一般网站用什么数据库,ide wordpress,运营管理的主要内容有哪些,砀山县住房和城乡建设局网站一、 访问控制url匹配 在前面讲解了认证中所有常用配置#xff0c;主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制#xff0c;也就是我们所说的授权#xff08;访问控制#xff09;。httpSecurity.autho…一、 访问控制url匹配 在前面讲解了认证中所有常用配置主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制也就是我们所说的授权访问控制。httpSecurity.authorizeRequests()也支持连缀写法可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果越是具体的应该放在前面越是笼统的应该放到后面。 1 antMatcher()
规则如下
? 匹配一个字符
* 匹配0个或多个字符
** 匹配0个或多个目录
在实际项目中经常需要放行所有静态资源下面演示放行js文件夹下所有脚本文件。
.antMatchers(/js/**).permitAll()
还有一种配置方式是只要是.js文件都放行
antMatchers(/**/*.js).permitAll()2 anyRequest()
在之前认证过程中我们就已经使用过anyRequest()表示匹配所有的请求。一般情况下此方法都会使用设置全部内容都需要进行认证。
代码示例
anyRequest().authenticated();3 regexMatchers() 3.1 介绍 使用正则表达式进行匹配。和antMatchers()主要的区别就是参数antMatchers()参数是ant表达式regexMatchers()参数是正则表达式。 演示所有以.js结尾的文件都被放行。 .regexMatchers(.[.]js).permitAll() 3.2 两个参数时使用方式 无论是antMatchers()还是regexMatchers()都具有两个参数的方法其中第一个参数都是HttpMethod表示请求方式当设置了HttpMethod后表示只有设定的特定的请求方式才执行对应的权限设置。 二、 内置访问控制方法介绍 Spring Security匹配了URL后调用了permitAll()表示不需要认证随意访问。在Spring Security中提供了多种内置控制。 底层都是基于access进行实现的。 1 permitAll() permitAll()表示所匹配的URL任何人都允许访问。 2 authenticated() authenticated()表示所匹配的URL都需要被认证才能访问。 3 anonymous() anonymous()表示可以匿名访问匹配的URL。和permitAll()效果类似只是设置为anonymous()的url会执行filter 链中 4 denyAll() denyAll()表示所匹配的URL都不允许被访问。 如果用户未被认证需要认证如果已经认证报403 5 rememberMe() 被“remember me”的用户允许访问 6 fullyAuthenticated() 如果用户不是被remember me的才可以访问。 三、 角色权限判断 除了之前讲解的内置权限控制。Spring Security中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后判断用户是否具有特定的要求。 底层也是调用access(参数)。参数正好是我们调用的方法名。注意如果是判断角色会给调用方法参数前面添加ROLE_这也是为什么正常调用方法时角色不允许以ROLE_的原因。 1 hasAuthority(String) 判断用户是否具有特定的权限用户的权限是在自定义登录逻辑中创建User对象时指定的。 在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。 .antMatchers(/main1.html).hasAuthority(admin)1.1 数据库代码效果演示
1.1.1 编写mapper
根据用户名查询用户权限
/*** 根据用户名查询用户权限* param username* return*/
ListString selectPermissionByUsername(String username);select idselectPermissionByUsername parameterTypestring resultTypestringselect m.permission from user u,role_user ru,role r,role_menu rm,menu m where ru.uidu.id and u.username#{param1} and ru.ridr.id and rm.ridr.id and rm.midm.id
/select1.1.2 修改MyUserDetailsServiceImpl 查询用户对应的权限
com.bjsxt.springscuritydemo.service.impl.MyUserDetailsServiceImpl
Service
public class MyUserDetailsServiceImpl implements UserDetailsService {Autowiredprivate UserMapper userMapper;Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user userMapper.selectByUsername(username);if(usernull){throw new UsernameNotFoundException(用户名不存在);}// 查询用户对应的权限ListString listPermission userMapper.selectPermissionByUsername(username);ListSimpleGrantedAuthority listAuthority new ArrayListSimpleGrantedAuthority();for(String permisssion : listPermission){listAuthority.add(new SimpleGrantedAuthority(permisssion));}return new org.springframework.security.core.userdetails.User(username,user.getPassword(),listAuthority);}
