web开发安全框架

提供认证和授权功能!

一.SpringSecurity

1.导入依赖

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

    <version>2.6.9</version>

</dependency>

2.实现授权和认证功能

package com.springboot.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**

 * @author panglili

 * @create 2022-07-10-17:18

 */

@EnableWebSecurity

public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override

    protected void configure(HttpSecurity http) throws Exception {

        //http Security认证,首页所有人都可以访问,功能页只有相应权限的人才能访问

        //授权

        http.authorizeHttpRequests()

                .antMatchers("/").permitAll()

                .antMatchers("/level1/**").hasRole("vip1")

                .antMatchers("/level2/**").hasRole("vip2")

                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限默认跳登录页面

        http.formLogin();

    }

    @Override

    //认证

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())

                .withUser("tata").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2")

                .and()

                .withUser("root").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1","vip2","vip3")

                .and()

                .withUser("guest").password(new BCryptPasswordEncoder().encode("123123")).roles("vip1");

    }

}

3.超简单的注销功能

前端界面中,注销按钮处,使用thymeleaf点击到后端的security控制类中的logout

<!--注销-->

<a class="item" th:href="@{/logout}">

    <i class="sign-out icon"></i> 注销

</a>

security中的logout是spring security自己提供的,只需要用它的参数http.logout()即可。

http.logout()

4.权限控制

此功能展示相应的界面给不同用户,上面实现的功能会展示所有界面,只是不同用户点击不是自己的权限内的页面会无法展示。

导入依赖包,使得可以在thymeleaf中调用security的变量。

<!--security和thymeleaf整合包-->

<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity4 -->

<dependency>

    <groupId>org.thymeleaf.extras</groupId>

    <artifactId>thymeleaf-extras-springsecurity4</artifactId>

    <version>3.0.4.RELEASE</version>

</dependency>

在html头文件记得导入,才会有提示!!!

<html lang="en" xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

实现不同用户的权限功能,只需要在不同前端内容中使用security的语句加以判断即可。

<div class="column" sec:authorize="hasRole('vip3')">

    <div class="ui raised segment">

        <div class="ui">

            <div class="content" >

                <h5 class="content">Level 3</h5>

                <hr>

                <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>

                <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>

                <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>

            </div>

        </div>

    </div>

</div>

当用户角色为vip3时才展示div下面的内容。

5.记住我功能实现

后端security的参数http调用方法rememberme

http.rememberMe().rememberMeParameter("remember");

前端设置一个选择框,命名为remember

<div class="field">

    <input type="checkbox" name="remember"/>记住我

</div>

二.shrio

1.导入jar

<!-- https://mvnrepository.com/artifact/mysql/mysql-connector-java -->

        <dependency>

            <groupId>mysql</groupId>

            <artifactId>mysql-connector-java</artifactId>

            <version>8.0.29</version>

        </dependency>

        <!-- https://mvnrepository.com/artifact/com.github.theborakompanioni/thymeleaf-extras-shiro -->

        <dependency>

            <groupId>com.github.theborakompanioni</groupId>

            <artifactId>thymeleaf-extras-shiro</artifactId>

            <version>2.0.0</version>

        </dependency>

<dependency>

            <groupId>org.apache.shiro</groupId>

            <artifactId>shiro-spring</artifactId>

            <version>1.3.2</version>

        </dependency>

2.写配置功能

subject用户,securityManager管理所有用户,realm连接数据。

三大对象

package com.springboot.config;

import at.pollux.thymeleaf.shiro.dialect.ShiroDialect;

import org.apache.shiro.spring.web.ShiroFilterFactoryBean;

import org.apache.shiro.web.mgt.DefaultWebSecurityManager;

import org.springframework.beans.factory.annotation.Qualifier;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import java.util.LinkedHashMap;

import java.util.Map;

/**

 * @author panglili

 * @create 2022-07-10-21:15

 */

@Configuration

public class ShrioConfig {

    @Bean

    public ShiroFilterFactoryBean getShiroFilterFactoryBean(@Qualifier("getDefault") DefaultWebSecurityManager defaultWebSecurityManager){

        ShiroFilterFactoryBean Bean = new ShiroFilterFactoryBean();

        Bean.setSecurityManager(defaultWebSecurityManager);

        //添加shrio内置过滤器

        Map<String,String> filterMap=new LinkedHashMap<>();

        //只允许带有user:add的用户去访问add页面

        filterMap.put("/user/add","perms[user:add]");

        filterMap.put("/user/update","perms[user:update]");

