springboot2.x整合springSecurity

最新推荐文章于 2025-05-30 17:12:28 发布
最新推荐文章于 2025-05-30 17:12:28 发布
阅读量521 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 学习总结 springboot 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44884861/article/details/107763150
本文详细介绍了如何在Spring Boot项目中集成Spring Security,包括依赖导入、配置类编写及页面控制。通过示例展示了请求授权规则、自动登录与注销功能、记住我功能的实现,以及如何在页面上使用Thymeleaf进行权限控制。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

springSecurity

1.导入依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.2.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.lmh</groupId>
    <artifactId>spring-boot-12</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>spring-boot-12</name>
    <description>Demo project for Spring Boot</description>

    <properties>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
            <exclusions>
                <exclusion>
                    <groupId>org.junit.vintage</groupId>
                    <artifactId>junit-vintage-engine</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

2.编写springSecurity配置类

package com.lmh.springboot12.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
@Configuration
@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    //定制请求的授权规则
    @Override
    protected void configure(HttpSecurity http) throws Exception {
       // super.configure(http);
        //antMatchers指定访问路径,permitAll表示均可访问,hasRole表示只有该角色才有权限访问
        http.authorizeRequests().antMatchers("/index").permitAll().antMatchers("/").hasRole("VIP1");

        //开启自动配置的登录功能
        //规则:/login 请求来到登录页,重定向到 /login?error 表示登录失败  loginPage("/");可以发送请求自定义登录页面
        //默认post形式的/login 代表处理登陆 passwordParameter("password").usernameParameter("username");与表单项name属性对应
        http.formLogin().loginPage("/userLogin").passwordParameter("password").usernameParameter("username");

        //开启自动配置注销功能,并销毁session
        //规则:访问  /logout  注销成功返回 /login?logout 页面 可通过.logoutSuccessUrl("/");修改注销成功路径
        http.logout().logoutSuccessUrl("/");

        //开启 记住我 功能 rememberMeParameter("rememberMe");要与表单项的name对应
        http.rememberMe().rememberMeParameter("rememberMe");
    }
//定制认证规则
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //super.configure(auth);
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()).withUser("lmh").password(new BCryptPasswordEncoder().encode("123")).roles("VIP1")
        .and().passwordEncoder(new BCryptPasswordEncoder()).withUser("张三").password(new BCryptPasswordEncoder().encode("123")).roles("VIP2");
    }
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

其中不使用PasswordEncoder则会报错

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" (security)

其中很多基础功能都在注释上
3.页面上控制


<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>

需要导入这个约束则可使用springSecurity页面控制

常用security标签

1.authorize:
access属性需要使用表达式来判断权限,当表达式的返回结果为true时表示拥有对应的权限

<sec:authorize access="hasRole('ROLE_ADMIN')">
此内容仅对在授予权限列表中拥有“ROLE_ADMIN”权限的用户可见
--------------------------
<sec:authorize access="hasPermission(#domain,'read') or hasPermission(#domain,'write')">
只有具有读取或写入权限的用户才能看到此内容,该用户被发现为名为“domain”的请求属性。
-----------------------------
<sec:authorize url="/admin">
此内容仅对有权将请求发送到“/ admin”链接的用户可见
-----------------------------
<div class="btn-group" sec:authorize="!isAuthenticated()">
判断有无登陆

2.authentication
标签用来代表当前Authentication对象,主要用于获取当前Authentication的相关信息。包含以下属性。
property
property属性只允许指定Authentication所拥有的属性。