}1.1.3 在配置类中添加
httpSecurity.authorizeRequests()// 放行 url / 。不放行死循环.antMatchers(/).permitAll().antMatchers(/fail).permitAll().antMatchers(/bjsxt).hasAuthority(menu:sys).anyRequest().authenticated();1.1.4 测试效果 在浏览器中输入 http://localhost:8080/bjsxt 会要求进行登录认证认证后如果用户具有menu:sys权限会正常控制器如果没有权限会报403
2 hasAnyAuthority(String …)
如果用户具备给定权限中某一个就允许访问。 下面代码中由于大小写和用户的权限不相同所以用户无权访问/main1.html .antMatchers(/main1.html).hasAnyAuthority(“adMin”,“admiN”)
3 hasRole(String) 如果用户具备给定角色就允许访问。否则出现403。 参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。 在给用户赋予角色时角色需要以ROLE_ 开头后面添加角色名称。例如ROLE_abc 其中abc是角色名ROLE_是固定的字符开头。使用hasRole()时参数也只写abc即可。否则启动报错。 给用户赋予角色 在配置类中直接写abc即可。
3.1 数据库操作
3.1.1 编写mapper 在接口中添加com.bjsxt.springscuritydemo.mapper.UserMapper
/*** 根据用户名查询角色名* param username 用户名* return 角色集合*/
ListString selectRoleByUsername(String username);在mybatis/UserMapper.xml中添加
select idselectRoleByUsername parameterTypestring resultTypestringselect r.name from user u,role_user ru,role r where ru.uidu.id and u.username#{param1} and ru.ridr.id
/select3.1.2 修改自定义登录逻辑 com.bjsxt.springscuritydemo.service.impl.MyUserDetailsServiceImpl
Service
public class MyUserDetailsServiceImpl implements UserDetailsService {// 如果觉得编译错误闹心在Mapper上添加Component即可。Autowiredprivate UserMapper userMapper;Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {System.out.println(此方法被执行);User user userMapper.selectByUsername(username);if(usernull){throw new UsernameNotFoundException(用户名不存在);}// 查询用户对应的权限ListString listPermission userMapper.selectPermissionByUsername(username);ListSimpleGrantedAuthority listAuthority new ArrayListSimpleGrantedAuthority();for(String permisssion : listPermission){listAuthority.add(new SimpleGrantedAuthority(permisssion));}// 查询用户对应的角色ListString listRoels userMapper.selectRoleByUsername(username);for(String role: listRoels){listAuthority.add(new SimpleGrantedAuthority(ROLE_role));}return new org.springframework.security.core.userdetails.User(username,user.getPassword(),listAuthority);}
}3.1.3 在配置类中添加
.antMatchers(/bjsxt).hasRole(管理员)3.1.4 测试 发现使用张三可以进行登录李四访问时403
4 hasAnyRole(String …) 如果用户具备给定角色的任意一个就允许被访问 5 hasIpAddress(String) 如果请求是指定的IP就运行访问。 可以通过request.getRemoteAddr()获取ip地址。 需要注意的是在本机进行测试时localhost和127.0.0.1输出的ip地址是不一样的。 当浏览器中通过localhost进行访问时控制台打印的内容 当浏览器中通过127.0.0.1访问时控制台打印的内容 当浏览器中通过具体ip进行访问时控制台打印内容 四、 自定义403处理方案
使用Spring Security时经常会看见403无权限默认情况下显示的效果如下
而在实际项目中可能都是一个异步请求显示上述效果对于用户就不是特别友好了。Spring Security支持自定义权限受限。
1 新建类 新建类实现AccessDeniedHandler。
Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {Overridepublic void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);httpServletResponse.setHeader(Content-Type,application/json;charsetutf-8);PrintWriter out httpServletResponse.getWriter();out.write({\status\:\error\,\msg\:\权限不足请联系管理员!\});out.flush();out.close();}
