love the future
love the future

SpringBoot Security的介绍

1.SpringBoot security框架的简介

SpringBoot security是基于spring框架的,提供了一套Web应用安全性完整的解决方案。

SpringBoot重要的核心功能:

用户认证和用户授权:

SpringBoot Security的介绍_第1张图片

2.SpringBoot+spring security

入门的案例:

1.创建一个springboot的项目

SpringBoot Security的介绍_第2张图片

SpringBoot Security的介绍_第3张图片

编写一个controller:

package com.lsy.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @Description:
 * @Author:lsy
 * @Date:
 */
@RestController
@RequestMapping("/test")
public class HelloController {

    @GetMapping("/hello")
    public String hello(){
        return "hello security!";
    }
}

启动之后,输入:localhost:8080/test/hello

出现以下的界面:

SpringBoot Security的介绍_第4张图片

 由于没有进行配置所以系统是默认的用户名和密码:

SpringBoot Security的介绍_第5张图片

输入用户名和密码就可以访问localhost:8080/test/hello

3.SpringBoot的基本原理

SpringBoot Security的介绍_第6张图片

4.Web的权限方案:

认证和授权:

设置登录的用户名和密码:

方式一:通过配置文件。

SpringBoot Security的介绍_第7张图片

方式二:通过配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        /* 对密码进行加密 */
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String encode = bCryptPasswordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("lsy").password(encode).roles("admin");


    }
}

 出现了一个错误:

SpringBoot Security的介绍_第8张图片

 因为要先创建BCryptPasswordEncoder的实例。并注入容器中

 @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

 就可以进行登录。

 

方式三:自定义编写实现类

 在配置类中注入UserDetailsService

package com.lsy.config;

import com.lsy.service.MyUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @Description:
 * @Author:lsy
 * @Date:
 */
@Configuration
public class SecurityConfigUser extends WebSecurityConfigurerAdapter {

    @Autowired
    MyUserDetailsService myUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService).passwordEncoder(password());
    }

    @Bean
    PasswordEncoder password() {
        return new BCryptPasswordEncoder();
    }
}

编写UserDetailsService的实现类,在实现类中定义相应的用户名和密码

@Service
public class MyUserDetailsService implements UserDetailsService {


    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
           
        //定义一个权限角色
        List auth= AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        
        return new User("mary",new BCryptPasswordEncoder().encode("123"),auth);
    }
    
}

5.实现数据库认证来完成用户登录

整合MybatisPlus完成数据库操作

第一步:引入相关的依赖

 
            com.baomidou
            mybatis-plus-boot-starter
            3.0.5
        

        
            mysql
            mysql-connector-java
            8.0.11

第二步:在数据库中创建相应的数据表

SpringBoot Security的介绍_第9张图片

第三步:创建相应的实体类:

package com.lsy.bean;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import lombok.ToString;

/**
 * @Description:
 * @Author:lsy
 * @Date:
 */

@Data
@AllArgsConstructor
@NoArgsConstructor
@ToString
public class Users {
    private Integer id;
    private String username;
    private String password;
}

第四步:整合mybatis-plus,继承mybatis-plus的接口BaseMapper

package com.lsy.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.lsy.bean.Users;

/**
 * @Description:mybatis-plus中的BaseMapper风咋混了很多对数据库的操作
 * @Author:lsy
 * @Date:
 */
public interface UsersMapper extends BaseMapper {

}

第五步:在MyUserDetailsService中调用Mapper中的方法对数据库进行查询。

package com.lsy.service;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.lsy.bean.Users;
import com.lsy.mapper.UsersMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

/**
 * @Description:
 * @Author:lsy
 * @Date:
 */
@Service
public class MyUserDetailsService implements UserDetailsService {
    
    
    @Autowired
    UsersMapper usersMapper;


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        
        
        //调用USerMapper中的方法去调用数据库
        //使用mybatis-plus中的一个条件构造器。

        QueryWrapper wrapper=new QueryWrapper<>();
        //根据用户名到数据库中进行查询。
        //相当于是在数据库查询语句中的where username=?
        wrapper.eq("username",username);

        //通过用户名查询数据库中的一条记录
        Users users = usersMapper.selectOne(wrapper);
        
        //进行判断
        if(users==null){
            //表示数据库中没有该用户名,认证失败
            //可以直接抛异常
            throw new UsernameNotFoundException("用户名不存在");
            
        }
        //如果不等于空的话。就表示认证成功。
        
        
        //定义一个权限角色
        List auth= AuthorityUtils.commaSeparatedStringToAuthorityList("role");

        
        //根据从数据库中返回的用户的用户
        return new User(users.getUsername(),new BCryptPasswordEncoder().encode("123"),auth);
    }

