SpringSecurity如何实现配置单个HttpSecurity

更新时间：2020年08月17日 09:56:17 作者：鼓捣猫腻

这篇文章主要介绍了SpringSecurity如何实现配置单个HttpSecurity,文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下

一、创建项目并导入依赖

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>

二、相关配置和代码

在创建完项目时，我们得springboot项目所有接口都被保护起来了，如果要想访问必须登陆，用户名默认是user，密码在项目启动时生成在控制台。

1）我们可以设置自己得账户和密码，有两种方法配置

1.1）在application.properties中配置

spring.security.user.name=fernfei

spring.security.user.password=fernfei

spring.security.user.roles=admin

1.2）在配置类中配置

　　注：需要在配置类上加上@configuration注解

步骤1.2.1）

创建SecurityConfig继承WebSecurityConfigurerAdpater

步骤1.2.2）

实现WebSecurityConfigurerAdpater中的configure(AuthenticationManagerBuilder auth)方法

步骤1.2.3）

从 Spring5 开始，强制要求密码要加密，如果非不想加密，可以使用一个过期的 PasswordEncoder 的实例

NoOpPasswordEncoder，但是不建议这么做，毕竟不安全。

这样就算完成自己定义账户密码了。

2）HttpSecurity配置

2.1）实现config(HttpSecurity http）方法

2.2）相关代码

@Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("admin")
        .antMatchers("/db/**").hasAnyRole("admin","user")
        .antMatchers("/user/**").access("hasAnyRole('admin','user')")
        //剩下的其他路径请求验证之后就可以访问
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginProcessingUrl("/dologin")
        .loginPage("/login")
        .usernameParameter("uname")
        .passwordParameter("pwd")
        .successHandler(new AuthenticationSuccessHandler() {
          @Override
          public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter pw = response.getWriter();
            Map<String, Object> map = new HashMap<String, Object>();
            map.put("status", 200);
            map.put("msg", authentication.getPrincipal());
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .failureHandler(new AuthenticationFailureHandler() {
          @Override
          public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
            response.setContentType("application/json;charset=utf-8");
            PrintWriter pw = response.getWriter();
            Map<String, Object> map = new HashMap<String, Object>();
            map.put("status", 401);
            if (exception instanceof LockedException) {
              map.put("msg", "账户被锁定，登陆失败！");
            } else if (exception instanceof BadCredentialsException) {
              map.put("msg", "账户或者密码错误，登陆失败！");
            } else if (exception instanceof DisabledException) {
              map.put("msg", "账户被禁用，登陆失败！");
            } else if (exception instanceof AccountExpiredException) {
              map.put("msg", "账户已过期，登陆失败！");
            } else if (exception instanceof CredentialsExpiredException) {
              map.put("msg", "密码已过期，登陆失败！");
            } else {
              map.put("msg", "登陆失败！");
            }
            pw.write(new ObjectMapper().writeValueAsString(map));
            pw.flush();
            pw.close();
          }
        })
        .permitAll()
        .and()
        .csrf().disable();
  }

2.3）代码解释

2.3.1）/admin/**路径下的必须有admin角色才能访问

.antMatchers("/admin/**").hasRole("admin")

2.3.2）/db/**和/user/**下的路径，admin和user角色都可以访问

.antMatchers("/db/**").hasAnyRole("admin","user")

.antMatchers("/user/**").access("hasAnyRole('admin','user')")

2.3.3）表示剩下的任何请求只要验证之后都可以访问

.anyRequest().authenticated()

2.3.4）开启表单登陆

.formLogin()

2.3.5）登陆处理的路径

.loginProcessingUrl("/dologin")

2.3.6）登陆的页面，如果不写会使用默认的登陆页面

.loginPage("/login")

2.3.7）定义登录时，用户名的 key，默认为 username

.usernameParameter("uname")

2.3.7）定义登录时，用户名的 key，默认为 password

.passwordParameter("pwd")

2.3.8）登陆成功的处理（用于前后端分离时，直接返回json

.successHandler()

红框里面的类是存放登陆成功后的用户信息

2.3.9）下图就是登陆成功后直接返回url的方法

2.3.10）同上，登陆失败的处理

.failureHandler()

判断属于哪个异常可以更友好给用户作出提示

可以进入这个类按Ctrl+H查看类的继承关系，方便更好使用

2.3.11）permitALL()表示放开和登陆有关的接口，csrf是关闭csrf，以便我们在 postman类似的软件测试被系统给拦截了

.permitAll()

.and()

.csrf().disable();

3）controller层设置一些接口以便我们测试

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持脚本之家。

您可能感兴趣的文章:

50 道Java 线程面试题(经典）
java 线程面试题是比较热门的面试题，下面小编给大家分享了50道java线程面试题必掌握，大家来一起学习吧为面试好好准备吧
2016-11-11
spring cloud 配置阿里数据库连接池 druid的示例代码
这篇文章主要介绍了spring cloud 配置阿里数据库连接池 druid,本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2022-03-03
DDD框架落地实战
这篇文章主要为大家介绍了DDD框架落地实战详解，有需要的朋友可以借鉴参考下，希望能够有所帮助，祝大家多多进步，早日升职加薪
2022-08-08
深入浅出探究Java多态的实现和应用
多态是实现面向对象的软件技术中必不可少的一个内容，所以这篇文章主要来和大家讲解一下Java多态的实现和应用，感兴趣的小伙伴可以了解一下
2023-07-07
超全MyBatis动态代理详解(绝对干货)
这篇文章主要介绍了超全MyBatis动态代理详解(绝对干货),文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2021-02-02
Springboot整合knife4j与shiro的操作
这篇文章主要介绍了Springboot整合knife4j与shiro的操作，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-07-07
关于Arrays.sort()使用的注意事项
这篇文章主要介绍了关于Arrays.sort()使用的注意事项，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2022-05-05
浅谈Spring框架中@Autowired和@Resource的区别
最近review别人代码的时候,看到了一些@Autowired不一样的用法,觉得有些意思,下面这篇文章主要给大家介绍了关于Spring框架中@Autowired和@Resource区别的相关资料,需要的朋友可以参考下
2022-10-10
Spring6 的JdbcTemplate的JDBC模板类的使用介绍(最新推荐)
JdbcTemplate 是Spring 提供的一个JDBC模板类,是对JDBC的封装,简化JDBC代码,当然,你也可以不用,可以让Spring集成其它的ORM框架,这篇文章主要介绍了Spring6 的JdbcTemplate的JDBC模板类的详细使用说明,需要的朋友可以参考下
2024-05-05
使用Feign远程调用时,序列化对象失败的解决
这篇文章主要介绍了使用Feign远程调用时,序列化对象失败的解决方案，具有很好的参考价值，希望对大家有所帮助。如有错误或未考虑完全的地方，望不吝赐教
2021-07-07

SpringSecurity如何实现配置单个HttpSecurity

相关文章

最新评论

大家感兴趣的内容

最近更新的内容

常用在线小工具