Spring Security六:自定義認證
經過前面的學習咱們能夠使用spring security完成簡單的認證和受權,可是實際項目中用戶的數據每每都是存在數據庫中,登陸頁面也須要能夠自由定製,下面咱們就來學習使用spring security如何完成java
建立mavean項目選擇模板 mavean-archetype-webappmysql
1.1 自定義登陸頁面:
建立登陸頁面,結構以下:web
在WEBCONFIG.java中配置認證頁面地址spring
//默認Url根路徑跳轉到/login,此url爲spring security提供
@Configuration
public class WebConfig implements WebMvcConfigurer {
@Override
public void addViewControllers(ViewControllerRegistry registry) {
registry.addViewController("/").setViewName("redirect:/login-view");
registry.addViewController("/login-view").setViewName("login");
}
}
安全配置:sql
在WebSecurityConfig中配置表單登陸信息:數據庫
http
.authorizeRequests()
.antMatchers("/r/**").authenticated()
.anyRequest().permitAll()
.and()
.formLogin()
.loginPage("/login-view")
.loginProcessingUrl("/login")
.successForwardUrl("/login-success")
.permitAll();瀏覽器
(1) 容許表單登陸安全
(2) 指定本身的登陸頁以重定向方式跳轉到/login-viewcookie
(3) 指定登陸處理的url也就是填寫用戶名密碼之後提交到的地址session
(4) 指定登陸成功後跳轉到的URL
(5) 容許全部用戶登陸之後訪問全部URL
測試:
輸入用戶名密碼點擊登陸報403錯
問題解決:
Spring security爲防止CSRF(跨站請求僞造)的發生,限制除了get之外的大多數方法。
屏蔽CSRF控制,即spring security再也不限制CSRF
配置WebSecurityConfig
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
…
}
鏈接數據庫
前面的例子咱們是將用戶的信息保存在內存中,實際項目中每每是從數據庫中讀取用戶的信息進行驗證,下面看看如何使用數據庫中的用戶信息進行登陸,根據前面的研究咱們知道只須要從新定義UserDetailService便可實現根據用戶帳號查詢數據庫。
1. 建立數據庫
建立user_db數據庫
CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';
2.建立t_user表
CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC
3.定義dataSource在application.properties配置
spring.datasource.url=jdbc:mysql://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
4.添加依賴
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-test</artifactId>
<scope>test</scope>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-jdbc</artifactId>
</dependency>
<dependency>
<groupId>mysql</groupId>
<artifactId>mysql-connector-java</artifactId>
<version>5.1.47</version>
</dependency>
5.定義實體類
@Data
public class UserDto {
private String id;
private String username;
private String password;
private String fullname;
private String mobile;
}
6.定義數據訪問類
@Repository
public class UserDao {
@Autowired
JdbcTemplate jdbcTemplate;
public UserDto getUserByUsername(String username){
String sql ="select id,username,password,fullname from t_user where username = ?";
List<UserDto> list = jdbcTemplate.query(sql, new Object[]{username}, new
BeanPropertyRowMapper<>(UserDto.class));
if(list == null && list.size() <= 0){
return null;
}
return list.get(0);
}
}
7.定義UserDetailService
在service包下定義SpringDataUserDetailsService實現UserDetailService接口
@Service
public class SpringDataUserDetailsService implements UserDetailsService {
@Autowired
UserDao userDao;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
//登陸帳號
System.out.println("username="+username);
//根據帳號去數據庫查詢...