}

第六步:在启动类中添加注解MapperScan

@SpringBootApplication
@MapperScan("com.lsy.mapper")
public class SpringbootSecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringbootSecurityApplication.class, args);
    }

}

第七步:在配置文件中进行数据库的配置

spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.url=jdbc:mysql://localhost:3306/test?characterEncoding=UTF-8&serverTimezone=Asia/Shanghai
spring.datasource.username=root
spring.datasource.password=lsy

可以使用数据库的用户名和密码进行登录了

 

6.一般情况下,我们的登录页面都是自己编写的

自定义的登录页面

//自定义页面的登录过程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()//自定义自己编写的登录页面
        .loginPage("/login.html")//具体的登录页面
        .loginProcessingUrl("/user/login")//  登录访问路径,也就是controller
        .defaultSuccessUrl("/test/index").permitAll()  //登录成功之后,跳转路径
        .and().authorizeRequests()//授权访问
        .antMatchers("/","/test/hello","/user/login").permitAll() //设置哪些路径可以直接访问,不需要认证
        .anyRequest().authenticated()
        .and().csrf().disable();  //关闭csrf防护

        

    }


    
    xx





表单提交

7.基于角色或者权限进行访问控制

1.hasAuthority方法:之争对有一个权限角色

    //自定义页面的登录过程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()//自定义自己编写的登录页面
        .loginPage("/login.html")//具体的登录页面
        .loginProcessingUrl("/user/login")//  登录访问路径,也就是controller
        .defaultSuccessUrl("/test/index").permitAll()  //登录成功之后,跳转路径或者是页面

        .and().authorizeRequests()//授权访问
        .antMatchers("/","/test/hello","/user/login").permitAll() //设置哪些路径可以直接访问,不需要认证
//                当前登录用户,只有具有admins权限才可以访问这个路径
//                1 hasAuthority方法
                 .antMatchers("/test/index").hasAuthority("admins")
        .anyRequest().authenticated()
        .and().csrf().disable();  //关闭csrf防护



    }

在MyUserDetailsService中增加相应的角色

 //定义一个权限角色
        List auth= AuthorityUtils.commaSeparatedStringToAuthorityList("admins");

如果在MyUserDetailsService中增加的角色不是admins,则会出现以下错误

SpringBoot Security的介绍_第10张图片

2.hasAnyAuthority方法:可以设置多个权限,只要符合其中一个就可以

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()//自定义自己编写的登录页面
        .loginPage("/login.html")//具体的登录页面
        .loginProcessingUrl("/user/login")//  登录访问路径,也就是controller
        .defaultSuccessUrl("/test/index").permitAll()  //登录成功之后,跳转路径或者是页面

        .and().authorizeRequests()//授权访问
        .antMatchers("/","/test/hello","/user/login").permitAll() //设置哪些路径可以直接访问,不需要认证
//                当前登录用户,只有具有admins权限才可以访问这个路径
//                1 hasAuthority方法
//                 .antMatchers("/test/index").hasAuthority("admins")
                //2 hasAnyAuthority方法
                 .antMatchers("/test/index").hasAnyAuthority("admins,manager")
        .anyRequest().authenticated()
        .and().csrf().disable();  //关闭csrf防护



    }

3.方法三:hasRole方法:如果当前主题具有指定的角色,则返回true,否则返回false。


    //自定义页面的登录过程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()//自定义自己编写的登录页面
        .loginPage("/login.html")//具体的登录页面
        .loginProcessingUrl("/user/login")//  登录访问路径,也就是controller
        .defaultSuccessUrl("/test/index").permitAll()  //登录成功之后,跳转路径或者是页面

        .and().authorizeRequests()//授权访问
        .antMatchers("/","/test/hello","/user/login").permitAll() //设置哪些路径可以直接访问,不需要认证
//                当前登录用户,只有具有admins权限才可以访问这个路径
//                1 hasAuthority方法
//                 .antMatchers("/test/index").hasAuthority("admins")
                //2 hasAnyAuthority方法
//                 .antMatchers("/test/index").hasAnyAuthority("admins,manager")
                //3 hasRole方法   ROLE_sale
                .antMatchers("/test/index").hasRole("sale")
        .anyRequest().authenticated()
        .and().csrf().disable();  //关闭csrf防护



    }

hasRole的源码:

 private static String hasRole(String role) {
        Assert.notNull(role, "role cannot be null");
        Assert.isTrue(!role.startsWith("ROLE_"), () -> {
            return "role should not start with 'ROLE_' since it is automatically inserted. Got '" + role + "'";
        });
        return "hasRole('ROLE_" + role + "')";
    }

        //定义一个权限角色
        List auth= AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_sale");

4.方法4:hasAnyRole:可以设置多个权限,只要符合其中一个就可以

8.自定义403页面:当用户没有权限进行访问的时候,返回的就是403

在配置类中进行配置

 //自定义页面的登录过程
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        
        //配置没有权限访问跳转的403页面
        http.exceptionHandling().accessDeniedPage("unauth.html");
        
        }



    
    Title


    
没有访问权限!

