Earth_Programer

2. SpringSecurity 自定义表单登录

在上一篇文章的结尾，我们列入了默认使用 SpringSecurity 一些待优化和解决的问题，我们再来回顾一下

用户登录不可能以这种弹框形式去登录，一般网页都有自己的登录页面(自定义登录页面)
用户名、密码应该是从数据库中读取，而不是默认和随机的(自定义认证逻辑)
并不是对所有的资源或接口都需要认证(设置资源白名单)
认证成功或者失败的处理，比如登录成功可以做一些记录，失败做一些处理

本篇文章就主要解决上面四点问题

自定义登录页面/登录地址

OK，首先第一点，让我们来解决一下，将默认的弹框登录方式改为网页表单登录方式。我们只需要在我们的项目中自定义一个 WebSecurityConfigurerAdapter 的实现类，并重写它的 configure(HttpSecurity http) 方法，在这个方法中我们显示指定登录方式为 formLogin (默认为 httpBasic) 示例如下:

/**
 * @author: hblolj
 * @Date: 2019/3/14 10:07
 * @Description:
 * @Version:
 **/
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin() // 指定登录认证方式为表单登录
                .and()
                .authorizeRequests()
                .anyRequest() // 对所有的请求
                .authenticated(); // 都进行认证

    }
}

然后，重新启动应用，再次访问 http://localhost:8080/security/hello 接口

用户名任然是 user，密码是日志中输出的 password。如果我们输错了用户名、密码，会有如下提示

输入正确则可以访问到我们的接口资源。

OK，到目前为止我们将认证方式从 HttpBasic 转变为了 FormLogin 登录，但是还是离我们的要求有一些差距

登录页面虽然是表单登录了，但是是默认的。我们需要自定义的登录页面。
在前后端分离的情况下，我们需要自定义登录接口地址

我们此时分析一下，发现问题的核心不在于登录页面，也不在于登录接口。我们上面访问一个资源跳转到所谓的登录页面。实质上是系统判断我们没有认证，引导我们跳转到一个地址，这个地址既可以是一个 web 页面，也可以是一个 restful 接口。所以上面两个问题本质上是一个问题，就是配置系统的表单认证地址。具体实例如下:

/**
 * @author: hblolj
 * @Date: 2019/3/14 10:07
 * @Description:
 * @Version:
 **/
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin() // 指定登录认证方式为表单登录
            	//指定自定义登录页面地址，一般前后端分离，这里就用不到了
                .loginPage("/page/login.html") 
            	// 自定义表单登录的 action 地址，默认是 /login
                .loginProcessingUrl("/authentication/form") 
                .and()
                .authorizeRequests()
            	// 允许登录页面不需要认证就可以访问，不然会死循环导致重定向次数过多
                .antMatchers("/page/login.html").permitAll() 
                .anyRequest() // 对所有的请求
                .authenticated() // 都进行认证
            	.and()
                .csrf()
                    .disable(); // 关闭 csrf 防护

    }
}

这里我们注意，loginPage 指定认证页面地址，loginProcessingUrl 指定认证地址，两者只需要配置一个即可，如果都配置了，则只有 loginProcessingUrl 生效。

这里我们可能会遇到一个需求，我们的后端应用同时给 Web 页面与 App 提供服务，这样他们的认证引导方式不一样，该怎么解决。我们要注意的是我们可以在 loginProcessingUrl 配置的接口里通过对请求的判断来动态对 web 和 app 请求进行定制化处理。

另外，如果配置的是 loginPage，则需要设置 .antMatchers("/page/login.html").permitAll() 表示认证页面的访问不需要认证，否则会死循环导致重定向次数过多问题。这样我们就完美的解决了自定义登录页面与地址问题，第一个问题解决。

设置资源白名单

既然这里用到了 antMatcher 与 permitAll，那我们提前说一下第三个问题，资源白名单，这里要分情况讨论一下:

前后端分离
- 前端页面资源不在我们后端应用的管辖下，我们只需要管理好我们的接口访问权限即可
不分离
- 前端页面放在应用文件夹下，那么久对对应的文件路径进行管理

具体管理方式有两种，一种指定具体的访问地址，例如.antMatchers("/page/login.html").permitAll() ，这里还可以使用 * 通配符进行范围指定

/page/*.html : page 下的所有 html
/page/** : page 下的所有资源

另一种方式是在自定义的 WebSecurityConfig 类中重写 configure(WebSecurity web) 方法，在方法中对静态资源设置不拦截，这里注意一下，spring boot 的默认静态资源放置位置是在 resource/static 下，可以在 static 下新建一个文件夹，然后在上述方法中指定跳过拦截的文件路径即可。

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/page/**");
}

到了这里，第三个问题基本上也解决了。那我们还剩下两个问题要处理，自定义认证逻辑与认证结果处理。我们按照业务顺序先来处理一下自定义认证逻辑。

自定义认证逻辑

自定义认证逻辑我们可以分为三块

从请求中获取用户认证信息，在表单认证这里就是用户名与密码
按照认证信息从数据库查询取出用户信息
对取出的用户信息与认证信息进行校验比对
- 比对密码
- 校验用户状态，比如账号是否是冻结的等等

