springboot整合springsecurity遇到的问题
在整合springsecurity时遇到好几个问题,自动配置登录,下线,注销用户的操作,数据基于mybatis,模版引擎用的thymeleaf+bootstrap。
一、认证时密码的加密(passwordEncoder)原理如下
- 其中 MD5Util是自定义密码加密工具类,随便写(注意添加盐值),注意点:理解匹配密码这个过程
//认证
@Override
protected void configure(AuthenticationManagerBuilder auth)
throws Exception {
auth.userDetailsService(userDetailsService()).passwordEncoder(new PasswordEncoder() {
@Override
public boolean matches(CharSequence rawPassword, String encodedPassword) {
//匹配 =================将用户表单登录的密码和encodedPasswor(这个值是从MyUserDetailService那边封装过来的))对比=================
return encodedPassword.equals(encode(rawPassword));
}
@Override
public String encode(CharSequence rawPassword) {
return MD5Util.encode((String) rawPassword);
}
}); }
- MyUserDetailService是一个实现了UserDetailsService(springsecurity本身的接口)的方法,在这里面实现认证的数据查询及其登录用户权限查询封装。
- 注意点:理解权限的赋予,即当前用户在这里就已经将所有的角色封装到springsecurity本身的User中了,但是在这里并没有认证成功,单纯的进行封装而已
@Service
public class MyUserDetailService implements UserDetailsService { @Autowired
UserService userService;
@Autowired
private SessionRegistry sessionRegistry; @Override
public UserDetails loadUserByUsername(String username) { if (username==null || username.equals("")) {
throw new UsernameNotFoundException("用户名不存在");
} Sys_User user=userService.getUserByName(username); //获得所有登录用户的信息
List<Object> list =sessionRegistry.getAllPrincipals();
for (Object object : list) {
if (((User)object).getUsername().equals(user.getUsername())) {
throw new SessionAuthenticationException("当前用户已经在线,登录失败");
}
System.out.println("getAllPrincipals的遍历"+((User)object).getUsername());
} //得到当前登录用户的信息
List<SimpleGrantedAuthority> authorities = new ArrayList<>(); for (Role role : user.getRoles()) {
//将得到的角色封装 在后面页面认证成功后会用到
authorities.add(new SimpleGrantedAuthority(role.getRolename()));
System.out.println("拥有的角色:"+role.getRolename());
}
return new User(user.getUsername(), user.getPassword(), authorities);
} }
二、授权时session的管理的配置(configure(HttpSecurity http)中)
- 这个可以说是核心了,首先开启自动配置的注销功能(重点在开启否则默认的是自带的注销页面),LogoutUrl:自定义的登出URL,登出成功后的页面也可以自定义,这里就都不写了,在controller层实现自己定义的
//开启自动配置的注销功能。
http.logout().permitAll();//logoutUrl("/logout").logoutSuccessUrl("/");//表示注销成功以后来到首页
http //session管理
.sessionManagement()
.maximumSessions(1).maxSessionsPreventsLogin(true)
.sessionRegistry(getSessionRegistry());
- http.sessionManagement().invalidSessionUrl("/login") 使用未过期但完全无效的sessionid用户发送请求,也会被重定向至特定url
http.sessionManagement().maximumSessions(1).maxSessionsPreventsLogin(true)
- MaximumLogins必须是-1以允许无限制的登录,或者是一个正整数来指定最大值
- .maximumSessions(1)设置一个用户允许登录的个数 maxSessionsPreventsLogin 启用超出报错。
在实测后发现设定上限后 最大登录次数为设定数目 +1 比如设定数2 则最大访问数目为3 第四次开始报错
由此 如果我们用这个配置去指定用户单登录是不行的 http.sessionManagement().sessionFixation().migrateSession()spring security防止篡改session
三、自定义注销,下线的实现(重点)
- 第一种实现单纯的进行了下线,暂时将session置为无效,并未去掉(看源码部分)
if (invalidateHttpSession) {//部分源码
HttpSession session = request.getSession(false);
if (session != null) {
logger.debug("Invalidating session: " + session.getId());
session.invalidate();
}
}
@RequestMapping("/logout")
public String logout(HttpServletRequest request,HttpServletResponse response){
/**
* 第一种方式 单纯的离线 并未注销用户 即sessionID还在
*
*/ //获得注销用户的信息
Authentication auth=SecurityContextHolder.getContext().getAuthentication();
if (auth != null){
//设置为离线状态
new SecurityContextLogoutHandler().logout(request, response, auth);
}
return "redirect:/login"; }
- 第二种彻底将sessionid从sessionRegistry中移除,实现用户注销
@RequestMapping("/logout")
public String logout2() { /**
* 第二种 将获取到登录用户信息后将该用户sessionID置为无效 然后再从sessionRegistry中移除
* 这种方式可以彻底注销用户登录状态
*/ List<Object> pList=sessionRegistry.getAllPrincipals();
List<SessionInformation> sessionsInfo = null;
for (Object principle : pList) {
sessionsInfo=sessionRegistry.getAllSessions(principle, false);
}
System.out.println("sesssion个数"+sessionsInfo.size());
for (SessionInformation sessionInformation : sessionsInfo) {
//获取当前sessionid
System.out.println("SESSIONID:"+sessionInformation.getSessionId());
sessionInformation.expireNow();//将session置为无效然后在下一步移除
sessionRegistry.removeSessionInformation(sessionInformation.getSessionId());
}
return "redirect:/login";
}
springboot整合springsecurity遇到的问题的更多相关文章
- boke练习: springboot整合springSecurity出现的问题,传递csrf
boke练习: springboot整合springSecurity出现的问题,传递csrf freemarker模板 在html页面中加入: <input name="_csrf&q ...