}1 修改配置类 配置类中重点添加异常处理器。设置访问受限后交给哪个对象进行处理。 myAccessDeniedHandler是在配置类中进行自动注入的。
Autowired
private AccessDeniedHandler accessDeniedHandler;在configure()方法中添加下面内容
//异常处理
httpSecutity.exceptionHandling().accessDeniedHandler(accessDeniedHandler);五、 基于表达式的访问控制
1 access()方法使用
之前学习的登录用户权限判断实际上底层实现都是调用access(表达式)
可以通过access()实现和之前学习的权限控制完成相同的功能。 1.1 以permitAll举例 下面两种写法是等效
1.2 以hasRole举例下面两种写法是等效的。
注意 hasRole() 参数是必须不能以ROLE_开头 access中hasRole一定要以ROLE_开头 六、 基于注解的访问控制 在Spring Security中提供了一些访问控制的注解。这些注解都是默认是都不可用的需要通过EnableGlobalMethodSecurity进行开启后使用。 如果设置的条件允许程序正常执行。如果不允许会报500 这些注解可以写到Service接口或方法上上也可以写到Controller或Controller的方法上。通常情况下都是写在控制器方法上的控制接口URL是否允许被访问。 1 Secured
Secured是专门用于判断是否具有角色的。能写在方法或类上。Secured参数要以ROLE_开头。
1.1 实现步骤 1.1.1 开启注解 在启动类(也可以在配置类等能够扫描的类上)上添加EnableGlobalMethodSecurity(securedEnabled true)
SpringBootApplication
EnableGlobalMethodSecurity(securedEnabled true)
public class MyApp {public static void main(String [] args){SpringApplication.run(MyApp.class,args);}
}1.1.2 在控制器方法上添加Secured注解 在LoginController中方法上添加注解
Secured(ROLE_abc)
RequestMapping(/toMain)
public String toMain(){return redirect:/main.html;
}1.1.3 配置类 配置类中方法配置保留最基本的配置即可。
protected void configure(HttpSecurity http) throws Exception {// 表单认证httpSecurity.formLogin().loginProcessingUrl(/login) //当发现/login时认为是登录需要执行UserDetailsServiceImpl.successForwardUrl(/toMain) //此处是post请求.loginPage(/login.html);// url 拦截http.authorizeRequests().antMatchers(/login.html).permitAll() //login.html不需要被认证.anyRequest().authenticated();//所有的请求都必须被认证。必须登录后才能访问。//关闭csrf防护http.csrf().disable();}2 PreAuthorize/PostAuthorize PreAuthorize和PostAuthorize都是方法或类级别注解。 PreAuthorize表示访问方法或类在执行之前先判断权限大多情况下都是使用这个注解注解的参数和access()方法参数取值相同都是权限表达式。 PostAuthorize表示方法或类执行结束后判断权限此注解很少被使用到。 注意 必须在启动类EnableGlobalMethodSecurity中设置prePostEnabled true 2.1 实现步骤 2.1.1 开启注解 在启动类中开启PreAuthorize注解。
SpringBootApplication
EnableGlobalMethodSecurity(prePostEnabled true)
public class MyApp {public static void main(String [] args){SpringApplication.run(MyApp.class,args);}
}2.1.2 PreAuthorize演示 在控制器方法上添加PreAuthorize参数可以是任何access()支持的表达式。 如果用户没有管理员角色不会打印preAuthorize
RequestMapping(/preAuthorize)
ResponseBody
PreAuthorize(hasRole(ROLE_管理员))
public String preAuthorize(){System.out.println(preAuthorize);return preAuthorize;
}2.1.3 PostAuthorize演示 如果用户没有管理员角色也会打印PostAuthorize
RequestMapping(/postAuthorize)
ResponseBody
PostAuthorize(hasRole(ROLE_管理员))
public String postAuthorize(){System.out.println(PostAuthorize);return preAuthorize;
}七、 Remember Me功能实现 Spring Security 中Remember Me为“记住我”功能用户只需要在登录时添加remember-me复选框取值为true。Spring Security会自动把用户信息存储到数据源中以后就可以不登录进行访问。 1 添加依赖
