder
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
UserDetails中的密码存储BCrypt格式
前边实现了从数据库查询用户信息,因此数据库中的密码应该存储BCrypt格式
10.修改LoginController获取用户身份信息
@RestController
public class LoginController {
/**
* 用户登陆成功
* @return
*/
@RequestMapping(value = "/login‐success",produces = {"text/plain;charset=UTF‐8"})
public String loginSuccess() {
String username = getUsername();
return username + " 登陆成功";
}
/**
* 获取当前登陆用户名
* @return
*/
private String getUsername(){
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if(!authentication.isAuthenticated()){
return null;
}
Object principal = authentication.getPrincipal();
String username = null;
if (principal instanceof org.springframework.security.core.userdetails.UserDetails) {
username =
((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
} else {
username = principal.toString();
}
return username;
}
@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF‐8"})
public String r1(){
String username = getUsername();
return username + " 访问资源1";
}
@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF‐8"})
public String r2(){
String username = getUsername();
return username + " 访问资源2";
}
}
11.测试
12.会话控制:
咱们能够经过如下选项控制会话什么时候建立
Always 若是没有session存在就建立一个
ifRequired 若是须要就建立一个session登陆时
never: Spring Security将不会建立session,可是若是应用中其它地方建立了session,那么spring security将会使用它
stateless:Spring Security将不会建立Session也不会使用Session
经过如下方式对该选项进行配置:
在WebSecurityConfig.java中加上:
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
…
}
默认状况下Spring Security会为每个登陆成功的用户建立一个Session,就是IF_REQUIRED
若选用never则指示Spring Security对登陆成功的用户不建立Session了,但若你的应用程序在某地方新建了Session,那么Spring Security会用它的。
若使用stateless,则Spring Security对登陆成功的用户不会建立Session,你的应用程序也不会建立Session,每一个请求都须要从新进行身份验证,这种无状态架构适用于Rest API及其无状态认证机制。
会话超时:
能够设置Session超时时间,好比设置Session有效期为 3600秒:
在Spring Security配置文件中:
server.servlet.session.timeout=3600s
安全会话cookie
httpOnly:若是为true那么浏览器脚本没法访问cookie
secure:若是为true则cookie将仅经过Https链接发送
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true
13.退出
Spring Security默认帮咱们实现了退出功能,访问/logout就能够实现退出
自定义退出成功页面:
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");
当执行退出时将会完成如下动做:
1. session失效
2. 清除SecurityContextHolder
3. 跳转到/login-view?logout
若是想进一步配置退出功能能够以下配置:
.logout() (1)
.logoutUrl("/logout") (2)
.logoutSuccessUrl("/login‐view?logout") (3)
.logoutSuccessHandler(logoutSuccessHandler) (4)
.addLogoutHandler(logoutHandler) (5)
.invalidateHttpSession(true); (6)
(1) 提供系统退出支持
(2) 设置触发退出操做的url,默认是/logout
(3) 退出以后跳转的url,默认是/login?logout
(4) 定制的LogoutSuccessHandler,用于实现用户退出成功时的处理,若是指定了这个选项则logoutSuccessUrl()的设置会被忽略
(5) 添加一个logoutHandler,用于实现用户退出时的清理工做,
(6) 指定在用户退出时是否让HttpSession无效,默认为true
注意:若是让logout在Get请求下生效,必须关闭防止csrf***的csrf().disable().若是开启了CSRF,必须使用post方式请求/logout
- 1. spring security 自定义认证
- 2. Spring Security自定义用户认证
- 3. Spring Security 自定义用户认证
- 4. spring security 自定义认证登陆
- 5. spring security 自定义登陆认证
- 6. Spring Security自定义认证AuthenticationProcessingFilter
- 7. (六)Spring Security 认证流程
- 8. 自定义用户认证逻辑security
- 9. Spring Boot + Spring Security自定义用户认证
- 10. Spring Security教程(六):自定义过滤器进行认证处理
- 更多相关文章...
- • 自定义TypeHandler - MyBatis教程
- • MySQL自定义函数(CREATE FUNCTION) - MySQL教程
- • RxJava操作符(十)自定义操作符
- • RxJava操作符(六)Utility
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 安装cuda+cuDNN
- 2. GitHub的使用说明
- 3. phpDocumentor使用教程【安装PHPDocumentor】
- 4. yarn run build报错Component is not found in path “npm/taro-ui/dist/weapp/components/rate/index“
- 5. 精讲Haproxy搭建Web集群
- 6. 安全测试基础之MySQL
- 7. C/C++编程笔记:C语言中的复杂声明分析,用实例带你完全读懂
- 8. Python3教程(1)----搭建Python环境
- 9. 李宏毅机器学习课程笔记2:Classification、Logistic Regression、Brief Introduction of Deep Learning
- 10. 阿里云ECS配置速记
- 1. spring security 自定义认证
- 2. Spring Security自定义用户认证
- 3. Spring Security 自定义用户认证
- 4. spring security 自定义认证登陆
- 5. spring security 自定义登陆认证
- 6. Spring Security自定义认证AuthenticationProcessingFilter
- 7. (六)Spring Security 认证流程
- 8. 自定义用户认证逻辑security
- 9. Spring Boot + Spring Security自定义用户认证
- 10. Spring Security教程(六):自定义过滤器进行认证处理