基于rest的SpringSecurity(完整版,相对最安全版本)

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量3.1k 收藏 4
点赞数
分类专栏: java qml 文章标签: spring boost 安全 rest
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/makefriend7/article/details/53521159
版权
java 同时被 2 个专栏收录
20 篇文章 0 订阅
订阅专栏
qml
3 篇文章 0 订阅
订阅专栏
本文介绍了如何在Spring Security中构建基于REST的安全应用,强调了去除http.csrf().disable()以提高安全性,并提到真正安全的应用应考虑requiresChannel().antMatchers("/mysafe/**").requiresSecure()。内容涵盖自定义用户认证、HTTPS支持以及QML客户端的安全处理。
摘要由CSDN通过智能技术生成

相关文章

http://blog.csdn.net/makefriend7/article/details/53490184

http://blog.csdn.net/makefriend7/article/details/53514908

官网文档说明 http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/

这回要去除Security类中的http.csrf().disagbe()了

这个才算是相对安全一点的做法。当然,真正要安全的地方必须加上

requiresChannel().antMatchers("/mysafe/**").requiresSecure();

(关于SSL的介绍我准备再下一篇博客中研究),这篇的例子就不加这个开关了。


既然是完整版,用户的认证当然得采用自定义的方式

 

 

 

 

//安全类必须实现接口WebSecurityConfigurer 或者扩展WebSecurityConfigurerAdapter这里采用后者

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.security.web.util.matcher.RequestMatcher;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;

@Configuration
@EnableWebSecurity//启用Web安全
@ComponentScan
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Autowired
    private MySavedRequestAwareAuthenticationSuccessHandler authenticationSuccessHandler;

    @Autowired
    private SessionCsrfTokenRepository sessionCsrfTokenRepository;

    @Autowired
    private MyAuthenticationFailureHandler myAuthenticationFailureHandler;

这个函数主要说明登陆框的样式,地址等等(有默认登陆框)
    @Override
    protected void configure(HttpSecurity http) throws Exception {
//   ant通配符说明
//?	匹配任何单字符
// *	匹配0或者任意数量的字符
// **	匹配0或者更多的目录

        http.formLogin()
                .successHandler(authenticationSuccessHandler)
                .failureHandler(myAuthenticationFailureHandler).and()
                .authorizeRequests()
                .antMatchers("/login", "/myresource/**").permitAll()
                .antMatchers("/system1/**").hasRole("USER1")
                .antMatchers("/system2/**").hasRole("USER2")
                .antMatchers("/system3/**").hasAnyRole("USER1", "USER2")
                .anyRequest().authenticated();//.and()
    }

    ///这个函数主要说明需要认证的用户,密码,以及权限
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(new MyUserDetailService());
    }


}
 


 
 

如果要支持https代码如下
 

 

@Configuration
@EnableWebSecurity//启用Web安全
@ComponentScan
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Autowired
    private MySavedRequestAwareAuthenticationSuccessHandler authenticationSuccessHandler;

    @Autowired
    private SessionCsrfTokenRepository sessionCsrfTokenRepository;

    @Autowired
    private MyAuthenticationFailureHandler myAuthenticationFailureHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {


        http.formLogin()
                .successHandler(authenticationSuccessHandler)
                .failureHandler(myAuthenticationFailureHandler).and()
                .requiresChannel()
               .antMatchers("/login").requiresSecure()
                .antMatchers("/system1/**").requiresSecure()
                .antMatchers("/system2/**").requiresSecure().and()
                .authorizeRequests()
                .antMatchers("/login", "/myresource/**").permitAll()
                .antMatchers("/system1/**").hasRole("USER1")
                .antMatchers("/system2/**").hasRole("USER2")
                .antMatchers("/system3/**").hasAnyRole("USER1", "USER2")
                .anyRequest().authenticated();//.and()
    }