Spring Security实现Remember Me 功能时底层实现依赖Spring-JDBC所以需要导入Spring-JDBC。以后多使用MyBatis框架而很少直接导入spring-jdbc所以此处导入mybatis启动器 同时还需要添加MySQL驱动
dependencygroupIdorg.mybatis.spring.boot/groupIdartifactIdmybatis-spring-boot-starter/artifactIdversion2.1.1/version
/dependency
dependencygroupIdmysql/groupIdartifactIdmysql-connector-java/artifactIdversion5.1.48/version
/dependency2 配置数据源
在application.yml中配置数据源。请确保数据库中已经存在security数据库
spring:datasource:driver-class-name: com.mysql.jdbc.Driverurl: jdbc:mysql://127.0.0.1:3306/securityusername: rootpassword: 12343 编写配置
新建com.bjsxt.config.RememberMeConfig类并创建Bean对象
Configuration
public class RememberMeConfig {Autowiredprivate DataSource dataSource;Beanpublic PersistentTokenRepository getPersistentTokenRepository() {JdbcTokenRepositoryImpl jdbcTokenRepositoryImplnew JdbcTokenRepositoryImpl();jdbcTokenRepositoryImpl.setDataSource(dataSource);//自动建表第一次启动时需要第二次启动时注释掉
// jdbcTokenRepositoryImpl.setCreateTableOnStartup(true);return jdbcTokenRepositoryImpl;}
}4 修改SecurityConfig
在SecurityConfig中添加RememberMeConfig和UserDetailsService实现类对象并自动注入。 在configure中添加下面配置内容。
httpSecurity.rememberMe().userDetailsService(userDetailsService) //登录逻辑交给哪个对象.tokenRepository(repository); //持久层对象5 在客户端页面中添加复选框
在客户端登录页面中添加remember-me的复选框只要用户勾选了复选框下次就不需要进行登录了。
form action /login methodpost用户名input typetext nameusername/br/密码:input typetext namepassword/br/input typecheckbox nameremember-me valuetrue/ br/input typesubmit value登录/
/form6 有效时间
默认2周时间。但是可以通过设置状态有效时间即使项目重新启动下次也可以正常登录。
//remember Me
http.rememberMe().tokenValiditySeconds(120)//单位秒.tokenRepository(repository).userDetailsService(userDetailsServiceImpl);八、 Thymeleaf中Spring Security的使用 Spring Security可以在一些视图技术中进行控制显示效果。例如JSP或Thymeleaf。在非前后端分离且使用Spring Boot的项目中多使用Thymeleaf作为视图展示技术。 Thymeleaf对Spring Security的支持都放在thymeleaf-extras-springsecurityX中。所以需要在项目中添加此jar包的依赖和thymeleaf的依赖。
dependencygroupIdorg.thymeleaf.extras/groupIdartifactIdthymeleaf-extras-springsecurity5/artifactIdversion3.0.4.RELEASE/version
/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-thymeleaf/artifactId
/dependency在html页面中引入thymeleaf命名空间和security命名空间
html xmlnshttp://www.w3.org/1999/xhtmlxmlns:thhttp://www.thymeleaf.org
xmlns:sechttp://www.thymeleaf.org/thymeleaf-extras-springsecurity51 获取属性 可以在html页面中通过 sec:authentication获取UsernamePasswordAuthenticationToken中所有getXXX的内容包含父类中的getXXX的内容。 根据源码得出下面属性 name登录账号名称 principal登录主体在自定义登录逻辑中是UserDetails credentials凭证 authorities权限和角色 details实际上是WebAuthenticationDetails的实例。可以获取remoteAddress(客户端ip)和sessionId(当前sessionId) 1.1 实现步骤
1.1.1 新建demo.html 在项目resources中新建templates文件夹在templates中新建demo.html页面
1.1.2 编写demo.html 在demo.html中编写下面内容测试获取到的值
!DOCTYPE html
html xmlnshttp://www.w3.org/1999/xhtmlxmlns:thhttp://www.thymeleaf.orgxmlns:sechttp://www.thymeleaf.org/thymeleaf-extras-springsecurity5
