Spring Security 安全认证的示例代码

1.1 动态用户

1.1.1 放行资源

  如果我们再配置的时候没有放行登录页等一些不需要登录就可以看到的资源,那么访问的时候就会全部拦截导致访问不到。所以我们要配置放行一些无需登录就可以看到的资源。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
       xmlns:beans="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">

  <!-- 设置页面不登陆也可以访问 -->
  <http pattern="/login.html" security="none"></http>
  <http pattern="/css/**" security="none"></http>
  <http pattern="/js/**" security="none"></http>
  <http pattern="/img/**" security="none"></http>

  <!-- 页面的拦截规则  use-expressions:是否启动 SPEL 表达式 默认是 true -->
  <http use-expressions="false">
    <!-- 当前用户必须有 ROLE_USER 的角色 才可以访问根目录及所属子目录的资源 -->
    <intercept-url pattern="/**" access="ROLE_USER"/>
    <!-- 开启表单登陆功能 -->
    <form-login/>
  </http>

  <!-- 认证管理器 -->
  <authentication-manager>
    <authentication-provider>
      <user-service>
       <!-- 配置静态用户 -->
        <user name="admin" password="123456" authorities="ROLE_USER"/>
      </user-service>
    </authentication-provider>
  </authentication-manager>

</beans:beans>

1.1.2 动态用户

  我们之前配置的都是再配置文件中静态用户,如果用户更改就需要修改配置文件十分的不方便,这个时候我们就需要从数据库中读取用户了。修改时直接修改数据库就行了。

☞ 认证类

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/12
 * @description 认证类
 */
public class UserDetailsServiceImpl implements UserDetailsService {
  public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    // UserDetails 对象
    UserDetails userDetails = null;

    // 构建角色列表
    List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
    grantedAuths.add(new SimpleGrantedAuthority("ROLE_SELLER"));

    // 根据用户名获取用户

    // 判断用户是否存在
    if (Objects.equals("admin", s)) {
      // 构建一个 User 返回,Security 会自动核验密码
      userDetails = new User("admin","123456", grantedAuths);
    }

    return userDetails;

  }
}

☞ 认证管理器

<!-- 认证管理器 -->
<authentication-manager>
  <authentication-provider user-service-ref="userDetailService"></authentication-provider>
</authentication-manager>
<beans:bean id="userDetailService" class="com.software.controller.UserDetailsServiceImpl"></beans:bean>

1.2 加密

1.2.1 BCrypt 加密算法

 用户表的密码通常使用 MD5 等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串加密,然后再使用一个随机的 salt(盐值) 加密。 特定字符串是程序代码中固定的,salt 是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。 BCrypt 算法将 salt 随机并混入最终加密后的密码,验证时也无需单独提供之前的 salt,从而无需单独处理 salt 问题。

☞ 配置加密

<!-- 认证管理器 -->
<authentication-manager>
  <authentication-provider user-service-ref="userDetailService">
    <password-encoder ref="passwordEncoder"></password-encoder>
  </authentication-provider>
</authentication-manager>
<beans:bean id="userDetailService" class="com.software.controller.UserDetailsServiceImpl"></beans:bean>

<!-- 定义 spring security 安全加密算法对象 -->
<beans:bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
</beans:bean>

☞ 加密

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/12
 * @description BCrypt 加密
 */
public class UserDetailsServiceImpl implements UserDetailsService {
  public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    // UserDetails 对象
    UserDetails userDetails = null;

    // 构建角色列表
    List<GrantedAuthority> grantedAuths = new ArrayList<GrantedAuthority>();
    grantedAuths.add(new SimpleGrantedAuthority("ROLE_SELLER"));

    // 根据用户名获取用户

    // 判断用户是否存在
    if (Objects.equals("admin", s)) {
      // 模拟密码已加密
      BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
      String encode = bCryptPasswordEncoder.encode("123456");

      // 构建一个 User 返回,Security 会自动核验密码
      userDetails = new User("admin",encode, grantedAuths);
    }

    return userDetails;

  }
}

1.2.2 自定义加密算法

☞ 自定义加密算法

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/12
 * @description 加密工具类
 */
public class MD5Util {
  private static final String SALT = "Demo_Null";

  public static String encode(String password) {
    password = password + SALT;
    MessageDigest md5 = null;
    try {
      md5 = MessageDigest.getInstance("MD5");
    } catch (Exception e) {
      throw new RuntimeException(e);
    }
    char[] charArray = password.toCharArray();
    byte[] byteArray = new byte[charArray.length];

    for (int i = 0; i < charArray.length; i++)
      byteArray[i] = (byte) charArray[i];
    byte[] md5Bytes = md5.digest(byteArray);
    StringBuffer hexValue = new StringBuffer();
    for (int i = 0; i < md5Bytes.length; i++) {
      int val = ((int) md5Bytes[i]) & 0xff;
      if (val < 16) {
        hexValue.append("0");
      }
      hexValue.append(Integer.toHexString(val));
    }
    return hexValue.toString();
  }
}

☞ 自定义加密

/**
 * Created with IntelliJ IDEA.
 *
 * @author Demo_Null
 * @date 2020/10/12
 * @description 自定义加密算法
 */
public class MyPasswordEncoder implements PasswordEncoder {
  @Override
  public String encode(CharSequence charSequence) {
    return MD5Util.encode((String)charSequence);
  }

