国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

Spring Security 使用總結(jié)

tianyu / 1635人閱讀

摘要:暑假的時(shí)候在學(xué)習(xí)了并成功運(yùn)用到了項(xiàng)目中。這是提供的一個(gè)安全權(quán)限控制框架,可以根據(jù)使用者的需要定制相關(guān)的角色身份和身份所具有的權(quán)限,完成黑名單操作攔截?zé)o權(quán)限的操作。用戶通過登陸操作獲得我們返回的并保存在本地。

暑假的時(shí)候在學(xué)習(xí)了 Spring Security 并成功運(yùn)用到了項(xiàng)目中。 在實(shí)踐中摸索出了一套結(jié)合 json + jwt(json web token) + Spring Boot + Spring Security 技術(shù)的權(quán)限方案趁著國慶假期記錄一下。

以下所有步驟的源碼可以從我的 github 上取得。如果要了解,請閱讀 readme.md。

各個(gè)技術(shù)的簡要介紹 json : 與前端交互的數(shù)據(jù)交換格式

個(gè)人理解上,它的特點(diǎn)是可以促進(jìn) web 前后端解耦,提升團(tuán)隊(duì)的工作效率。 同時(shí)也是跟安卓端和 iOS 端交互的工具,目前是沒想出除了 json 和 XML 之外的交流形式誒(或許等以后有空閑時(shí)間會看看)。

它的另一個(gè)特點(diǎn)是輕量級,簡潔和清晰的層次可以方便我們閱讀和編寫,并且減少服務(wù)器帶寬占用。

jwt (json web token)

用人話講就是將用戶的身份信息(賬號名字)、其他信息(不固定,根據(jù)需要增加)在用戶登陸時(shí)提取出來,并且通過加密手段加工成一串密文,在用戶登陸成功時(shí)帶在返回結(jié)果發(fā)送給用戶。以后用戶每次請求時(shí)均帶上這串密文,服務(wù)器根據(jù)解析這段密文判斷用戶是否有權(quán)限訪問相關(guān)資源,并返回相應(yīng)結(jié)果。

從網(wǎng)上摘錄了一些優(yōu)點(diǎn),關(guān)于 jwt 的更多資料感興趣的讀者可以自行谷歌:

相比于session,它無需保存在服務(wù)器,不占用服務(wù)器內(nèi)存開銷。

無狀態(tài)、可拓展性強(qiáng):比如有3臺機(jī)器(A、B、C)組成服務(wù)器集群,若session存在機(jī)器A上,session只能保存在其中一臺服務(wù)器,此時(shí)你便不能訪問機(jī)器B、C,因?yàn)锽、C上沒有存放該Session,而使用token就能夠驗(yàn)證用戶請求合法性,并且我再加幾臺機(jī)器也沒事,所以可拓展性好就是這個(gè)意思。

由 2 知,這樣做可就支持了跨域訪問。

Spring Boot

Spring Boot 是一個(gè)用來簡化 Spring 應(yīng)用的搭建以及開發(fā)過程的框架。用完后會讓你大呼 : "wocao! 怎么有這么方便的東西! mama 再也不用擔(dān)心我不會配置 xml 配置文件了!"。

Spring Security

這是 Spring Security 提供的一個(gè)安全權(quán)限控制框架,可以根據(jù)使用者的需要定制相關(guān)的角色身份和身份所具有的權(quán)限,完成黑名單操作、攔截?zé)o權(quán)限的操作。配合 Spring Boot 可以快速開發(fā)出一套完善的權(quán)限系統(tǒng)。

本次技術(shù)方案中 Spring Security 執(zhí)行流程

從圖中可以看出本次執(zhí)行流程圍繞著的就是 token

用戶通過登陸操作獲得我們返回的 token 并保存在本地。在以后每次請求都在請求頭中帶上 token ,服務(wù)器在收到客戶端傳來的請求時(shí)會判斷是否有 token ,若有,解析 token 并寫入權(quán)限到本次會話,若無直接跳過解析 token 的步驟,然后判斷本次訪問的接口是否需要認(rèn)證,是否需要相應(yīng)的權(quán)限,并根據(jù)本次會話中的認(rèn)證情況做出反應(yīng)。