UserDto user = userDao.getUserByUsername(username);
if(user == null){
return null;
}
//這裏暫時使用靜態數據
UserDetails userDetails =
User.withUsername(user.getFullname()).password(user.getPassword()).authorities("p1").build();
return userDetails;
}
}
8.測試
9. 使用BcryptPasswordEncoder
在安全配置類中定義BcryptPasswordEncoder
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
UserDetails中的密碼存儲BCrypt格式
前邊實現了從數據庫查詢用戶信息,因此數據庫中的密碼應該存儲BCrypt格式
10.修改LoginController獲取用戶身份信息
@RestController
public class LoginController {
/**
* 用戶登陸成功
* @return
*/
@RequestMapping(value = "/login‐success",produces = {"text/plain;charset=UTF‐8"})
public String loginSuccess() {
String username = getUsername();
return username + " 登陸成功";
}
/**
* 獲取當前登陸用戶名
* @return
*/
private String getUsername(){
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if(!authentication.isAuthenticated()){
return null;
}
Object principal = authentication.getPrincipal();
String username = null;
if (principal instanceof org.springframework.security.core.userdetails.UserDetails) {
username =
((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
} else {
username = principal.toString();
}
return username;
}
@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF‐8"})
public String r1(){
String username = getUsername();
return username + " 訪問資源1";
}
@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF‐8"})
public String r2(){
String username = getUsername();
return username + " 訪問資源2";
}
}
11.測試
12.會話控制:
咱們能夠經過如下選項控制會話什麼時候建立
Always 若是沒有session存在就建立一個
ifRequired 若是須要就建立一個session登陸時
never: Spring Security將不會建立session,可是若是應用中其它地方建立了session,那麼spring security將會使用它
stateless:Spring Security將不會建立Session也不會使用Session
經過如下方式對該選項進行配置:
在WebSecurityConfig.java中加上:
protected void configure(HttpSecurity http) throws Exception {
http.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED);
…
}
默認狀況下Spring Security會爲每個登陸成功的用戶建立一個Session,就是IF_REQUIRED
若選用never則指示Spring Security對登陸成功的用戶不建立Session了,但若你的應用程序在某地方新建了Session,那麼Spring Security會用它的。
若使用stateless,則Spring Security對登陸成功的用戶不會建立Session,你的應用程序也不會建立Session,每一個請求都須要從新進行身份驗證,這種無狀態架構適用於Rest API及其無狀態認證機制。
會話超時:
能夠設置Session超時時間,好比設置Session有效期爲 3600秒:
在Spring Security配置文件中:
server.servlet.session.timeout=3600s
安全會話cookie
httpOnly:若是爲true那麼瀏覽器腳本沒法訪問cookie
secure:若是爲true則cookie將僅經過Https鏈接發送
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true
13.退出
Spring Security默認幫咱們實現了退出功能,訪問/logout就能夠實現退出
自定義退出成功頁面:
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/login-view?logout");
當執行退出時將會完成如下動做:
1. session失效
2. 清除SecurityContextHolder
3. 跳轉到/login-view?logout
若是想進一步配置退出功能能夠以下配置:
.logout() (1)
.logoutUrl("/logout") (2)
.logoutSuccessUrl("/login‐view?logout") (3)
.logoutSuccessHandler(logoutSuccessHandler) (4)
.addLogoutHandler(logoutHandler) (5)
.invalidateHttpSession(true); (6)
(1) 提供系統退出支持
(2) 設置觸發退出操做的url,默認是/logout
(3) 退出以後跳轉的url,默認是/login?logout
(4) 定製的LogoutSuccessHandler,用於實現用戶退出成功時的處理,若是指定了這個選項則logoutSuccessUrl()的設置會被忽略
(5) 添加一個logoutHandler,用於實現用戶退出時的清理工做,
(6) 指定在用戶退出時是否讓HttpSession無效,默認爲true
注意:若是讓logout在Get請求下生效,必須關閉防止csrf***的csrf().disable().若是開啓了CSRF,必須使用post方式請求/logout
- 1. spring security 自定義認證
- 2. Spring Security自定義用戶認證
- 3. Spring Security 自定義用戶認證
- 4. spring security 自定義認證登陸
- 5. spring security 自定義登陸認證
- 6. Spring Security自定義認證AuthenticationProcessingFilter
- 7. (六)Spring Security 認證流程
- 8. 自定義用戶認證邏輯security
- 9. Spring Boot + Spring Security自定義用戶認證
- 10. Spring Security教程(六):自定義過濾器進行認證處理
- 更多相關文章...
- • 自定義TypeHandler - MyBatis教程
- • MySQL自定義函數(CREATE FUNCTION) - MySQL教程
- • RxJava操作符(十)自定義操作符
- • RxJava操作符(六)Utility
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. spring security 自定義認證
- 2. Spring Security自定義用戶認證
- 3. Spring Security 自定義用戶認證
- 4. spring security 自定義認證登陸
- 5. spring security 自定義登陸認證
- 6. Spring Security自定義認證AuthenticationProcessingFilter
- 7. (六)Spring Security 認證流程
- 8. 自定義用戶認證邏輯security
- 9. Spring Boot + Spring Security自定義用戶認證
- 10. Spring Security教程(六):自定義過濾器進行認證處理