    ///这个函数主要说明需要认证的用户,密码,以及权限
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(new MyUserDetailService());
    }
 

 

 

 


 
 


 
 这里我们对用户认证失败做了自己的处理, 对系统的账号,密码,角色。做了自己的处理 

 

失败处理代码如下
 

 

import net.sf.json.JSONObject;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

@Component
public class MyAuthenticationFailureHandler extends SimpleUrlAuthenticationFailureHandler {
    private final static Logger logger = LoggerFactory.getLogger(MyAuthenticationFailureHandler.class);
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        logger.info("认证失败");
        JSONObject responseJSONObject = new JSONObject();
        responseJSONObject.put("info","login failed");
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json; charset=utf-8");
        PrintWriter out = null;
        try {
            out = response.getWriter();
            out.append(responseJSONObject.toString());
            logger.debug("返回是\n");
            logger.debug(responseJSONObject.toString());
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            if (out != null) {
                out.close();
            }
        }
        super.onAuthenticationFailure(request, response, exception);
    }
}
 

 自己定义账号,密码的读取方式(这个仅仅是展示,实际你可以在这个类中用你想用的任何技巧,比如从NOSQL 数据库读,从文件读,从redis读都是可以的。这个就不展开了)  唯一需要注意的是。默认的角色前面系统给加了 
ROLE_ 

 

 

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;

//这个类可以随便注入,比如读数据库就可以注入数据库的操作类
@Component
public class MyUserDetailService implements UserDetailsService{
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if (username.equals("user1")) {
            List<GrantedAuthority> authorityList = new ArrayList<GrantedAuthority>();
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority("ROLE_USER1");
            authorityList.add(simpleGrantedAuthority);
            User user = new User("user1", "password1", authorityList);
            return user;
        }
        if (username.equals("user2")) {
            List<GrantedAuthority> authorityList = new ArrayList<GrantedAuthority>();
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority("ROLE_USER2");
            authorityList.add(simpleGrantedAuthority);
            User user = new User("user2", "password2", authorityList);
            return user;
        }
        return null;
    }
}
 

 

 

 

QML客户端的代码比较麻烦。解析XML可以使用XmlListModel,不过这里为了简化处理,直接就取了位置
 

 

 function myLoginWithCsrf()
    {
        console.log("begin system fun1");
        var url1 = "http://172.16.129.15:8080/system1/fun1";
        var tmp1 = JSON;
        tmp1.username = "user1"
        tmp1.password = "password1";
        var mycontent = JSON.stringify(tmp1);
        //    myhttp.abort();
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);//结果是非法的请求
        
        
        console.log("begin test myresource/resource1");
        url1 = "http://172.16.129.15:8080/myresource/resource1";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);//资源同样失败

        
        //获取login的XML文件
        console.log("get login xml");
        mycontent="username=user1&password=password1&submit=Login";
        url1 = "http://172.16.129.15:8080/login";
        myhttp.open("GET", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);
        var docXml = myhttp.responseText;
        //此处应该用XmlListModel进行解析
        var docToken = docXml.substring(464, 500)
        console.log("docToken is " + docToken);
        
        //登陆,并拿到真正的Token
        console.log("begin mylogin");
        mycontent="username=user1&password=password1&submit=Login";
        url1 = "http://172.16.129.15:8080/login";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.setRequestHeader("X-CSRF-TOKEN", docToken);
        myhttp.send(mycontent);
        var docRealToken = myhttp.responseText;
        console.log("docRealToken is "+ docRealToken);
        
        console.log("begin test myresource/resource1");
        url1 = "http://172.16.129.15:8080/myresource/resource1";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/json");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.setRequestHeader("X-CSRF-TOKEN", docRealToken);
        myhttp.send(mycontent);    //现在当然成功
        
        console.log("begin system fun1");
        url1 = "http://172.16.129.15:8080/system1/fun1";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.setRequestHeader("X-CSRF-TOKEN", docRealToken);
        myhttp.send(mycontent); //有权限也没问题。
        
       
        console.log("22 begin system fun2");
        url1 = "http://172.16.129.15:8080/system2/fun2";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.setRequestHeader("X-CSRF-TOKEN", docRealToken);
        myhttp.send(mycontent);//没权限肯定啥都拿不到。
        
