Springsecurity

Posted 马杏争1994

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Springsecurity相关的知识,希望对你有一定的参考价值。

maven  导 security包

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

配置  注解

@Configuration
//@EnableWebSecurity   有配置时就不需要了
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    
  @Bean 密码
public PasswordEncoder getPasswordEncoder() { return new BCryptPasswordEncoder(); } @Autowired private DataSource datasource; @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() // 表单登陆 .loginPage("/login") // 登陆页面 .defaultSuccessUrl("/index") .failureUrl("/login?error") .permitAll() // 放行 .and() .rememberMe() .tokenValiditySeconds(1209600) .key("mykey") .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/logout-success") .permitAll() .and().authorizeRequests() // 权限管理 .antMatchers("/login").permitAll() .antMatchers("/admin/**").hasRole("ROLE_ADMIN") .antMatchers("/user/**").hasRole("ROLE_USER") .anyRequest().authenticated(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth .userDetailsService(userService); // 从内存中获取用户名 //.inMemoryAuthentication().withUser("mxz").password("mxz").roles("admin") //.and().and() // 从数据库中获取用户 角色 //.jdbcAuthentication().dataSource(datasource) // .usersByUsernameQuery("select user_name,password from users where user_name = ?"); }

实体类实现 userDetail

服务类 实现  UserDetailService

 记住登陆状态

.rememberMe().tokenValiditySeconds(1209600).tokenRepository(tokenRepository()).key("mykey")



@Bean
private PersistentTokenRepository tokenRepository() {
JdbcTokenRepositoryImpl jtr = new JdbcTokenRepositoryImpl();
jtr.setDataSource(dataSource);
return jtr;
}

 

JdbcTokenRepositoryImpl  中有贱表语句

  

public static final String CREATE_TABLE_SQL = "create table persistent_logins (username varchar(64) not null, series varchar(64) primary key, "
+ "token varchar(64) not null, last_used timestamp not null)";

角色管理 

1.权限管理过滤器继承于AbstractSecurityInterceptor   实时监控用户的行为,防止用户访问被授权的资源。

2.权限配置资源 管理器   判断用户访问的资源是否在受保护的范围之内

3.权限决断器 实现了AccessDecisionManager 重载decide函数  在访问资源时,决断器判断用户拥有的角色是否对资源拥有访问权限。

 注册为bean

 

整体架构图

AuthenticationManager  就是拦截的校验管理器 

  内部含有一系列校验方式,手机登陆,账号密码登陆,又向登陆等

AuthenticationProvider   校验处理

UserDetailService  从数据库拿数据来校验

 

以上是关于Springsecurity的主要内容,如果未能解决你的问题,请参考以下文章

SpringSecurity---认证+授权代码实现

springsecurity前端代码

SpringSecurity如何在代码中获取认证用户信息

spring security 匿名访问安全吗

SpringSecurity安全框架

SpringSecurity入门