1.1 自定義登錄頁(yè)面:
成都創(chuàng)新互聯(lián)公司提供成都網(wǎng)站設(shè)計(jì)��、成都做網(wǎng)站�����、外貿(mào)網(wǎng)站建設(shè)���、網(wǎng)頁(yè)設(shè)計(jì),高端網(wǎng)站設(shè)計(jì)�,一元廣告等致力于企業(yè)網(wǎng)站建設(shè)與公司網(wǎng)站制作���,十多年的網(wǎng)站開(kāi)發(fā)和建站經(jīng)驗(yàn),助力企業(yè)信息化建設(shè),成功案例突破上1000+,是您實(shí)現(xiàn)網(wǎng)站建設(shè)的好選擇.
創(chuàng)建登錄頁(yè)面�����,結(jié)構(gòu)如下:
在WEBCONFIG.java中配置認(rèn)證頁(yè)面地址
//默認(rèn)Url根路徑跳轉(zhuǎn)到/login����,此url為spring security提供
@Configuration
public classWebConfigimplementsWebMvcConfigurer {
@Override
public voidaddViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("redirect:/login-view");
registry.addViewController("/login-view").setViewName("login");
}
}
安全配置:
在WebSecurityConfig中配置表單登錄信息:
http
.authorizeRequests()
.antMatchers("/r/**").authenticated()
.anyRequest().permitAll()
.and()
.formLogin()
.loginPage("/login-view")
.loginProcessingUrl("/login")
.successForwardUrl("/login-success")
.permitAll();
(1) 允許表單登錄
(2) 指定自己的登錄頁(yè)以重定向方式跳轉(zhuǎn)到/login-view
(3) 指定登錄處理的url也就是填寫(xiě)用戶(hù)名密碼以后提交到的地址
(4) 指定登錄成功后跳轉(zhuǎn)到的URL
(5) 允許所有用戶(hù)登錄以后訪問(wèn)所有URL
測(cè)試:
輸入用戶(hù)名密碼點(diǎn)擊登錄報(bào)403錯(cuò)
問(wèn)題解決:
Spring security為防止CSRF(跨站請(qǐng)求偽造)的發(fā)生,限制除了get以外的大多數(shù)方法。
屏蔽CSRF控制,即spring security不再限制CSRF
配置WebSecurityConfig
protected voidconfigure(HttpSecurity http)throwsException {
http.csrf().disable();
…
}
連接數(shù)據(jù)庫(kù)
前面的例子我們是將用戶(hù)的信息保存在內(nèi)存中�,實(shí)際項(xiàng)目中往往是從數(shù)據(jù)庫(kù)中讀取用戶(hù)的信息進(jìn)行驗(yàn)證����,下面看看如何使用數(shù)據(jù)庫(kù)中的用戶(hù)信息進(jìn)行登錄,根據(jù)前面的研究我們知道只需要重新定義UserDetailService即可實(shí)現(xiàn)根據(jù)用戶(hù)賬號(hào)查詢(xún)數(shù)據(jù)庫(kù)����。
1. 創(chuàng)建數(shù)據(jù)庫(kù)
創(chuàng)建user_db數(shù)據(jù)庫(kù)
CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';
2.創(chuàng)建t_user表
CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶(hù)id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶(hù)姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機(jī)號(hào)',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC
3.定義dataSource在application.properties配置
spring.datasource.url=jdbc:MySQL://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
4.添加依賴(lài)
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-testartifactId>
<scope>testscope>
dependency>
<dependency>
<groupId>org.springframework.bootgroupId>
<artifactId>spring-boot-starter-jdbcartifactId>
dependency>
<dependency>
<groupId>mysqlgroupId>
<artifactId>mysql-connector-javaartifactId>
<version>5.1.47version>
dependency>
5.定義實(shí)體類(lèi)
@Data
public classUserDto {
privateStringid;
privateStringusername;
privateStringpassword;
privateStringfullname;
privateStringmobile;
}
6.定義數(shù)據(jù)訪問(wèn)類(lèi)
@Repository
public classUserDao {
@Autowired
JdbcTemplatejdbcTemplate;
publicUserDto getUserByUsername(String username){
String sql ="select id,username,password,fullname from t_user where username = ?";
List list =jdbcTemplate.query(sql,newObject[]{username},new
BeanPropertyRowMapper<>(UserDto.class));
if(list ==null&& list.size() <=0){
return null;
}
returnlist.get(0);
}
}
7.定義UserDetailService
在service包下定義SpringDataUserDetailsService實(shí)現(xiàn)UserDetailService接口
@Service
public classSpringDataUserDetailsServiceimplementsUserDetailsService {
@Autowired
UserDaouserDao;
@Override
publicUserDetails loadUserByUsername(String username)throwsUsernameNotFoundException {
//登錄賬號(hào)
System.out.println("username="+username);
//根據(jù)賬號(hào)去數(shù)據(jù)庫(kù)查詢(xún)...