        Bean.setUnauthorizedUrl("/unauth");

        //设置页面认证后才能访问

        filterMap.put("/user/*","authc");

        Bean.setFilterChainDefinitionMap(filterMap);

        //设置登录页面

        Bean.setLoginUrl("/toLogin");

        return Bean;

    }

    @Bean(name="getDefault")

    public DefaultWebSecurityManager getDefaultWebSecurityManager(@Qualifier("userRealm")UserRealm userRealm){

        DefaultWebSecurityManager securityManager=new DefaultWebSecurityManager();

        securityManager.setRealm(userRealm);

        return securityManager;

    }

    @Bean(name = "userRealm")

    public UserRealm userRealm(){

        return new UserRealm();

    }

    //整合shrio和thymeleaf

    @Bean

    public ShiroDialect getShiroDialect(){

        return new ShiroDialect();

    }

}

3.realm类实现授权和认证

package com.springboot.config;

import com.springboot.pojo.userDao;

import com.springboot.service.userDaoService;

import org.apache.shiro.SecurityUtils;

import org.apache.shiro.authc.*;

import org.apache.shiro.authz.AuthorizationInfo;

import org.apache.shiro.authz.SimpleAuthorizationInfo;

import org.apache.shiro.realm.AuthorizingRealm;

import org.apache.shiro.subject.PrincipalCollection;

import org.apache.shiro.subject.Subject;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.boot.autoconfigure.security.oauth2.resource.OAuth2ResourceServerProperties;

/**

 * @author panglili

 * @create 2022-07-10-21:16

 */

public class UserRealm extends AuthorizingRealm {

    @Autowired

    userDaoService userDaoService;

    //授权

    @Override

    protected AuthorizationInfo doGetAuthorizationInfo(PrincipalCollection principalCollection) {

        System.out.println("授权功能=====>");

        //获取当前登录的对象

        Subject subject = SecurityUtils.getSubject();

        //通过当前对象取到认证里的userdao

        userDao currentUser = (userDao) subject.getPrincipal();

        SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();

        //设置当前用户权限

        info.addStringPermission(currentUser.getPerms());

        return info;

    }

    //认证

    @Override

        protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken) throws AuthenticationException {

            System.out.println("认证功能======>");

            UsernamePasswordToken usertoken = (UsernamePasswordToken) authenticationToken;

            //获取数据库中的名字

            userDao userDao = userDaoService.queryByName(usertoken.getUsername());

        if(userDao==null){

            return null; //返回null为一个异常,在controller中被捕获,会显示用户名错误。

        }

        return new SimpleAuthenticationInfo(userDao,usertoken.getPassword(),"");

    }

}

4.controller密码认证判断

 //登录界面

    @RequestMapping("/toLogin")

    public String toLogin(){

        return "login";

    }

    //shrio的登录权限认证

    @RequestMapping("/login")

    public String login(String username,String password,Model md){

        System.out.println("进入了login");

        System.out.println(username+password);

        //获取当前用户

        Subject subject = SecurityUtils.getSubject();

        //封装用户的登录数据

        UsernamePasswordToken token = new UsernamePasswordToken(username, password);

        //执行登录方法

        try{

            subject.login(token);

            return "index";

        }catch (UnknownAccountException e){

            md.addAttribute("msg","用户名错误");

            return "login";

        }catch (IncorrectCredentialsException e){

            md.addAttribute("msg","密码错误");

            return "login";

        }

    }

    //没有权限的情况

    @RequestMapping("/unauth")

    @ResponseBody

    public String unauth(){

        return "没有权限访问!";

    }

    //退出登陆

    @RequestMapping("/logout")

    public String logOut(){

        Subject subject = SecurityUtils.getSubject();

        subject.logout();

        return "login";

    }

springboot中实现权限认证的两个框架的更多相关文章

  1. springboot集成轻量级权限认证框架sa-token

    sa-token是什么? sa-token是一个JavaWeb轻量级权限认证框架,主要解决项目中登录认证.权限认证.Session会话等一系列由此衍生的权限相关业务.相比于其他安全性框架较容易上手. ...

  2. 在springboot中使用Mybatis Generator的两种方式

    介绍 Mybatis Generator(MBG)是Mybatis的一个代码生成工具.MBG解决了对数据库操作有最大影响的一些CRUD操作,很大程度上提升开发效率.如果需要联合查询仍然需要手写sql. ...

