国产片侵犯亲女视频播放_亚洲精品二区_在线免费国产视频_欧美精品一区二区三区在线_少妇久久久_在线观看av不卡

服務(wù)器之家:專注于服務(wù)器技術(shù)及軟件下載分享
分類導(dǎo)航

PHP教程|ASP.NET教程|Java教程|ASP教程|編程技術(shù)|正則表達(dá)式|C/C++|IOS|C#|Swift|Android|VB|R語言|JavaScript|易語言|vb.net|

服務(wù)器之家 - 編程語言 - Java教程 - SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解

SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解

2021-04-30 14:34whyalwaysmea Java教程

這篇文章主要介紹了SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧

spring security 基本介紹

這里就不對spring security進(jìn)行過多的介紹了,具體的可以參考官方文檔

我就只說下springsecurity核心功能:

  1. 認(rèn)證(你是誰)
  2. 授權(quán)(你能干什么)
  3. 攻擊防護(hù)(防止偽造身份)

基本環(huán)境搭建

這里我們以springboot作為項(xiàng)目的基本框架,我這里使用的是maven的方式來進(jìn)行的包管理,所以這里先給出集成spring security的方式

?
1
2
3
4
5
6
7
8
<dependencies>
  ...
    <dependency>
      <groupid>org.springframework.boot</groupid>
      <artifactid>spring-boot-starter-security</artifactid>
    </dependency>
  ...
</dependencies>

然后建立一個(gè)web層請求接口

?
1
2
3
4
5
6
7
8
@restcontroller
@requestmapping("/user")
public class usercontroller {
  @getmapping
  public string getusers() {   
    return "hello spring security";
  }
}

接下來可以直接進(jìn)行項(xiàng)目的運(yùn)行,并進(jìn)行接口的調(diào)用看看效果了。

通過網(wǎng)頁的調(diào)用

我們首先通過瀏覽器進(jìn)行接口的調(diào)用,直接訪問http://localhost:8080/user,如果接口能正常訪問,那么應(yīng)該顯示“hello spring security”。

但是我們是沒法正常訪問的,出現(xiàn)了下圖的身份驗(yàn)證輸入框

SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解

這是因?yàn)樵趕pringboot中,默認(rèn)的spring security就是生效了的,此時(shí)的接口都是被保護(hù)的,我們需要通過驗(yàn)證才能正常的訪問。 spring security提供了一個(gè)默認(rèn)的用戶,用戶名是user,而密碼則是啟動項(xiàng)目的時(shí)候自動生成的。

我們查看項(xiàng)目啟動的日志,會發(fā)現(xiàn)如下的一段log

using default security password: 62ccf9ca-9fbe-4993-8566-8468cc33c28c

當(dāng)然你看到的password肯定和我是不一樣的,我們直接用user和啟動日志中的密碼進(jìn)行登錄。

登錄成功后,就跳轉(zhuǎn)到了接口正常調(diào)用的頁面了。

如果不想一開始就使能spring security,可以在配置文件中做如下的配置:

?
1
2
# security 使能
security.basic.enabled = false

剛才看到的登錄框是springsecurity是框架自己提供的,被稱為httpbasiclogin。顯示它不是我們產(chǎn)品上想要的,我們前端一般是通過表單提交的方式進(jìn)行用戶登錄驗(yàn)證的,所以我們就需要自定義自己的認(rèn)證邏輯了。

自定義用戶認(rèn)證邏輯

每個(gè)系統(tǒng)肯定是有自己的一套用戶體系的,所以我們需要自定義自己的認(rèn)證邏輯以及登錄界面。
這里我們需要先對springsecurity進(jìn)行相應(yīng)的配置

?
1
2
3
4
5
6
7
8
9
10
11
12
@configuration
public class browersecurityconfig extends websecurityconfigureradapter {
 
  @override
  protected void configure(httpsecurity http) throws exception {
    http.formlogin()          // 定義當(dāng)需要用戶登錄時(shí)候,轉(zhuǎn)到的登錄頁面。
        .and()
        .authorizerequests()    // 定義哪些url需要被保護(hù)、哪些不需要被保護(hù)
        .anyrequest()        // 任何請求,登錄后可以訪問
        .authenticated();
  }
}

