亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Spring Security六:自定義認證

發布時間:2020-07-29 07:53:05 來源:網絡 閱讀:163 作者:熊熊爬樓梯 欄目:編程語言

通過前面的學習我們可以使用spring security完成簡單的認證和授權,但是實際項目中用戶的數據往往都是存在數據庫中,登錄頁面也需要可以自由定制,下面我們就來學習使用spring security如何完成

?

創建mavean項目選擇模板 mavean-archetype-webapp

?

1.1????? 自定義登錄頁面:

?

創建登錄頁面,結構如下:

Spring Security六:自定義認證

?

WEBCONFIG.java中配置認證頁面地址

//默認Url根路徑跳轉到/login,此urlspring security提供
@Configuration
public class WebConfig implements WebMvcConfigurer {
???
@Override
???
public void addViewControllers(ViewControllerRegistry registry) {
??????? registry.addViewController(
"/").setViewName("redirect:/login-view");
??????? registry.addViewController(
"/login-view").setViewName("login");
??? }
}

安全配置:

在WebSecurityConfig中配置表單登錄信息:

http
??????? .authorizeRequests()
??????? .antMatchers(
"/r/**").authenticated()
??????? .anyRequest().permitAll()
??????? .and()
??????? .formLogin()
??????? .loginPage(
"/login-view")
??????? .loginProcessingUrl(
"/login")
??????? .successForwardUrl(
"/login-success")
??????? .permitAll();

(1)? 允許表單登錄

(2)? 指定自己的登錄頁以重定向方式跳轉到/login-view

(3)? 指定登錄處理的url也就是填寫用戶名密碼以后提交到的地址

(4)? 指定登錄成功后跳轉到的URL

(5)? 允許所有用戶登錄以后訪問所有URL

?

測試:

輸入用戶名密碼點擊登錄報403

?

問題解決:

Spring security為防止CSRF(跨站請求偽造)的發生,限制除了get以外的大多數方法。

屏蔽CSRF控制,spring security不再限制CSRF

配置WebSecurityConfig

protected void configure(HttpSecurity http) throws Exception {
??? http.csrf().disable();

}

?

?

連接數據庫

前面的例子我們是將用戶的信息保存在內存中,實際項目中往往是從數據庫中讀取用戶的信息進行驗證,下面看看如何使用數據庫中的用戶信息進行登錄,根據前面的研究我們知道只需要重新定義UserDetailService即可實現根據用戶賬號查詢數據庫。

?

1.?????? 創建數據庫

創建user_db數據庫

CREATE DATABASE `user_db` CHARACTER SET 'utf8' COLLATE 'utf8_general_ci';

2.創建t_user

CREATE TABLE `t_user` (
`id` bigint(20) NOT NULL COMMENT '用戶id',
`username` varchar(64) NOT NULL,
`password` varchar(64) NOT NULL,
`fullname` varchar(255) NOT NULL COMMENT '用戶姓名',
`mobile` varchar(11) DEFAULT NULL COMMENT '手機號',
PRIMARY KEY (`id`) USING BTREE
) ENGINE=InnoDB DEFAULT CHARSET=utf8 ROW_FORMAT=DYNAMIC

3.定義dataSourceapplication.properties配置

spring.datasource.url=jdbc:mysql://localhost:3306/user_db
spring.datasource.username=root
spring.datasource.password=123456
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

4.添加依賴

<dependency>
??? <
groupId>org.springframework.boot</groupId>
??? <
artifactId>spring-boot-starter-test</artifactId>
??? <
scope>test</scope>
</
dependency>
<
dependency>
??? <
groupId>org.springframework.boot</groupId>
??? <
artifactId>spring-boot-starter-jdbc</artifactId>
</
dependency>
<
dependency>
??? <
groupId>mysql</groupId>
??? <
artifactId>mysql-connector-java</artifactId>
??? <
version>5.1.47</version>
</
dependency>

5.定義實體類

@Data
public class UserDto {
???
private String id;
???
private String username;
???
private String password;
???
private String fullname;
???
private String mobile;
}

6.定義數據訪問類

@Repository
public class UserDao {
???
@Autowired
???
JdbcTemplate jdbcTemplate;
???
public UserDto getUserByUsername(String username){
??????? String sql =
"select id,username,password,fullname from t_user where username = ?";
??????? List<UserDto> list =
jdbcTemplate.query(sql, new Object[]{username}, new
???????????????
BeanPropertyRowMapper<>(UserDto.class));
???????
if(list == null && list.size() <= 0){
???????????
return null;
??????? }
???????
return list.get(0);
??? }
}

7.定義UserDetailService

service包下定義SpringDataUserDetailsService實現UserDetailService接口

@Service
public class SpringDataUserDetailsService implements UserDetailsService {
???
@Autowired
???
UserDao userDao;
???
@Override
???
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
???????
//登錄賬號
???????
System.out.println("username="+username);
???????
//根據賬號去數據庫查詢...
???????
UserDto user = userDao.getUserByUsername(username);
???????
if(user == null){
???????????
return null;
??????? }
???????
//這里暫時使用靜態數據
???????
UserDetails userDetails =
??????????????? User.withUsername(user.getFullname()).password(user.getPassword()).authorities(
"p1").build();
???????
return userDetails;
??? }