 

9.用户的授权:注解的使用

1.@Secured:判断是否具有角色,另外需要注意的是这里匹配的字符串需要议案家前缀“ROLE_”

使用注解前要先开启注解功能!

在配置类或者启动类上添加注解

@EnableGlobalMethodSecurity(securedEnabled = true)

在controller中设置该注解

   @Secured("ROLE_sale")
    @GetMapping("/update")
    public String update(){
        return "hello update!";
    }

在UserDetailsService中设置相应的角色

        List auth= AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_sale,ROLE_manager");

在浏览器输入:http://localhost:8080/test/update。登录就可以进行访问

2.@PreAuthorize:适合进入方法前的权限验证,可以将登录用户的roles/permissions参数传到方法中。

现在启动类上添加prePostEnable=true

@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)

在controller的方法上添加相应的注解

在注解中可以使用hasAnyAuthority,hasAuthority,hasRole,hasAnyRoles

在进入方法之前进行访问:

    @PreAuthorize("hasAnyAuthority('ROLE_manager')")
    @GetMapping("/update")
    public String update(){
        return "hello update!";
    }

3.@PostAuthorize:在方法执行之后进行校验,适合验证带有返回值的权限(使用不多)

   @PostAuthorize("hasAnyAuthority('ROLE_manager')")
    @GetMapping("/update")
    public String update(){
        return "hello update!";
    }

方法没有访问权限也会执行这个方法,因为是在执行方法之后才会进行校验

以下两个方法使用较少:

4.PostFilter:权限验证之后对数据进行过滤,也就是方法事务返回数据进行过滤。

5.PreFilter:进入控制器方法之前对参数进行过滤

 

10.用户注销

在配置类中添加一个退出的配置:

http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();

测试:

1.登录成功之后,跳转到成功的页面

2.在成功页面中添加一个注销登录的超链接

3.登录成功之后,在成功页面点击了注销之后,就不能进行访问了

 

  //在配置类中添加一个退出的配置:
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();

        //配置没有权限访问跳转的403页面
        http.exceptionHandling().accessDeniedPage("/unauth.html");

        http.formLogin()//自定义自己编写的登录页面
        .loginPage("/login.html")//具体的登录页面
        .loginProcessingUrl("/user/login")//  登录访问路径,也就是controller
        .defaultSuccessUrl("/success.html").permitAll()  //登录成功之后,跳转路径或者是页面
}

 

11.用户的自动登录

自动登录的原理:

SpringBoot Security的介绍_第11张图片

实现用户登录的过程:

第一步:现在数据库中创建相应的表:表的字段名称和表名都是固定的

create table persistent_logins (
username varchar(64) not null, 
series varchar(64) primary key, 
token varchar(64) not null,
 last_used timestamp not null)

第二步:修改配置类

    //注入数据源
    @Autowired
    private DataSource dataSource;
    
    //配置对象
    //添加容器,并且注入相应的数据源
    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //也可以自动创建数据库的表,不需要单独在数据库中创建相应的表
      //  jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }

第三步:在配置类中配置自动登录

                .antMatchers("/test/index").hasRole("sale")
        .anyRequest().authenticated()
                //传入操作数据库的对象
                .and().rememberMe().tokenRepository(persistentTokenRepository())
                
                //设置相应的保存的有效时长,单位是秒。
                .tokenValiditySeconds(60)
                .userDetailsService(userDetailsService)
        .and().csrf().disable();  //关闭csrf防护

第四步:在登录页上添加自动登录的复选框name必须为remember-me

 自动登录

12.cfrf跨站请求伪造

SpringBoot Security的介绍_第12张图片

解决方案就是:

1.在登录页面添加一个隐藏域:

2.开启防护

 

 

 

 

 

 

 

 

你可能感兴趣的:(spring-security)

