SpringSecurity安全框架的配置类+处理器+service

最新推荐文章于 2025-06-14 00:04:45 发布
最新推荐文章于 2025-06-14 00:04:45 发布
阅读量1.1k 收藏
点赞数 1
CC 4.0 BY-SA版权
分类专栏: SpringSecurity安全框架 java 文章标签: 安全 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65041486/article/details/126181623
本文介绍了如何在SpringBoot应用中使用Spring Security进行权限管理,包括配置类的设置,自定义登录成功和失败处理器,以及异常访问处理器。通过WebSecurityConfigurerAdapter配置HTTP安全,实现所有请求必须认证后才能访问,并利用BCryptPasswordEncoder进行密码加密。同时,文章展示了如何处理AccessDeniedException,返回JSON格式的错误信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

适用于前后端分离的SpringSecurity框架

配置类:

package com.example.demo3.config;

import com.example.demo3.config.Handler.RestAuthorizationAccessDeniedHandler;
import com.example.demo3.service.impl.MyUserDetailsServiceImpl;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;


/**
 * @author 无敌暴龙神
 * 注解表示开启安全框架,开始过滤所有的url;同时标志这个类是一个配置类
 */
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 自己定义的处理器;;;可能是错的,因为我忘了这个是干啥的
     */
    private RestAuthorizationAccessDeniedHandler accessDeniedHandler;

    /**
     * 将自定义的登录成功处理器注入进来
     */
    @Autowired
    private AuthenticationSuccessHandler authenticationSuccessHandler;

    /**
     * 将自定义的登录失败处理器注入进来
     */
    @Autowired
    private AuthenticationFailureHandler authenticationFailureHandler;

    /**
     * 配置http请求验证等
     *
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        // 给一个异常处理器,走我们自定义的拒绝访问处理器
        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler);
        //给定处理器;登录成功的处理器和登录失败的处理器
        http.formLogin().
                successHandler(authenticationSuccessHandler).
                failureHandler(authenticationFailureHandler);
        // 所有的请求都需要登录才能进行
        http.authorizeRequests()
                .anyRequest().authenticated();
    }

    /**
     * 创建密码加密器
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

异常处理器:

package com.example.demo3.config.Handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import jdk.nashorn.internal.ir.Assignment;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

/**
 * @author 无敌暴龙神
 * 处理器
 */
@Configuration
public class RestAuthorizationAccessDeniedHandler implements AccessDeniedHandler {
    /**
     *
     * @param request
     * @param response
     * @param e
     * @throws IOException
     * @throws ServletException
     */
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException {
        // 设置数据类型
        response.setContentType("application/json;charset=utf-8");
        // 封装数据
        Map<String, Object> data = new HashMap<>(4);
        //
        data.put("code", "403");
        data.put("msg", "您没有访问权限");
        // 拿到响应流
        PrintWriter writer = response.getWriter();
        // 创建类型转换器
        ObjectMapper objectMapper = new ObjectMapper();
        String s = objectMapper.writeValueAsString(data);
        // 将数据写出去
        writer.write(s);
        writer.flush();
        writer.close();
    }
}

登录成功的处理器

package com.example.demo3.config.Handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

/**
 * 登录成功的处理器
 */
@Configuration
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException {
        //设置返回数据格式
        response.setContentType("application/json;charset=utf-8");
        //获取输出流
        PrintWriter pw = response.getWriter();
        //定义集合
        Map<String, Object> map = new HashMap<>();
        //给集合添加参数
        map.put("code", 200);
        // 将用户信息放进去
        map.put("msg", authentication.getPrincipal());
        //把map写到前端
        pw.write(new ObjectMapper().writeValueAsString(map));
        pw.flush();
        pw.close();
    }
}

登录失败的处理器

package com.example.demo3.config.Handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.*;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;
import java.util.HashMap;
import java.util.Map;

@Configuration
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        //设置返回的数据格式
        response.setContentType("application/json;charset=utf-8");
        //获取数据流
        PrintWriter pw = response.getWriter();
        Map<String, Object> map = new HashMap<>();
        map.put("code", 401);
        //根据异常返回不同的msg
        if (exception instanceof LockedException) {
            map.put("msg", "账户被锁定,登陆失败!");
        } else if (exception instanceof BadCredentialsException) {
            map.put("msg", "账户或者密码错误,登陆失败!");
        } else if (exception instanceof DisabledException) {
            map.put("msg", "账户被禁用,登陆失败!");
        } else if (exception instanceof AccountExpiredException) {
            map.put("msg", "账户已过期,登陆失败!");
        } else if (exception instanceof CredentialsExpiredException) {
            map.put("msg", "密码已过期,登陆失败!");
        } else {
            map.put("msg", "登陆失败!");
        }
        pw.write(new ObjectMapper().writeValueAsString(map));
        pw.flush();
        pw.close();
    }
}

service层

package com.example.demo3.service.impl;

import com.example.demo3.mapper.SysUserMapper;
import com.example.demo3.pojo.SysUser;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.util.Assert;

import java.util.List;