動手實(shí)現(xiàn)這個(gè)安全框架 步驟一 : 建立項(xiàng)目,配置好數(shù)據(jù)源

使用 Itellij Idea 建立一個(gè) Spring Boot 項(xiàng)目

選擇 Web 、Security 、 Mybatis 和 JDBC 四個(gè)組件。

在數(shù)據(jù)庫中建立所需的數(shù)據(jù)庫 spring_security

在 spring boot 配置文件 application.properties 中配置好數(shù)據(jù)源

啟動項(xiàng)目查看 Spring Boot 是否替我們配置好 Spring Security 了。

若是正確啟動了,可以看到 Spring Security 生成了一段默認(rèn)密碼。

我們訪問 localhost:8080 會彈出一個(gè) basic 認(rèn)證框

輸入 用戶名 user 密碼 前面自動生成的密碼 便可得到通過的返回消息(返回 404,因?yàn)槲覀冞€未建立任何頁面)
輸入 錯(cuò)誤的用戶名或者密碼會返回 401 ,提示未認(rèn)證

如果你走到了這一步,意味著你已經(jīng)配置好了所需要的環(huán)境,接下來就跟著進(jìn)入下一步吧!

步驟二 : 生成我們的 jwt

在這一步我們將學(xué)習(xí)如何根據(jù)我們的需要生成我們定制的 token !

關(guān)閉 Spring Boot 替我們配置好的 Spring Security。(因?yàn)槟J(rèn)配置好的 Spring Security 會攔截掉我們定制的登陸接口)

創(chuàng)建 Spring Security 配置類 WebSecurityConfig.java

@Configuration      // 聲明為配置類
@EnableWebSecurity      // 啟用 Spring Security web 安全的功能
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().permitAll()       // 允許所有請求通過
                .and()
                .csrf()
                .disable()                      // 禁用 Spring Security 自帶的跨域處理
                .sessionManagement()                        // 定制我們自己的 session 策略
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 調(diào)整為讓 Spring Security 不創(chuàng)建和使用 session
    }
}

在數(shù)據(jù)庫中建立相應(yīng)的用戶和角色。

創(chuàng)建用戶表 user

其中各個(gè)屬性和作用如下:

username : 用戶名

password : 密碼

role_id : 用戶所屬角色編號

last_password_change : 最后一次密碼修改時(shí)間

enable : 是否啟用該賬號,可以用來做黑名單

創(chuàng)建角色表 role

其中各個(gè)屬性作用如下:

role_id : 角色相應(yīng) id

role_name : 角色的名稱

auth : 角色所擁有的權(quán)限

編寫相應(yīng)的登陸密碼判斷邏輯

因?yàn)榈顷懝δ芎苋菀讓?shí)現(xiàn),這里就不寫出來占地方了哎。

編寫 token 操作類(生成 token 部分)

因?yàn)榫W(wǎng)上有造好的輪子,我們可以直接拿來做些修改就可以使用了。

使用 maven 導(dǎo)入網(wǎng)上造好的 jwt 輪子


    io.jsonwebtoken
    jjwt
    0.4

建立我們自己的 token 操作類 TokenUtils.java

public class TokenUtils {

    private final Logger logger = Logger.getLogger(this.getClass());

    @Value("${token.secret}")
    private String secret;

    @Value("${token.expiration}")
    private Long expiration;

    /**
     * 根據(jù) TokenDetail 生成 Token
     *
     * @param tokenDetail
     * @return
     */
    public String generateToken(TokenDetail tokenDetail) {
        Map claims = new HashMap();
        claims.put("sub", tokenDetail.getUsername());
        claims.put("created", this.generateCurrentDate());
        return this.generateToken(claims);
    }

