当前位置：首页 > news >正文

网站做点击广告是怎么回事高安网站找工作做面点事

news 2025/12/29 14:43:23

网站做点击广告是怎么回事,高安网站找工作做面点事,单页设计图片,网站集群建设相关的招标目录: 一、SpringBoot 中自定义用户授权管理 ( 总体内容介绍 )二、实现记住我功能 ( 通过 HttpSecurity类的 rememberMe( )方法来实现记住我功能 ) :2.1 基于简单加密 Token 的方式 ( 实现记住我用户授权管理 ( 总体内容介绍 )二、实现记住我功能 ( 通过 HttpSecurity类的 rememberMe( )方法来实现记住我功能 ) :2.1 基于简单加密 Token 的方式 ( 实现记住我功能 ) - 存在安全隐患,不建议使用该方式基础项目文件准备实现自定义身份认证 ( UserDetailsService身份认证 )① service层中类获取用户基本信息和用户权限信息② 自定义类实现 UserDetailsService接口 , 在该类中封装用户身份认证信息③ SecurityConfig配置类中实现自定义身份认证实现自定义用户访问④ SecurityConfig配置类中实现自定义用户访问控制⑤ controller层中实现路径访问跳转实现自定义用户登录⑥ 自定义用户登录页面⑦ 自定义用户登录跳转⑧ 自定义用户登录控制实现自定义用户退出⑨ 添加自定义用户退出链接⑩ 添加自定义用户退出控制基于简单加密Token方式实现记住我功能⑪ 前端页面中添加 “记住我” 框⑫ 定制记住我功能 2.2 基于持久化 Token 的方式 ( 这种方式比第一种方式更安全 )基础项目文件准备实现自定义身份认证 ( UserDetailsService身份认证 )① service层中类获取用户基本信息和用户权限信息② 自定义类实现 UserDetailsService接口 , 在该类中封装用户身份认证信息③ SecurityConfig配置类中实现自定义身份认证实现自定义用户访问④ SecurityConfig配置类中实现自定义用户访问控制⑤ controller层中实现路径访问跳转实现自定义用户登录⑥ 自定义用户登录页面⑦ 自定义用户登录跳转⑧ 自定义用户登录控制实现自定义用户退出⑨ 添加自定义用户退出链接⑩ 添加自定义用户退出控制基于持久化 Token方式实现记住我功能⑪ 创建存储Token信息的 persistent_logins 数据库表⑫ 定制记住我功能 ( ①注入DataSource数据库信息 ②调用rememberMe( )方法配置JdbcTokenRepositoryImpl对象并将其加入到IOC容器中 )⑬ 效果测试作者简介一只大皮卡丘计算机专业学生正在努力学习、努力敲代码中! 让我们一起继续努力学习该文章参考学习教材为《Spring Boot企业级开发教程》黑马程序员 / 编著文章以课本知识点代码为主线结合自己看书学习过程中的理解和感悟最终成就了该文章文章用于本人学习使用同时希望能帮助大家。欢迎大家点赞收藏⭐ 关注哦侵权可联系我进行删除如果雷同纯属巧合一、SpringBoot 中自定义 “用户授权管理” ( 总体内容介绍 ) 当一个系统建立之后通常需要适当地做一些权限控制使得不同用户具有不同的权限操作系统。例如一般的项目中都会做一些简单的登录控制只有特定用户才能登录访问。接下来将针对 Web 应用中常见的自定义用户授权管理进行介绍。 SpringBoot 中自定义 “用户授权管理” 的实现方式 : ① 创建类继承(extens) WebSecurityConfigurerAdapter类 ② 重写 WebSecurityConfigurerAdapter类中的 configure( HttpSecurity http )方法 ③ 通过 HttpSecurity类中的 Xxx方法来实现自定义 “用户授权管理”。通过 configure( HttpSecurity http ) 方法中的 HttpSecurity 类实现/进行 “用户授权管理” HttpSecurity类的主要方法及说明 ( 通过该类中的方法来实现用户授权管理): 方法描述authorizeRequests( ) :授权请求开启基于 “HttpServletRequest” 请求访问的限制。ps : 用于实现 “自定义用户访问控制”。( 通过configure( HttpSecurity http)方法中的 HttpSecurity类的 authorizeRequests( )方法来实现 “自定义用户访问控制” 其他方法则是以此类推。)formLogin( )开启基于表单的用户登录。ps : ① 用于实现 “自定义用户登录页面”。 ② 使用该方法就是使用 security提供的默认登录页面进行登录验证 ( 如果没有指定自定义的登录页面的话 )httpBasic( )开启基于 HTTP 请求的 Basic 认证登录。logout( )开启退出登录的支持。sessionManagement( )开启 Session 管理配置。rememberMe( )开启记住我功能。csrf( )配置 “CSRF” 跨站请求伪造防护功能。补充 : configure ( HttpSecurity http )方法的参数类型是 HttpSecurity 类 HttpSecurity 类提供了 Http请求的限制、权限、Session 管理配置、CSRF跨站请求问题等方法。二、实现 “记住我” 功能 ( 通过 “HttpSecurity类” 的 rememberMe( )方法来实现 “记住我” 功能 ) : 在实际开发中有些项目为了用户登录方便还会提供记住我( Remember-Me )功能。如果用户登录时勾选了 “记住我” 选项那么在一段有效时间内会默认自动登录并允许访问相关页面这就免去了重复登录操作的麻烦。实现记住我功能的具体实际操作为 : 通过 WebSecurityConfigurerAdapter 类的 configure( HttpSecurity http )方法中的 HttpSecurity 类中的 rememberMe( )方法可以实现记住我功能。 rememberMe( )方法中的主要方法及说明如下表所示 : 方法 ( 实现 “记住我” 功能的方法 )描述rememberMeParameter( String rememberMeParameter )方法指定在登录时 “记住” 用户的 HTTP 参数 ( 即指定记住我功能框中的 name属性值 ) 默认值为 : remember-me , 此时前端的记住我这个框的 name属性的属性值必须为 : remember-me 。当然前端可修改对应的属性值但后端的 rememberMeParameter( ) 方法处也要对应的进行修改。key( String key )方法设置记住我认证生成的 Token 令牌标识。tokenValiditySeconds( int token aliditySeconds )方法设置记住我 Token 令牌有效期单位为s(秒)。ps 设置记住我功能中的 token 的有效期。tokenRepository( PersistentTokenRepository tokenRepository )方法指定要使用的 PesistentTokenRepository用来配置持久化 Token令牌。ps :调用该方法来将Cookie信息/Token信息 “存储” 到数据库中。alwaysRemember( boolean alwaysRemember )方法是否应该始终创建 “记住我 Cookie”默认为false 。clearAuthentication( boolean clearAuthentication )方法是否设置 Cookie为安全的如果设置为 true则必须通过 HTTPS进行连接请求。需要说明的是Spring Security 针对 “记住我” 功能提供了两种实现 : 一种是 “简单地” 使用加密来保证基于 Cookie 中 Token 的安全 ; 另一种是通过数据库或其他持久化机制来保存生成的Token。 2.1 基于 “简单加密 Token” 的方式 ( 实现 “记住我” 功能 ) - 存在 “安全隐患”,不建议使用该方式基于简单加密 Token 的方式实现 “记住我功能” 非常简单当用户选择记住我并成功登录后 Spring Security 将会生成一个 Cookie 并发送给客户端浏览器。其中Cookie 值由下列方式组合加密而成。 base64(username : expirationTime : md5Hex(username) : expirationTime : password : key))上述 Cookie 值的生成方式中userame 代表登录的用户名 password 代表登录用户密码 expirationTime 表示记住我中的 Token 的失效目期以毫秒为单位 key 表示防止修改 Token 的标识。基于简单加密 Token 的方式中的 Token 在指定的时间内有效且必须保证 Token 中所包含的 username、password 和 key 没有被改变。需要注意的是这种加密方式其实是存在安全隐患的任何人获取到该记住我功能的 Token后都可以在该 Token 过期之前进行自动登录只有当用户觉察到 Token 被盗用后才会对自己的登录密码进行修改来立即使其原有的记住我 Token 失效。基础项目文件准备创建项目 : 项目结构 : pom.xml ?xml version1.0 encodingUTF-8? project xmlnshttp://maven.apache.org/POM/4.0.0 xmlns:xsihttp://www.w3.org/2001/XMLSchema-instancexsi:schemaLocationhttp://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsdmodelVersion4.0.0/modelVersionparentgroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-parent/artifactIdversion2.1.3.RELEASE/versionrelativePath/ !-- lookup parent from repository --/parentgroupIdcom.itheima/groupIdartifactIdchapter07/artifactIdversion0.0.1-SNAPSHOT/versionnamechapter07/namedescriptionDemo project for Spring Boot/descriptionpropertiesjava.version1.8/java.version/propertiesdependencies!-- Security与Thymeleaf整合实现前端页面安全访问控制 --dependencygroupIdorg.thymeleaf.extras/groupIdartifactIdthymeleaf-extras-springsecurity5/artifactId/dependency!-- JDBC数据库连接启动器 --dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-jdbc/artifactId/dependency!-- MySQL数据连接驱动 --dependencygroupIdmysql/groupIdartifactIdmysql-connector-java/artifactIdscoperuntime/scope/dependency!-- Redis缓存启动器--dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-data-redis/artifactId/dependency!-- Spring Data JPA操作数据库 --dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-data-jpa/artifactId/dependency!-- Spring Security提供的安全管理依赖启动器 --dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-security/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-thymeleaf/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-web/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-test/artifactIdscopetest/scope/dependency/dependencies!-- build--!-- plugins--!-- plugin--!-- groupIdorg.springframework.boot/groupId--!-- artifactIdspring-boot-maven-plugin/artifactId--!-- /plugin--!-- /plugins--!