- SpringBoot整合SpringSecurity简单实现登入登出从零搭建
技术栈 : SpringBoot + SpringSecurity + jpa + freemark ,完整项目地址 : https://github.com/EalenXie/spring-secu ...
- SpringBoot整合SpringSecurity示例实现前后分离权限注解
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证 作者:Sans_ juejin.im/post/5da82f066fb9a04e2a73daec 一.说 ...
- 9、SpringBoot整合之SpringBoot整合SpringSecurity
SpringBoot整合SpringSecurity 一.创建项目,选择依赖 选择Spring Web.Thymeleaf即可 二.在pom文件中导入相关依赖 <!-- 导入SpringSecu ...
- boke练习: springboot整合springSecurity出现的问题,post,delete,put无法使用
springboot 与 SpringSecurity整合后,为了防御csrf攻击,只有GET|OPTIONS|HEAD|TRACE|CONNECTION可以通过. 其他方法请求时,需要有token ...
- SpringBoot整合SpringSecurity实现JWT认证
目录 前言 目录 1.创建SpringBoot工程 2.导入SpringSecurity与JWT的相关依赖 3.定义SpringSecurity需要的基础处理类 4. 构建JWT token工具类 5 ...
- SpringBoot 整合 SpringSecurity 梳理
文档 Spring Security Reference SpringBoot+SpringSecurity+jwt整合及初体验 JSON Web Token 入门教程 - 阮一峰 JWT 官网 Sp ...
- SpringBoot整合SpringSecurity简单案例
在我们开发项目的过程中经常会用到一些权限管理框架,Java领域里边经常用的可能就是shiro了,与之对应的还有SpringSecurity,SpringSecurity可以说是非常强大,与Spring ...
- SpringBoot整合SpringSecurity,SESSION 并发管理,同账号只允许登录一次
重写了UsernamePasswordAuthenticationFilter,里面继承AbstractAuthenticationProcessingFilter,这个类里面的session认证策略 ...
随机推荐
- 如何创建etcd双向通信证书
# 安装证书生成软件 wget https://pkg.cfssl.org/R1.2/cfssl_linux-amd64 -O /usr/bin/cfssl wget https://pkg.cfss ...
- PB笔记之数据窗口大小自适应的方式
1.在OPEN 事件中设置数据窗口大小属性 tab_1.tabpage_6.dw_6.x=0tab_1.tabpage_6.dw_6.y=0tab_1.tabpage_6.dw_6.width=thi ...
- Kafka 的这些原理你知道吗
如果只是为了开发 Kafka 应用程序,或者只是在生产环境使用 Kafka,那么了解 Kafka 的内部工作原理不是必须的.不过,了解 Kafka 的内部工作原理有助于理解 Kafka 的行为,也利用 ...
- java常用配置文件头部声明
spring: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http: ...
- 数据结构之链表(LinkedList)(一)
链表(Linked List)介绍 链表是有序的列表,但是它在内存中是存储如下 1)链表是以节点方式存储的,是链式存储 2)每个节点包含data域(value),next域,指向下一个节点 3)各个节 ...
- 关于Vue中,使用watch同时监听两个值的实现方法
1. 先在computed中,用需要监听的两个值(start.end)定义一个对象(dateRange) computed: { dateRange () { const { start, end } ...
- nginx 作为静态资源web服务
Nginx作为静态资源web服务 静态资源web服务-CDN场景 Nginx资源存储中心会把静态资源分发给“北京Nginx”,“湖南Nginx”,“山东Nginx”. 然后北京User发送静态资源请求 ...
- DataGrip像navicat一样导入导出表数据,不是导出导入insert和update这种
用的是mysql,其他也一样 首先是导出: 然后: 然后就可以导出了,导出去别的工具能不能拿来导入不知道... 然后是导入: 然后:
- 【nodejs代理服务器四】代理服务器增加频繁访问的ip加入黑名单
问题 渗透者在扫站的时候会频繁请求,我们可以做一些策略来封堵这些频繁访问的ip,把ip加入黑名单. 策略 2秒之内访问次数超过100,加入黑名单. 实现思路 初次访问把访问Ip作为键,访问ip,时间, ...
- Mycat学习-单独启动mycat
Mycat下载地址:http://mycat.io/ Mycat安装:解压缩即可. Mycat作为一个中间件,实现mysql协议,是可以不依赖数据库单独运行的. 对前端应用连接来说就是一个数据库, ...