<!--获取当前用户的用户名-->
<sec:authentication property="principal.username" />
springboot3.x+springsecurity6.x多种方式登录验证
程序猿的傻白甜
11-24 1980
最新的 Spring Security 5.7 及以上版本,更新了不少内容,之前的 WebSecurityConfigurerAdapter 已经被废弃了,而且,要同时实现用户名密码登录、手机验证码登录、邮箱、微信小程序等登录方式,跟之前的配置方式都会有所不同。
java - SpringBoot3.x接入Security6.x实现JWT认证
草青工作室 的专栏
12-31 1735
使用OncePerRequestFilter的优点是,能保证一个请求只过一次筛选器。可以在filter中实现对jwt的校验,验证成功后需要对Security上下文进行标注。标记认证已经通过,这点非常重要。如果认证完了不标注,后边的过滤器还是认为未认证导致无权限失败。以上支持介绍了对于已有JWT统一认证系统的接入(JWT解析和认证),不涉及JWT生成和管理相关内容。
SpringBoot2.x系列教程12-springboot集成spring security
松花江畔
08-10 401
随着行业的不断发展,前后端分离开发的模式也在不断的得到程序员群体的欢迎,简单而言前后端分离开发的模式将后端程序员从前端的苦海中解脱了出来,使其能够专注后端的逻辑业务开发,前端工程师只负责页面的实现,调用后端工程师实现的接口实现页面数据的填充,这样的实现方式相对于以往的开发模式很明显提高了开发的效率,与此同时也带来了接口访问安全性的问题,由此也就出现了接口的权限鉴权管控机制。目前比较常用的鉴权机制框架有shiro、spring security,之前在springboot没有出现之前由于spring secu
SpringBoot 2.x 集成SpringSecurity(二)之用户授权
jefry52的博客
05-21 490
一、基于注解方式用户授权: JSR-250注解: 主要注解 @DenyAll 拒绝 @RolesAllowed 按角色允许,省略ROLE_前缀 @PermitAll 允许 1、Spring Security默认是关闭的,需要使用注解开启,代码如下: package com.jefry.security; import org.mybatis.spring.annotation.MapperScan; import org.springframework.boot.SpringAp..
Spring Boot 整合 Spring Security
最新发布
hutao8896的博客
05-30 1049
Spring Boot 整合 Spring Security
SpringBoot2.x+SpringSecurity集成及SpringSecurity实现Web系统权限认证系统实现
u011930054的博客
07-17 726
针对SpringSecurity就不进行介绍了,功能强大,与shiro一样都能实现权限系统实现。 这里先介绍一下实验项目的背景: 一、Web项目系统实现前后端分离,前端页面上按钮的CRUD,需要前端根据用户返回的权限属性实现按钮的可用或不可用(显示或不显示都可以)。 二、后端使用SpringSecurity实现接口API权限的判断,比如用户1请求了一个url:/hello 如果这个用户没有权限则后端系统直接返回json格式提醒权限不足。 三、用户的权限及菜单都是数据库中设置,系统动态判断权限。 先上一张数据
SpringBoot2.x+SpringSecurity(一)安全配置整合
chuilu8991的博客
05-05 1359
首先我是一名大学生,最近了解到SpringSecurity,其功能非常强大,与SpringBoot完美整合,本文讲述Spring Boot2.x整合Spring Security在方法上使用注解实现权限控制,使用自定义UserDetailService,从MySQL中加载用户信息。使用Sec...
springboot2.x+Spring-Security+JWT
Jiangbohao_的博客
05-19 664
springboot2.x+Spring-Security+JWT的整合 jwt(json web token) jwt官网:https://jwt.io/ 使用的是HS256算法 一个JWT由三个部分组成:header,payload,signature。分别保存了不同的信息 header部分由以下的json结构生成: typ用来标识整个token是一个jwt字符串,alg代表签名和摘要算法,一般签发JWT的时候,只要typ和alg就够了,生成方式是将header部分的json字符串经过Base64Ur
SpringBoot2.x整合SpringSecurity简单实现登入登出从零搭建
日拱一卒
10-21 4312
【说明】 本文参考自:https://www.cnblogs.com/ealenxie/p/9293768.html 将项目升级为springboot2.x版本项目GitHub地址】 https://github.com/qidasheng2012/spring-security-login 【项目搭建】 始化SQL脚本 DROP TABLE IF EXISTS `user`; CREA...
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