如果使用 SpringSecurity 默认帮我们实现的表单认证逻辑，我们只需要实现第二步即可，具体步骤如下:

自定义一个 UserDetailsService 的实现类，重写它的 loadUserByUsername 方法，在这个方法里面按参数到数据库中查询用户信息，最后返回一个 UserDetail 的实现类。示例如下:

/**
 * @author: hblolj
 * @Date: 2019/3/14 10:40
 * @Description:
 * @Version:
 **/
@Component
public class FormUserDetailService implements UserDetailsService{

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        // TODO: 2019/3/14 按参数 s 从数据库查找用户信息，一般注入 dao 查询
        
        // 返回的是 org.springframework.security.core.userdetails 下 User 类
        // 在实际业务时，可以使系统的 User 类去实现 UserDetail 接口，然后返回自己的 User 类即可
        // 构造方法传入的三个参数分别是用户名、密码、权限集合
        // 还有另外一个构造方法，可以传额外四个参数，表示账号状态(启用、冻结、锁定等)
        // 如果密码使用了加密，从数据库中取出的应该是加密过的密码，不是明文
        return new User(s, "123", AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));
    }
}

这样，当我们使用表单登录时就会使用我们自定义的逻辑了(默认使用的其实是 InMemoryUserDetailsManager 这个类)。

这里有几点注意说明一下

在用户注册时对用户密码使用了加密时的处理。

SpringSecurity 给我们提供了 PasswordEncoder 来加密密码，我们可以制定一种加密类型，然后放入 IOC 容器中，加密解密使用这个共享的 PasswordEncoder。

@Bean
public PasswordEncoder passwordEncoder(){
    return new BCryptPasswordEncoder();
}

我们注册时，可以使用该 PasswordEncoder 对用户的密码进行加密存储到数据库中，取出时，SpringSecurity 会从获取到该 passwordEncoder 来进行解密校验。我们自己模拟的时候，可以对密码进行加密返回。示例:

/**
 * @author: hblolj
 * @Date: 2019/3/14 10:40
 * @Description:
 * @Version:
 **/
@Component
public class FormUserDetailService implements UserDetailsService{

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {

        // 模拟从数据库中取出的密码是已经加密过的密码
        String password = passwordEncoder.encode("123");
        
        User user = new User(s, password, true, true, true,
                true, AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));

        return user;
    }
}

当自己定义了多个 UserDetailsService 的实现类放到 IOC 容器时，会发现默认的 formLogin 会使用 InMemoryUserDetailsManager 的实现来处理校验逻辑。同时 SpringScurity 使用的 PasswordEncoder 也不是我们自己实现的，会出现密码校验不上

解决方案，全局指定默认的 UserDetailService 与 PasswordEncoder

/**
 * @author: hblolj
 * @Date: 2019/3/15 18:12
 * @Description: 指定全局默认的 UserDetailService 与 PasswordEncoder
 * @Version:
 **/
@Configuration
public class GlobalAuthenticationConfigurer extends GlobalAuthenticationConfigurerAdapter {

    private final UserDetailsService userService;

    private final PasswordEncoder passwordEncoder;

    @Autowired
    public GlobalAuthenticationConfigurer(@Qualifier("formUserDetailService") UserDetailsService userDetailsService,
                                          PasswordEncoder passwordEncoder) {
        this.userService = userDetailsService;
        this.passwordEncoder = passwordEncoder;
    }

    @Override
    public void init(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder);
    }
}

系统提供的 formLogin 不能满足我们的需求，需要自定义认证方式，比如短信验证码登录、微信登录等等。
- 下一章节会示例，To Be Continue…

认证结果自定义处理

经过前面的认证，现在会有两个结果，认证成功与认证失败。我们需求往往会要求我们正在这时做出对应的处理，比如记录信息、引导用户，返回用户信息等等。在 SpringSecurity 里面，框架帮我们封装了两个接口(AuthenticationFailureHandler 与 AuthenticationSuccessHandler)，我们只需要实现这两个接口，重写 (onAuthenticationFailure 与 onAuthenticationSuccess 方法) 并将其实现类配置到我们自定义的 WebSecurityConfig 即可使用。

认证成功处理

/**
 * @author: hblolj
 * @Date: 2019/3/14 14:56
 * @Description:
 * @Version:
 **/
@Slf4j
@Component
public class DefaultAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                        Authentication authentication) throws IOException, ServletException {

        log.info("Login Success!");

        httpServletResponse.setContentType("application/json;charset=UTF-8");
        			
      httpServletResponse.getWriter().write(authentication.getPrincipal().toString());
    }
}

认证失败处理

/**
 * @author: hblolj
 * @Date: 2019/3/14 14:56
 * @Description:
 * @Version:
 **/
@Slf4j
@Component
public class DefaultAuthenticationFailureHandler implements AuthenticationFailureHandler{