headmeta charsetUTF-8titleTitle/title
/head
body登录账号:span sec:authenticationname123/spanbr/登录账号:span sec:authenticationprincipal.username456/spanbr/凭证span sec:authenticationcredentials456/spanbr/权限和角色span sec:authenticationauthorities456/spanbr/客户端地址span sec:authenticationdetails.remoteAddress456/spanbr/sessionIdspan sec:authenticationdetails.sessionId456/spanbr/
/body
/html1.1.3 编写控制器 thymeleaf页面需要控制转发在控制器类中编写下面方法
RequestMapping(/demo)
public String demo(){return demo;
}2 权限判断 在html页面中可以使用sec:authorize”表达式”进行权限控制判断是否显示某些内容。表达式的内容和access(表达式)的用法相同。如果用户具有指定的权限则显示对应的内容如果表达式不成立则不显示对应的元素。 2.1 不同权限的用户显示不同的按钮
2.1.1 设置用户角色和权限
设定用户具有admin/insert/delete权限ROLE_abc角色。
return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList(admin,ROLE_abc,/insert,/delete));2.1.2 控制页面显示效果 在页面中根据用户权限和角色判断页面中显示的内容
通过权限判断
button sec:authorizehasAuthority(/insert)新增/button
button sec:authorizehasAuthority(/delete)删除/button
button sec:authorizehasAuthority(/update)修改/button
button sec:authorizehasAuthority(/select)查看/button
br/
通过角色判断
button sec:authorizehasRole(abc)新增/button
button sec:authorizehasRole(abc)删除/button
button sec:authorizehasRole(abc)修改/button
button sec:authorizehasRole(abc)查看/button九、 退出登录
用户只需要向Spring Security项目中发送/logout退出请求即可。
a href/logout退出登录/a为了实现更好的效果通常添加退出的配置。默认的退出url为/logout退出成功后跳转到/login?logout
如果不希望使用默认值可以通过下面的方法进行修改。
httpSecurity.logout().logoutUrl(/logout).logoutSuccessUrl(/login.html);十、 Spring Security中CSRF 从刚开始学习Spring Security时在配置类中一直存在这样一行代码httpSecurity.csrf().disable();如果没有这行代码导致用户无法被认证。 这行代码的含义是关闭csrf防护。 1 什么是CSRF CSRFCross-site request forgery跨站请求伪造也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域只要网络协议ip地址端口中任何一个不相同就是跨域请求。 客户端与服务进行交互时由于http协议本身是无状态协议所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。在跨域的情况下session id可能被第三方恶意劫持通过这个session id向服务端发起请求时服务端会认为这个请求是合法的可能发生很多意想不到的事情。 2 Spring Security中CSRF
从Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理。CSRF为了保证不是其他第三方网站访问要求访问时携带参数名为_csrf值为token(token在服务端产生)的内容如果token和服务端的token匹配成功则正常访问。
2.1 实现步骤
2.1.1 编写控制器方法 编写控制器方法跳转到templates中login.html页面。
GetMapping(/showLogin)
public String showLogin() {return login;
}2.1.2 新建login.html 在项目resources下新建templates文件夹并在文件夹中新建login.html页面。
!DOCTYPE html
html xmlnshttp://www.w3.org/1999/xhtmlxmlns:thhttp://www.thymeleaf.org
headmeta charsetUTF-8titleTitle/title
/head
body
form action /login methodpostinput typehidden th:value${_csrf.token} name_csrf th:if${_csrf}/用户名input typetext nameusername/br/密码:input typepassword namepassword/br/input typesubmit value登录/
/form
/body
/html2.1.3 修改配置类 在配置类中注释掉CSRF防护失效
//关闭csrf防护
//http.csrf().disable();2.2 Spring Security中CSRF原理 当服务器加载登录页面。loginPage中的值默认/login先生成csrf对象并放入作用域中key为_csrf。之后会对${_csrf.token}进行替换替换成服务器生成的token字符串。用户在提交登录表单时会携带csrf的token。如果客户端的token和服务器的token匹配说明是自己的客户端否则无法继续执行。