UserDto user =userDao.getUserByUsername(username);
if(user ==null){
return null;
}
//這里暫時(shí)使用靜態(tài)數(shù)據(jù)
UserDetails userDetails =
User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
returnuserDetails;
}
}
8.測(cè)試
9. 使用BcryptPasswordEncoder
在安全配置類(lèi)中定義BcryptPasswordEncoder
@Bean
publicPasswordEncoder passwordEncoder() {
return newBCryptPasswordEncoder();
}
UserDetails中的密碼存儲(chǔ)BCrypt格式
前邊實(shí)現(xiàn)了從數(shù)據(jù)庫(kù)查詢(xún)用戶(hù)信息,所以數(shù)據(jù)庫(kù)中的密碼應(yīng)該存儲(chǔ)BCrypt格式
10.修改LoginController獲取用戶(hù)身份信息
@RestController
public classLoginController {
/**
*用戶(hù)登錄成功
* @return
*/
@RequestMapping(value ="/login‐success",produces = {"text/plain;charset=UTF‐8"})
publicString loginSuccess() {
String username = getUsername();
returnusername +"登錄成功";
}
/**
*獲取當(dāng)前登錄用戶(hù)名
* @return
*/
privateString getUsername(){
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if(!authentication.isAuthenticated()){
return null;
}
Object principal = authentication.getPrincipal();
String username =null;
if(principalinstanceoforg.springframework.security.core.userdetails.UserDetails) {
username =
((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
}else{
username = principal.toString();
}
returnusername;
}
@GetMapping(value ="/r/r1",produces = {"text/plain;charset=UTF‐8"})
publicString r1(){
String username = getUsername();
returnusername +"訪問(wèn)資源1";
}
@GetMapping(value ="/r/r2",produces = {"text/plain;charset=UTF‐8"})
publicString r2(){
String username = getUsername();
returnusername +"訪問(wèn)資源2";
}
}
11.測(cè)試
12.會(huì)話(huà)控制:
我們可以通過(guò)以下選項(xiàng)控制會(huì)話(huà)何時(shí)創(chuàng)建
Always 如果沒(méi)有session存在就創(chuàng)建一個(gè)
ifRequired 如果需要就創(chuàng)建一個(gè)session登錄時(shí)
never: Spring Security將不會(huì)創(chuàng)建session,但是如果應(yīng)用中其它地方創(chuàng)建了session,那么spring security將會(huì)使用它
stateless:Spring Security將不會(huì)創(chuàng)建Session也不會(huì)使用Session
通過(guò)以下方式對(duì)該選項(xiàng)進(jìn)行配置:
在WebSecurityConfig.java中加上:
protected voidconfigure(HttpSecurity http)throwsException {
http.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
…
}
默認(rèn)情況下Spring Security會(huì)為每一個(gè)登錄成功的用戶(hù)創(chuàng)建一個(gè)Session,就是IF_REQUIRED
若選用never則指示Spring Security對(duì)登錄成功的用戶(hù)不創(chuàng)建Session了����,但若你的應(yīng)用程序在某地方新建了Session,那么Spring Security會(huì)用它的。
若使用stateless,則Spring Security對(duì)登錄成功的用戶(hù)不會(huì)創(chuàng)建Session,你的應(yīng)用程序也不會(huì)創(chuàng)建Session,每個(gè)請(qǐng)求都需要重新進(jìn)行身份驗(yàn)證�����,這種無(wú)狀態(tài)架構(gòu)適用于Rest API及其無(wú)狀態(tài)認(rèn)證機(jī)制。
會(huì)話(huà)超時(shí):
可以設(shè)置Session超時(shí)時(shí)間,比如設(shè)置Session有效期為 3600秒:
在Spring Security配置文件中:
server.servlet.session.timeout=3600s
安全會(huì)話(huà)cookie
httpOnly:如果為true那么瀏覽器腳本無(wú)法訪問(wèn)cookie
secure:如果為true則cookie將僅通過(guò)Https連接發(fā)送
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true
13.退出
Spring Security默認(rèn)幫我們實(shí)現(xiàn)了退出功能,訪問(wèn)/logout就可以實(shí)現(xiàn)退出
自定義退出成功頁(yè)面:
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");
當(dāng)執(zhí)行退出時(shí)將會(huì)完成以下動(dòng)作:
1. session失效
2. 清除SecurityContextHolder
3. 跳轉(zhuǎn)到/login-view?logout
如果想進(jìn)一步配置退出功能可以如下配置:
.logout() (1)
.logoutUrl("/logout") (2)
.logoutSuccessUrl("/login‐view?logout") (3)
.logoutSuccessHandler(logoutSuccessHandler) (4)
.addLogoutHandler(logoutHandler) (5)
.invalidateHttpSession(true); (6)
(1) 提供系統(tǒng)退出支持
(2) 設(shè)置觸發(fā)退出操作的url,默認(rèn)是/logout
(3) 退出之后跳轉(zhuǎn)的url,默認(rèn)是/login?logout
(4) 定制的LogoutSuccessHandler,用于實(shí)現(xiàn)用戶(hù)退出成功時(shí)的處理�,如果指定了這個(gè)選項(xiàng)則logoutSuccessUrl()的設(shè)置會(huì)被忽略
(5) 添加一個(gè)logoutHandler,用于實(shí)現(xiàn)用戶(hù)退出時(shí)的清理工作,
(6) 指定在用戶(hù)退出時(shí)是否讓HttpSession無(wú)效���,默認(rèn)為true
注意:如果讓logout在Get請(qǐng)求下生效,必須關(guān)閉防止csrf***的csrf().disable().如果開(kāi)啟了CSRF,必須使用post方式請(qǐng)求/logout
本文題目:springsecurity使用方法
網(wǎng)頁(yè)網(wǎng)址:
http://weahome.cn/article/ghcogh.html
重慶分公司
重慶分公司