    /**
     * 根據(jù) claims 生成 Token
     *
     * @param claims
     * @return
     */
    private String generateToken(Map claims) {
        try {
            return Jwts.builder()
                    .setClaims(claims)
                    .setExpiration(this.generateExpirationDate())
                    .signWith(SignatureAlgorithm.HS512, this.secret.getBytes("UTF-8"))
                    .compact();
        } catch (UnsupportedEncodingException ex) {
            //didn"t want to have this method throw the exception, would rather log it and sign the token like it was before
            logger.warn(ex.getMessage());
            return Jwts.builder()
                    .setClaims(claims)
                    .setExpiration(this.generateExpirationDate())
                    .signWith(SignatureAlgorithm.HS512, this.secret)
                    .compact();
        }
    }

    /**
     * token 過期時(shí)間
     *
     * @return
     */
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + this.expiration * 1000);
    }

    /**
     * 獲得當(dāng)前時(shí)間
     *
     * @return
     */
    private Date generateCurrentDate() {
        return new Date(System.currentTimeMillis());
    }

}

這個(gè)工具類的目前做的事情是 :

把用戶名封裝進(jìn)下載的輪子的 token 的主體 claims 中,并在里面封裝了當(dāng)前時(shí)間(方便后面判斷 token 是否在修改密碼之前生成的)

再計(jì)算 token 過期的時(shí)間寫入到 輪子的 token 中

對 輪子的 token 進(jìn)行撒鹽加密,生成一串字符串,即我們定制的 token

生成定制 token 的方法的入?yún)?TokenDetail 的定義如下

public interface TokenDetail {

    //TODO: 這里封裝了一層,不直接使用 username 做參數(shù)的原因是可以方便未來增加其他要封裝到 token 中的信息

    String getUsername();
}

public class TokenDetailImpl implements TokenDetail {

    private final String username;

    public TokenDetailImpl(String username) {
        this.username = username;
    }

    @Override
    public String getUsername() {
        return this.username;
    }
}

同時(shí)這個(gè)工具類把加密 token 撒鹽的字符串和 token 的過期時(shí)間提取到了 application.properties 中

# token 加密密鑰
token.secret=secret
# token 過期時(shí)間,以秒為單位,604800 是 一星期
token.expiration=604800

至此,我們生成 token 的教程已經(jīng)完成,至于登陸接口,判斷賬號密碼是否正確的操作就留給讀者去實(shí)現(xiàn),讀者只需在登陸成功時(shí)在結(jié)果中返回生成好的 token 給用戶即可。

步驟三 : 實(shí)現(xiàn)驗(yàn)證 token 是否有效,并根據(jù) token 獲得賬號詳細(xì)信息(權(quán)限,是否處于封號狀態(tài))的功能

分析實(shí)現(xiàn)的過程

在步驟二中,我們把用戶的的 username 、 token 創(chuàng)建的時(shí)間 、 token 過期的時(shí)間封裝到了加密過后的 token 字符串中,就是為了服務(wù)此時(shí)我們驗(yàn)證用戶權(quán)限的目的。

假設(shè)我們此時(shí)拿到了用戶傳遞過來的一串 token,并且要根據(jù)這串 token 獲得用戶的詳情可以這樣做:

A. 嘗試解析這串 token ,若成功解析出來,進(jìn)入下一步,否則終止解析過程
B. 根據(jù)解析出來的 username 從數(shù)據(jù)庫中查找用戶的賬號,最后一次密碼修改的時(shí)間,權(quán)限,是否封號等用戶詳情信息,把這些信息封裝到一個(gè)實(shí)體類中(userDetail類)。若查找不到該用戶,終止解析進(jìn)程
C. 檢查 userDetail 中記錄的封號狀態(tài),若是賬號已被封號,返回封號結(jié)果,終止請求
D. 根據(jù) userDtail 比較 token 是否處于有效期內(nèi),若不處于有效期內(nèi),終止解析過程,否則繼續(xù)
E. 將 userDetail 中記錄的用戶權(quán)限寫入本次請求會話中,解析完成。