/**
 * @author 无敌暴龙神
 * 实现UserDetailsService接口
 */
@Service
public class MyUserDetailsServiceImpl implements UserDetailsService {


    /**
     * 注入mapper层的接口,在数据库中去查询对应的用户信息
     */
    @Autowired
    private SysUserMapper sysUserMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //判断用户名是否为空
        if (s==null){
            return null;
        }
        //根据用户名去sql表中查询用户
        SysUser sysUser=sysUserMapper.findUserByUserName(s);
        //判断是否存在该用户
        if (sysUser==null){
            return null;
        }
        //根据用户的id去查询对应的权限合集
        List<String> auths=sysUserMapper.findAuthByUserId(sysUser.getUserid());
        //将查询得到的权限合集注入到实体类
        sysUser.setAuths(auths);
        //返回实体类
        return sysUser;
    }
}

实体类

package com.example.demo3.pojo;

import java.io.Serializable;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

/**
 * @author 无敌暴龙神
 * 实现UserDetails接口,这样service层重写的方法可以直接返回该实体类
 */
@Data
@AllArgsConstructor
@NoArgsConstructor
public class SysUser implements Serializable, UserDetails {
    private Integer userid;

    private String username;

    private String userpwd;

    private String sex;

    private String address;

    /**
    * 用户状态字段(1:正常 0:禁用)
    */
    private Integer status;

    private static final long serialVersionUID = 1L;

    /**
     * 权限合集,由外部service层注入
     */
    private List<String> auths=null;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        //创建GrantedAuthority的list集合
        List<GrantedAuthority> list=new ArrayList<>();
        //循环查询得到的权限合集,将权限合集存入该list结合
        this.auths.forEach(auth->{
            list.add(new SimpleGrantedAuthority(auth));
        });
        return list;
    }

    /**
     *
     * @return 返回查询的用户名;这个方法与本实体类的get属性的方法方法名一致,会被idea默认覆盖
     * 需要手动添加该getUsername放
     */
    @Override
    public String getUsername() {
        return this.username;
    }

    /**
     *
     * @return 返回用用户名查询到的密码,返回
     */
    @Override
    public String getPassword() {
        return this.userpwd;
    }

    /**
     * 判断用户状态====过期
     * @return
     */
    @Override
    public boolean isAccountNonExpired() {
        return this.status==1;
    }

    /**
     * 判断用户状态====锁定
     * @return
     */
    @Override
    public boolean isAccountNonLocked() {
        return this.status==1;
    }

    /**
     * 判断用户状态====凭证过期
     * @return
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return this.status==1;
    }

    /**
     * 判断用户状态====禁用
     * @return
     */
    @Override
    public boolean isEnabled() {
        return this.status==1;
    }
}

测试后发现,当我service层实现了

UserDetailsService接口后,重写了loadUserByUsername方法;