接下來再配置用戶認(rèn)證邏輯,因?yàn)槲覀兪怯凶约旱囊惶子脩趔w系的

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
@component
public class myuserdetailsservice implements userdetailsservice {
 
  private logger logger = loggerfactory.getlogger(getclass());
 
  @override
  public userdetails loaduserbyusername(string username) throws usernamenotfoundexception {
    logger.info("用戶的用戶名: {}", username);
    // todo 根據(jù)用戶名,查找到對應(yīng)的密碼,與權(quán)限
 
    // 封裝用戶信息,并返回。參數(shù)分別是:用戶名,密碼,用戶權(quán)限
    user user = new user(userame, "123456",
              authorityutils.commaseparatedstringtoauthoritylist("admin"));
    return user;
 }
}

這里我們沒有進(jìn)行過多的校驗(yàn),用戶名可以隨意的填寫,但是密碼必須得是“123456”,這樣才能登錄成功。

同時(shí)可以看到,這里user對象的第三個(gè)參數(shù),它表示的是當(dāng)前用戶的權(quán)限,我們將它設(shè)置為”admin”。

運(yùn)行一下程序進(jìn)行測試,會發(fā)現(xiàn)登錄界面有所改變

SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解

這是因?yàn)槲覀冊谂渲梦募信渲昧?code>http.formlogin()

我們這里隨便填寫一個(gè)user,然后password寫填寫一個(gè)錯(cuò)誤的(非123456)的。這時(shí)會提示校驗(yàn)錯(cuò)誤:

SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解

同時(shí)在控制臺,也會打印出剛才登錄時(shí)填寫的user

現(xiàn)在我們再來使用正確的密碼進(jìn)行登錄試試,可以發(fā)現(xiàn)就會通過校驗(yàn),跳轉(zhuǎn)到正確的接口調(diào)用頁面了。

userdetails

剛剛我們在寫myuserdetailsservice的時(shí)候,里面實(shí)現(xiàn)了一個(gè)方法,并返回了一個(gè)userdetails。這個(gè)userdetails 就是封裝了用戶信息的對象,里面包含了七個(gè)方法

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
public interface userdetails extends serializable {
  // 封裝了權(quán)限信息
  collection<? extends grantedauthority> getauthorities();
  // 密碼信息
  string getpassword();
  // 登錄用戶名
  string getusername();
  // 帳戶是否過期
  boolean isaccountnonexpired();
  // 帳戶是否被凍結(jié)
  boolean isaccountnonlocked();
  // 帳戶密碼是否過期,一般有的密碼要求性高的系統(tǒng)會使用到,比較每隔一段時(shí)間就要求用戶重置密碼
  boolean iscredentialsnonexpired();
  // 帳號是否可用
  boolean isenabled();
}

我們在返回userdetails的實(shí)現(xiàn)類user的時(shí)候,可以通過user的構(gòu)造方法,設(shè)置對應(yīng)的參數(shù)

密碼加密解密

springsecurity中有一個(gè)passwordencoder接口

?
1
2
3
4
5
6
public interface passwordencoder {
  // 對密碼進(jìn)行加密
  string encode(charsequence var1);
  // 對密碼進(jìn)行判斷匹配
  boolean matches(charsequence var1, string var2);
}

我們只需要自己實(shí)現(xiàn)這個(gè)接口,并在配置文件中配置一下就可以了。

這里我暫時(shí)以默認(rèn)提供的一個(gè)實(shí)現(xiàn)類進(jìn)行測試

?
1
2
3
4
5
// browersecurityconfig
@bean
public passwordencoder passwordencoder() {
   return new bcryptpasswordencoder();
 }

加密使用:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
@component
public class myuserdetailsservice implements userdetailsservice {
 
 
  private logger logger = loggerfactory.getlogger(getclass());
 
  @autowired
  private passwordencoder passwordencoder;
 
  @override
  public userdetails loaduserbyusername(string username) throws usernamenotfoundexception {
    logger.info("用戶的用戶名: {}", username);
 
    string password = passwordencoder.encode("123456");
    logger.info("password: {}", password);
 
    // 參數(shù)分別是:用戶名,密碼,用戶權(quán)限
    user user = new user(username, password, authorityutils.commaseparatedstringtoauthoritylist("admin"));
    return user;
  }
}

這里簡單的對123456進(jìn)行了加密的處理。我們可以進(jìn)行測試,發(fā)現(xiàn)每次打印出來的password都是不一樣的,這就是配置的bcryptpasswordencoder所起到的作用。