    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                        AuthenticationException e) throws IOException, ServletException {

        // 自定义登录失败处理逻辑
        log.info("Login Failure!");
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        httpServletResponse.getWriter().write(e.getMessage());
    }
}

添加到配置

/**
 * @author: hblolj
 * @Date: 2019/3/14 10:07
 * @Description:
 * @Version:
 **/
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;

    @Autowired
    private AuthenticationSuccessHandler authenticationSuccessHandler;

    @Autowired
    private AuthenticationFailureHandler authenticationFailureHandler;

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin() // 指定登录认证方式为表单登录
//                .loginPage("http://www.baidu.com") //指定自定义登录页面地址，一般前后端分离，这里就用不到了
                .loginProcessingUrl("/authentication/form") // 自定义表单登录的 action 地址，默认是 /login
                .successHandler(authenticationSuccessHandler)
                .failureHandler(authenticationFailureHandler)
                .and()
                .authorizeRequests()
                .antMatchers("/page/login.html").permitAll() // 允许登录页面不需要认证就可以访问，不然会死循环导致重定向次数过多
                .anyRequest() // 对所有的请求
                .authenticated(); // 都进行认证
//                .and()
//                .exceptionHandling()
//                .authenticationEntryPoint(authenticationEntryPoint); // 实现了 EntryPoint 对 loginPage 有覆盖作用，loginPage 不生效
    }
}

这里要注意几点，在我们的需求中可能会出现，比如登录前访问 A 页面，现在登陆后需要自动跳转到 A 页面。这里我们可以观察一下，AuthenticationSuccessHandler 与 AuthenticationFailureHandler 接口的实现类

```
SavedRequestAwareAuthenticationSuccessHandler
```
- 继承该类，调用 super.onAuthenticationSuccess 方法，会跳转到认证前的页面
```
SimpleUrlAuthenticationFailureHandler
```
- 继承该类，调用 super.onAuthenticationFailure 方法会跳转到设置的页面，如果没有设置会返回 401，同时可以指定 forward 与 redirect 方式

关于适配 Web 与 App 方面，在处理方法中从请求中分析出客户端类型，然后做出对应的处理即可。比如是引导页面跳转，还是返回一段 JSON。

OK，到了这里，开头我们的几个目标问题都已经解决了，下一篇文章我们将给大家带了在 SpringSecurity 下自定义认证方式的实现说明(手机号登陆)，To Be Continue!

