web开发安全框架

提供认证和授权功能!

一.SpringSecurity

1.导入依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

    <version>2.6.9</version>

</dependency>

2.实现授权和认证功能

package com.springboot.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**

 * @author panglili

 * @create 2022-07-10-17:18

 */

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        //http Security认证,首页所有人都可以访问,功能页只有相应权限的人才能访问

        //授权

        http.authorizeHttpRequests()

                .antMatchers("/").permitAll()

                .antMatchers("/level1/**").hasRole("vip1")

                .antMatchers("/level2/**").hasRole("vip2")

                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限默认跳登录页面

        http.formLogin();

    }

    @Override

    //认证

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())

                .withUser("tata").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2")

                .and()

                .withUser("root").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2","vip3")

                .and()

                .withUser("guest").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1");

    }

}

3.超简单的注销功能

前端界面中,注销按钮处,使用thymeleaf点击到后端的security控制类中的logout

<!--注销-->

<a class="item" th:href="@{/logout}">

    <i class="sign-out icon"></i> 注销

</a>

security中的logout是spring security自己提供的,只需要用它的参数http.logout()即可。

http.logout()

4.权限控制

此功能展示相应的界面给不同用户,上面实现的功能会展示所有界面,只是不同用户点击不是自己的权限内的页面会无法展示。

导入依赖包,使得可以在thymeleaf中调用security的变量。

<!--security和thymeleaf整合包-->

<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->

<dependency>

    <groupId>org.thymeleaf.extras</groupId>

    <artifactId>thymeleaf-extras-springsecurity4</artifactId>

    <version>3.0.4.RELEASE</version>

</dependency>

在html头文件记得导入,才会有提示!!!

<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

实现不同用户的权限功能,只需要在不同前端内容中使用security的语句加以判断即可。

<div class="column" sec:authorize="hasRole('vip3')">

    <div class="ui raised segment">

        <div class="ui">

            <div class="content" >

                <h5 class="content">Level 3</h5>

                <hr>

                <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>

                <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>

                <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>

            </div>

        </div>

    </div>

</div>

当用户角色为vip3时才展示div下面的内容。

5.记住我功能实现

后端security的参数http调用方法rememberme

http.rememberMe().rememberMeParameter("remember");

前端设置一个选择框,命名为remember

<div class="field">

    <input type="checkbox" name="remember"/>记住我

</div>

二.shrio

1.导入jar

<!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->

        <dependency>

            <groupId>mysql</groupId>

            <artifactId>mysql-connector-java</artifactId>

            <version>8.0.29</version>

        </dependency>

        <!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->

        <dependency>

            <groupId>com.github.theborakompanioni</groupId>

            <artifactId>thymeleaf-extras-shiro</artifactId>

            <version>2.0.0</version>

        </dependency>

<dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.3.2</version>

        </dependency>

2.写配置功能

subject用户,securityManager管理所有用户,realm连接数据。

三大对象

package com.springboot.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.beans.factory.annotation.Qualifier;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.Map;

/**

 * @author panglili

 * @create 2022-07-10-21:15

 */

@Configuration

public class ShrioConfig {

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefault") DefaultWebSecurityManager defaultWebSecurityManager){

        ShiroFilterFactoryBean Bean = new ShiroFilterFactoryBean();

        Bean.setSecurityManager(defaultWebSecurityManager);

        //添加shrio内置过滤器

        Map<String,String> filterMap=new LinkedHashMap<>();

        //只允许带有user:add的用户去访问add页面

        filterMap.put("/user/add","perms[user:add]");

        filterMap.put("/user/update","perms[user:update]");

        Bean.setUnauthorizedUrl("/unauth");

        //设置页面认证后才能访问

        filterMap.put("/user/*","authc");

        Bean.setFilterChainDefinitionMap(filterMap);

        //设置登录页面

        Bean.setLoginUrl("/toLogin");

        return Bean;

    }

    @Bean(name="getDefault")