  @Override
  public boolean matches(CharSequence charSequence, String s) {
    return s.equals(MD5Util.encode((String)charSequence));
  }
}

☞ 修改安全加密算法对象

  <!-- 认证管理器 -->
  <authentication-manager>
    <authentication-provider user-service-ref="userDetailService">
      <password-encoder ref="passwordEncoder"></password-encoder>
    </authentication-provider>
  </authentication-manager>
  <beans:bean id="userDetailService" class="com.software.controller.UserDetailsServiceImpl"></beans:bean>

  <!-- 定义 spring security 安全加密算法对象 -->
  <beans:bean id="passwordEncoder" class="com.software.controller.MyPasswordEncoder"></beans:bean>

到此这篇关于Spring Security 安全认证的示例代码的文章就介绍到这了,更多相关Spring Security 安全认证内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

时间: 2020-10-16

SpringBoot安全认证Security的实现方法

一.基本环境搭建 父pom依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.0.3.RELEASE</version> </parent> 1. 添加pom依赖: <dependency> <groupId&

使用spring-boot-admin对spring-boot服务进行监控的实现方法

spring-boot-admin,简称SBA,是一个针对spring-boot的actuator接口进行UI美化封装的监控工具.他可以:在列表中浏览所有被监控spring-boot项目的基本信息,详细的Health信息.内存信息.JVM信息.垃圾回收信息.各种配置信息(比如数据源.缓存列表和命中率)等,还可以直接修改logger的level. 官网:https://github.com/codecentric/spring-boot-admin 使用指南:http://codecentric.

Spring-boot结合Shrio实现JWT的方法

本文介绍了Spring-boot结合Shrio实现JWT的方法,分享给大家,具体如下: 关于验证大致分为两个方面: 用户登录时的验证: 用户登录后每次访问时的权限认证 主要解决方法:使用自定义的Shiro Filter 项目搭建: 这是一个spring-boot 的web项目,不了解spring-boot的项目搭建,请google. pom.mx引入相关jar包 <!-- shiro 权限管理 --> <dependency> <groupId>org.apache.s

springboot快速整合Mybatis组件的方法(推荐)

Spring Boot简介 Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程.该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置.通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者. 原有Spring优缺点分析 Spring的优点分析 Spring是Java企业版(Java Enterprise Edition,

SpringBoot实现短信验证码校验方法思路详解

有关阿里云通信短信服务验证码的发送,请参考我的另一篇文章   Springboot实现阿里云通信短信服务有关短信验证码的发送功能 思路 用户输入手机号后,点击按钮获取验证码.并设置冷却时间,防止用户频繁点击. 后台生成验证码并发送到用户手机上,根据验证码.时间及一串自定义秘钥生成MD5值,并将时间也传回到前端. 用户输入验证码后,将验证码和时间传到后台.后台先用当前时间减去前台传过来的时间验证是否超时.如果没有超时,就用用户输入的验证码 + 时间 + 自定义秘钥生成MD5值与之前的MD5值比较,

Springboot中集成Swagger2框架的方法

摘要:在项目开发中,往往期望做到前后端分离,也就是后端开发人员往往需要输出大量的服务接口,接口的提供方无论是是Java还是PHP等语言,往往会要花费一定的精力去写接口文档,比如A接口的地址.需要传递参数情况.返回值的JSON数据格式以及每一个字段说明.当然还要考虑HTTP请求头.请求内容等信息.随着项目的进度快速高速的迭代,后端输出的接口往往会面临修改.修复等问题,那也意味着接口文档也要进行相应的调整.接口文档的维护度以及可读性就大大下降. 既然接口文档需要花费精力去维护,还要适当的进行面对面交

SpringBoot使用Redis缓存的实现方法

(1)pom.xml引入jar包,如下: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency> (2)修改项目启动类,增加注解@EnableCaching,开启缓存功能,如下: package springboot; import org

SpringBoot项目中使用AOP的方法

本文介绍了SpringBoot项目中使用AOP的方法,分享给大家,具体如下: 1.概述 将通用的逻辑用AOP技术实现可以极大的简化程序的编写,例如验签.鉴权等.Spring的声明式事务也是通过AOP技术实现的. 具体的代码参照 示例项目 https://github.com/qihaiyan/springcamp/tree/master/spring-aop Spring的AOP技术主要有4个核心概念: Pointcut: 切点,用于定义哪个方法会被拦截,例如 execution(* cn.sp

SpringBoot多配置切换的配置方法

1. 切换需求 有时候在本地测试是使用8080端口,可是上线使用的又是80端口. 此时就可以通过多配置文件实现多配置支持与灵活切换 2.多配置文件 3个配置文件: 核心配置文件:application.properties 开发环境用的配置文件:application-dev.properties 生产环境用的配置文件:application-pro.properties 这样就可以通过application.properties里的spring.profiles.active 灵活地来切换使用

SpringBoot 部署到服务器上的方法

如下所示: 1.你先打出一个 jar包 2.然后上传到服务器上 3.找到jdk 所在位置(后面的&号,是可以后台执行的命令哟):~/local/jdk1.8.0_92/bin/java -jar demo1-0.0.1-SNAPSHOT.jar & 4.查看端口是否在用:netstat -nlp | grep 你的端口号 以上这篇SpringBoot 部署到服务器上的方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们. 您可能感兴趣的文章: 详解Spring