        
        //改用用户2登陆
        console.log("chaneg to user2")
        console.log("get login xml again");
        mycontent="username=user1&password=password1&submit=Login";
        url1 = "http://172.16.129.15:8080/login";
        myhttp.open("GET", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.send(mycontent);
        docXml = myhttp.responseText;
        docToken = docXml.substring(464, 500)
        console.log("docToken again is " + docToken);
        
        console.log("begin mylogin again");
        mycontent="username=user2&password=password2&submit=Login";
        url1 = "http://172.16.129.15:8080/login";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "application/x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.setRequestHeader("X-CSRF-TOKEN", docToken);
        myhttp.send(mycontent);
        docRealToken = myhttp.responseText;
        console.log("docRealToken "+ docRealToken);
        
        console.log("begin system fun1");
        url1 = "http://172.16.129.15:8080/system1/fun1";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.setRequestHeader("X-CSRF-TOKEN", docRealToken);
        myhttp.send(mycontent);
        
        console.log("begin system fun1");
        url1 = "http://172.16.129.15:8080/system2/fun2";
        myhttp.open("POST", url1, false); //简单化处理。都采用同步的方式
        myhttp.setRequestHeader("Content-type", "x-www-form-urlencoded");
        myhttp.setRequestHeader("Content-length", mycontent.length);
        myhttp.setRequestHeader("Connection", "Keep-Alive");
        myhttp.setRequestHeader("X-CSRF-TOKEN", docRealToken);
        myhttp.send(mycontent);
        
        
    }
 

 

 


                

        

        

    

  


    

      

        

            

              
                
                  MarsZhangLing
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
7. Spring Boot2.5 安全机制与 REST API 身份验证实战

				
			

			

				

					天空鸟的博客
				

				

					11-04
					
					1210
					
				

			

		

		

			
				
1)Spring Boot 2020 年 9 月份修复漏洞;2)Spring Boot Actuator 未授权访问远程代码执行漏洞;3)紧急修复 Spring Framework 版本包含一个安全漏洞(CVE-2020-5421)的修复程序。此漏洞可以通过 sessionId 绕过 RFD (反射型文件下载)保护;4)Spring Boot 2018 年修复了一些安全漏洞;5)建议使用最新的 Spring 5.0+版本;6)Spring 框架升级 5.0.0 - 5.0.2;

			
		

	



                

              
                



	

		

			

				
					
spring基于5.3.0GA版本-笔记

				
			

			

				

					F9000D的博客
				

				

					04-04
					
					740
					
				

			

		

		

			
				
Spring
框架的作用:解耦和(降低耦性)
形成生态(让更多的人用或者使用的人很多,说明这个东西很好)
一、spring初识
1.1、框架
人话:
举个例子,现在的楼盘都相当于毛坯房,我们买到的毛坯房都是一模一样的,这个毛坯房就相当于框架,我们可以添加东西,让他具备一定的风格。不同的人有不同的装修风格,所以毛坯房都一样,但是装修风格不同,所得到的成品就不同,简单来说,就相当一件房子的模型已经固定好了,你可以随意往里面添加东西。看自己具体怎么设计。
切换到我们所编写的应用来说,所依赖的固定的东西,别人已经给

			
		

	



                


  
              

                


	

		

			

				
					
[jojozhai]Spring Security开发安全REST服务源码完整版

				
			

			

				

					11-22
				

			

		

		

			
				
Spring Security开发安全REST服务源码完整版,注意是源码,没有视频

			
		

	





	

		

			

				
					
Spring Security

					
热门推荐

				
			

			

				

					qq_42953529的博客
				

				

					07-18
					
					2万+
					
				

			

		

		

			
				
Spring Security 简介
Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解
决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了
Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面
向切面...