spring security中几大组件的作用和执行顺序阿信在这里 java spring
springsecurity中几大组件的作用和执行顺序在SpringSecurity中，AuthenticationProvider、GroupPermissionEvaluator、PermissionEvaluator、AbstractAuthenticationProcessingFilter、DefaultMethodSecurityExpressionHandler和ManageSecu
Spring Security静态资源过滤（11）小黑屋说YYDS spring
在一个实际项目中，并非所有的请求都需要经过SpringSecurity过滤器，有一些特殊的请求，例如静态资源等，一般来说并不需要经过SpringSecurity过滤器链，用户如果访问这些静态资源，直接返回对应的资源即可。回顾关于WebSecurity的讲解，提到它里边维护了一个ignoredRequests变量,该变量，记录的就是所有需要被忽略的请求，这些被忽略的请求将不再经过SpringSecu
Spring Security定义多个过滤器链（10）小黑屋说YYDS spring
在SpringSecurity中可以同时存在多个过滤器链，一个WebSecurityConfigurerAdapter的实例就可以配置一条过滤器链。我们来看如下一个案例：@ConfigurationpublicclassSecurityConfig{@BeanUserDetailsServiceus(){InMemoryUserDetailsManagerusers=newInMemoryUser
SpringSecurity初学总结 weixin_66442229 spring
springSecurity安全框架基于Java的安全框架主要有:SpringSecurity和Shiro介绍基础概念安全框架是对用户访问权限的控制,保证应用的安全性。其主要的工作是用户认证和用户授权|鉴权主要应用于Spring的企业应用系统,提供声明式的安全访问控制解决方案。它提供了一组可以在Spring应用上下文中配置的Bean能很好的结合Spring的DI依赖注入和AOP面向切面编程功能应用
springcloud — 微服务鉴权管理Spring Security原理解析(二) RachelHwang springcloud spring java spring security oauth2 springcloud
引言：回顾之前介绍的OAuth2简单分析与介绍，微服务鉴权管理之OAuth2原理解析(一)，前面的部分，我们关注了SpringSecurity是如何完成认证工作的，但是另外一部分核心的内容：过滤器，一直没有提到，我们已经知道SpringSecurity使用了springSecurityFilterChain作为了安全过滤的入口，这一节主要分析一下这个过滤器链都包含了哪些关键的过滤器，并且各自的使命
SpringSecurity认证鉴权流程 JH3073 服务器 java 前端
SpringSecurity认证鉴权流程SpringSecurity的认证流程SpringSecurity的鉴权流程将用户交给SpringSecurity管理主要涉及以下几个步骤：SpringSecurity的认证流程用户请求：用户向应用程序发起请求，通常是访问受保护的资源（例如，一个需要登录的页面）。检查是否需要认证：SpringSecurity会检查请求的URL是否需要认证。这个检查是基于配置
Spring Boot整合Spring Security+JWT+OAuth 2.0 实现认证鉴权登录（框架介绍）星空下夜猫子 spring spring boot 数据库
简介SpringSecurity框架描述SpringSecurity是一个基于Spring框架的安全性框架，可以为Web应用程序提供身份验证（Authentication）、授权（Authorization）、攻击防御等安全功能。SpringSecurity框架提供了一整套的身份验证、授权、ACL（访问控制列表）等模块和类库，还提供了一系列的安全过滤器、安全标签等，可以方便地实现常见的安全性控制。
毕设/私活/bigold必备项目，一个挣钱的免费的全开源标准前后端分离后台管理权限系统【springboot+vue+redis+Spring Security】脚手架搭建：若依Ruo框架具体使用教程南北极之间前端开发 springboot vue springboot+vue 免费后台管理系统毕业私活后台权限系统
【建议收藏】毕设/私活/大佬必备，一个挣钱的标准开源前后端分离【springboot+vue+redis+SpringSecurity】脚手架一个免费的开源后台管理系统：若依框架（具体使用教程：具体怎样下载？怎样使用？怎样配置后台接口地址？超详细）简介RuoYi是一个JavaEE企业级快速开发平台，基于经典技术组合（SpringBoot、ApacheShiro、MyBatis、Thymeleaf、
Java Web安全与Spring Config对象实战福建低调
本文还有配套的精品资源，点击获取简介：本课程深入探讨JavaWeb开发中的安全实践，包括认证与授权、输入验证、CSRF和XSS防护以及SQL注入防御等关键安全措施。同时，介绍SpringSecurity框架的应用，以及Config对象在Spring配置管理中的作用，包括依赖注入和外部化配置。课程还包括实战演练，通过设置安全环境和安全漏洞模拟，帮助开发者提升应用的安全性和故障排查能力。1.Web安全
【微服务】springboot 整合 SA-Token 使用详解小码农叔叔微服务治理与实战 SA-Token使用详解 sa-token使用详解 sa-token sa-token使用 sa-token认证授权 java使用sa-token
目录一、前言二、认证与授权介绍2.1什么是认证2.1.1认证的目的2.1.2认证基本步骤2.2什么是授权2.2.1常用的授权模型三、微服务中常用的认证安全框架3.1SpringSecurity3.1.1SpringSecurity特点3.2JWT(JSONWebTokens)3.2.1JWT特点3.3其他认证安全框架四、SA-Token介绍4.1SA-Token是什么4.2SA-Token特点4.
spring security 相关过滤器星空寻流年 spirng security spring java spring boot
SpringSecurity提供了30多个过滤器。默认情况下SpringBoot在对SpringSecurity进入自动化配置时，会创建一个名为SpringSecurityFilerChain的过滤器，并注入到Spring容器中，这个过滤器将负责所有的安全管理，包括用户认证、授权、重定向到登录页面等一、过滤器整理过滤器过滤器作用默认是否加载ChannelProcessingFilter过滤请求协议