可參考下圖理解:

下面開始動手實(shí)現(xiàn)

嘗試解析 token 獲得 username

/**
     * 從 token 中拿到 username
     *
     * @param token
     * @return
     */
    public String getUsernameFromToken(String token) {
        String username;
        try {
            final Claims claims = this.getClaimsFromToken(token);
            username = claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 解析 token 的主體 Claims
     *
     * @param token
     * @return
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims;
        try {
            claims = Jwts.parser()
                    .setSigningKey(this.secret.getBytes("UTF-8"))
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            claims = null;
        }
        return claims;
    }

在這段代碼中,我們先對 token 進(jìn)行解密,獲得 token 中封裝好的主體部分 claims (前面第二部引入的 別人造好的輪子),然后嘗試獲得里面封裝的 username 字符串。

從數(shù)據(jù)庫中獲得用戶詳情 userDetail

這里我們將實(shí)現(xiàn) Spring Security 的一個(gè) UserDetailService 接口,這個(gè)接口只有一個(gè)方法, loadUserByUsername。流程圖如下

代碼如下:

public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    /**
     * 獲取 userDetail
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = this.userMapper.getUserFromDatabase(username);

        if (user == null) {
            throw new UsernameNotFoundException(String.format("No user found with username "%s".", username));
        } else {
            return SecurityModelFactory.create(user);
        }
    }
}

public class User implements LoginDetail, TokenDetail {

    private String username;
    private String password;
    private String authorities;
    private Long lastPasswordChange;
    private char enable;

    // 省略構(gòu)造器和 getter setter 方法
}

public class SecurityModelFactory {

    public static UserDetailImpl create(User user) {
        Collection authorities;
        try {
            authorities = AuthorityUtils.commaSeparatedStringToAuthorityList(user.getAuthorities());
        } catch (Exception e) {
            authorities = null;
        }

        Date lastPasswordReset = new Date();
        lastPasswordReset.setTime(user.getLastPasswordChange());
        return new UserDetailImpl(
                user.getUsername(),
                user.getUsername(),
                user.getPassword(),
                lastPasswordReset,
                authorities,
                user.enable()
        );
    }

}

其中獲得未處理過的用戶詳細(xì)信息 User 類的 mapper 類定義如下:

public interface UserMapper {


    User getUserFromDatabase(@Param("username") String username);

}

相應(yīng)的 xml 文件為 :



    
        
        
        
        
        
    

至此,我們已經(jīng)完成獲取用戶詳細(xì)信息的的功能了。接下來只要限制接口的訪問權(quán)限,并要求用戶訪問接口時(shí)帶上 token 即可實(shí)現(xiàn)對權(quán)限的控制。

步驟四 : 定義解析 token 的攔截器

老規(guī)矩,上流程圖:

下面定義這個(gè)攔截器

public class AuthenticationTokenFilter extends UsernamePasswordAuthenticationFilter {

    /**
     * json web token 在請求頭的名字
     */
    @Value("${token.header}")
    private String tokenHeader;

    /**
     * 輔助操作 token 的工具類
     */
    @Autowired
    private TokenUtils tokenUtils;

    /**
     * Spring Security 的核心操作服務(wù)類
     * 在當(dāng)前類中將使用 UserDetailsService 來獲取 userDetails 對象
     */
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // 將 ServletRequest 轉(zhuǎn)換為 HttpServletRequest 才能拿到請求頭中的 token
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        // 嘗試獲取請求頭的 token
        String authToken = httpRequest.getHeader(this.tokenHeader);
        // 嘗試拿 token 中的 username
        // 若是沒有 token 或者拿 username 時(shí)出現(xiàn)異常,那么 username 為 null
        String username = this.tokenUtils.getUsernameFromToken(authToken);