-- /build--/project导入 Sql文件 ( 创建数据库表 ) security.sql 创建实体类 : Customer.java : import javax.persistence.*;Entity(name t_customer)public class Customer {IdGeneratedValue(strategy GenerationType.IDENTITY) //主键自增private Integer id;private String username;private String password;public Integer getId() {return id;}public void setId(Integer id) {this.id id;}public String getUsername() {return username;}public void setUsername(String username) {this.username username;}public String getPassword() {return password;}public void setPassword(String password) {this.password password;}Overridepublic String toString() {return Customer{ id id , username username \ , password password };} }Authority.java import javax.persistence.Entity; import javax.persistence.GeneratedValue; import javax.persistence.GenerationType; import javax.persistence.Id;Entity(name t_authority ) public class Authority {IdGeneratedValue(strategy GenerationType.IDENTITY) //主键自增private Integer id;private String authority ;public Integer getId() {return id;}public void setId(Integer id) {this.id id;}public String getAuthority() {return authority;}public void setAuthority(String authority) {this.authority authority;}Overridepublic String toString() {return Authority{ id id , authority authority \ };} }创建Repository接口文件 : ( 通过该接口的方法来操作数据 ) CustomerRepository.java : import org.springframework.data.jpa.repository.JpaRepository;public interface CustomerRepository extends JpaRepositoryCustomer,Integer {//根据username查询Customer对象信息Customer findByUsername(String username); }AuthorityRepository.java ( 接口文件 ) : import org.springframework.data.jpa.repository.JpaRepository; import org.springframework.data.jpa.repository.Query;import java.util.List;public interface AuthorityRepository extends JpaRepositoryAuthority,Integer {//根据 username 来查询权限信息Query(value select a.* from t_customer c,t_authority a,t_customer_authority ca where ca.customer_idc.id and ca.authority_ida.id and c.username ?1,nativeQuery true)public ListAuthority findAuthoritiesByUsername(String username);}自定义序列化机制 : RedisConfig.java : package com.itheima.config;import com.fasterxml.jackson.annotation.JsonAutoDetect; import com.fasterxml.jackson.annotation.PropertyAccessor; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.data.redis.cache.RedisCacheConfiguration; import org.springframework.data.redis.cache.RedisCacheManager; import org.springframework.data.redis.connection.RedisConnectionFactory; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.data.redis.serializer.Jackson2JsonRedisSerializer; import org.springframework.data.redis.serializer.RedisSerializationContext; import org.springframework.data.redis.serializer.RedisSerializer; import org.springframework.data.redis.serializer.StringRedisSerializer;import java.time.Duration;Configuration public class RedisConfig { //在该配置类中自定义存储到Redis数据库的数据的序列化机制/*** 定制Redis API模板RedisTemplate* param redisConnectionFactory* return*/Beanpublic RedisTemplateObject, Object redisTemplate(RedisConnectionFactory redisConnectionFactory) {RedisTemplateObject, Object template new RedisTemplate();template.setConnectionFactory(redisConnectionFactory);// 使用JSON格式序列化对象对缓存数据key和value进行转换Jackson2JsonRedisSerializer jacksonSeial new Jackson2JsonRedisSerializer(Object.class);// 解决查询缓存转换异常的问题ObjectMapper om new ObjectMapper();// 指定要序列化的域field,get和set,以及修饰符范围ANY是都有包括private和publicom.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);// 指定序列化输入的类型类必须是非final修饰的final修饰的类比如String,Integer等会跑出异常om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);jacksonSeial.setObjectMapper(om);// 设置RedisTemplate模板API的序列化方式为JSONtemplate.setDefaultSerializer(jacksonSeial);return template;} }application.properties : spring.datasource.urljdbc:mysql://localhost:3306/springbootdata?serverTimezoneUTC spring.datasource.usernameroot spring.datasource.passwordrootspring.redis.host127.0.0.1 spring.redis.port6379 spring.redis.password123456spring.thymeleaf.cachefalse创建 html资源文件 : index.html 页面是项目首页页面common和vip文件夹中分别对应的普通用户和 VIP用户可访问的页面。 index.html !DOCTYPE html !-- 配置开启thymeleaf模板引擎页面配置 -- html langen xmlns:thhttp://www.thymeleaf.org headmeta charsetUTF-8title影视直播厅/title /head body!-- index.html页面是项目首页页面common和vip文件夹中分别对应的普通用户和 VIP用户可访问的页面 -- h1 aligncenter欢迎进入电影网站首页/h1 hr h3普通电影/h3 ullia th:href{/detail/common/1}飞驰人生/a/lilia th:href{/detail/common/2}夏洛特烦恼/a/li /ul h3VIP专享/h3 ullia th:href{/detail/vip/1}速度与激情/a/lilia th:href{/detail/vip/2}猩球崛起/a/li /ul /body /html1.html : ( 其他三个页面以此类推 ) !DOCTYPE html html langen xmlns:thhttp://www.thymeleaf.org headmeta charsetUTF-8titleTitle/title /head body !-- th:href{/} : 返回项目首页-- a th:href{/}返回/a h1飞驰人生/h1 ..... /body /html实现 “自定义身份认证” ( UserDetailsService身份认证 ) ① service层中类获取 “用户基本信息” 和 “用户权限信息” 在 service层类中来从 Redis中获取 “缓存数据”如没找到缓存数据则从Mysql数据库查询数据 : ( 获取 ① “用户基本信息” 和 ② “用户权限信息” ) CustomerService.java : import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.stereotype.Service;import java.util.List;/*** 该Service层类中实现的代码效果为:* 在Reids数据库中查找是否有指定缓存数据,有则从其中获取没有则在Mysql数据库中查找,同时还将查找到的数据也在Redis中进行缓存*/ Service //加入到IOC容器中 public class CustomerService {Autowiredprivate CustomerRepository customerRepository;Autowiredprivate AuthorityRepository authorityRepository;Autowiredprivate RedisTemplate redisTemplate; //通过 Redis API 的方式来进行 Redis缓存/*** 业务控制 : 使用唯一用户名查询用户信息*/public Customer getCustomer(String username){Customer customernull;//从Redis数据库中获取缓存数据Object o redisTemplate.opsForValue().get(customer_username);//判断是否有该缓存数据if(o!null){customer(Customer)o;}else { //不存在该缓存数据则从数据库中查询缓存数据customer customerRepository.findByUsername(username); //根据username来在数据库中查询数据if(customer!null){redisTemplate.opsForValue().set(customer_username,customer);}}return customer;}/*** 业务控制 : 使用唯一用户名查询用户权限*/public ListAuthority getCustomerAuthority(String username){ListAuthority authoritiesnull;//尝试从Redis数据库中获得缓存数据Object o redisTemplate.opsForValue().get(authorities_username);if(o!null){authorities(ListAuthority)o;}else {//没找到缓存数据则从Mysql数据库中查询数据authoritiesauthorityRepository.findAuthoritiesByUsername(username);if(authorities.size()0){redisTemplate.opsForValue().set(authorities_username,authorities);}}return authorities;} }② “自定义类” 实现 “UserDetailsService接口” , 在该类中封装 “用户身份认证信息” 自定义一个类 , 该类实现了 UserDetailsService接口 , 用该接口的 loadUserByUsername( )方法来封装用户认证信息 , 该类最终被用于 configure ( AuthenticationManagerBuilder auth ) 方法中被最终用于 UserDetailsService身份认证。 