Spring Security源码分析十六:Spring Security项目实战
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
前言
本章是根据前面Spring Security系列实现一个基于角色的权限管理系统。
技术栈
- Spring Boot
- Spring Security
- Spring Social(需配置host
127.0.0.1 www.merryyou.cn) - Spring Data JPA
- Freemarker
- Mysql
- Redis
- 前端miniui( 非开源 )
效果图
部分代码
$.ajax({
url: "${re.contextPath}/connect",
type: "get",
async: true,
dataType: "json",
success: function (data) {
if (data.code === 0) {
if (data.data.qq) {
//解绑
$("#bindingQq").attr("title", "解绑")
$(".fa-qq").addClass("social_title");
} else {
//绑定
$("#bindingQq").attr("title", "绑定")
$(".fa-qq").removeClass("social_title");
}
if (data.data.weixin) {
//解绑
$("#bindingWeixin").attr("title", "解绑")
$(".fa-weixin").addClass("social_title");
} else {
//绑定
$("#bindingWeixin").attr("title", "绑定")
$(".fa-weixin").removeClass("social_title");
}
if (data.data.weibo) {
//解绑
$("#bindingWeibo").attr("title", "解绑")
$(".fa-weibo").addClass("social_title");
} else {
//绑定
$("#bindingWeibo").attr("title", "绑定")
$(".fa-weibo").removeClass("social_title");
}
}
},
error: function (XMLHttpRequest, textStatus, errorThrown) {
alert(XMLHttpRequest.status);
alert(XMLHttpRequest.readyState);
alert(textStatus); // paser error;
}
});
$.ajax({
url: "${re.contextPath}/role/" + data.id,
cache: false,
success: function (text) {
var o = mini.decode(text);
//设置数的选中状态
console.log(o.menuIds);
var nodes = tree.getAllChildNodes(tree.getRootNode());
for(var i=0;i<nodes.length;i++){
if(o.menuIds.indexOf(nodes[i]['id'])>=0){
tree.checkNode(nodes[i]);
}else{
tree.uncheckNode(nodes[i]);
}
}
form.setData(o);
form.setChanged(false);
}
});
@Override
public List<MenuDto> getMenusList() {
return repository.findAll().stream()
.map(e ->new MenuDto(e.getId(), e.getPId(), e.getName(), e.getUrl()))
.collect(Collectors.toList());
}
@Override
public Set<String> getUrlByname(String username) {
Set<SysMenu> mesnus = new HashSet<>();
userRepository.findByUsername(username)
.getRoles()
.forEach(e->mesnus.addAll(e.getMenus()));
return mesnus.stream().map(e->e.getUrl()).collect(Collectors.toSet());
}
protected void configure(HttpSecurity http) throws Exception {
// http.addFilterBefore(validateCodeFilter, UsernamePasswordAuthenticationFilter.class)
http.headers().frameOptions().disable().and()
.formLogin()//使用表单登录,不再使用默认httpBasic方式
.loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL)//如果请求的URL需要认证则跳转的URL
.loginProcessingUrl(SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_FORM)//处理表单中自定义的登录URL
.successHandler(merryyouLoginSuccessHandler)//登录成功处理器,返回JSON
.failureHandler(merryyouAuthenticationfailureHandler)//登录失败处理器
.and()
.apply(validateCodeSecurityConfig)//验证码拦截
.and()
.apply(smsCodeAuthenticationSecurityConfig)
.and()
.apply(merryyouSpringSocialConfigurer)//社交登录
.and()
.rememberMe()
.tokenRepository(persistentTokenRepository())
.tokenValiditySeconds(securityProperties.getRememberMeSeconds())
.userDetailsService(userDetailsService)
.and()
.sessionManagement()
// .invalidSessionStrategy(invalidSessionStrategy)
.invalidSessionUrl("/session/invalid")
.maximumSessions(securityProperties.getSession().getMaximumSessions())//最大session并发数量1
.maxSessionsPreventsLogin(securityProperties.getSession().isMaxSessionsPreventsLogin())//之后的登录踢掉之前的登录
.expiredSessionStrategy(sessionInformationExpiredStrategy)
.and()
.and()
.logout()
.logoutUrl("/signOut")//默认退出地址/logout
.logoutSuccessUrl("/")//退出之后跳转到注册页面
.deleteCookies("JSESSIONID")
.and()
.authorizeRequests().antMatchers(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_FORM,
SecurityConstants.DEFAULT_REGISTER_URL,
SecurityConstants.DEFAULT_SIGN_IN_PROCESSING_URL_MOBILE,
SecurityConstants.DEFAULT_SIGN_IN_URL_MOBILE_PAGE,
"/register",
"/socialRegister",//社交账号注册和绑定页面
"/user/register",//处理社交注册请求
"/social/info",//获取当前社交用户信息
"/session/invalid",
"/**/*.js",
"/**/*.css",
"/**/*.jpg",
"/**/*.png",
"/**/*.woff2",
"/code/*")
.permitAll()//以上的请求都不需要认证
//.antMatchers("/").access("hasRole('USER')")
.and()
.csrf().disable()//关闭csrd拦截
;
//安全模块单独配置
authorizeConfigProvider.config(http.authorizeRequests());
}
@PreAuthorize("hasAnyAuthority('user:select','user:update')")
@PostMapping(value = "/user/saveUser")
@ResponseBody
public Result saveUser(@RequestParam String data) {
log.info(data);
return sysUserService.save(data);
}
<td style="width:100%;">
<@sec.authorize access="hasAuthority('role:add')">
<a class="mini-button" iconCls="icon-add" onclick="add()">增加</a>
</@sec.authorize>
<@sec.authorize access="hasAuthority('role:update')">
<a class="mini-button" iconCls="icon-add" onclick="edit()">编辑</a>
<@sec.authorize access="hasAuthority('role:del')">
</@sec.authorize>
<a class="mini-button" iconCls="icon-remove" onclick="remove()">删除</a>
</@sec.authorize>
</td>
启动方式
- idea 配置lombok插件,参考 lombok-intellij-plugin
- 修改application.yml中数据源信息,执行db文件夹下面的sql文件
- 修改application-dev.yml 中redis连接信息
- 社交登录需配置host文件:
127.0.0.1 www.merryyou.cn微信appid已过期
代码下载
- github: https://github.com/longfeizheng/logback
- gitee: https://gitee.com/merryyou/logback
正文到此结束
- 本文标签: AOP update https 配置 GitHub list http Service IO ssh git map 管理 value src Freemarker cache spring sql Menu XML 企业 处理器 plugin rmi db 安全 CSS json spring ioc Security token logo node cat IDE Select Ajax JPA ORM Spring Security mysql 认证 find redis App provider 下载 ioc Spring Boot 源码 数据 CTO 开源 Word bean id root js UI 代码 插件 删除 constant
- 版权声明: 本文为互联网转载文章,出处已在文章中说明(部分除外)。如果侵权,请联系本站长删除,谢谢。
- 本文海报: 生成海报一 生成海报二
热门推荐
相关文章
近期评论
-
你这基本没有更新呀,最近文章显示还是2019年的文章。不符合要求哈
-
关键词:慕云博客 链接:https://www.lilun.me 描述:分享原创文字的个人博客
-
-
-
可以提供一下源码吗
-
不是商业站,鸡娃学习笔记
-
-
-
-
听他们说很厉害的样子
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