        // 如果上面解析 token 成功并且拿到了 username 并且本次會話的權(quán)限還未被寫入
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            // 用 UserDetailsService 從數(shù)據(jù)庫中拿到用戶的 UserDetails 類
            // UserDetails 類是 Spring Security 用于保存用戶權(quán)限的實(shí)體類
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
            // 檢查用戶帶來的 token 是否有效
            // 包括 token 和 userDetails 中用戶名是否一樣, token 是否過期, token 生成時(shí)間是否在最后一次密碼修改時(shí)間之前
            // 若是檢查通過
            if (this.tokenUtils.validateToken(authToken, userDetails)) {
                // 生成通過認(rèn)證
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpRequest));
                // 將權(quán)限寫入本次會話
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
            if (!userDetails.isEnabled()){
                response.setCharacterEncoding("UTF-8");
                response.setContentType("application/json;charset=UTF-8");
                response.getWriter().print("{"code":"452","data":"","message":"賬號處于黑名單"}");
                return;
            }
        }
        chain.doFilter(request, response);
    }

}

其中檢查 token 是否有效的 tokenUtils.validateToken(authToken, userDetails) 方法定義如下:

/**
     * 檢查 token 是否處于有效期內(nèi)
     * @param token
     * @param userDetails
     * @return
     */
    public Boolean validateToken(String token, UserDetails userDetails) {
        UserDetailImpl user = (UserDetailImpl) userDetails;
        final String username = this.getUsernameFromToken(token);
        final Date created = this.getCreatedDateFromToken(token);
        return (username.equals(user.getUsername()) && !(this.isTokenExpired(token)) && !(this.isCreatedBeforeLastPasswordReset(created, user.getLastPasswordReset())));
    }

    /**
     * 獲得我們封裝在 token 中的 token 創(chuàng)建時(shí)間
     * @param token
     * @return
     */
    public Date getCreatedDateFromToken(String token) {
        Date created;
        try {
            final Claims claims = this.getClaimsFromToken(token);
            created = new Date((Long) claims.get("created"));
        } catch (Exception e) {
            created = null;
        }
        return created;
    }

    /**
     * 獲得我們封裝在 token 中的 token 過期時(shí)間
     * @param token
     * @return
     */
    public Date getExpirationDateFromToken(String token) {
        Date expiration;
        try {
            final Claims claims = this.getClaimsFromToken(token);
            expiration = claims.getExpiration();
        } catch (Exception e) {
            expiration = null;
        }
        return expiration;
    }

    /**
     * 檢查當(dāng)前時(shí)間是否在封裝在 token 中的過期時(shí)間之后,若是,則判定為 token 過期
     * @param token
     * @return
     */
    private Boolean isTokenExpired(String token) {
        final Date expiration = this.getExpirationDateFromToken(token);
        return expiration.before(this.generateCurrentDate());
    }

    /**
     * 檢查 token 是否是在最后一次修改密碼之前創(chuàng)建的(賬號修改密碼之后之前生成的 token 即使沒過期也判斷為無效)
     * @param created
     * @param lastPasswordReset
     * @return
     */
    private Boolean isCreatedBeforeLastPasswordReset(Date created, Date lastPasswordReset) {
        return (lastPasswordReset != null && created.before(lastPasswordReset));
    }
步驟五 : 注冊步驟四的攔截器,使它在 Spring Security 讀取本次會話權(quán)限前將用戶所具有的權(quán)限寫入本次會話中