2. **配置Spring Security**: - 配置Spring Security的WebSecurityConfigurerAdapter,关闭默认的CSRF保护,并指定不进行HTTP Basic认证。 - 在`configure(HttpSecurity http)`方法中,定义允许匿名访问的资源和...
Spring Boot 2.X(十八):集成 Spring Security-登录认证和权限控制
微赚开发者技术分享博客
11-26 939
前言 在企业项目开发中,对系统的安全和权限控制往往是必需的,常见的安全框架有 Spring Security、Apache Shiro 等。本文主要简单介绍一下 Spring Security,再通过 Spring Boot 集成开一个简单的示例。 Spring Security 什么是 Spring SecuritySpring Security 是一种基于 Spring AOP 和...
SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法
08-25
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。这篇文章主要介绍了SpringBoot2.0 整合 SpringSecurity 框架,实现用户权限安全管理 ,需要的朋友可以参考下
SpringBoot2.x版本整合SpringSecurity、Oauth2进行password认证
weixin_30740581的博客
06-03 934
很多人在进行项目开发时都会用到Oauth2.0结合SpringSecurity或者Shiro进行权限拦截以及用户验证,网上也有很多的案例,前几天项目里边需要用到,顺便整合了进来,特此写篇博客,记录下过程。 项目结构如下: 首先准备pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://...
spring boot 2.X整合spring securityspring oauth
竹林幽深
04-30 520
https://blog.csdn.net/Java_chaozi/article/details/82913910 网上有很多该系列的教程,但是很多都是spring boot1.x,很少看见关于spring boot 2.0 .本人是打算做个spring cloud的web程序,这个整合我就是放在zuul上,类似于做了个网关的鉴权吧。。 国际通用案例 上jar包依赖 <parent&g...
springBoot2.X+spring security5.3.8+redis整合用户登录权限控制
architecture_upper的博客
05-13 399
springBoot2.X+spring security5.3.8+redis整合用户登录权限控制主要功能点介绍重要代码片段 主要功能点介绍 1.权限过滤 2.改造attemptAuthentication,重写该方法目的在于支持JSON格式提交登录信息。 3.验证后的返回信息均实现相应接口重写相应方法,以JSON格式返回前端。 4.会话管理,session并发控制过滤器,限制同一账号同时登录数量。 5.针对集群部署场景,通过redis实现session共享。 重要代码片段 package com.hex
5.1_springboot2.x与安全(spring security
含江君
10-21 389
1、简介 常见的两个安全框架shiro|spring security,这里只介绍spring security; Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。 几个...
SpringBoot2.x+SpringSecurit+JWT(三)前后端分离进阶
chuilu8991的博客
05-05 342
此次文章是上一篇文章进阶片,以Token的方式进行验证,Token的生成策略是JWT,如有不懂请看上一篇文章SpringBoot2.x+SpringSecurit(二)前后端分离 什么是JWT,为什么使用JWT? JWT是 Json Web Token 的缩写。它是基于 RFC ...
Spring Boot 2.X 实战--Spring Security (Token)登录和注册
Java 小先
04-12 2899
博客主页:https://me.csdn.net/u010974701 源代码仓库:https://github.com/zhshuixian/learn-spring-boot-2 在上一节《Spring Boot 2.X 实战–Spring Security 登录和注册》中,我们主要整合 Spring Security,实现了用户的注册、登录和权限控制。 在这一节中,我们将实现基于 Tok...
SpringSecurityspringboot整合SpringSecurity实现登录校验与权限认证
weixin_44823875的博客
02-25 4105
关于安全方面的两个主要区域是“认证”和“授权”(或者说是访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,
Springboot3.x+SpringSecurity+OAuth2+JWT+Redis+MySQL实现用户系统
05-13
好的,用户现在想了解如何使用Spring Boot 3.x、Spring Security、OAuth2、JWT、Redis和MySQL来实现一个用户系统。我需要先理清楚各个组件的作用以及如何整合它们。 首先,Spring Boot 3.x的版本需要注意依赖的兼容...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值