  • Spring-Security(二)OAuth2认证详解(持续更新) lbmydream springcloud架构spring探析springjava后端
    SpringSecurity&Oauth2系列:SpringSecurity(一)源码分析及认证流程SpringSecurity(二)OAuth2认证详解及自定义异常处理文章目录1、OAuth2.0简介1.1OAuth2.0相关名词解释1.2四种授权模式1.3、OAuth2框架1.4OAuth2.0客户端提供功能2、OAuth2.0认证服务2.1SpringSecurityOAuth2提供的程序实
  • spring-security中重写WebSecurityConfigurerAdapter问题 梦Y spring
    继承WebSecurityConfigurerAdapter重写里面的方法,运行一直报这个错误,有没有知道的,指点指点昨天出现这个问题,我查了很多资料都没解决,于是我将WebSecurityConfigurerAdapter这个类的所有方法重写了重新运行错误没有了,我也不是很清楚,网上看了很多的,都只是重写需要的,我这里需要全部重写才可以,有知道欢迎告知我要做的是security用接口的形式请求登
  • Spring Security 自定义SecurityContextRepository zhaoll98k SpringSecurityspringspring-security
    spring-security官网对AuthenticationPersistenceandSessionManagement相关的介绍中提到有关CustomizingWheretheAuthenticationIsStored(自定义认证存储位置)的相关内容,内容中提到可以把已验证的身份信息存储在缓存或数据库中以便进行水平扩展。针对此内容我们来实现一个基于缓存的认证存储。没有基于数据库存储是因为
  • spring-security SecurityContextHolder zhaoll98k SpringSecurityspringsecurityspring
    翻译版本【spring-security6.2.1】SecurityContextHolderSecurityContextHolderSpringSecurity身份验证模型的核心是SecurityContextHolder。它包含SecurityContext。SecurityContextHolder是SpringSecurity存储身份验证详细信息的地方。SpringSecurity并不关
  • Springboot整合Spring-security 李白爱耍酷 springjava
    Springboot整合spring-security1.创建springboot项目2.引入相关依赖。spring-boot-starter-securitymysql-connector-javapersistence-api(mybaits注解支持)spring-security-corespring-boot-starter-thymeleaf//springboot对thymeleaf的
  • spring - security 权限控制 staHuri JAVA
    spring-security文档&源码官方文档本文源码依赖本文在spring-boot中运行,org.springframework.bootspring-boot-starter-security简单案例MVCconfigpackagecom.huifer.security.config;importorg.springframework.context.annotation.Configur
  • spring-security登录和权限管理 有梦想的搬砖者 javaspringsecutiryidea+spring
    springsecurityspringsecurity主要的两个功能是认证和授权认证的大概流程:UsernamepasswordAuthenticationFilter(自定义usernamepassword拦截器)UserDetailService(查询用户密码的service接口)Userdetails(用户类接口)AuthenticationProvide(为认证管理器Authentica
  • spring-security authentication persistence zhaoll98k SpringSecurityspringspring-security
    翻译版本【spring-security6.2.1】persistencePersistingAuthentication用户第一次请求受保护的资源时,系统会提示他们输入凭据。提示输入凭据的最常见方法之一是将用户重定向到登录页面。未经身份验证的用户请求受保护的资源的HTTP交换可能如下所示:例1。未经认证的用户请求受保护的资源:GET/HTTP/1.1Host:example.comCookie:
  • spring-security 默认登录页面 Chengdu.S SpringSecurityspringspringsecurity
    SpringSecurity是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何产生的呢?spring-security默认登录页面版本信息项目搭建步骤源码解析过滤器处理具体分析开启Trace级别日志重定向到/login流程图流程图说明版本信息内容版本JDK17sprin
  • spring-security 过滤器链初始化以及执行过程分析-Servelt Chengdu.S SpringSecurityspringspringsecurity
    spring-security架构-Servlet版本信息JavaWebServletservlet处理http请求过程-Tomcat容器SpringSecurity过滤器链如何注册?DelegatingFilterProxy、FilterChainProxy、SecurityFilterChain执行流程图SpringBootweb项目默认使用的是servlet处理请求的,本章介绍spring-
  • 前端获取Spring-Security用户信息 JayMeWangGL
    方式1:在前端通过el表达式获取:${sessionScope.SPRING_SECURITY_CONTEXT.authentication.principal.username}方式2:在前端通过使用security标签直接获取:IDEA会自动提示property为username,这样使用会报错,请自己加上“principal.”