個(gè)性化用戶認(rèn)證邏輯

自定義登錄頁面

在之前的測試中,一直都是使用的默認(rèn)的登錄界面,我相信每個(gè)產(chǎn)品都是有自己的登錄界面設(shè)計(jì)的,所以我們這一節(jié)了解一下如何自定義登錄頁面。

我們先寫一個(gè)簡單的登錄頁面

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
<!doctype html>
<html lang="en">
<head>
  <meta charset="utf-8">
  <title>登錄頁面</title>
</head>
<body>
  <h2>自定義登錄頁面</h2>
  <form action="/user/login" method="post">
    <table>
      <tr>
        <td>用戶名:</td>
        <td><input type="text" name="username"></td>
      </tr>
      <tr>
        <td>密碼:</td>
        <td><input type="password" name="password"></td>
      </tr>
      <tr>
        <td colspan="2"><button type="submit">登錄</button></td>
      </tr>
    </table>
  </form>
</body>
</html>

完成了登錄頁面之后,就需要將它配置進(jìn)行springsecurity

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
// browersecurityconfig.java
@override
protected void configure(httpsecurity http) throws exception {
  http.formlogin()          // 定義當(dāng)需要用戶登錄時(shí)候,轉(zhuǎn)到的登錄頁面。
      .loginpage("/login.html")      // 設(shè)置登錄頁面
      .loginprocessingurl("/user/login") // 自定義的登錄接口
      .and()
      .authorizerequests()    // 定義哪些url需要被保護(hù)、哪些不需要被保護(hù)
      .antmatchers("/login.html").permitall()   // 設(shè)置所有人都可以訪問登錄頁面
      .anyrequest()        // 任何請求,登錄后可以訪問
      .authenticated()
      .and()
      .csrf().disable();     // 關(guān)閉csrf防護(hù)
}

這樣,每當(dāng)我們訪問被保護(hù)的接口的時(shí)候,就會調(diào)轉(zhuǎn)到login.html頁面

處理不同類型的請求

因?yàn)楝F(xiàn)在一般都前后端分離了,后端提供接口供前端調(diào)用,返回json格式的數(shù)據(jù)給前端。剛才那樣,調(diào)用了被保護(hù)的接口,直接進(jìn)行了頁面的跳轉(zhuǎn),在web端還可以接受,但是在app端就不行了, 所以我們還需要做進(jìn)一步的處理。

這里做一下簡單的思路整理

SpringBoot + Spring Security 基本使用及個(gè)性化登錄配置詳解

首先來寫自定義的controller,當(dāng)需要身份認(rèn)證的時(shí)候就跳轉(zhuǎn)過來

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
@restcontroller
public class browsersecuritycontroller {
 
  private logger logger = loggerfactory.getlogger(getclass());
 
  // 原請求信息的緩存及恢復(fù)
  private requestcache requestcache = new httpsessionrequestcache();
 
  // 用于重定向
  private redirectstrategy redirectstrategy = new defaultredirectstrategy();
 
  /**
   * 當(dāng)需要身份認(rèn)證的時(shí)候,跳轉(zhuǎn)過來
   * @param request
   * @param response
   * @return
   */
  @requestmapping("/authentication/require")
  @responsestatus(code = httpstatus.unauthorized)
  public baseresponse requireauthenication(httpservletrequest request, httpservletresponse response) throws ioexception {
    savedrequest savedrequest = requestcache.getrequest(request, response);
 
    if (savedrequest != null) {
      string targeturl = savedrequest.getredirecturl();
      logger.info("引發(fā)跳轉(zhuǎn)的請求是:" + targeturl);
      if (stringutils.endswithignorecase(targeturl, ".html")) {
        redirectstrategy.sendredirect(request, response, "/login.html");
      }
    }
 
    return new baseresponse("訪問的服務(wù)需要身份認(rèn)證,請引導(dǎo)用戶到登錄頁");
  }
}

當(dāng)然還需要將配置文件進(jìn)行相應(yīng)的修改, 這里我就不貼代碼了。 就是將該接口開放出來 。

擴(kuò)展:

這里我們是寫死了如果是從網(wǎng)頁訪問的接口,那么就跳轉(zhuǎn)到”/login.html”頁面,其實(shí)我們可以擴(kuò)展一下,將該跳轉(zhuǎn)地址配置到配置文件中,這樣會更方便的。