UserDetailsServiceImpl.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.*; import org.springframework.stereotype.Service; import java.util.ArrayList; import java.util.List; import java.util.stream.Collectors;/*** 自定义一个类, 该类实现了UserDetailsService接口 , 用该接口的 loadUserByUsername()方法来封装用户认证信息 ,* 该类最终被用于 configure(AuthenticationManagerBuilder auth)方法中被最终用于 UserDetailsService身份认证。*/ Service public class UserDetailsServiceImpl implements UserDetailsService { //实现 UserDetailsService接口Autowiredprivate CustomerService customerService;Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { //辅助进行用户身份认证的方法//通过业务方法(业务层类)获取用户以及权限信息//根据username获得Customer对象信息Customer customer customerService.getCustomer(s);ListAuthority authorities customerService.getCustomerAuthority(s);/*** .stream() : 将权限信息集合转换为一个流(Stream) , 以便进行后续的流式操作** .map(authority - new SimpleGrantedAuthority(authority.getAuthority())) :* 使用map操作 / map()函数来转换流中的每个元素 (将流中的每一个元素转换为另一种形式)* 具体分析:* authority - 获得流中的每一个元素,将其转换为另一种形式* authority.getAuthority() : 获得 authority 这个元素对象的权限信息 ( 是一个权限信息的字符串 )* new SimpleGrantedAuthority(authority.getAuthority())) : 使用这个权限信息字符串创建一个 SimpleGrantedAuthority对象* 该对象是 Spring Security框架中用于表示授权信息的类** .collect(Collectors.toList()); : 是一个终端操作它告诉流如何收集其元素以生成一个结果。* 具体分析:* .collect(Collectors.toList()) : 收集转换后的 SimpleGrantedAuthority对象并将其放入一个新的列表中*/// 对用户权限信息进行封装ListSimpleGrantedAuthority list authorities.stream().map(authority - new SimpleGrantedAuthority(authority.getAuthority())).collect(Collectors.toList());/*创建 UserDetails (用户详情) 对象并将该对象进行返回*/if(customer!null){//用 username 、password 、权限信息集合作为参数创建 UserDetails对象 ( 用户详情对象 )UserDetails userDetails new User(customer.getUsername(),customer.getPassword(),list);return userDetails;} else {//如果查询的用户不存在 (用户名不存在 ) , 必须抛出异常throw new UsernameNotFoundException(当前用户不存在);}} }③ “SecurityConfig配置类” 中实现 “自定义身份认证” “SecurityConfig配置类” 中实现 “自定义身份认证” : SecurityConfig.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);} } 实现 “自定义用户访问” ④ “SecurityConfig配置类” 中实现 “自定义用户访问控制” “SecurityConfig配置类” 中实现自定义 “用户访问控制” : SecurityConfig.java package com.itheima.config;import com.itheima.service.Impl.UserDetailsServiceImpl; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制*/Overrideprotected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户访问控制 http.authorizeRequests().antMatchers(/).permitAll() //对/请求进行放行.antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)}}⑤ controller层中实现 “路径访问跳转” controller层中实现路径访问跳转 : LoginController.java import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.ResponseBody;Controller //加入IOC容器中 public class LoginController { //关于跳转到登录页面有关的controller类/*跳转到Detail文件夹下的视图页面*/GetMapping(/detail/{type}/{path}) //其中的变量为路径变量// PathVariable注解获得路径变量的值public String toDetail( PathVariable(type) String type ,PathVariable(path) String path ) {//返回值为String,可用于返回一个视图页面return /detail/type/path;}}实现 “自定义用户登录” ⑥ 自定义用户登录 “页面” 要实现自定义用户登录功能首先必须根据需要自定义一个用户登录页面。在项目的 resources/templates 目录下新创建一个名为 login 的文件夹( 专门处理用户登录 )在该文件夹中创建一个用户登录页面 : login.html 。 login.html !DOCTYPE html !-- 配置开启thymeleaf模板引擎页面配置 -- html xmlnshttp://www.w3.org/1999/xhtml xmlns:thhttp://www.thymeleaf.org headmeta http-equivContent-Type contenttext/html; charsetUTF-8title用户登录界面/titlelink th:href{/login/css/bootstrap.min.css} relstylesheetlink th:href{/login/css/signin.css} relstylesheet /head body classtext-center !-- form表单请求跳转路径为 : /userLogin -- form classform-signin th:action{/userLogin} th:methodpost !-- img标签--img classmb-4 th:src{/login/img/login.jpg} width72px height72pxh1 classh3 mb-3 font-weight-normal请登录/h1!-- 用户登录错误信息提示框 --!-- th:if 根据条件的真假决定是否渲染 HTML 元素真则渲染假则不渲染 (有该参数值则渲染,没有该参数值则不渲染) --!-- 有该参数值则渲染该div否则就不渲染该div --div th:if${param.error}stylecolor: red;height: 40px;text-align: left;font-size: 1.1em!-- img标签 --img th:src{/login/img/loginError.jpg} width20px用户名或密码错误请重新登录/div!-- 用户名参数名为 : name , 密码的参数名为: pws --input typetext namename classform-controlplaceholder用户名 required autofocusinput typepassword namepwd classform-controlplaceholder密码 requiredbutton classbtn btn-lg btn-primary btn-block typesubmit 登录/buttonp classmt-5 mb-3 text-mutedCopyright© 2024-2025/p /form /body /html上面代码中还引入了两个 CSS 样式文件和两个 img图片文件用来渲染用户登录页面它们都存在于 /ogin/** 目录下需要提前引入这些静态资源文件目录中。引入这些静态资源文件后结构如下图所示 : 获得相应的css文件和图片文件 ⑦ 自定义用户登录 “跳转” 自定义 “用户登录跳转” : import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.ResponseBody;Controller //加入IOC容器中 public class LoginController { //关于跳转到登录页面有关的controller类/*** 跳转到自定义的登录页面*/GetMapping(/userLogin)public String toLoginPage() {return /login/login;} }Spring Security 默认采用 Get 方式的 “/ogin”请求用于向 “登录页面” 跳转 ( 可自定义跳转的登录页面的路径来指定”登录页面“ )使用 Post 方式的 “/ogin”请求用于对登录后的数据处理。 ⑧ 自定义用户登录 “控制” 完成上面的准备工作后打开 SecurityConfig 类重写 configure( HttpSecurity http )方法实现用户登录控制示例代码如下 : SecurityConfig.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);}/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制 ( 权限管理 )*/ Override protected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户授权管理 (自定义用户访问控制 )http.authorizeRequests() .antMatchers(/).permitAll() //对 /请求进行放行 (进入到项目首页)//对static文件夹下的静态资源进行统一放行 (如果没有对静态资源放行未登录的用户访问项目首页时就无法加载页面关联的静态资源文件 ).antMatchers(/login/**).permitAll().antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)/*** 自定义用户登录控制 :* .loginPage() : 自定义登录页面的跳转路径 , 跳转到自己定制的登录页面* .permitAll() : 无条件对请求进行放行* .usernameParameter(name).passwordParameter(pwd) : 设置登录用户的用户名参数和密码参数 (接受登录时提交的用户名和密码)* .defaultSuccessUrl() : 指定用户登录成功后的默认跳转地址* .failureUrl() : 指定用户登录失败后的跳转地址,默认跳转到 /login?error* ---error时一个错误标识作用是在登录失败后在登录页面进行接收判断例如login.html示例中的${param.error},这两者必须保持一直。