  • Spring-Security mywaya2333 Springsecrunityspring数据库java
    SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了SpringIoC,DI(控制反转InversionofControl,DI:DependencyInjection依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控
  • 若依用户端与管理端认证分离 白僧 python开发语言
    环境:若依项目将spring-boot升级到3版本,权限效验为spring-security需求:用户端与管理端,或者前台与后台认证分离,两套登录认证体系,两套token。SecurityConfig.java修改放行app//放行app端的验证.requestMatchers("/app/**").permitAll()添加sa-tokencn.dev33sa-token-spring-boot
  • Redis反序列化的一次问题 曾大浩 redis数据库springboot
    redis反序列化的一次问题1.问题描述springboot+redis不少用,但是一直没遇到什么问题,直接代码拷贝上去就用了。这次结合spring-security,将自定义的spring-security的UserDetails接口的实现类SecurityUser,反序列化取出时报错。org.springframework.data.redis.serializer.Serialization
  • springboot整合spring-security(权限框架) 豆豆的java之旅 springboot整合java前端spring
    一.准备工作1.创建maven工程创建导入jar包org.springframework.bootspring-boot-starter-parent2.2.3.RELEASEorg.springframework.bootspring-boot-starter-weborg.springframework.bootspring-boot-starter-thymeleaforg.springfr
  • SpringBoot-SpringSecurity flash20230513 springboot
    SpringSecurity中文文档:https://springdoc.cn/spring-security/Thymeleaf:https://www.thymeleaf.org/依赖org.thymeleaf.extrasthymeleaf-extras-springsecurity43.0.4.RELEASE-->org.springframework.bootspring-boot-st
  • SpringBoot整合Spring-Security 认证篇(保姆级教程) 剽悍一小兔 springspringbootjava
    本文项目基于以下教程的代码版本:https://javaxbfs.blog.csdn.net/article/details/135195636代码仓库:https://gitee.com/skyblue0678/springboot-demo为了跟shiro区别开,新建了一个分支:目录1、友善问候一下SpringSecurity⭐2、POM依赖3、登录⭐4、根据账号从DB中获取用户实体5、校验密
  • 微服务注册与发现——Eureka star-1331 微服务eureka架构
    文章目录Eureka使用引用配置启动类标记访问微服务注册微服务工程添加引用增加配置启动类增加注解启动服务注册EurekaServer集群部署修改配置文件启动多个eureka实例微服务注册到多个eureka实例为EurekaServer添加用户认证引入spring-security配置关闭security的csrf,否则client无法注册client注册Eureka自我保护模式常见问题1、Cann
  • OAuth 2.0 入门指南:掌握授权码模式 远见阁 javaspringboot
    一、授权码模式(1)spring-security-oauth2从2.4.x版本开始,@EnableAuthorizationServer注解就弃用过时了(2)当前演示Demo版本:springboot的1.5.x版本与spring-security-oauth2的2.3.8.RELEASE整合,如果使用springboot2.x.x版本是不兼容的,程序会报错。(3)spring-security
  • Springboot 整合SpringSecurity实现账号密码+手机验证码登陆 枫林wan Springbootjavaspringbootjava安全
    Springboot整合SpringSecurity实现账号密码+手机验证码登陆示例说明版本示例安装Spring-security介绍为什么不用shiroSpring-Security做用户认证、授权CSRF跨站请求伪造防护iframe嵌入提升用户、编码体验更多SpringSecurity是Spring提供安全管理框架。核心内容包含认证、授权、攻击防护。实际上SpringSecurity已经发展了
  • 【个人版】SpringBoot下Spring-Security核心概念解读【一】 苏南(src) spring-securityspringbootspring-security
    SpringBoot+Spring-Security+FilterChainProxySpring-Security全局导读:1、Security核心类设计2、HttpSecurity结构和执行流程解读3、Spring-Security个人落地篇背景:凡项目内存在与外部系统交互,基本安全校验少不了。因项目规模与框架发展原因,历史项目中很多时候直接在Filter中完成安全校验(HandlerInte
  • 【个人版】SpringBoot下Spring-Security自定义落地篇【三】 苏南(src) spring-securityspringbootspring-security
    背景:前两篇文章将spring-security的设计架构、核心类、配置及构建过程基本过了一遍,其实很偏理论,如果对源码不感兴趣或项目使用不深,基本可以忽略,毕竟完全理解可能也不会用到,时间长也忘掉了。但是如果你想对代码进行微调,或者写出自己想要的设计效果,那么读一读还是很有必要,毕竟开发过程就是一个学习的过程。本篇是在参考遍地继承WebSecurityConfigurerAdapter的方案上,