			
		

	



		

			
		



	

		

			

				
					
Spring Security 详解

					
最新发布

				
			

			

				

					As_Yua的博客
				

				

					07-31
					
					3573
					
				

			

		

		

			
				
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。

			
		

	





	

		

			

				
					
springsecurity

				
			

			

				

					qq_43531651的博客
				

				

					09-19
					
					115
					
				

			

		

		

			
				
springsecurity 简单实用
1.导入jar包
 <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--ThymeLeaf与security

			
		

	





	

		

			

				
					
2021 年最新基于 Spring Cloud 的微服务架构分析

				
			

			

				

					SharingOfficer的博客
				

				

					12-18
					
					3179
					
				

			

		

		

			
				
Spring Cloud 是一个相对比较新的微服务框架,2016 年才推出 1.0 的 release 版本. 虽然 Spring Cloud 时间最短, 但是相比 Dubbo 等 RPC 框架, Spring Cloud 提供的全套的分布式系统解决方案。

Spring Cloud 是一系列框架的有序集合。它利用 Spring Boot 的开发便利性巧妙地简化了分布式系统基础设施的开发,如服务发现注册、配置中心、消息总线、负载均衡、断路器、数据监控等,都可以用 Spring Boot 的开发风格做到一键.

			
		

	





	

		

			

				
					
基于 Spring Cloud 的微服务架构分析

				
			

			

				

					m0_67698950的博客
				

				

					08-14
					
					437
					
				

			

		

		

			
				
Spring Cloud Config:配置管理工具包,让你可以把配置放到远程服务器,集中化管理集群配置,目前支持本地存储、Git 以及 Subversion。Spring Cloud Bus:事件、消息总线,用于在集群(例如,配置变化事件)中传播状态变化,可与 Spring Cloud Config 联合实现热部署。Eureka:云端服务发现,一个基于 REST 的服务,用于定位服务,以实现云端中间层服务发现和故障转移。......

			
		

	





	

		

			

				
					
【2023】最新基于Spring Cloud的微服务架构分析

				
			

			

				

					weixin_64314555的博客
				

				

					03-20
					
					1333
					
				

			

		

		

			
				
Spring Cloud Config:配置管理工具包,让你可以把配置放到远程服务器,集中化管理集群配置,目前支持本地存储、Git 以及 Subversion。Spring Cloud Bus:事件、消息总线,用于在集群(例如,配置变化事件)中传播状态变化,可与 Spring Cloud Config 联合实现热部署。Eureka:云端服务发现,一个基于 REST 的服务,用于定位服务,以实现云端中间层服务发现和故障转移。

			
		

	





	

		

			

				
					
[后端开发] Spring boot Security开发安全REST服务 视频教程 完整压缩包

				
			

			

				

					01-19
				

			

		

		

			
				
[后端开发] Spring boot Security开发安全REST服务 视频教程 
系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者
我的CSDN博客地址:
http://blog.csdn.net/mimica247706624/article/details/78617419

			
		

	





	

		

			

				
					
Spring Security基础详细介绍

				
			

			

				

					qq_36595761的博客
				

				

					11-04
					
					2459
					
				

			

		

		

			
				
1. SpringSecurity 框架简介

1.1 概要

    Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
   正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来...

			
		

	





	

		

			

				
					
Spring Boot与JWT-Spring Security实现REST API安全防护

				
			

			

				

					
				

			

		

		

			
				
"本文主要探讨了如何在Spring Boot应用中使用JWT(Json Web Token)和Spring Security来保护RESTful API,适用于需要理解API安全性的开发者。文中提到了三种常见的鉴权方式,并着重讲解了JWT的工作原理和流程。"  在...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值