*///自定义用户登录控制http.formLogin().loginPage(/userLogin).permitAll() //自定义登录页面的跳转路径.usernameParameter(name).passwordParameter(pwd) //设置登录用户的用户名参数和密码参数.defaultSuccessUrl(/) //用户登录成功后默认跳转到项目首页.failureUrl(/userLogin?error); //用户登录失败后默认跳转到项目首页} } 实现 “自定义用户退出” ⑨ 添加自定义 “用户退出链接” 要实现自定义用户退出功能必须先在某个页面定义用户退出链接或者按钮。为了简化操作我们在之前创建的项目首页 : index.html 上方新增一个用户退出链接修改后的示范文件代码如下所示 : !-- th:action : 用于指定“表单提交”时 “应发送的URL”-- !-- 跳转到 /mylogout路径来进行用户退出 , 因为不是使用默认的 /logout路径来请求用户退出所以后端的 .logoutUrl()方法中内容也修改为 /mylogout -- !-- 同时 /mylogout 请求的方法为post类型的-- form th:action/mylogout methodpostinput th:typesubmit th:value注销 /formindex.html !DOCTYPE html !-- 配置开启thymeleaf模板引擎页面配置 -- html langen xmlns:thhttp://www.thymeleaf.org headmeta charsetUTF-8title影视直播厅/title /head body!-- index.html页面是项目首页页面common和vip文件夹中分别对应的普通用户和 VIP用户可访问的页面 -- h1 aligncenter欢迎进入电影网站首页/h1 !-- th:action : 用于指定“表单提交”时 “应发送的URL”-- !-- 跳转到 /mylogout路径来进行用户退出 , 因为不是使用默认的 /logout路径来请求用户退出所以后端的 .logoutUrl()方法中内容也修改为 /mylogout -- !-- 同时 /mylogout 请求的方法为post类型的-- form th:action/mylogout methodpostinput th:typesubmit th:value注销 /form hr h3普通电影/h3 ullia th:href{/detail/common/1}飞驰人生/a/lilia th:href{/detail/common/2}夏洛特烦恼/a/li /ul h3VIP专享/h3 ullia th:href{/detail/vip/1}速度与激情/a/lilia th:href{/detail/vip/2}猩球崛起/a/li /ul /body /html上面的代码中新增了一个 form标签进行注销控制 ( 进行 “用户退出控制”)且定义的退出表单 aciton 为“/mylogout ( 默认为“/logout” )方法为 post。需要说明的是Spring Boot 项目中引入 Spring Security 框架后会自动开启 : CSRF 防护功能 ( 跨站请求伪造防护)用户退出时必须使用 POST请求 ; 如果关闭了 CSRF 防护功能那么可以使用任意方式的HTTP 请求进行用户注销。 ⑩ 添加自定义 “用户退出控制” SecurityConfig.java import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);}/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制 ( 权限管理 )*/ Override protected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户授权管理 (自定义用户访问控制 )http.authorizeRequests().antMatchers(/).permitAll() //对 /请求进行放行 (进入到项目首页)//对static文件夹下的静态资源进行统一放行 (如果没有对静态资源放行未登录的用户访问项目首页时就无法加载页面关联的静态资源文件 ).antMatchers(/login/**).permitAll().antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)/*** 自定义用户登录控制 :* .loginPage() : 自定义登录页面的跳转路径 , 跳转到自己定制的登录页面* .permitAll() : 无条件对请求进行放行* .usernameParameter(name).passwordParameter(pwd) : 设置登录用户的用户名参数和密码参数 (接受登录时提交的用户名和密码)* .defaultSuccessUrl() : 指定用户登录成功后的默认跳转地址* .failureUrl() : 指定用户登录失败后的跳转地址,默认跳转到 /login?error* ---error时一个错误标识作用是在登录失败后在登录页面进行接收判断例如login.html示例中的${param.error},这两者必须保持一直。*///自定义用户登录控制http.formLogin().loginPage(/userLogin).permitAll() //自定义登录页面的跳转路径.usernameParameter(name).passwordParameter(pwd) //设置登录用户的用户名参数和密码参数.defaultSuccessUrl(/) //用户登录成功后默认跳转到项目首页.failureUrl(/userLogin?error); //用户登录失败后默认跳转到项目首页/*** 自定义用户退出控制*/http.logout().logoutUrl(/mylogout) //指定用户退出的请求路径 (前端页面进行用户退出时要请求该路径且方法为post).logoutSuccessUrl(/); //退出成功后的重定向地址 (退出成功后跳转的地址)//用户退出后用户会话信息是默认清除的次情况下无需手动配置}}基于 “简单加密Token方式” 实现记住我功能 ⑪ 前端页面中添加 “记住我” 框下面将结合前面介绍的 rememberMe()相关方法来实现这种简单的记住我功能。在已有的 login.html 文件中新增一个 “记住我” 功能勾选框示例代码如下 : !-- 实现记住我功能 --divlabel!--Security提供的记住我功能的name属性默认值为: remember-me , 下面的name属性值为 : rememberme ,因此后端的 rememberMeParameter()方法中也要进行对应的修改-- input th:typecheckbox namerememberme记住我/label/divlogin.html : !DOCTYPE html !-- 配置开启thymeleaf模板引擎页面配置 -- html xmlnshttp://www.w3.org/1999/xhtml xmlns:thhttp://www.thymeleaf.org headmeta http-equivContent-Type contenttext/html; charsetUTF-8title用户登录界面/titlelink th:href{/login/css/bootstrap.min.css} relstylesheetlink th:href{/login/css/signin.css} relstylesheet /head body classtext-center !-- form表单请求跳转路径为 : /userLogin -- form classform-signin th:action{/userLogin} th:methodpost !-- img标签--img classmb-4 th:src{/login/img/login.jpg} width72px height72pxh1 classh3 mb-3 font-weight-normal请登录/h1!-- 用户登录错误信息提示框 --!-- th:if 根据条件的真假决定是否渲染 HTML 元素真则渲染假则不渲染 (有该参数值则渲染,没有该参数值则不渲染) --!-- 有该参数值则渲染该div否则就不渲染该div --div th:if${param.error}stylecolor: red;height: 40px;text-align: left;font-size: 1.1em!-- img标签 --img th:src{/login/img/loginError.jpg} width20px用户名或密码错误请重新登录/div!-- 用户名参数名为 : name , 密码的参数名为: pws --input typetext namename classform-controlplaceholder用户名 required autofocusinput typepassword namepwd classform-controlplaceholder密码 required!-- 实现记住我功能 --divlabel!--Security提供的记住我功能的name属性默认值为: remember-me , 下面的name属性值为 : rememberme ,因此后端的 rememberMeParameter()方法中也要进行对应的修改--input th:typecheckbox namerememberme记住我/label/divbutton classbtn btn-lg btn-primary btn-block typesubmit 登录/buttonp classmt-5 mb-3 text-mutedCopyright© 2024-2025/p /form /body /html⑫ 定制 “记住我” 功能定制 “记住我” 功能 : /*** 定制记住我功能*/http.rememberMe()//指定记住我功能框中的name属性值,如果该框使用了默认的remember-me,则该方法可以省略.rememberMeParameter(rememberme)//设置记住我功能中的token的有效期为200s.tokenValiditySeconds(200); }SecurityConfig.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);}/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制 ( 权限管理 )*/ Override protected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户授权管理 (自定义用户访问控制 )http.authorizeRequests().antMatchers(/).permitAll() //对 /请求进行放行 (进入到项目首页)//对static文件夹下的静态资源进行统一放行 (如果没有对静态资源放行未登录的用户访问项目首页时就无法加载页面关联的静态资源文件 ).antMatchers(/login/**).permitAll().antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)/*** 自定义用户登录控制 :* .loginPage() : 自定义登录页面的跳转路径 , 跳转到自己定制的登录页面* .permitAll() : 无条件对请求进行放行* .usernameParameter(name).passwordParameter(pwd) : 设置登录用户的用户名参数和密码参数 (接受登录时提交的用户名和密码)* .defaultSuccessUrl() : 指定用户登录成功后的默认跳转地址* .failureUrl() : 指定用户登录失败后的跳转地址,默认跳转到 /login?error* ---error时一个错误标识作用是在登录失败后在登录页面进行接收判断例如login.html示例中的${param.error},这两者必须保持一直。