SpringSecurity 第三篇(常用处理器,权限校验,跨域问题)

  • 开发
  • 41

SpringSecurity

权限校验

hasAuthority:方法只能够传入一个参数
hasAnyAuthority:方法可以传入多个权限,只有用户有其中任意一个权限都可以进行访问
hasRole:要求有对应的角色才可以进行访问,但是它内部会把我们出入的参数拼接上ROLE_后再去比较。所以这种情况下要用用户对应的权限也要有ROLE_这个前缀才可以
hasAnyRole:有任意的角色就可以进行访问,它内部会把我们传入的参数拼接上ROLE_后再进行比较

自定义权限校验方法

定义好权限校验方法:在@PreAuthorize注解中使用我们的方法

@Component("nihao")
public class test {
    public boolean hasAuthority(String authority){
        //获取当前用户的权限
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        LoginUser loginUser = (LoginUser) authentication.getPrincipal();
        List<String> permissions=loginUser.getPermissions();
        //判断用户权限集合中是否存在authority
        return permissions.contains(authority);
    }
}

为了不和原有的方法冲突我们给注解加上名字

@PreAuthorize("@nihao.hasAuthority('system:dept:list')")

CSRF

CSRF是跨站请求伪造,是web常见的攻击之一
CSRF漏洞:

假设我是用户,我正常访问网站登录成功返回cookie信息,这时如果有个黑客创建了一个别的网站,网站里有个按钮,实际上点下去我们是执行访问正常网站的操作,这样黑客在其中就会诱导我们去进行一些操作

SpringSecurity去防止CSRF攻击的方式就是通过csrf_token,后端会生成一个csrf_token,前端在进行访问的时候需将这个token携带,后端会有过滤器进行校验,如果没有携带或者伪造的就部允许访问

但是现在的前后端分离的开发中就是基于token来进行认证的所以在前后端分离的开发当中本来就不用担心CSRF认证,所以我们需要在SpringSecurity配置类中的configure方法中将csrf进行关闭

//关闭csrf
http.csrf().disable()
//不通过Session获取SecurityContext
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

登陆成功处理器

UsernamePasswordAuthenticationFilter认证登录成功后会调用AuthenticationSuccessHandler的方法进行认证成功后的处理的,AuthenticationSuccessHandler就是登录成功处理器

我们实现AuthenticationSuccessHandler接口进行自定义操作
然后在security的配置类中的configure方法中进行配置

http.formLogin().successHandler(successHandler);
http.authorizeRequests().anyRequest().authenticated();

登出成功处理器

在UsernamePasswordAuthenticationiter进行登录认证的时候,如果认证失败了是会调用AuthenticationFailureHandler的方法进行认证失败后的处理的。AuthenticationFailureHandler就是登录失败处理器
我们实现AuthenticationFailureHandler接口进行自定义操作
然后在security的配置类中的configure方法中进行配置

http.formLogin().successHandler(successHandler).failureHandler(failureHandler);
http.authorizeRequests().anyRequest().authenticated();

注销成功处理器

同样实现LogoutSuccessHandler接口之后自定义操作
然后在security的配置类中的configure方法中进行配置

http.logout().logoutSuccessHandler(logoutSuccessHandler);
阅读全部

相关推荐

  1. SpringSecurity 处理器权限校验问题

    2024-04-20 13:00:02       42 阅读

  3. 前端处理问题

    2024-04-20 13:00:02       64 阅读

  4. nginx处理问题

    2024-04-20 13:00:02       54 阅读

  6. 什么是以及怎么处理问题

    2024-04-20 13:00:02       57 阅读

  7. 处理问题:CORS错误

    2024-04-20 13:00:02       26 阅读

  10. 问题+解决express

    2024-04-20 13:00:02       37 阅读

最近更新

  3. docker php8.1+nginx base 镜像 dockerfile 配置

    2024-04-20 13:00:02       94 阅读

  4. Could not load dynamic library ‘cudart64_100.dll‘

    2024-04-20 13:00:02       100 阅读

  9. 在Django里面运行非项目文件

    2024-04-20 13:00:02       82 阅读

  19. Python语言-面向对象

    2024-04-20 13:00:02       91 阅读

  20. 如何分清楚常见的 Git 分支管理策略Git Flow、GitHub Flow 和 GitLab Flow

    2024-04-20 13:00:02       85 阅读

热门阅读

  1. webuploader后端开发要点

    2024-04-20 13:00:02       41 阅读

  5. 开源大模型 Llama 3

    2024-04-20 13:00:02       36 阅读

  6. bash test.sh > test.log 2>&1 &

    2024-04-20 13:00:02       37 阅读

  7. C# 语法全解总目录

    2024-04-20 13:00:02       43 阅读

  8. 如何在响应头中防治xss

    2024-04-20 13:00:02       172 阅读

  9. Linux bash 与 命令行 查找进程的不同

    2024-04-20 13:00:02       34 阅读
  11. STL-List

    STL-List

    2024-04-20 13:00:02      29 阅读

  14. C:数据结构sy7

    2024-04-20 13:00:02       31 阅读

  15. 【题解 | DFS】天梯赛练习集:功夫传人

    2024-04-20 13:00:02       39 阅读

  21. Rust开发笔记 | 所有权系统及其对内存管理的影响

    2024-04-20 13:00:02       37 阅读

  23. ClickHouse 集群部署(不需要 Zookeeper)

    2024-04-20 13:00:02       31 阅读

  24. OPTEE RUST支持&构建并运行支持RUST的CA和TA

    2024-04-20 13:00:02       35 阅读

  30. Go语言常见错误 | 工程组织不合理 (工程结构和包的组织)

    2024-04-20 13:00:02       30 阅读