spring揭秘-概念以BeanFactory介绍 liangxifeng833
本质:Spring框架为POJO提供的各种服务共同组成了Spring的生命之树Paste_Image.pngspring框架为基础,有很多家庭成员,比如(SpringWebFlow,SpringWebServices,SpringSecurity,SpringBatch等等),这些家族成员全部以ApacheLisenceVersion2.0协议发布,共同组成了SpringProjects组合,因为
Spring Security 用户认证和授权管理老友@ spring java 后端 spring boot mybatis
文章目录一、介绍1、简介2、核心概念3、主要功能4、处理流程二、SpringSecurity实现权限1、添加依赖2、执行顺序和代码执行流程（1）用户登录（2）访问受保护资源总结1、用户登录2、访问受保护资源完整源码一、介绍1、简介SpringSecurity是一个强大的安全框架，旨在保护基于Spring的应用程序。它提供了一整套全面的安全功能，包括认证、授权、以及防护常见安全攻击的机制。2、核心概
SpringSecurity学习笔记 coder_wangzw 学习 servlet java
SpringSecurity学习笔记一、SpringSecurity介绍：1.SpringSecurity是基于Spring的身份认证（Authentication）和用户授权（Authorization）框架，提供了一套Web应用安全性的完整解决方案。其中核心技术使用了Servlet过滤器、IOC和AOP等。2.什么是身份认证身份认证指的是用户去访问系统资源时，系统要求验证用户的身份信息，用户身
Spring-Security（二）OAuth2认证详解（持续更新） lbmydream spring cloud 架构 spring 探析 spring java 后端
SpringSecurity&Oauth2系列：SpringSecurity（一）源码分析及认证流程SpringSecurity（二）OAuth2认证详解及自定义异常处理文章目录1、OAuth2.0简介1.1OAuth2.0相关名词解释1.2四种授权模式1.3、OAuth2框架1.4OAuth2.0客户端提供功能2、OAuth2.0认证服务2.1SpringSecurityOAuth2提供的程序实
Shiro实现登录认证以及整合到Springboot3 LIPAH web安全 springboot
一、概念介绍ApacheShiro是一个强大灵活的开源安全框架，提供授权、会话管理以及密码加密等功能。与SpringSecurity对比劣势：SpringSecurity基于Spring开发，项目若使用Spring作为基础，配合SpringSecurity做权限更加方便，而Shiro需要和Spring进行整合开发SpringSecurity功能比Shiro更加丰富些，例如安全维护方面SpringS
基于Spring的单点登录SSO实现（redis+JWT+SpringSecurity）星月梦瑾 java spring redis
本文介绍了基于Spring的单点登录SSO实现（redis+JWT+SpringSecurity）方法。一、应用场景平台包含多个系统应用的，实现只要在一个应用登录一次，就可以访问其他相互信任的应用。常用于多应用平台中，此时常常建立门户网站系统，进行单点登录。二、实现思路单点登录可基于cookie、session、token等方式。本文主要基于token和redis实现。登录信息及token通常存储
Spring Security与Apache Shiro：Java安全框架的比较 Lill_bin java java spring apache 分布式安全后端开发语言
引言在Java企业级应用开发中，安全性是一个不可忽视的重要方面。随着Web应用的复杂性日益增加，选择合适的安全框架对于保护应用免受未授权访问和其他安全威胁至关重要。SpringSecurity和ApacheShiro是两个广泛使用的Java安全框架，它们提供了认证(Authentication)和授权(Authorization)的功能。本文将对这两个框架进行比较，探讨它们的设计理念、核心特性以及
springboot与Spring security 靈08_1024
Springsecurity是一个安全框架，此处不作赘述。本文只写如何使用Springsecurity，以及在搭建中遇到的问题。maven依赖：org.springframework.bootspring-boot-starter-securitymvc入口页面配置文件：importorg.springframework.context.annotation.Configuration;impor
怎么写spring security的账号密码成功失败处理器并且加一个验证码过滤器努力学习的小宇同学从0开始做一个前后端分离项目 Redis spring security spring java 后端
springsecurity他是自带一个页面的,如果我们没有页面的话,他会进行一个账号密码的校验,成功就会走成功的处理器,失败就会走失败的处理器成功处理器packagecom.lzy.security;importcn.hutool.json.JSONUtil;importcom.lzy.common.lang.Result;importorg.springframework.security.c
Spring Boot 与 Spring Security 的集成及 OAuth2 实现 2的n次方_ spring spring boot java
我的主页：2的n次方_在现代Web应用开发中，安全性是至关重要的。无论是保护用户的敏感数据，还是确保API只允许经过授权的请求访问，开发者都需要一个强大且灵活的安全框架来实现这些需求。SpringSecurity作为Spring框架的安全模块，能够为应用提供全面的安全保护。而OAuth2作为一种授权协议，广泛应用于单点登录（SSO）、社交登录、API保护等场景。本文将详细介绍如何在SpringBo
Spring Cloud微服务安全 z.haoui Spring Cloud java 微服务系统安全
JWT-网络安全第一站CORS-跨域安全解决SpringSecurity-服务安全卫士一、JWT介绍JWT的身份认证：1、JWT全称-JSONWebToken2、JWT主要用于身份认证和信息加密3、JWT是一个简单而有效的安全认证方式二、JWT进阶特性1、JWT可以携带数据进行传输，方便后端使用2、JWT可以对传输数据进行签名，增加安全性三、JWT组成1、Header：存储关于签名算法的信息2、P