框架会默认直接去访问自己写的servic层去获取用户住处;而不是去内存中获取用户住处

【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 6704
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
Spring Security 注解方式权限控制
qq_65142821的博客
01-29 2039
Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类 中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就 可以使用Spring Security框架提供的注解方式进行控制。
SpringSecurity框架
Mr_Jin的博客
06-20 5488
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
Spring Security 中的 `UserDetailsService` 深度解析
最新发布
csdn_tom_168的博客
06-14 934
UserDetailsServiceSpring Security认证流程的核心接口,负责加载用户信息。它通过loadUserByUsername方法从数据库、内存等数据源查询用户详情,包括密码和权限。开发者可通过自定义实现对接不同存储,或使用InMemoryUserDetailsManager等内置类。使用时需结合PasswordEncoder确保密码安全,并注意异常处理、性能优化等最佳实践。该接口与安全配置协同工作,构建了完整的认证链条,是Spring Security权限控制的基础组件。
基于java config的springSecurity(四)--启用全局方法安全
热门推荐
xiejx618的专栏
01-15 2万+
参考资料:http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle 前面实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制. 1.使用@EnableGlobalMethodSecurity注解
SpringSecurity安全框架配置类+service
m0_65041486的博客
08-05 330
SpringSecurity安全框架配置类====配置类+service+实体类+controller。
实战项目 在线学院之集成springsecurity的配置以及执行流程
健康平安的活着的专栏
09-01 1008
1.Spring Security的核心配置就是继承WebSecurityConfigurerAdapter并注解@EnableWebSecurity的配置。定义userDetailServiceImpl 查询用户信息的实现类。用户名密码的处理方式、请求路径的开合、登录登出控制等和安全相关。2.配置一些放行的请求。2.token加密工具。
SpringSecurity+jwt安全框架
小小志愿者的博客
03-06 5406
1、环境搭建 1.1maven项目 1.2导入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.0</version> </parent> <de
spring |Spring Security安全框架 —— 认证流程实现
鳄鱼杆的博客
10-13 941
介绍的话不多说,就一句:Spring Security 是一个安全管理框架。一般用于中大型项目。小项目使用shiro,shiro上手简单。小项目练手用也是相当可以的。好吧!这是三句话,没跑。SpringSecurity5.7.0之前 - 常见的 Spring HTTP Security 配置类都会继承一个 WebSecurityConfigureAdapter 类。 - 从 5.7.0-M2 起,WebSecurityConfigureAdapter 被废弃了,不推荐使用。 - 组件化,更加灵活。
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 8340
SpringsecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
SpringSecurity安全性框架详解
weixin_48530729的博客
04-30 4110
SpringSecurity简介 Spring Security是一个高度自定义的安全框架。利用 Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。使用 Spring Se
别再用过时的方式了!全新版本Spring Security,这样用才够优雅!
yangjnsjbad的博客
06-09 5686
SpringBoot实战电商项目mall(50k+star)地址:github.com/macrozheng/…首先修改项目的文件,把Spring Boot版本升级至版本。 旧用法 在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承,然后重写Adapter中的三个方法进行配置; 如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现已经被弃用了,看样子Spring Security要坚决放弃这种用法了!新用法非常简单,无需再继承,只需直接声明配置类,再配置一
@EnableGlobalMethodSecurity 注解
weixin_32196893的博客
02-08 891
当我们想要开启spring方法级安全时,只需要在@Configuration实例上使用@EnableGlobalMethodSecurity 注解就能达到此目的。 注解参数: @EnableGlobalMethodSecurity(jsr250Enabled = true) @EnableGlobalMethodSecurity(prePostEnabled = true) 如果prePostEnabled值为true(默认为false),以下在方法上的四个注解可用: @PreAuthorize
SpringSecuritySpringSecurity版本5.7.4静态资源放行失败解决,SpringBoot版本2.7.5
nifengdeshuye的博客
11-21 6293
Spring Security静态资源访问被拦截,无法实现。static目录无法访问,但其它的目录可以访问,或者配置SpringMVC的静态资源映射,映射到static目录。
SecurityConfig最新版本配置,EnableGlobalMethodSecurity已被弃用无法继承WebSecurityConfigurerAdapter
lijingxiaov5的博客
01-19 606
SecurityConfig最新版本配置,EnableGlobalMethodSecurity已被弃用无法继承WebSecurityConfigurerAdapter
@EnableGlobalMethodSecurity(prePostEnabled=true)
盲目的拾荒者的博客
05-24 1万+
关于@EnableGlobalMethodSecurity(prePostEnabled=true)的解释: 开启基于方法的安全认证机制,也就是说在web层的controller启用注解机制的安全确认, @ApiOperation(value = "获取用户列表", httpMethod = "GET") @GetMapping @PreAuthorize("hasAuth...
@EnableGlobalMethodSecurity三方法详解
白_的博客
06-19 4060
@EnableGlobalMethodSecurity三方法详解 要开启Spring方法级安全,在添加了@Configuration注解的类上再添加@EnableGlobalMethodSecurity注解即可 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled=true) public class WebSecurityConfig extends WebSecurityCo...
@EnableGlobalMethodSecurity和@EnableWebSecurity的区别及使用场景
m0_70276286的博客
04-01 1316
EnableGlobalMethodSecurity和@EnableWebSecurity是Spring Security框架中的两个重要注解,它们各自在Spring应用的安全性方面发挥着不同的作用。下面是这两个注解的区别以及使用场景和举例说明。
@EnableGlobalMethodSecurity详解
ywb201314的专栏
10-09 1649
该注解的机制是只要其声明的角色集合(value)中包含当前用户持有的任一角色就可以访问。也就是 用户的角色集合和 @Secured 注解的角色集合要存在非空的交集。从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。@PostFilter: 和@PreFilter 不同的是, 基于返回值相关的表达式,对返回值进行过滤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值