    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){

        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();

        securityManager.setRealm(userRealm);

        return securityManager;

    }

    @Bean(name = "userRealm")

    public UserRealm userRealm(){

        return new UserRealm();

    }

    //整合shrio和thymeleaf

    @Bean

    public ShiroDialect getShiroDialect(){

        return new ShiroDialect();

    }

}

3.realm类实现授权和认证

package com.springboot.config;

import com.springboot.pojo.userDao;

import com.springboot.service.userDaoService;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.subject.Subject;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.boot.autoconfigure.security.oauth2.resource.OAuth2ResourceServerProperties;

/**

 * @author panglili

 * @create 2022-07-10-21:16

 */

public class UserRealm extends AuthorizingRealm {

    @Autowired

    userDaoService userDaoService;

    //授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("授权功能=====>");

        //获取当前登录的对象

        Subject subject = SecurityUtils.getSubject();

        //通过当前对象取到认证里的userdao

        userDao currentUser = (userDao) subject.getPrincipal();

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //设置当前用户权限

        info.addStringPermission(currentUser.getPerms());

        return info;

    }

    //认证

    @Override

        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

            System.out.println("认证功能======>");

            UsernamePasswordToken usertoken = (UsernamePasswordToken) authenticationToken;

            //获取数据库中的名字

            userDao userDao = userDaoService.queryByName(usertoken.getUsername());

        if(userDao==null){

            return null; //返回null为一个异常,在controller中被捕获,会显示用户名错误。

        }

        return new SimpleAuthenticationInfo(userDao,usertoken.getPassword(),"");

    }

}

4.controller密码认证判断

 //登录界面

    @RequestMapping("/toLogin")

    public String toLogin(){

        return "login";

    }

    //shrio的登录权限认证

    @RequestMapping("/login")

    public String login(String username,String password,Model md){

        System.out.println("进入了login");

        System.out.println(username+password);

        //获取当前用户

        Subject subject = SecurityUtils.getSubject();

        //封装用户的登录数据

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        //执行登录方法

        try{

            subject.login(token);

            return "index";

        }catch (UnknownAccountException e){

            md.addAttribute("msg","用户名错误");

            return "login";

        }catch (IncorrectCredentialsException e){

            md.addAttribute("msg","密码错误");

            return "login";

        }

    }

    //没有权限的情况

    @RequestMapping("/unauth")

    @ResponseBody

    public String unauth(){

        return "没有权限访问!";

    }

    //退出登陆

    @RequestMapping("/logout")

    public String logOut(){

        Subject subject = SecurityUtils.getSubject();

        subject.logout();

        return "login";

    }

springboot中实现权限认证的两个框架的更多相关文章

  1. springboot集成轻量级权限认证框架sa-token

    sa-token是什么? sa-token是一个JavaWeb轻量级权限认证框架,主要解决项目中登录认证.权限认证.Session会话等一系列由此衍生的权限相关业务.相比于其他安全性框架较容易上手. ...

  2. 在springboot中使用Mybatis Generator的两种方式

    介绍 Mybatis Generator(MBG)是Mybatis的一个代码生成工具.MBG解决了对数据库操作有最大影响的一些CRUD操作,很大程度上提升开发效率.如果需要联合查询仍然需要手写sql. ...

  3. Django 中使用权限认证

    权限认证 权限概念 """ 在实际开发中,项目中都有后台运营站点,运营站点里面会存在多个管理员, 那么不同的管理员会具备不同的任务和能力,那么要实现这样的管理员功能,那么 ...

  4. 权限认证与授权(Shrio 框架)

    权限概述 认证: 系统提供的用于识别用户身份的功能, 通常登录功能就是认证功能; -- 让系统知道你是谁 授权: 系统授予用户可以访问哪些功能的证书. -- 让系统知道你能做什么! 常见的权限控制方式 ...