自定義處理登錄成功/失敗

在之前的測試中,登錄成功了都是進(jìn)行了頁面的跳轉(zhuǎn)。

在前后端分離的情況下,我們登錄成功了可能需要向前端返回用戶的個(gè)人信息,而不是直接進(jìn)行跳轉(zhuǎn)。登錄失敗也是同樣的道理。

這里涉及到了spring security中的兩個(gè)接口authenticationsuccesshandlerauthenticationfailurehandler。我們可以實(shí)現(xiàn)這個(gè)接口,并進(jìn)行相應(yīng)的配置就可以了。 當(dāng)然框架是有默認(rèn)的實(shí)現(xiàn)類的,我們可以繼承這個(gè)實(shí)現(xiàn)類再來自定義自己的業(yè)務(wù)

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
@component("myauthenctiationsuccesshandler")
public class myauthenctiationsuccesshandler extends simpleurlauthenticationsuccesshandler {
 
  private logger logger = loggerfactory.getlogger(getclass());
 
  @autowired
  private objectmapper objectmapper;
 
  @override
  public void onauthenticationsuccess(httpservletrequest request, httpservletresponse response,
                    authentication authentication) throws ioexception, servletexception {
 
    logger.info("登錄成功");
 
    response.setcontenttype("application/json;charset=utf-8");
    response.getwriter().write(objectmapper.writevalueasstring(authentication));
  }
}

這里我們通過response返回一個(gè)json字符串回去。

這個(gè)方法中的第三個(gè)參數(shù)authentication,它里面包含了登錄后的用戶信息(userdetails),session的信息,登錄信息等。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
@component("myauthenctiationfailurehandler")
public class myauthenctiationfailurehandler extends simpleurlauthenticationfailurehandler {
 
  private logger logger = loggerfactory.getlogger(getclass());
 
  @autowired
  private objectmapper objectmapper;
 
  @override
  public void onauthenticationfailure(httpservletrequest request, httpservletresponse response,
                    authenticationexception exception) throws ioexception, servletexception {
 
    logger.info("登錄失敗");
 
    response.setstatus(httpstatus.internal_server_error.value());
    response.setcontenttype("application/json;charset=utf-8");
    response.getwriter().write(objectmapper.writevalueasstring(new baseresponse(exception.getmessage())));
  }
}

這個(gè)方法中的第三個(gè)參數(shù)authenticationexception,包括了登錄失敗的信息。

同樣的,還是需要在配置文件中進(jìn)行配置,這里就不貼出全部的代碼了,只貼出相應(yīng)的語句

?
1
2
.successhandler(myauthenticationsuccesshandler) // 自定義登錄成功處理
.failurehandler(myauthenticationfailurehandler) // 自定義登錄失敗處理

代碼

完整的代碼可以點(diǎn)我查看

以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持服務(wù)器之家。

原文鏈接:https://blog.csdn.net/u013435893/article/details/79596628

延伸 · 閱讀

精彩推薦
主站蜘蛛池模板: 成人综合久久 | 久久精品久久久 | 91精品国产色综合久久不卡蜜臀 | 中文字幕 国产精品 | 成人网av | 亚洲第一视频网站 | 日韩国产一区二区三区 | 久久精品a一级国产免视看成人 | 亚洲三级在线 | 色五月激情五月 | 亚洲一区二区三区视频 | 成人网址在线观看 | 黄片毛片 | 福利视频在线播放 | 精品国产乱码久久久久久闺蜜 | 久久五月视频 | 婷婷久久综合 | 天天操人人干 | 亚洲精品第一 | 国产片在线播放 | 韩国三级午夜理伦三级三 | 国产精品99久久久久久久vr | 日韩中文一区二区三区 | 久久男人的天堂 | 日日操夜夜操免费视频 | 欧美福利网址 | 久久久一区二区三区 | 日韩中文字幕一区二区 | 亚洲 成人 一区 | 婷婷中文字幕 | 午夜在线影院 | 精品久久久久久久久久久久久久 | 国产日韩一区二区 | 一区二区三区亚洲 | 91精品国产91久久久久久 | 国产精品久久久久久久久久久久久 | 精品国产精品三级精品av网址 | 成人午夜视频在线观看 | 精品一二三区 | 精品粉嫩超白一线天av | 亚洲最新无码中文字幕久久 |