在 SpringSecurity 的配置類 WebSecurityConfig.java 中添加如下配置

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 注冊 token 轉(zhuǎn)換攔截器為 bean
     * 如果客戶端傳來了 token ,那么通過攔截器解析 token 賦予用戶權(quán)限
     *
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationTokenFilter authenticationTokenFilterBean() throws Exception {
        AuthenticationTokenFilter authenticationTokenFilter = new AuthenticationTokenFilter();
        authenticationTokenFilter.setAuthenticationManager(authenticationManagerBean());
        return authenticationTokenFilter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/auth").authenticated()       // 需攜帶有效 token
                .antMatchers("/admin").hasAuthority("admin")   // 需擁有 admin 這個(gè)權(quán)限
                .antMatchers("/ADMIN").hasRole("ADMIN")     // 需擁有 ADMIN 這個(gè)身份
                .anyRequest().permitAll()       // 允許所有請求通過
                .and()
                .csrf()
                .disable()                      // 禁用 Spring Security 自帶的跨域處理
                .sessionManagement()                        // 定制我們自己的 session 策略
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 調(diào)整為讓 Spring Security 不創(chuàng)建和使用 session


        /**
         * 本次 json web token 權(quán)限控制的核心配置部分
         * 在 Spring Security 開始判斷本次會話是否有權(quán)限時(shí)的前一瞬間
         * 通過添加過濾器將 token 解析,將用戶所有的權(quán)限寫入本次 Spring Security 的會話
         */
        http
                .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
    }
}

其中我們將步驟四中定義的攔截器注冊到 Spring 中成為一個(gè) bean ,并登記在 Spring Security 開始判斷本次會話是否有權(quán)限時(shí)的前一瞬間通過添加過濾器將 token 解析,將用戶所有的權(quán)限寫入本次會話。

其次,我們添加了三個(gè) ant 風(fēng)格的地址攔截規(guī)則 :

/auth : 要求攜帶有效的 token

/admin : 要求攜帶 token 所對應(yīng)的賬號具有 admin 這個(gè)權(quán)限

/ADMIN : 要求攜帶 token 對應(yīng)的張賬號具有 ROLE_ADMIN 這個(gè)身份

啟動程序到 8080 端口,通過 /login 接口登陸 guest 賬號,對 /auth 接口嘗試訪問,結(jié)果如下 :

顯然,因?yàn)?token 有效,所以成功通過了攔截

接下來嘗試訪問 /admin 接口,結(jié)果如下 :

顯然,因?yàn)閿y帶的 token 不具有 admin 這個(gè)權(quán)限,所以請求被攔截?cái)r截

至此,我們已經(jīng)完成了一套權(quán)限簡單的權(quán)限規(guī)則系統(tǒng),在下一步中,我們將對無權(quán)限訪問的返回結(jié)果進(jìn)行優(yōu)化,并結(jié)束這次總結(jié)。

步驟六 : 完善 401 和 403 返回結(jié)果

定義 401 處理器,實(shí)現(xiàn) AuthenticationEntryPoint 接口

public class EntryPointUnauthorizedHandler implements AuthenticationEntryPoint {

  /**
   * 未登錄或無權(quán)限時(shí)觸發(fā)的操作
   * 返回  {"code":401,"message":"小弟弟,你沒有攜帶 token 或者 token 無效!","data":""}
   * @param httpServletRequest
   * @param httpServletResponse
   * @param e
   * @throws IOException
   * @throws ServletException
   */
  @Override
  public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
      //返回json形式的錯(cuò)誤信息
      httpServletResponse.setCharacterEncoding("UTF-8");
      httpServletResponse.setContentType("application/json");

      httpServletResponse.getWriter().println("{"code":401,"message":"小弟弟,你沒有攜帶 token 或者 token 無效!","data":""}");
      httpServletResponse.getWriter().flush();
  }

}

定義 403 處理器,實(shí)現(xiàn) AccessDeniedHandler 接口

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        //返回json形式的錯(cuò)誤信息
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");

        httpServletResponse.getWriter().println("{"code":403,"message":"小弟弟,你沒有權(quán)限訪問呀!","data":""}");
        httpServletResponse.getWriter().flush();
    }
}

將這兩個(gè)處理器配置到 SpringSecurity 的配置類中 :

public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 注冊 401 處理器
     */
    @Autowired
    private EntryPointUnauthorizedHandler unauthorizedHandler;

    /**
     * 注冊 403 處理器
     */
    @Autowired
    private MyAccessDeniedHandler accessDeniedHandler;

    ...