  • 【个人版】SpringBoot下Spring-Security核心概念解读【二】 苏南(src) spring-securityspringbootspring-security
    Spring-Security+HttpSecuritySpring-Security全局导读:1、Security核心类设计2、HttpSecurity结构和执行流程解读3、Spring-Security个人落地篇背景:Spring-Security框架的核心架构上一篇已经概述,展示其执行流程及逻辑,但是和我们实际使用有点差距,相信大家在使用此框架时,肯定被以下代码迷惑过:@Configurat
  • security实现多种登录方式 1 Eugene03 servletjavaspring
    Security多种方式登录1.Security介绍官网链接:https://docs.spring.io/spring-security/reference/5.7.6/servlet/architecture.html2.Security自定义拦截器实现多种登录方式1.账户密码登录1.自定义MyUsernamePasswordFilter/***2023/2/26**@authorcyh*10
  • Spring-Security登录认证授权原理 IT职业与自媒体思考
    spring-security源码下载地址:https://github.com/spring-projects/spring-securitySpring-Security源码解读:1.使用ctrl+shift+n组合键查找UsernamePasswordAuthenticationFilter过滤器,该过滤器是用来处理用户认证逻辑的,进入后如图:(1)可以看到它默认的登录请求url是"/log
  • 简单的使用SpringBoot整合SpringSecurity 爱笑男孩424 springbootjavaspring
    spring-security简介Spring-Security是针对Spring项目的安全框架,也是Spring-Boot底层安全模块默认的技术类型,他可以实现强大的Web安全控制,对于安全控制,提供身份验证,授权和针对常见攻击的保护。它具有对保护命令式和反应式应用程序保护的一流支持,是保护基于Spring的应用程序的事实标准。我们仅需要引入spring-boot-start-security模
  • 2020-11-07 git tag使用 四线码农
    新增tagv1.0.0gittag-av1.0.0-m"集成登录和权限一起的包,sso使用spring-security,对应的admin版本tag也是v1.0.0"推送到remotegitpushorigin--tags删除tagsgittag-dv0.1.0远端删除gitpushorigin:refs/tags/checkouttaggittag列出所有taggitcheckout这时可以未该
  • Feign接口内部调用进行权限校验 zrx林夕 springCloudspringjava
    在目前微服务的体系下,我们服务url的访问有两种,一种是从网关(gateway,zuul)路由进来,还有一种就是通过feign接口内部调用,那么结合spring-security就存在以下几种场景:1.外部请求从gateway访问,需要鉴权(任何CURD的操作).这是目前最常见的方式,用户正常登录提供token访问接口,我们不再需要做其他处理.2.外部请求从gateway访问,不需要鉴权(eg:刷
  • (二十七)ATP应用测试平台——基于mybatisplus和aop切面实现数据权限隔离的案例实战 北溟溟 ATP应用测试平台#springbootspringboot
    前言在实际项目开发中,我们经常会用到俩种权限,一种是功能权限,一种是数据权限。功能权限主要是用来限制用户的操作,而数据权限是限制用户能查看到哪些数据。功能权限我们可以使用流行的框架shiro或者spring-security实现,本节内容不做介绍。关于数据权限,我们可以根据项目的需求逐个在查询条件处添加,这也是最容易想到的方案。本节内容我们提供一种更加灵活和低耦合的方式实现数据权限过滤。核心思想就
  • Spring-Security基础知识如门 没时间喽 JAVAspringjava后端
    基本概念什么是认证进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。系统为什么要认证?认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。认证:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资
  • html 周华华 html
    js 1,数组的排列 var arr=[1,4,234,43,52,]; for(var x=0;x<arr.length;x++){    for(var y=x-1;y<arr.length;y++){      if(arr[x]<arr[y]){     &
  • 【Struts2 四】Struts2拦截器 bit1129 struts2拦截器
    Struts2框架是基于拦截器实现的,可以对某个Action进行拦截,然后某些逻辑处理,拦截器相当于AOP里面的环绕通知,即在Action方法的执行之前和之后根据需要添加相应的逻辑。事实上,即使struts.xml没有任何关于拦截器的配置,Struts2也会为我们添加一组默认的拦截器,最常见的是,请求参数自动绑定到Action对应的字段上。   Struts2中自定义拦截器的步骤是:
  • make:cc 命令未找到解决方法 daizj linux命令未知make cc
    安装rz sz程序时,报下面错误:   [root@slave2 src]# make posix cc   -O -DPOSIX -DMD=2 rz.c -o rz make: cc:命令未找到 make: *** [posix] 错误 127   系统:centos 6.6 环境:虚拟机   错误原因:系统未安装gcc,这个是由于在安
  • Oracle之Job应用 周凡杨 oracle job
    最近写服务,服务上线后,需要写一个定时执行的SQL脚本,清理并更新数据库表里的数据,应用到了Oracle 的 Job的相关知识。在此总结一下。   一:查看相关job信息    1、相关视图  dba_jobs  all_jobs  user_jobs  dba_jobs_running 包含正在运行