  3. Django 中使用权限认证

    权限认证 权限概念 """ 在实际开发中,项目中都有后台运营站点,运营站点里面会存在多个管理员, 那么不同的管理员会具备不同的任务和能力,那么要实现这样的管理员功能,那么 ...

  4. 权限认证与授权(Shrio 框架)

    权限概述 认证: 系统提供的用于识别用户身份的功能, 通常登录功能就是认证功能; -- 让系统知道你是谁 授权: 系统授予用户可以访问哪些功能的证书. -- 让系统知道你能做什么! 常见的权限控制方式 ...

  5. ubuntu 14.04中Elasticsearch 2.3 中 Nginx 权限认证

    前言:本文实现了nginx简单保护elasticsearch,类似的保护也可以采用elasticsearch 官方插件shield 一.准备密码 1.确认htpasswd是否已经安装 which ht ...

  6. Codeigniter-实现权限认证

    两种方法 钩子函数 集成核心Controller 方法一,钩子函数: 一直没找到CI的权限认证扩展,以前好像找到过一个老外的扩展,不过不怎么好用,现在记不清了,后来仿着jsp firter的方式用CI ...

  7. SpringBoot中使用Fastjson/Jackson对JSON序列化格式化输出的若干问题

    来源 :https://my.oschina.net/Adven/blog/3036567 使用springboot-web编写rest接口,接口需要返回json数据,目前国内比较常用的fastjso ...

  8. **[权限控制] 利用CI钩子实现权限认证

    http://codeigniter.org.cn/forums/thread-10877-1-1.html 一直没找到CI的权限认证扩展,以前好像找到过一个老外的扩展,不过不怎么好用,现在记不清了, ...

  9. 【Shiro】Apache Shiro架构之权限认证(Authorization)

    Shiro系列文章: [Shiro]Apache Shiro架构之身份认证(Authentication) [Shiro]Apache Shiro架构之集成web [Shiro]Apache Shir ...

随机推荐

  1. Django学习——路由层之路由匹配、无名分组、有名分组、反向解析

    路由层之路由匹配 """路由你可以看成就是出去ip和port之后的地址""" url()方法 1.第一个参数其实是一个正则表达式 2.一旦第 ...

  2. git提交代码到GitHub操作-简易版(后续完善)

    一.git上传代码到GitHub 1.远程仓库GitHub创建好一个新仓库注意仓库名 2.本地建一个目录写代码,目录名与仓库命名一致 3.在目录下右键 git Bash here 打开git终端命令行 ...

  3. Promise与async/await与Generator

    Promise是什么: Promise是异步微任务(process.nextTick.Promise.then() catch() finally()等),用于解决异步多层嵌套回调的问题(回调地狱-- ...

  4. Git生成ssh keys加密算法ed25519

    1:桌面右击后出现Git push hehe点击进入直接输入以下命令 ①:ssh-keygen -t ed25519 -f my_github_ed25519 -C "xxxxx" ...

  5. 好客租房43-react组件基础综合案例-4获取评论信息

    获取评论信息 1使用受控组件方式创建表单 //导入react import React from 'react' import ReactDOM from 'react-dom' //导入组件 // ...

  6. find-文件搜索

    根据条件搜索文件. 语法 find 目录 [选项] 选项 -name <filename> 按文件目录名查找.文件目录名可使用通配符"*",即表示模糊匹配所有字符. - ...

  7. flask实现python方法转换服务

    一.flask安装 pip install flask 二.flask简介: flask是一个web框架,可以通过提供的装饰器@server.route()将普通函数转换为服务 flask是一个web ...

  8. ACW:831. KMP字符串

    感觉这道题非常有意思,学的过程中觉得及难,学完之后觉得及简单,看y总的视频没有看懂...,因此自己找了一篇博文理解并完成题目. import java.io.*; /** * @author admi ...

  9. vue组件传参的方法--bus事件总线

    定义:事件总线是实现vue任意组件之前传递参数的一种编程技巧,本质上就是组件的自定义事件.事件总线有很多种写法,具体的思路就是创造一个大家都可以访问到的公共的属性,在这个公共的属性上面可以调用$on, ...

  10. keil的重复定义问题:Error: L6200E: Symbol F6x8 multiply defined

    keil的重复定义问题:Error: L6200E: Symbol F6x8 multiply defined 在驱动oled和电容按键都遇到了,所以记录这个错误,以后再遇到也不至于手足无措 Keil ...