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                ...

                // 配置被攔截時(shí)的處理
                .exceptionHandling()
                .authenticationEntryPoint(this.unauthorizedHandler)   // 添加 token 無效或者沒有攜帶 token 時(shí)的處理
                .accessDeniedHandler(this.accessDeniedHandler)      //添加無權(quán)限時(shí)的處理

                ...
    }
}

嘗試以 guest 的身份訪問 /admin 接口,結(jié)果如下:

嘻嘻,顯然任務(wù)完成啦!!!(這個(gè)接口也可以用 lamda 表達(dá)式配置,這個(gè)留給大家去探索啦~~~)

溜了溜了……

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/11282.html

相關(guān)文章

  • Spring Security

    摘要:框架具有輕便,開源的優(yōu)點(diǎn),所以本譯見構(gòu)建用戶管理微服務(wù)五使用令牌和來實(shí)現(xiàn)身份驗(yàn)證往期譯見系列文章在賬號分享中持續(xù)連載,敬請查看在往期譯見系列的文章中,我們已經(jīng)建立了業(yè)務(wù)邏輯數(shù)據(jù)訪問層和前端控制器但是忽略了對身份進(jìn)行驗(yàn)證。 重拾后端之Spring Boot(四):使用JWT和Spring Security保護(hù)REST API 重拾后端之Spring Boot(一):REST API的搭建...

    keelii 評論0 收藏0
  • Spring Security 使用總結(jié)

    摘要:暑假的時(shí)候在學(xué)習(xí)了并成功運(yùn)用到了項(xiàng)目中。這是提供的一個(gè)安全權(quán)限控制框架,可以根據(jù)使用者的需要定制相關(guān)的角色身份和身份所具有的權(quán)限,完成黑名單操作攔截?zé)o權(quán)限的操作。用戶通過登陸操作獲得我們返回的并保存在本地。 暑假的時(shí)候在學(xué)習(xí)了 Spring Security 并成功運(yùn)用到了項(xiàng)目中。 在實(shí)踐中摸索出了一套結(jié)合 json + jwt(json web token) + Spring Boo...

    zoomdong 評論0 收藏0
  • Spring Security 實(shí)現(xiàn)用戶授權(quán)

    摘要:實(shí)現(xiàn)用戶認(rèn)證本次,我們通過的授權(quán)機(jī)制,實(shí)現(xiàn)用戶授權(quán)。啟用注解默認(rèn)的是不進(jìn)行授權(quán)注解攔截的,添加注解以啟用注解的全局方法攔截。角色該角色對應(yīng)菜單示例用戶授權(quán)代碼體現(xiàn)授權(quán)思路遍歷當(dāng)前用戶的菜單,根據(jù)菜單中對應(yīng)的角色名進(jìn)行授權(quán)。 引言 上一次,使用Spring Security與Angular實(shí)現(xiàn)了用戶認(rèn)證。Spring Security and Angular 實(shí)現(xiàn)用戶認(rèn)證 本次,我們通過...

    xfee 評論0 收藏0
  • Spring Cloud 升級最新 Finchley 版本,踩了所有的坑!

    摘要:因?yàn)槟J(rèn)開啟了所有攻擊防御,需要禁用的防御。版本變化有點(diǎn)大,本次已成功升級了基礎(chǔ)依賴,及注冊中心配置中心。其他像代替了及其他組件再慢慢升級,的快速發(fā)展令升級變得非常蛋疼,本文記錄了升級過程中踩過的所有的坑。。。 Spring Boot 2.x 已經(jīng)發(fā)布了很久,現(xiàn)在 Spring Cloud 也發(fā)布了 基于 Spring Boot 2.x 的 Finchley 版本,現(xiàn)在一起為項(xiàng)目做一次...

    WelliJhon 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<