*///自定义用户登录控制http.formLogin().loginPage(/userLogin).permitAll() //自定义登录页面的跳转路径.usernameParameter(name).passwordParameter(pwd) //设置登录用户的用户名参数和密码参数.defaultSuccessUrl(/) //用户登录成功后默认跳转到项目首页.failureUrl(/userLogin?error); //用户登录失败后默认跳转到项目首页/*** 自定义用户退出控制*/http.logout().logoutUrl(/mylogout) //指定用户退出的请求路径 (前端页面进行用户退出时要请求该路径且方法为post).logoutSuccessUrl(/); //退出成功后的重定向地址 (退出成功后跳转的地址)//用户退出后用户会话信息是默认清除的次情况下无需手动配置/*** 定制记住我功能*/http.rememberMe()//指定记住我功能框中的name属性值,如果该框使用了默认的remember-me,则该方法可以省略.rememberMeParameter(rememberme)//设置记住我功能中的token的有效期为200s.tokenValiditySeconds(200);}}在初次登录时勾选了【记住我】选项后在设置的 Token 有效期内再次进行访问不需要重新登录认证。如果 Token 失效后再次访问项目则需要重新登录认证。 2.2 基于持久化 Token 的方式 ( 这种方式比 “第一种” 方式更安全 ) 持久化 Token 的方式与简单加密Token 的方式在实现 Remember-Me (记住我) 功能上大体相同 , 都是在用户选择【记住我】并成功登录后将生成的Token存入Cookie 中并发送到客户端浏览器在下次用户通过同一客户端访问系统时系统将直接从客户端 Cookie 中读取 Token 进行认证。 ( 用户登录成功将生成的Token存入到 Cookie中并将该Cookie发送给客户端浏览器 , 浏览器读取 Cookie 中的 Token信息进行认证这就实现了记住我功能 ) 基于 “简单加密 Token” 的方式和基于持久化 Token 的方式的区别 : 1. 基于简单加密 Token 的方式生成的Token 将在客户端保存一段时间 , 如果用户不退出登录或者不修改密码那么在 Cookie 失效之前任何人都可以无限制地使用该 Token 进行自动登录 ; 2. 基于持久化 Token 的方式采用如下实现逻辑 : (1) 用户选择【记住我功能成功登录后Security 会把 ① username、② 随机产生的序列号、③ 生成的Token 进行持久化存储 ( 例如存储在数据表中 )同时将它们的组合生成一个 Cookie “发送给” 客户端浏览器。 ----( 将记住我功能相关的信息在数据库存储一份同时也将其组合成一个 Cookie将该 Cookie 向客户端浏览器发送一份 )(2) 当用户再次访问系统时首先检查客户端携带的 Cookie信息如果对应 Cookie信息中包含的 username、序列号和 Token 与数据库中保存的一致则 “验证通过” 并 “自动登录”同时系统将重新生成一个新的 Token 替换数据库中旧的 Token同时也会组合一个新的Cookie 并将其发给 “客户端”。 ----( 当用户再次访问系统时将客户端中的 Cookie信息和与数据库中的Token信息进行比对如果一致则代表验证通过并“ 自动登录” 同时系统将生成一个新的Token “替代” 数据库中旧的Token 同时还会组合一个新的Cookie 并将其发给 “客户端” )(3) 如果 Cookie 中的 Token 不匹配即如果客户端中的 Token信息与数据库中的 Token信息不一致则很有可能是用户的 Cookie 被盗用了。由于盗用者使用初次生成的 Token 进行登录时会生成一个新的 Token所以当用户在不知情时再次登录就会出现 Token 不匹配的情况这时就需要重新登录并生成新的Token 和 Cookie。同时 Spring Securiy 就可以发现 Cookie 可能被盗用的情况它将删除数据库中与当前用户相关的所有Token 记录这样盗用者使用原有的Cookie 将不能再次登录。(4) 如果用户访问系统时没有携带Cookie或者包含的 username 和序列号与数据库中保存的不一致那么将会引导用户到登录页面。从以上实现逻辑可以看出持久化Token 的方式比简单加密Token 的方式相对更加安全。使用简单加密 Token 的方式一旦用户的 Cookie 被盗用在 Token 有效期内盗用者可以无限制地自动登录进行恶意操作直到用户本人发现并修改密码才会避免这种问题 ; 而使用持久化 Token 的方式相对安全用户每登录一次都会生成新的Token和 Cookie但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会只有在用户进行第2次登录并更新Token 和 Cookie 时才会避免这种问题。因此总体来讲对于安全性要求很高的应用不推荐使用Bemember-Me 功能。基础项目文件准备创建项目 : 项目结构 : pom.xml ?xml version1.0 encodingUTF-8? project xmlnshttp://maven.apache.org/POM/4.0.0 xmlns:xsihttp://www.w3.org/2001/XMLSchema-instancexsi:schemaLocationhttp://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsdmodelVersion4.0.0/modelVersionparentgroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-parent/artifactIdversion2.1.3.RELEASE/versionrelativePath/ !-- lookup parent from repository --/parentgroupIdcom.itheima/groupIdartifactIdchapter07/artifactIdversion0.0.1-SNAPSHOT/versionnamechapter07/namedescriptionDemo project for Spring Boot/descriptionpropertiesjava.version1.8/java.version/propertiesdependencies!-- Security与Thymeleaf整合实现前端页面安全访问控制 --dependencygroupIdorg.thymeleaf.extras/groupIdartifactIdthymeleaf-extras-springsecurity5/artifactId/dependency!-- JDBC数据库连接启动器 --dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-jdbc/artifactId/dependency!-- MySQL数据连接驱动 --dependencygroupIdmysql/groupIdartifactIdmysql-connector-java/artifactIdscoperuntime/scope/dependency!-- Redis缓存启动器--dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-data-redis/artifactId/dependency!-- Spring Data JPA操作数据库 --dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-data-jpa/artifactId/dependency!-- Spring Security提供的安全管理依赖启动器 --dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-security/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-thymeleaf/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-web/artifactId/dependencydependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-test/artifactIdscopetest/scope/dependency/dependencies!-- build--!-- plugins--!-- plugin--!-- groupIdorg.springframework.boot/groupId--!-- artifactIdspring-boot-maven-plugin/artifactId--!-- /plugin--!-- /plugins--!-- /build--/project导入 Sql文件 ( 创建数据库表 ) security.sql 创建实体类 : Customer.java : import javax.persistence.*;Entity(name t_customer)public class Customer {IdGeneratedValue(strategy GenerationType.IDENTITY) //主键自增private Integer id;private String username;private String password;public Integer getId() {return id;}public void setId(Integer id) {this.id id;}public String getUsername() {return username;}public void setUsername(String username) {this.username username;}public String getPassword() {return password;}public void setPassword(String password) {this.password password;}Overridepublic String toString() {return Customer{ id id , username username \ , password password };} }Authority.java import javax.persistence.Entity; import javax.persistence.GeneratedValue; import javax.persistence.GenerationType; import javax.persistence.Id;Entity(name t_authority ) public class Authority {IdGeneratedValue(strategy GenerationType.IDENTITY) //主键自增private Integer id;private String authority ;public Integer getId() {return id;}public void setId(Integer id) {this.id id;}public String getAuthority() {return authority;}public void setAuthority(String authority) {this.authority authority;}Overridepublic String toString() {return Authority{ id id , authority authority \ };} }创建Repository接口文件 : ( 通过该接口的方法来操作数据 ) CustomerRepository.java : import org.springframework.data.jpa.repository.JpaRepository;public interface CustomerRepository extends JpaRepositoryCustomer,Integer {//根据username查询Customer对象信息Customer findByUsername(String username); }AuthorityRepository.java ( 接口文件 ) : import org.springframework.data.jpa.repository.JpaRepository; import org.springframework.data.jpa.repository.Query;import java.util.List;public interface AuthorityRepository extends JpaRepositoryAuthority,Integer {//根据 username 来查询权限信息Query(value select a.