Spring Boot 3正式版本已发版了半个月,Spring Security6也一并更新,但是网络上的相关中文文档较少,盲目进行集成容易出错,所以本文讲如何快速集成。这里不再赘述Spring Boot3和Spring Security6是做什么的,能来这的都知道。先确保以下信息:
Spring Boot至少是3.0.0版本
Spring Security至少是6.0.0版本(这里由Spring Boot管理,直接上starter即可)
本文要解决的问题:Spring Security 6的集成和配置
1、Maven增加依赖,如果你已经有了,或者Spring Initializr新建项目时加了,忽略这一步
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
2、配置你的Spring Security,这里的/api/auth/login是你的登录页地址
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
public class SpringSecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
return http.authorizeHttpRequests(authorize-> {
try {
authorize
// 放行登录接口
.requestMatchers("/api/auth/login").permitAll()
// 放行资源目录
.requestMatchers("/static/**", "/resources/**").permitAll()
// 其余的都需要权限校验
.anyRequest().authenticated()
// 防跨站请求伪造
.and().csrf(csrf -> csrf.disable());
} catch (Exception e) {
throw new RuntimeException(e);
}
}
).build();
}
}
3、Spring Boot 启动类增加EnableMethodSecurity注解
@SpringBootApplication()
@EnableMethodSecurity(securedEnabled = true, jsr250Enabled = true)
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
4、在需要登录才能访问的Controller中,在方法加上权限判断注解 @PreAuthorize(“hasAuthority(‘权限字符串’)”)
/**
* 需要登录才能访问的控制器
*
* @author 黑龙江省瑜美科技发展有限公司
* @since 2022-12-11
*/
@RestController
@RequestMapping("/controller")
public class YourController {
@RequestMapping("method")
@PreAuthorize("hasAuthority('YourController:YourMethod')")
public String yourMethod(){
return "这个信息只有登录才能看到";
}
}
5、往项目里添加工具类,不用改,原样放上去就行
import jakarta.servlet.http.HttpServletRequest;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.context.HttpSessionSecurityContextRepository;
import org.springframework.web.context.request.RequestContextHolder;
import org.springframework.web.context.request.ServletRequestAttributes;
import java.util.List;
/**
* Spring Security 工具类
*
* @author 黑龙江省瑜美科技发展有限公司
* @since 2022-12-11
*/
public class SpringSecurityUtil {
/**
* 登录
*
* @param username 用户名
* @param password 密码
* @param authorities 权限
*/
public static void login(String username, String password, List<String> authorities) {
HttpServletRequest request = ((ServletRequestAttributes) (RequestContextHolder.currentRequestAttributes())).getRequest();
List<GrantedAuthority> authoritiesList = AuthorityUtils.createAuthorityList(authorities.toArray(new String[]{}));
UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(username, password, authoritiesList);
SecurityContextHolder.getContext().setAuthentication(token);
request.getSession().setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY, SecurityContextHolder.getContext());
}
/**
* 获取当前登录用户名
*
* @return
*/
public static String getCurrentUsername() {
return SecurityContextHolder.getContext().getAuthentication().getPrincipal().toString();
}
/**
* 判断是否已登录
*
* @return
*/
public static boolean isLogin() {
return !(SecurityContextHolder.getContext().getAuthentication() instanceof AnonymousAuthenticationToken);
}
}
6、做登录测试的Controller:
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.ArrayList;
import java.util.List;
/**
* 登录测试
*
* @author 黑龙江省瑜美科技发展有限公司
* @since 2022-12-11
*/
@RestController
@RequestMapping("/api/auth")
public class LoginController {
@RequestMapping("login")
public Object login(){
// 用户名,这个从你的登录表单拿
String username="admin";
// 密码,这个从你的登录表单拿
String password="password";
// 权限字符串,这个从你的数据库里读
List<String> authorities=new ArrayList<>();
authorities.add("YourController:YourMethod");
// 判断是否登陆
if(SpringSecurityUtil.isLogin()){
// 登陆了打印一下当前用户名
System.out.println(SpringSecurityUtil.getCurrentUsername());
}else{
// 没登录则进行一次登录
SpringSecurityUtil.login(username,password,authorities);
}
return "success";
}
}
7、测试,启动服务,访问一下/api/auth/login,然后再访问/controller/method才能看到数据,否则会返回403状态,实现了登录功能。在需要限制权限的方法加上一个注解就可以实现权限限制功能,非常的人性化。
以下内容供有经验的人阅读
1、authorizeRequests方法已废弃,取而代之的是authorizeHttpRequests。
2、@PermitAll注解是不好使的。
3、SecurityContextHolder.getContext().getAuthentication().isAuthenticated()永远都是true,所以即使是当前用户是anonymousUser时,也不能用来判断登录状态,必须要判断是否是AnonymousAuthenticationToken类型。
4、并不是所有的字符串都可以充当权限字符串,建议使用英文字母、冒号。
5、ROLE_开头的权限字符串代表角色,用错会导致无法判断权限。
6、SecurityContext在设置Authentication的时候并不会自动写入Session,读的时候却会根据Session判断,所以需要手动写入一次,否则下一次刷新时SecurityContext是新创建的实例。
7、HttpServletRequest已经从javax包移动到了jakarta包,是因为Spring Framework 6.0从Java EE升级到了Jakarta EE。
所以综上所述,大多数已知的第三方工具类和辅助框架已经失效,要么重新造轮子,要么开源开发者升级一下已有的项目。
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试设置一个puppet节点,但rubygems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由rubygems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby
我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco
如何在buildr项目中使用Ruby?我在很多不同的项目中使用过Ruby、JRuby、Java和Clojure。我目前正在使用我的标准Ruby开发一个模拟应用程序,我想尝试使用Clojure后端(我确实喜欢功能代码)以及JRubygui和测试套件。我还可以看到在未来的不同项目中使用Scala作为后端。我想我要为我的项目尝试一下buildr(http://buildr.apache.org/),但我注意到buildr似乎没有设置为在项目中使用JRuby代码本身!这看起来有点傻,因为该工具旨在统一通用的JVM语言并且是在ruby中构建的。除了将输出的jar包含在一个独特的、仅限ruby
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
设置:狂欢ruby1.9.2高线(1.6.13)描述:我已经相当习惯在其他一些项目中使用highline,但已经有几个月没有使用它了。现在,在Ruby1.9.2上全新安装时,它似乎不允许在同一行回答提示。所以以前我会看到类似的东西:require"highline/import"ask"Whatisyourfavoritecolor?"并得到:Whatisyourfavoritecolor?|现在我看到类似的东西:Whatisyourfavoritecolor?|竖线(|)符号是我的终端光标。知道为什么会发生这种变化吗? 最佳答案
我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby1.9+ 关于ruby-主要:Objectwhenrun
我有一个具有一些属性的模型:attr1、attr2和attr3。我需要在不执行回调和验证的情况下更新此属性。我找到了update_column方法,但我想同时更新三个属性。我需要这样的东西:update_columns({attr1:val1,attr2:val2,attr3:val3})代替update_column(attr1,val1)update_column(attr2,val2)update_column(attr3,val3) 最佳答案 您可以使用update_columns(attr1:val1,attr2:val2