  • 多线程机制 朱辉辉33 多线程
    转至http://blog.csdn.net/lj70024/archive/2010/04/06/5455790.aspx 程序、进程和线程: 程序是一段静态的代码,它是应用程序执行的蓝本。进程是程序的一次动态执行过程,它对应了从代码加载、执行至执行完毕的一个完整过程,这个过程也是进程本身从产生、发展至消亡的过程。线程是比进程更小的单位,一个进程执行过程中可以产生多个线程,每个线程有自身的
  • web报表工具FineReport使用中遇到的常见报错及解决办法(一) 老A不折腾 web报表finereportjava报表报表工具
    FineReport使用中遇到的常见报错及解决办法(一) 这里写点抛砖引玉,希望大家能把自己整理的问题及解决方法晾出来,Mark一下,利人利己。   出现问题先搜一下文档上有没有,再看看度娘有没有,再看看论坛有没有。有报错要看日志。下面简单罗列下常见的问题,大多文档上都有提到的。   1、address pool is full: 含义:地址池满,连接数超过并发数上
  • mysql rpm安装后没有my.cnf 林鹤霄 没有my.cnf
    Linux下用rpm包安装的MySQL是不会安装/etc/my.cnf文件的, 至于为什么没有这个文件而MySQL却也能正常启动和作用,在这儿有两个说法, 第一种说法,my.cnf只是MySQL启动时的一个参数文件,可以没有它,这时MySQL会用内置的默认参数启动, 第二种说法,MySQL在启动时自动使用/usr/share/mysql目录下的my-medium.cnf文件,这种说法仅限于r
  • Kindle Fire HDX root并安装谷歌服务框架之后仍无法登陆谷歌账号的问题 aigo root
    原文:http://kindlefireforkid.com/how-to-setup-a-google-account-on-amazon-fire-tablet/   Step 4: Run ADB command from your PC   On the PC, you need install Amazon Fire ADB driver and instal
  • javascript 中var提升的典型实例 alxw4616 JavaScript
    // 刚刚在书上看到的一个小问题,很有意思.大家一起思考下吧 myname = 'global'; var fn = function () { console.log(myname); // undefined var myname = 'local'; console.log(myname); // local }; fn() // 上述代码实际上等同于以下代码 m
  • 定时器和获取时间的使用 百合不是茶 时间的转换定时器
    定时器:定时创建任务在游戏设计的时候用的比较多   Timer();定时器 TImerTask();Timer的子类  由 Timer 安排为一次执行或重复执行的任务。       定时器类Timer在java.util包中。使用时,先实例化,然后使用实例的schedule(TimerTask task, long delay)方法,设定
  • JDK1.5 Queue bijian1013 javathreadjava多线程Queue
    JDK1.5 Queue LinkedList: LinkedList不是同步的。如果多个线程同时访问列表,而其中至少一个线程从结构上修改了该列表,则它必须 保持外部同步。(结构修改指添加或删除一个或多个元素的任何操作;仅设置元素的值不是结构修改。)这一般通过对自然封装该列表的对象进行同步操作来完成。如果不存在这样的对象,则应该使用 Collections.synchronizedList 方
  • http认证原理和https bijian1013 httphttps
    一.基础介绍         在URL前加https://前缀表明是用SSL加密的。 你的电脑与服务器之间收发的信息传输将更加安全。         Web服务器启用SSL需要获得一个服务器证书并将该证书与要使用SSL的服务器绑定。 http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后
  • 【Java范型五】范型继承 bit1129 java
    定义如下一个抽象的范型类,其中定义了两个范型参数,T1,T2   package com.tom.lang.generics; public abstract class SuperGenerics<T1, T2> { private T1 t1; private T2 t2; public abstract void doIt(T
  • 【Nginx六】nginx.conf常用指令(Directive) bit1129 Directive
    1. worker_processes    8; 表示Nginx将启动8个工作者进程,通过ps -ef|grep nginx,会发现有8个Nginx Worker Process在运行   nobody 53879 118449 0 Apr22 ? 00:26:15 nginx: worker process
  • lua 遍历Header头部 ronin47 lua header 遍历 
    local headers = ngx.req.get_headers()   ngx.say("headers begin", "<br/>")   ngx.say("Host : ", he
  • java-32.通过交换a,b中的元素,使[序列a元素的和]与[序列b元素的和]之间的差最小(两数组的差最小)。 bylijinnan java
    import java.util.Arrays; public class MinSumASumB { /** * Q32.有两个序列a,b,大小都为n,序列元素的值任意整数,无序. * * 要求:通过交换a,b中的元素,使[序列a元素的和]与[序列b元素的和]之间的差最小。 * 例如: * int[] a = {100,99,98,1,2,3
  • redis 开窍的石头 redis
    在redis的redis.conf配置文件中找到# requirepass foobared 把它替换成requirepass 12356789 后边的12356789就是你的密码 打开redis客户端输入config get requirepass 返回 redis 127.0.0.1:6379> config get requirepass 1) "require