* from t_customer c,t_authority a,t_customer_authority ca where ca.customer_idc.id and ca.authority_ida.id and c.username ?1,nativeQuery true)public ListAuthority findAuthoritiesByUsername(String username);}自定义序列化机制 : RedisConfig.java : package com.itheima.config;import com.fasterxml.jackson.annotation.JsonAutoDetect; import com.fasterxml.jackson.annotation.PropertyAccessor; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.data.redis.cache.RedisCacheConfiguration; import org.springframework.data.redis.cache.RedisCacheManager; import org.springframework.data.redis.connection.RedisConnectionFactory; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.data.redis.serializer.Jackson2JsonRedisSerializer; import org.springframework.data.redis.serializer.RedisSerializationContext; import org.springframework.data.redis.serializer.RedisSerializer; import org.springframework.data.redis.serializer.StringRedisSerializer;import java.time.Duration;Configuration public class RedisConfig { //在该配置类中自定义存储到Redis数据库的数据的序列化机制/*** 定制Redis API模板RedisTemplate* param redisConnectionFactory* return*/Beanpublic RedisTemplateObject, Object redisTemplate(RedisConnectionFactory redisConnectionFactory) {RedisTemplateObject, Object template new RedisTemplate();template.setConnectionFactory(redisConnectionFactory);// 使用JSON格式序列化对象对缓存数据key和value进行转换Jackson2JsonRedisSerializer jacksonSeial new Jackson2JsonRedisSerializer(Object.class);// 解决查询缓存转换异常的问题ObjectMapper om new ObjectMapper();// 指定要序列化的域field,get和set,以及修饰符范围ANY是都有包括private和publicom.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);// 指定序列化输入的类型类必须是非final修饰的final修饰的类比如String,Integer等会跑出异常om.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);jacksonSeial.setObjectMapper(om);// 设置RedisTemplate模板API的序列化方式为JSONtemplate.setDefaultSerializer(jacksonSeial);return template;} }application.properties : spring.datasource.urljdbc:mysql://localhost:3306/springbootdata?serverTimezoneUTC spring.datasource.usernameroot spring.datasource.passwordrootspring.redis.host127.0.0.1 spring.redis.port6379 spring.redis.password123456spring.thymeleaf.cachefalse创建 html资源文件 : index.html 页面是项目首页页面common和vip文件夹中分别对应的普通用户和 VIP用户可访问的页面。 index.html !DOCTYPE html !-- 配置开启thymeleaf模板引擎页面配置 -- html langen xmlns:thhttp://www.thymeleaf.org headmeta charsetUTF-8title影视直播厅/title /head body!-- index.html页面是项目首页页面common和vip文件夹中分别对应的普通用户和 VIP用户可访问的页面 -- h1 aligncenter欢迎进入电影网站首页/h1 hr h3普通电影/h3 ullia th:href{/detail/common/1}飞驰人生/a/lilia th:href{/detail/common/2}夏洛特烦恼/a/li /ul h3VIP专享/h3 ullia th:href{/detail/vip/1}速度与激情/a/lilia th:href{/detail/vip/2}猩球崛起/a/li /ul /body /html1.html : ( 其他三个页面以此类推 ) !DOCTYPE html html langen xmlns:thhttp://www.thymeleaf.org headmeta charsetUTF-8titleTitle/title /head body !-- th:href{/} : 返回项目首页-- a th:href{/}返回/a h1飞驰人生/h1 ..... /body /html实现 “自定义身份认证” ( UserDetailsService身份认证 ) ① service层中类获取 “用户基本信息” 和 “用户权限信息” 在 service层类中来从 Redis中获取 “缓存数据”如没找到缓存数据则从Mysql数据库查询数据 : ( 获取 ① “用户基本信息” 和 ② “用户权限信息” ) CustomerService.java : import org.springframework.beans.factory.annotation.Autowired; import org.springframework.data.redis.core.RedisTemplate; import org.springframework.stereotype.Service;import java.util.List;/*** 该Service层类中实现的代码效果为:* 在Reids数据库中查找是否有指定缓存数据,有则从其中获取没有则在Mysql数据库中查找,同时还将查找到的数据也在Redis中进行缓存*/ Service //加入到IOC容器中 public class CustomerService {Autowiredprivate CustomerRepository customerRepository;Autowiredprivate AuthorityRepository authorityRepository;Autowiredprivate RedisTemplate redisTemplate; //通过 Redis API 的方式来进行 Redis缓存/*** 业务控制 : 使用唯一用户名查询用户信息*/public Customer getCustomer(String username){Customer customernull;//从Redis数据库中获取缓存数据Object o redisTemplate.opsForValue().get(customer_username);//判断是否有该缓存数据if(o!null){customer(Customer)o;}else { //不存在该缓存数据则从数据库中查询缓存数据customer customerRepository.findByUsername(username); //根据username来在数据库中查询数据if(customer!null){redisTemplate.opsForValue().set(customer_username,customer);}}return customer;}/*** 业务控制 : 使用唯一用户名查询用户权限*/public ListAuthority getCustomerAuthority(String username){ListAuthority authoritiesnull;//尝试从Redis数据库中获得缓存数据Object o redisTemplate.opsForValue().get(authorities_username);if(o!null){authorities(ListAuthority)o;}else {//没找到缓存数据则从Mysql数据库中查询数据authoritiesauthorityRepository.findAuthoritiesByUsername(username);if(authorities.size()0){redisTemplate.opsForValue().set(authorities_username,authorities);}}return authorities;} }② “自定义类” 实现 “UserDetailsService接口” , 在该类中封装 “用户身份认证信息” 自定义一个类 , 该类实现了 UserDetailsService接口 , 用该接口的 loadUserByUsername( )方法来封装用户认证信息 , 该类最终被用于 configure ( AuthenticationManagerBuilder auth ) 方法中被最终用于 UserDetailsService身份认证。 UserDetailsServiceImpl.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.authority.SimpleGrantedAuthority; import org.springframework.security.core.userdetails.*; import org.springframework.stereotype.Service; import java.util.ArrayList; import java.util.List; import java.util.stream.Collectors;/*** 自定义一个类, 该类实现了UserDetailsService接口 , 用该接口的 loadUserByUsername()方法来封装用户认证信息 ,* 该类最终被用于 configure(AuthenticationManagerBuilder auth)方法中被最终用于 UserDetailsService身份认证。*/ Service public class UserDetailsServiceImpl implements UserDetailsService { //实现 UserDetailsService接口Autowiredprivate CustomerService customerService;Overridepublic UserDetails loadUserByUsername(String s) throws UsernameNotFoundException { //辅助进行用户身份认证的方法//通过业务方法(业务层类)获取用户以及权限信息//根据username获得Customer对象信息Customer customer customerService.getCustomer(s);ListAuthority authorities customerService.getCustomerAuthority(s);/*** .stream() : 将权限信息集合转换为一个流(Stream) , 以便进行后续的流式操作** .map(authority - new SimpleGrantedAuthority(authority.getAuthority())) :* 使用map操作 / map()函数来转换流中的每个元素 (将流中的每一个元素转换为另一种形式)* 具体分析:* authority - 获得流中的每一个元素,将其转换为另一种形式* authority.getAuthority() : 获得 authority 这个元素对象的权限信息 ( 是一个权限信息的字符串 )* new SimpleGrantedAuthority(authority.getAuthority())) : 使用这个权限信息字符串创建一个 SimpleGrantedAuthority对象* 该对象是 Spring Security框架中用于表示授权信息的类** .collect(Collectors.toList()); : 是一个终端操作它告诉流如何收集其元素以生成一个结果。