  5. ubuntu 14.04中Elasticsearch 2.3 中 Nginx 权限认证

    前言:本文实现了nginx简单保护elasticsearch,类似的保护也可以采用elasticsearch 官方插件shield 一.准备密码 1.确认htpasswd是否已经安装 which ht ...

  6. Codeigniter-实现权限认证

    两种方法 钩子函数 集成核心Controller 方法一,钩子函数: 一直没找到CI的权限认证扩展,以前好像找到过一个老外的扩展,不过不怎么好用,现在记不清了,后来仿着jsp firter的方式用CI ...

  7. SpringBoot中使用Fastjson/Jackson对JSON序列化格式化输出的若干问题

    来源 :https://my.oschina.net/Adven/blog/3036567 使用springboot-web编写rest接口,接口需要返回json数据,目前国内比较常用的fastjso ...

  8. **[权限控制] 利用CI钩子实现权限认证

    http://codeigniter.org.cn/forums/thread-10877-1-1.html 一直没找到CI的权限认证扩展,以前好像找到过一个老外的扩展,不过不怎么好用,现在记不清了, ...

  9. 【Shiro】Apache Shiro架构之权限认证(Authorization)

    Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shir ...

随机推荐

  1. Mybaitis入门基础(一)MyBatis的概念引入及工作原理

    阅读目录 一:对原生态JDBC问题的总结 二:MyBatis框架 三:mybatis入门程序 四:mybatis和Hibernate的本质区别与应用场景 五:小结 一:框架前言的那些事 良将难求 胜铁 ...

  2. Linux screen命令详解

    开源Linux 长按二维码加关注~ 上一篇:局域网IP冲突罪魁祸首是谁? 很多时候,我们都需要执行一些需要很长时间的任务.如果这时候,你的网络连接突然断开了,那么你之前所做的所有工作可能都会丢失,所做 ...

  3. 理解 Object.defineProperty

    理解 Object.defineProperty 本文写于 2020 年 10 月 13 日 Object.defineProperty 用于在一个对象上定义新的属性或修改现有属性并返回该对象. 什么 ...

  4. AngularJS搭建环境

    一.搭建环境 1.1 调试工具:batarang Chrome浏览器插件 主要功能:查看作用域.输出高度信息.性能监控 1.2 依赖软件:Node.js 下载:https://nodejs.org/e ...

  5. poj3784(对顶堆)

    题意:多组数据,让你求出1~i(i为奇数&&i<=n)的中位数 思路:首先复杂度必为O(n)或O(nlogn)的(数据范围) 思索,如果题目要求1次中位数,好求!排个序,取a[( ...

  6. C++编码规范(本人自定义)

    C++编码规范 1.变量名用camelCase命名法(即lowerCamelCase,小驼峰拼写法)命名. 即小写字母开头,如果变量名是复合词,第二个单词的首字母大写. 举例: int digitsC ...

  7. Java添加条形码到PDF表格

    条码的应用已深入生活和工作的方方面面.在处理条码时,常需要和各种文档格式相结合.当需要在文档中插入.编辑或者删除条码时,可借助于一些专业的类库工具来实现.本文,以操作PDF文件为例,介绍如何在编辑表格 ...

  8. Python列表推导式,字典推导式,元组推导式

    参考:https://blog.csdn.net/A_Tu_daddy/article/details/105051821 my_list = [ [[1, 2, 3], [4, 5, 6]] ] f ...

  9. 2021.03.20【NOIP提高B组】模拟 总结

    区间 DP 专场:愉快爆炸 T1 题目大意 有 \(n\) 个有颜色的块,连续 \(k\) 个相同颜色的就可以消掉 现在可以在任意位置插入任意颜色的方块,问最少插入多少个可以全部抵消 题解 先把连续的 ...

  10. Linux挂载iso镜像、配置本地yum源

    Linux挂载iso镜像.配置本地yum源 1.备份原yum源配置文件 [root@localhost ~]# ll /etc/yum.repos.d/ [root@localhost ~]# mkd ...