Spring Security的使用方法 m0_63550220 spring java 后端
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架，广泛用于保护基于Spring的应用程序。以下将详细介绍SpringSecurity的使用方法，主要基于SpringBoot环境：一、添加依赖在SpringBoot项目中，首先需要添加SpringSecurity的依赖。这可以通过在项目的pom.xml（Maven项目）或build.gradle（Gradle项目）文件中
“阿里”又爆新作！Github新开源303页Spring全家桶高级笔记 Java海
Spring全家桶不知道各位Java好大哥们闲的时候会不会去关注Spring目前的官网，你会发现他的slogan是:SpringmakesJavaSimple。它让Java的开发变得更加简单。某种意义上来说：是Spring成就了Java！但随之而来的就是：由他之后诞生出来的各种组件；SpringBoot，SpringCloud，SpringSecurity啥的都成了我们Java程序员必须要掌握的技
使用Spring Security进行LDAP（轻量目录访问协议）认证岚珂瓜呱 spring boot spring java 数据库后端开发语言 spring boot
使用SpringSecurity进行LDAP（轻量目录访问协议）认证使用SpringSecurity进行LDAP认证非常简单，您只需配置SpringSecurity以连接到LDAP服务器并执行认证即可。以下是一个简单的示例，演示如何在SpringBoot应用程序中实现LDAP认证：添加SpringSecurity和SpringLDAP依赖：首先，您需要添加SpringSecurity和Spring
spring security 权限(注解) LaoCat__ java springcloud web后端 java spring boot spring security
写在前边整理的知识点都是从其他博客中来，如有侵权，立删！参考:https://blog.csdn.net/qq_32867467/article/details/103097190正题:SpringSecurity默认是禁用注解的，要想开启注解，要在继承WebSecurityConfigurerAdapter的类加@EnableMethodSecurity注解，并在该类中将Authenticati
使用DelegatingFilterProxy有什么好处？ Aaron_Swartz
代理模式当使用servlet过滤器时，你很需要在你的web.xml中声明它们，它们可能被servlet容器忽略。在SpringSecurity，过滤器类也是定义在xml中的springbean，因此可以获得Spring的依赖注入机制和生命周期接口。spring的DelegatingFilterProxy提供了在web.xml和applicationcontext之间的联系。注意这个过滤器其实是一个
一文带你了解强大的 Spring Security 架构原理！时而热血少年 spring 架构数据库 java 后端
作者：before31https://my.oschina.net/xuezi/…本指南是SpringSecurity的入门，它提供了对该框架的设计和基本构建的见解。我们仅介绍了应用程序安全性的最基本知识，但是这样做可以解除使用SpringSecurity的开发人员所遇到的一些困惑。为此，我们会看一下使用过滤器(更通常是使用方法注释)在Web应用程序中应用安全性的方式。当你需要从高层次了解安全应用
Spring Security学习（六）——配置多个Provider（存在两种认证规则） sadoshi Spring Security spring security
前言《SpringSecurity学习（五）——账号密码的存取》一文已经能满足一般应用的情况。但实际商业应用也会存在如下的情况：用户提交的账号密码，能在本地的保存的账号密码匹配上，或者能在远端服务认证中匹配上，就算认证通过。这种通常类似于单点登录，或者认证中心之类的。本文不去探索这种架构，只是单纯讨论如果存在两种认证规则下如何处理。多种认证方式使用SpringSecurity时有好几种处理方式。根
JeePlus快速开发平台 validateMobile SQL注入漏洞复现 OidBoy_G 漏洞复现 sql web安全安全
0x01产品简介JeePlus（洁普斯）是一个软件快速开发平台，使用多种现代Web技术，包括SpringCloud/SpringBoot、MyBatisPlus、SpringSecurity、Redis、Vue3、ElementPlus等。该平台支持多种数据库，如MySQL、Oracle、sqlserver、postgresql等。JeePlus采用标准的SOA架构，依托优秀的前台富客户端框架（如
Java开发中，spring mvc 的线程怎么调用？小麦麦子 spring mvc
今天逛知乎，看到最近很多人都在问spring mvc 的线程http://www.maiziedu.com/course/java/ 的启动问题，觉得挺有意思的，那哥们儿问的也听仔细，下面的回答也很详尽，分享出来，希望遇对遇到类似问题的Java开发程序猿有所帮助。问题：在用spring mvc架构的网站上，设一线程在虚拟机启动时运行，线程里有一全局
maven依赖范围 bitcarter maven
1.test 测试的时候才会依赖，编译和打包不依赖，如junit不被打包 2.compile 只有编译和打包时才会依赖 3.provided 编译和测试的时候依赖，打包不依赖，如：tomcat的一些公用jar包 4.runtime 运行时依赖，编译不依赖 5.默认compile 依赖范围compile是支持传递的，test不支持传递 1.传递的意思是项目A，引用
Jaxb org.xml.sax.saxparseexception : premature end of file darrenzhu xml premature JAXB
如果在使用JAXB把xml文件unmarshal成vo(XSD自动生成的vo)时碰到如下错误： org.xml.sax.saxparseexception : premature end of file 很有可能时你直接读取文件为inputstream，然后将inputstream作为构建unmarshal需要的source参数。InputSource inputSource = new In