* 具体分析:* .collect(Collectors.toList()) : 收集转换后的 SimpleGrantedAuthority对象并将其放入一个新的列表中*/// 对用户权限信息进行封装ListSimpleGrantedAuthority list authorities.stream().map(authority - new SimpleGrantedAuthority(authority.getAuthority())).collect(Collectors.toList());/*创建 UserDetails (用户详情) 对象并将该对象进行返回*/if(customer!null){//用 username 、password 、权限信息集合作为参数创建 UserDetails对象 ( 用户详情对象 )UserDetails userDetails new User(customer.getUsername(),customer.getPassword(),list);return userDetails;} else {//如果查询的用户不存在 (用户名不存在 ) , 必须抛出异常throw new UsernameNotFoundException(当前用户不存在);}} }③ “SecurityConfig配置类” 中实现 “自定义身份认证” “SecurityConfig配置类” 中实现 “自定义身份认证” : SecurityConfig.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);} } 实现 “自定义用户访问” ④ “SecurityConfig配置类” 中实现 “自定义用户访问控制” “SecurityConfig配置类” 中实现自定义 “用户访问控制” : SecurityConfig.java package com.itheima.config;import com.itheima.service.Impl.UserDetailsServiceImpl; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制*/Overrideprotected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户访问控制 http.authorizeRequests().antMatchers(/).permitAll() //对/请求进行放行.antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)}}⑤ controller层中实现 “路径访问跳转” controller层中实现路径访问跳转 : LoginController.java import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.ResponseBody;Controller //加入IOC容器中 public class LoginController { //关于跳转到登录页面有关的controller类/*跳转到Detail文件夹下的视图页面*/GetMapping(/detail/{type}/{path}) //其中的变量为路径变量// PathVariable注解获得路径变量的值public String toDetail( PathVariable(type) String type ,PathVariable(path) String path ) {//返回值为String,可用于返回一个视图页面return /detail/type/path;}}实现 “自定义用户登录” ⑥ 自定义用户登录 “页面” 要实现自定义用户登录功能首先必须根据需要自定义一个用户登录页面。在项目的 resources/templates 目录下新创建一个名为 login 的文件夹( 专门处理用户登录 )在该文件夹中创建一个用户登录页面 : login.html 。 login.html !DOCTYPE html !-- 配置开启thymeleaf模板引擎页面配置 -- html xmlnshttp://www.w3.org/1999/xhtml xmlns:thhttp://www.thymeleaf.org headmeta http-equivContent-Type contenttext/html; charsetUTF-8title用户登录界面/titlelink th:href{/login/css/bootstrap.min.css} relstylesheetlink th:href{/login/css/signin.css} relstylesheet /head body classtext-center !-- form表单请求跳转路径为 : /userLogin -- form classform-signin th:action{/userLogin} th:methodpost !-- img标签--img classmb-4 th:src{/login/img/login.jpg} width72px height72pxh1 classh3 mb-3 font-weight-normal请登录/h1!-- 用户登录错误信息提示框 --!-- th:if 根据条件的真假决定是否渲染 HTML 元素真则渲染假则不渲染 (有该参数值则渲染,没有该参数值则不渲染) --!-- 有该参数值则渲染该div否则就不渲染该div --div th:if${param.error}stylecolor: red;height: 40px;text-align: left;font-size: 1.1em!-- img标签 --img th:src{/login/img/loginError.jpg} width20px用户名或密码错误请重新登录/div!-- 用户名参数名为 : name , 密码的参数名为: pws --input typetext namename classform-controlplaceholder用户名 required autofocusinput typepassword namepwd classform-controlplaceholder密码 requiredbutton classbtn btn-lg btn-primary btn-block typesubmit 登录/buttonp classmt-5 mb-3 text-mutedCopyright© 2024-2025/p /form /body /html上面代码中还引入了两个 CSS 样式文件和两个 img图片文件用来渲染用户登录页面它们都存在于 /ogin/** 目录下需要提前引入这些静态资源文件目录中。引入这些静态资源文件后结构如下图所示 : 获得相应的css文件和图片文件 ⑦ 自定义用户登录 “跳转” 自定义 “用户登录跳转” : import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.ResponseBody;Controller //加入IOC容器中 public class LoginController { //关于跳转到登录页面有关的controller类/*** 跳转到自定义的登录页面*/GetMapping(/userLogin)public String toLoginPage() {return /login/login;} }Spring Security 默认采用 Get 方式的 “/ogin”请求用于向 “登录页面” 跳转 ( 可自定义跳转的登录页面的路径来指定”登录页面“ )使用 Post 方式的 “/ogin”请求用于对登录后的数据处理。 ⑧ 自定义用户登录 “控制” 完成上面的准备工作后打开 SecurityConfig 类重写 configure( HttpSecurity http )方法实现用户登录控制示例代码如下 : SecurityConfig.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);}/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制 ( 权限管理 )*/ Override protected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户授权管理 (自定义用户访问控制 )http.authorizeRequests() .antMatchers(/).permitAll() //对 /请求进行放行 (进入到项目首页)//对static文件夹下的静态资源进行统一放行 (如果没有对静态资源放行未登录的用户访问项目首页时就无法加载页面关联的静态资源文件 ).antMatchers(/login/**).permitAll().antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)/*** 自定义用户登录控制 :* .loginPage() : 自定义登录页面的跳转路径 , 跳转到自己定制的登录页面* .permitAll() : 无条件对请求进行放行* .usernameParameter(name).passwordParameter(pwd) : 设置登录用户的用户名参数和密码参数 (接受登录时提交的用户名和密码)* .defaultSuccessUrl() : 指定用户登录成功后的默认跳转地址* .failureUrl() : 指定用户登录失败后的跳转地址,默认跳转到 /login?error* ---error时一个错误标识作用是在登录失败后在登录页面进行接收判断例如login.html示例中的${param.error},这两者必须保持一直。*///自定义用户登录控制http.formLogin().loginPage(/userLogin).permitAll() //自定义登录页面的跳转路径.usernameParameter(name).passwordParameter(pwd) //设置登录用户的用户名参数和密码参数.defaultSuccessUrl(/) //用户登录成功后默认跳转到项目首页.failureUrl(/userLogin?error); //用户登录失败后默认跳转到项目首页} } 实现 “自定义用户退出” ⑨ 添加自定义 “用户退出链接” 要实现自定义用户退出功能必须先在某个页面定义用户退出链接或者按钮。为了简化操作我们在之前创建的项目首页 : index.html 上方新增一个用户退出链接修改后的示范文件代码如下所示 : !-- th:action : 用于指定“表单提交”时 “应发送的URL”-- !-- 跳转到 /mylogout路径来进行用户退出 , 因为不是使用默认的 /logout路径来请求用户退出所以后端的 .logoutUrl()方法中内容也修改为 /mylogout -- !-- 同时 /mylogout 请求的方法为post类型的-- form th:action/mylogout methodpostinput th:typesubmit th:value注销 /formindex.html !DOCTYPE html !-- 配置开启thymeleaf模板引擎页面配置 -- html langen xmlns:thhttp://www.thymeleaf.org headmeta charsetUTF-8title影视直播厅/title /head body!-- index.html页面是项目首页页面common和vip文件夹中分别对应的普通用户和 VIP用户可访问的页面 -- h1 aligncenter欢迎进入电影网站首页/h1 !-- th:action : 用于指定“表单提交”时 “应发送的URL”-- !-- 跳转到 /mylogout路径来进行用户退出 , 因为不是使用默认的 /logout路径来请求用户退出所以后端的 .logoutUrl()方法中内容也修改为 /mylogout -- !-- 同时 /mylogout 请求的方法为post类型的-- form th:action/mylogout methodpostinput th:typesubmit th:value注销 /form hr h3普通电影/h3 ullia th:href{/detail/common/1}飞驰人生/a/lilia th:href{/detail/common/2}夏洛特烦恼/a/li /ul h3VIP专享/h3 ullia th:href{/detail/vip/1}速度与激情/a/lilia th:href{/detail/vip/2}猩球崛起/a/li /ul /body /html上面的代码中新增了一个 form标签进行注销控制 ( 进行 “用户退出控制”)且定义的退出表单 aciton 为“/mylogout ( 默认为“/logout” )方法为 post。需要说明的是Spring Boot 项目中引入 Spring Security 框架后会自动开启 : CSRF 防护功能 ( 跨站请求伪造防护)用户退出时必须使用 POST请求 ; 如果关闭了 CSRF 防护功能那么可以使用任意方式的HTTP 请求进行用户注销。 ⑩ 添加自定义 “用户退出控制” SecurityConfig.java import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);}/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制 ( 权限管理 )*/ Override protected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户授权管理 (自定义用户访问控制 )http.authorizeRequests().antMatchers(/).permitAll() //对 /请求进行放行 (进入到项目首页)//对static文件夹下的静态资源进行统一放行 (如果没有对静态资源放行未登录的用户访问项目首页时就无法加载页面关联的静态资源文件 ).antMatchers(/login/**).permitAll().antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)/*** 自定义用户登录控制 :* .loginPage() : 自定义登录页面的跳转路径 , 跳转到自己定制的登录页面* .permitAll() : 无条件对请求进行放行* .usernameParameter(name).passwordParameter(pwd) : 设置登录用户的用户名参数和密码参数 (接受登录时提交的用户名和密码)* .defaultSuccessUrl() : 指定用户登录成功后的默认跳转地址* .failureUrl() : 指定用户登录失败后的跳转地址,默认跳转到 /login?error* ---error时一个错误标识作用是在登录失败后在登录页面进行接收判断例如login.html示例中的${param.error},这两者必须保持一直。*///自定义用户登录控制http.formLogin().loginPage(/userLogin).permitAll() //自定义登录页面的跳转路径.usernameParameter(name).passwordParameter(pwd) //设置登录用户的用户名参数和密码参数.defaultSuccessUrl(/) //用户登录成功后默认跳转到项目首页.failureUrl(/userLogin?error); //用户登录失败后默认跳转到项目首页/*** 自定义用户退出控制*/http.logout().logoutUrl(/mylogout) //指定用户退出的请求路径 (前端页面进行用户退出时要请求该路径且方法为post).logoutSuccessUrl(/); //退出成功后的重定向地址 (退出成功后跳转的地址)//用户退出后用户会话信息是默认清除的次情况下无需手动配置}}基于 “持久化 Token方式” 实现记住我功能 ⑪ 创建 “存储Token信息” 的 persistent_logins “数据库表” 在数据库中创建一个存储 Cookie 信息的持续登录用户表 : persistent_logins ( 在之前的 springbootdata数据库中创建 ) persistent_logins.sql 上述建表语句中创建了一个名为 persistent_logins 的数据表其中 ① username 存储用户名② series 存储随机生成的序列号③ token 存信每次访问更新的 Token④ last_used 表示最近登录日期。需要说明的是在默认情况下基于持久化 Token 的方式会使用上述官方提供的用户表 : persistent_logins 进行持久化 Token 的管理。 ⑫ 定制 “记住我” 功能 ( ①注入DataSource数据库信息 ②调用rememberMe( )方法配置JdbcTokenRepositoryImpl对象并将其加入到IOC容器中 ) 定制 “记住我” 功能 : SecurityConfig.java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;import javax.sql.DataSource;EnableWebSecurity // 开启MVC security安全支持 public class SecurityConfig extends WebSecurityConfigurerAdapter { //在该配置类中配置①自定义用户认证(UserDetailsService) 和 ②用户授权管理自定义配置(自定义用户访问控制)/*该类为配置好了 UserDetailsService身份认证信息的类 ,使用该类来在 configure(AuthenticationManagerBuilder auth)方法中进行 UserDetailsService身份认证。*/Autowiredprivate UserDetailsServiceImpl userDetailsService;/*** 用户身份认证自定义配置 ( 通过UserDetailsService的方式实现 )** 重写configure(AuthenticationManagerBuilder auth)方法 : 自定义用户认证*/Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {//密码需要设置编码器 ( 添加密码编辑器)BCryptPasswordEncoder encoder new BCryptPasswordEncoder();//使用UserDetailService进行身份认证auth.userDetailsService(userDetailsService)//设置密码编辑器.passwordEncoder(encoder);}//注入数据库信息Autowiredprivate DataSource dataSource;/*** 用户授权管理自定义配置 ( 自定义用户访问控制 )** 重写configure(HttpSecurity http)方法 : 自定义用户访问控制 ( 权限管理 )*/Overrideprotected void configure(HttpSecurity http) throws Exception {/*** .antMatchers : 开启Ant风格的路径匹配* .permitAll() : 无条件对请求进行放行* .antMatchers(/).permitAll() : //对/请求进行放行** .hasRole() : 匹配用户是否是某一个角色* .hasAnyRole() : 匹配用户是否是某一个角色或是另一个角色 ( 匹配用户是否有参数中的任意角色 )* .antMatchers(detail/common/**).hasAnyRole(common,vip) : 表示 detail/common/** 请求只有用户角色common或用户vip才允许访问/才能访问* ---( 即ROLE_common权限和 (即ROLE_vip权限才能访问该路径 )* .antMatchers(/detail/vip/**).hasRole(vip) : 表示 detail/vip/** 请求只有用户vip才允许访问/才能访问** .anyRequest() : 匹配任何请求* .authenticated() : 匹配已经登陆认证的用户* .and() //功能连接符* .formLogin() : 启用Spring Security的基于HTML表单的用户登录功能/用户登录页面, 同时通过该页面来进行登录验证* ---简而言之 : 使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)**/// 自定义用户授权管理 (自定义用户访问控制 )http.authorizeRequests().antMatchers(/).permitAll() //对 /请求进行放行 (进入到项目首页)//对static文件夹下的静态资源进行统一放行 (如果没有对静态资源放行未登录的用户访问项目首页时就无法加载页面关联的静态资源文件 ).antMatchers(/login/**).permitAll().antMatchers(/detail/common/**).hasAnyRole(common,vip) //普通电影则是common和vip用户都能看.antMatchers(/detail/vip/**).hasRole(vip) //vip电影则是vip用户才能看.anyRequest() //匹配任何请求.authenticated() //匹配已经登陆认证的用户.and() //功能连接符.formLogin(); //使用security提供的默认登录页面进行登录验证 (如果没有指定自定义的登录页面的话)/*** 自定义用户登录控制 :* .loginPage() : 自定义登录页面的跳转路径 , 跳转到自己定制的登录页面* .permitAll() : 无条件对请求进行放行* .usernameParameter(name).passwordParameter(pwd) : 设置登录用户的用户名参数和密码参数 (接受登录时提交的用户名和密码)* .defaultSuccessUrl() : 指定用户登录成功后的默认跳转地址* .failureUrl() : 指定用户登录失败后的跳转地址,默认跳转到 /login?error* ---error时一个错误标识作用是在登录失败后在登录页面进行接收判断例如login.html示例中的${param.error},这两者必须保持一直。*///自定义用户登录控制http.formLogin().loginPage(/userLogin).permitAll() //自定义登录页面的跳转路径.usernameParameter(name).passwordParameter(pwd) //设置登录用户的用户名参数和密码参数.defaultSuccessUrl(/) //用户登录成功后默认跳转到项目首页.failureUrl(/userLogin?error); //用户登录失败后默认跳转到项目首页/*** 自定义用户退出控制*/http.logout().logoutUrl(/mylogout) //指定用户退出的请求路径 (前端页面进行用户退出时要请求该路径且方法为post).logoutSuccessUrl(/userLogin); //退出成功后的重定向地址 (退出成功后跳转的地址)//用户退出后用户会话信息是默认清除的次情况下无需手动配置/*** 定制记住我功能 (基于持久化Token的方式)*/http.rememberMe()//指定记住我功能框中的name属性值,如果该框使用了默认的remember-me,则该方法可以省略.rememberMeParameter(rememberme)//设置记住我功能中的token的有效期为200s.tokenValiditySeconds(200)//对Cookie信息进行持久化管理.tokenRepository(tokenRepository());}/*** 对Cookie信息进行持久化管理 ( 通过该方法来将Cookie信息存储到数据库中 )*/ Bean public JdbcTokenRepositoryImpl tokenRepository() {JdbcTokenRepositoryImpl jr new JdbcTokenRepositoryImpl();jr.setDataSource(dataSource);return jr;}} 上述代码中与基于简单加密的 Token 方式相比在持久化 Token 方式的 rememberMe( )示例中加入了 tokenRepository( tokenRepository( ) )方法对 Cookie 信息进行持久化管理。其中的tokenRepository( )参数会返回一个设置 dataSource数据源的 JdbcTokenRepositorylmpl实现类对象该对象包含操作 Token 的各种方法。 ⑬ 效果测试重启项目项目启动成功后通过浏览器访问项目登录页在登录界面输入正确的用户名和密码信息同时勾选记住我功能后跳转到项目首页 : index.html。此时查看数据库中 persistent logins 表数据信息效果如下图所示 : 从上图可以看出项目启动后用户使用记住我功能登录时,会在持久化数据表 : persistent_logins 中生成对应的用户 Cookie 信息包括① 用户名、② 序列号、③ Token 和 ④ 最近登录时间。使用浏览器重新访问项目首页并直接查看影片详情 (打开与之前登录用户权限对应的影片) 会发现无须重新登录就可以直接访问。此时再次查看数据库中 persistent_ogins 表数据信息效果如下图所示将上面两个有Token信息的图进行对比可以看出在 Token 有效期内再次自动登录时数据库表中的 token会更新而其他数据不变。如果启用浏览器 Debug 模式还会发现第 2次登录返回的 Cookie 值也会随之更新这与之前分析的持久化的 Token 方法实现逻辑是一致的。返回浏览器首页单击首页上方的用户“注销”链接在 Token 有效期内进行用户手动注销。此时再次查看数据库中 persistent_logins 表数据信息效果如下图所示 : 登录用户手动实现用户退出后数据库中 persistent_logins 表的持久化用户信息也会随之删除。如果用户是在Token 有效期后自动退出的那么数据库中 persistent_logins 表的持久化用户信息不会随之删除当用户再次进行访问登录时则是在表中新增一条持久化用户信息。

查看全文

http://www.w-s-a.com/news/332078/