  • [JAVA图像与图形]现有的GPU架构支持JAVA语言吗? comsci java语言
          无论是opengl还是cuda,都是建立在C语言体系架构基础上的,在未来,图像图形处理业务快速发展,相关领域市场不断扩大的情况下,我们JAVA语言系统怎么从这么庞大,且还在不断扩大的市场上分到一块蛋糕,是值得每个JAVAER认真思考和行动的事情       
  • 安装ubuntu14.04登录后花屏了怎么办 cuiyadll ubuntu
    这个情况,一般属于显卡驱动问题。 可以先尝试安装显卡的官方闭源驱动。 按键盘三个键:CTRL + ALT  +  F1 进入终端,输入用户名和密码登录终端: 安装amd的显卡驱动 sudo  apt-get  install  fglrx 安装nvidia显卡驱动 sudo  ap
  • SSL 与 数字证书 的基本概念和工作原理 darrenzhu 加密ssl证书密钥签名
    SSL 与 数字证书 的基本概念和工作原理 http://www.linuxde.net/2012/03/8301.html SSL握手协议的目的是或最终结果是让客户端和服务器拥有一个共同的密钥,握手协议本身是基于非对称加密机制的,之后就使用共同的密钥基于对称加密机制进行信息交换。 http://www.ibm.com/developerworks/cn/webspher
  • Ubuntu设置ip的步骤 dcj3sjt126com ubuntu
    在单位的一台机器完全装了Ubuntu Server,但回家只能在XP上VM一个,装的时候网卡是DHCP的,用ifconfig查了一下ip是192.168.92.128,可以ping通。 转载不是错: Ubuntu命令行修改网络配置方法 /etc/network/interfaces打开后里面可设置DHCP或手动设置静态ip。前面auto eth0,让网卡开机自动挂载. 1. 以D
  • php包管理工具推荐 dcj3sjt126com PHPComposer
    http://www.phpcomposer.com/   Composer是 PHP 用来管理依赖(dependency)关系的工具。你可以在自己的项目中声明所依赖的外部工具库(libraries),Composer 会帮你安装这些依赖的库文件。 中文文档  入门指南  下载  安装包列表 Composer 中国镜像
  • Gson使用四(TypeAdapter) eksliang jsongsonGson自定义转换器gsonTypeAdapter
    转载请出自出处:http://eksliang.iteye.com/blog/2175595 一.概述        Gson的TypeAapter可以理解成自定义序列化和返序列化 二、应用场景举例        例如我们通常去注册时(那些外国网站),会让我们输入firstName,lastName,但是转到我们都
  • JQM控件之Navbar和Tabs gundumw100 htmlxmlcss
    在JQM中使用导航栏Navbar是简单的。 只需要将data-role="navbar"赋给div即可: <div data-role="navbar"> <ul> <li><a href="#" class="ui-btn-active&qu
  • 利用归并排序算法对大文件进行排序 iwindyforest java归并排序大文件分治法Merge sort
      归并排序算法介绍,请参照Wikipeida zh.wikipedia.org/wiki/%E5%BD%92%E5%B9%B6%E6%8E%92%E5%BA%8F 基本思想: 大文件分割成行数相等的两个子文件,递归(归并排序)两个子文件,直到递归到分割成的子文件低于限制行数 低于限制行数的子文件直接排序 两个排序好的子文件归并到父文件 直到最后所有排序好的父文件归并到输入
  • iOS UIWebView URL拦截 啸笑天 UIWebView
    本文译者:candeladiao,原文:URL filtering for UIWebView on the iPhone说明:译者在做app开发时,因为页面的javascript文件比较大导致加载速度很慢,所以想把javascript文件打包在app里,当UIWebView需要加载该脚本时就从app本地读取,但UIWebView并不支持加载本地资源。最后从下文中找到了解决方法,第一次翻译,难免有
  • 索引的碎片整理SQL语句 macroli sql
    SET NOCOUNT ON DECLARE @tablename VARCHAR (128) DECLARE @execstr VARCHAR (255) DECLARE @objectid INT DECLARE @indexid INT DECLARE @frag DECIMAL DECLARE @maxfrag DECIMAL --设置最大允许的碎片数量,超过则对索引进行碎片
  • Angularjs同步操作http请求with $promise qiaolevip 每天进步一点点学习永无止境AngularJS纵观千象
    // Define a factory app.factory('profilePromise', ['$q', 'AccountService', function($q, AccountService) { var deferred = $q.defer(); AccountService.getProfile().then(function(res) {
  • hibernate联合查询问题 sxj19881213 sqlHibernateHQL联合查询
    最近在用hibernate做项目,遇到了联合查询的问题,以及联合查询中的N+1问题。 针对无外键关联的联合查询,我做了HQL和SQL的实验,希望能帮助到大家。(我使用的版本是hibernate3.3.2)   1 几个常识:  (1)hql中的几种join查询,只有在外键关联、并且作了相应配置时才能使用。  (2)hql的默认查询策略,在进行联合查询时,会产
  • struts2.xml wuai struts
    <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN" "http://struts.apache
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他