CSS Specificity 周凡杨 html 权重 Specificity css
有时候对于页面元素设置了样式，可为什么页面的显示没有匹配上呢？ because specificity CSS 的选择符是有权重的，当不同的选择符的样式设置有冲突时，浏览器会采用权重高的选择符设置的样式。规则： HTML标签的权重是1 Class 的权重是10 Id 的权重是100
java与servlet g21121 servlet
servlet 搞java web开发的人一定不会陌生，而且大家还会时常用到它。下面是java官方网站上对servlet的介绍： java官网对于servlet的解释写道 Java Servlet Technology Overview Servlets are the Java platform technology of choice for extending and enha
eclipse中安装maven插件 510888780 eclipse maven
1.首先去官网下载 Maven： http://www.apache.org/dyn/closer.cgi/maven/binaries/apache-maven-3.2.3-bin.tar.gz 下载完成之后将其解压，我将解压后的文件夹：apache-maven-3.2.3，并将它放在 D:\tools目录下，即 maven 最终的路径是：D:\tools\apache-mave
jpa@OneToOne关联关系布衣凌宇 jpa
Nruser里的pruserid关联到Pruser的主键id，实现对一个表的增删改，另一个表的数据随之增删改。 Nruser实体类 //***************************************************************** @Entity @Table(name="nruser") @DynamicInsert @Dynam
我的spring学习笔记11-Spring中关于声明式事务的配置 aijuans spring 事务配置
这两天学到事务管理这一块，结合到之前的terasoluna框架，觉得书本上讲的还是简单阿。我就把我从书本上学到的再结合实际的项目以及网上看到的一些内容，对声明式事务管理做个整理吧。我看得Spring in Action第二版中只提到了用TransactionProxyFactoryBean和<tx:advice/>,定义注释驱动这三种，我承认后两种的内容很好，很强大。但是实际的项目当中
java 动态代理简单实现 antlove java handler proxy dynamic service
dynamicproxy.service.HelloService package dynamicproxy.service; public interface HelloService { public void sayHello(); } dynamicproxy.service.impl.HelloServiceImpl package dynamicp
JDBC连接数据库百合不是茶 JDBC编程 JAVA操作oracle数据库
如果我们要想连接oracle公司的数据库，就要首先下载oralce公司的驱动程序，将这个驱动程序的jar包导入到我们工程中; JDBC链接数据库的代码和固定写法; 1,加载oracle数据库的驱动; &nb
单例模式中的多线程分析 bijian1013 java thread 多线程 java多线程
谈到单例模式，我们立马会想到饿汉式和懒汉式加载，所谓饿汉式就是在创建类时就创建好了实例，懒汉式在获取实例时才去创建实例，即延迟加载。饿汉式： package com.bijian.study; public class Singleton { private Singleton() { } // 注意这是private 只供内部调用 private static
javascript读取和修改原型特别需要注意原型的读写不具有对等性 bijian1013 JavaScript prototype
对于从原型对象继承而来的成员，其读和写具有内在的不对等性。比如有一个对象A，假设它的原型对象是B，B的原型对象是null。如果我们需要读取A对象的name属性值，那么JS会优先在A中查找，如果找到了name属性那么就返回；如果A中没有name属性，那么就到原型B中查找name，如果找到了就返回；如果原型B中也没有
【持久化框架MyBatis3六】MyBatis3集成第三方DataSource bit1129 dataSource
MyBatis内置了数据源的支持，如： <environments default="development"> <environment id="development"> <transactionManager type="JDBC" /> <data
我程序中用到的urldecode和base64decode,MD5 bitcarter c MD5 base64decode urldecode
这里是base64decode和urldecode，Md5在附件中。因为我是在后台所以需要解码： string Base64Decode(const char* Data,int DataByte,int& OutByte) { //解码表 const char DecodeTable[] = { 0, 0, 0, 0, 0, 0
腾讯资深运维专家周小军：QQ与微信架构的惊天秘密 ronin47
社交领域一直是互联网创业的大热门，从PC到移动端，从OICQ、MSN到QQ。到了移动互联网时代，社交领域应用开始彻底爆发，直奔黄金期。腾讯在过去几年里，社交平台更是火到爆，QQ和微信坐拥几亿的粉丝，QQ空间和朋友圈各种刷屏，写心得，晒照片，秀视频，那么谁来为企鹅保驾护航呢？支撑QQ和微信海量数据背后的架构又有哪些惊天内幕呢？本期大讲堂的内容来自今年2月份ChinaUnix对腾讯社交网络运营服务中心
java-69-旋转数组的最小元素。把一个数组最开始的若干个元素搬到数组的末尾，我们称之为数组的旋转。输入一个排好序的数组的一个旋转，输出旋转数组的最小元素 bylijinnan java
public class MinOfShiftedArray { /** * Q69 旋转数组的最小元素 * 把一个数组最开始的若干个元素搬到数组的末尾，我们称之为数组的旋转。输入一个排好序的数组的一个旋转，输出旋转数组的最小元素。 * 例如数组{3, 4, 5, 1, 2}为{1, 2, 3, 4, 5}的一个旋转，该数组的最小值为1。 */ publ
看博客，应该是有方向的 Cb123456 反省看博客