}

8.測試

9. 使用BcryptPasswordEncoder

在安全配置類中定義BcryptPasswordEncoder

@Bean
public PasswordEncoder passwordEncoder() {
???
return new BCryptPasswordEncoder();
}

UserDetails中的密碼存儲BCrypt格式

前邊實現了從數據庫查詢用戶信息,所以數據庫中的密碼應該存儲BCrypt格式

10.修改LoginController獲取用戶身份信息

@RestController
public class LoginController {
???
/**
???? *
用戶登錄成功
???? * @return
????
*/
???
@RequestMapping(value = "/login‐success",produces = {"text/plain;charset=UTF‐8"})
???
public String loginSuccess() {
??????? String username = getUsername();
???????
return username + " 登錄成功";
??? }

???
/**
???? *
獲取當前登錄用戶名
???? * @return
????
*/
???
private String getUsername(){
??????? Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
???????
if(!authentication.isAuthenticated()){
???????????
return null;
??????? }
??????? Object principal = authentication.getPrincipal();
??????? String username =
null;
???????
if (principal instanceof org.springframework.security.core.userdetails.UserDetails) {
??????????? username =
??????????????????? ((org.springframework.security.core.userdetails.UserDetails)principal).getUsername();
??????? }
else {
??????????? username = principal.toString();
??????? }
???????
return username;
??? }

@GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF‐8"})
public String r1(){
??????? String username = getUsername();
???????
return username + " 訪問資源1";
??????? }

@GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF‐8"})
public String r2(){
??????? String username = getUsername();
???????
return username + " 訪問資源2";
??????? }


}

?

11.測試

?

12.會話控制:

我們可以通過以下選項控制會話何時創建

Always 如果沒有session存在就創建一個

ifRequired 如果需要就創建一個session登錄時

never: Spring Security將不會創建session,但是如果應用中其它地方創建了session,那么spring security將會使用它

stateless:Spring Security將不會創建Session也不會使用Session

?

通過以下方式對該選項進行配置:

WebSecurityConfig.java中加上:

protected void configure(HttpSecurity http) throws Exception {
??? http.sessionManagement()
??????????? .sessionCreationPolicy(SessionCreationPolicy.
IF_REQUIRED);

}

默認情況下Spring Security會為每一個登錄成功的用戶創建一個Session,就是IF_REQUIRED

若選用never則指示Spring Security對登錄成功的用戶不創建Session了,但若你的應用程序在某地方新建了Session,那么Spring Security會用它的。

若使用stateless,Spring Security對登錄成功的用戶不會創建Session,你的應用程序也不會創建Session,每個請求都需要重新進行身份驗證,這種無狀態架構適用于Rest API及其無狀態認證機制。

?

會話超時:

可以設置Session超時時間,比如設置Session有效期為 3600秒:

Spring Security配置文件中:

server.servlet.session.timeout=3600s

?

安全會話cookie

httpOnly:如果為true那么瀏覽器腳本無法訪問cookie

secure:如果為truecookie將僅通過Https連接發送

server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true

?

13.退出

Spring Security默認幫我們實現了退出功能,訪問/logout就可以實現退出

自定義退出成功頁面:

.and()
.logout()
.logoutUrl(
"/logout")
.logoutSuccessUrl(
"/login-view?logout");

?

當執行退出時將會完成以下動作:

1.? session失效

2.? 清除SecurityContextHolder

3.? 跳轉到/login-view?logout

如果想進一步配置退出功能可以如下配置:

?

.logout() ?????????????????????????????????????????(1)
.logoutUrl("/logout") ?????????????????????????????(2)
.logoutSuccessUrl("/login‐view?logout")????? ??????(3)
.logoutSuccessHandler(logoutSuccessHandler) ?????(4)
.addLogoutHandler(logoutHandler)??????????? ??(5)
.invalidateHttpSession(true); ????????????????????(6)

(1)??? 提供系統退出支持

(2)??? 設置觸發退出操作的url,默認是/logout

(3)??? 退出之后跳轉的url,默認是/login?logout

(4)??? 定制的LogoutSuccessHandler,用于實現用戶退出成功時的處理,如果指定了這個選項則logoutSuccessUrl()的設置會被忽略

(5)??? 添加一個logoutHandler,用于實現用戶退出時的清理工作,

(6)??? 指定在用戶退出時是否讓HttpSession無效,默認為true

注意:如果讓logoutGet請求下生效,必須關閉防止csrf***的csrf().disable().如果開啟了CSRF,必須使用post方式請求/logout


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

宁安市| 海口市| 金山区| 三穗县| 永寿县| 山阳县| 张家口市| 张北县| 阜新| 南充市| 芦溪县| 固安县| 乃东县| 都昌县| 旺苍县| 卫辉市| 临洮县| 宁波市| 布拖县| 高淳县| 常宁市| 称多县| 衡水市| 安福县| 泰和县| 宝丰县| 玉山县| 富顺县| 天等县| 万安县| 长兴县| 扎赉特旗| 清水河县| 呼伦贝尔市| 宣汉县| 田东县| 沅陵县| 南康市| 九台市| 昂仁县| 金华市|