看博客，应该是有方向的: 我现在就复习以前的，在补补以前不会的，现在还不会的，同时完善完善项目，也看看别人的博客. 我刚突然想到的: 1.应该看计算机组成原理，数据结构，一些算法，还有关于android,java的。 2.对于我，也快大四了，看一些职业规划的，以及一些学习的经验，看看别人的工作总结的. 为什么要写
[开源与商业]做开源项目的人生活上一定要朴素,尽量减少对官方和商业体系的依赖 comsci 开源项目
为什么这样说呢？因为科学和技术的发展有时候需要一个平缓和长期的积累过程，但是行政和商业体系本身充满各种不稳定性和不确定性，如果你希望长期从事某个科研项目，但是却又必须依赖于某种行政和商业体系，那其中的过程必定充满各种风险。。。所以，为避免这种不确定性风险，我
一个 sql优化（[精华] 一个查询优化的分析调整全过程！很值得一看） cwqcwqmax9 sql
见 http://www.itpub.net/forum.php?mod=viewthread&tid=239011 Web翻页优化实例提交时间: 2004-6-18 15:37:49 回复发消息环境： Linux ve
Hibernat and Ibatis dashuaifu Hibernate ibatis
Hibernate VS iBATIS 简介 Hibernate 是当前最流行的O/R mapping框架，当前版本是3.05。它出身于sf.net，现在已经成为Jboss的一部分了 iBATIS 是另外一种优秀的O/R mapping框架，当前版本是2.0。目前属于apache的一个子项目了。相对Hibernate“O/R”而言，iBATIS 是一种“Sql Mappi
备份MYSQL脚本 dcj3sjt126com mysql
#!/bin/sh # this shell to backup mysql #[email protected] (QQ:1413161683 DuChengJiu) _dbDir=/var/lib/mysql/ _today=`date +%w` _bakDir=/usr/backup/$_today [ ! -d $_bakDir ] && mkdir -p
iOS第三方开源库的吐槽和备忘 dcj3sjt126com ios
转自 ibireme的博客做iOS开发总会接触到一些第三方库，这里整理一下，做一些吐槽。目前比较活跃的社区仍旧是Github，除此以外也有一些不错的库散落在Google Code、SourceForge等地方。由于Github社区太过主流，这里主要介绍一下Github里面流行的iOS库。首先整理了一份 Github上排名靠
html wlwmanifest.xml eoems html xml
所谓优化wp_head()就是把从wp_head中移除不需要元素，同时也可以加快速度。步骤：加入到function.php remove_action('wp_head', 'wp_generator'); //wp-generator移除wordpress的版本号，本身blog的版本号没什么意义，但是如果让恶意玩家看到，可能会用官网公布的漏洞攻击blog remov
浅谈Java定时器发展 hacksin java 并发 timer 定时器
java在jdk1.3中推出了定时器类Timer,而后在jdk1.5后由Dou Lea从新开发出了支持多线程的ScheduleThreadPoolExecutor，从后者的表现来看，可以考虑完全替代Timer了。 Timer与ScheduleThreadPoolExecutor对比： 1. Timer始于jdk1.3,其原理是利用一个TimerTask数组当作队列
移动端页面侧边导航滑入效果 ini jquery Web html5 css javascirpt
效果体验：http://hovertree.com/texiao/mobile/2.htm可以使用移动设备浏览器查看效果。效果使用到jquery-2.1.4.min.js，该版本的jQuery库是用于支持HTML5的浏览器上，不再兼容IE8以前的浏览器，现在移动端浏览器一般都支持HTML5，所以使用该jQuery没问题。HTML文件代码： <!DOCTYPE html> <h
AspectJ+Javasist记录日志 kane_xie aspectj javasist
在项目中碰到这样一个需求，对一个服务类的每一个方法，在方法开始和结束的时候分别记录一条日志，内容包括方法名，参数名+参数值以及方法执行的时间。 @Override public String get(String key) { // long start = System.currentTimeMillis(); // System.out.println("Be
redis学习笔记 MJC410621 redis NoSQL
1)nosql数据库主要由以下特点：非关系型的、分布式的、开源的、水平可扩展的。 1，处理超大量的数据 2，运行在便宜的PC服务器集群上， 3，击碎了性能瓶颈。 1)对数据高并发读写。 2)对海量数据的高效率存储和访问。 3)对数据的高扩展性和高可用性。 redis支持的类型： Sring 类型 set name lijie get name lijie set na
使用redis实现分布式锁 qifeifei
在多节点的系统中，如何实现分布式锁机制，其中用redis来实现是很好的方法之一，我们先来看一下jedis包中，有个类名BinaryJedis,它有个方法如下： public Long setnx(final byte[] key, final byte[] value) { checkIsInMulti(); client.setnx(key, value); ret
BI并非万能，中层业务管理报表要另辟蹊径张老师的菜大数据 BI 商业智能信息化
BI是商业智能的缩写，是可以帮助企业做出明智的业务经营决策的工具，其数据来源于各个业务系统，如ERP、CRM、SCM、进销存、HER、OA等。 BI系统不同于传统的管理信息系统，他号称是一个整体应用的解决方案，是融入管理思想的强大系统：有着系统整体的设计思想，支持对所有
安装rvm后出现rvm not a function 或者ruby -v后提示没安装ruby的问题 wudixiaotie function
1.在~/.bashrc最后加入 [[ -s "$HOME/.rvm/scripts/rvm" ]] && source "$HOME/.rvm/scripts/rvm" 2.重新启动terminal输入： rvm use ruby-2.2.1 --default 把当前安装的ruby版本设为默

2. SpringSecurity 自定义表单登录

自定义登录页面/登录地址

设置资源白名单

自定义认证逻辑

认证结果自定义处理

你可能感兴趣的:(SpringSecurity)