Spring Security于Spring Boot结合的认证授权机制流程(一)

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量1.5k 收藏 2
点赞数 3
分类专栏: spring-security 文章标签: spring security 安全 springboot 认证 授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38024391/article/details/71404582
版权

Hi 大家好 今天我将和大家分享一下我在做安全框架遇到的难题以及如果正确使用spring security以及Spring Security OAuth2 Client 。本文将讲述一下几点:
1 为什么需要Spring Security?
2 如何将 Spring Security与Spring Boot结合?
3 如何使用Spring Security进行认证,授权流程的登录验证?

1 因为Spirng Security 可以解决Session 固化问题,如果没有安全框架,会有cookie攻击的问题,黑客很容易就可以拿到一个用户的sessionId(默认是一个名为JSSIONID的cookie的值即为sessionId),然后伪装登录。仅仅通过配置就可以打开唯一登录功能(shiro没有唯一登录的机制,我以前是自己开发,结合拦截器 以及 redis实现了唯一登录功能),还有csrf机制(后续和大家分享csrf)。
2 Spring Boot的众多好处中的一个好处就是用java config代替 xml的配置,这样无疑性能会更高一些。然而大家第一次接触java config,会很陌生。其实java config很简单的,从表面上看就是将xml的标签用@Bean注解代替。Spring Boot 有更多的注解解决程序问题,例如@EnableAsync和@Async注解,能实现方法的异步。等等(如果大家有兴趣,后续会和大家分享Spring Boot)。
官网有相关的demo项目,可以看到Spring Security与Spring Boot的结合。(如果有的朋友从来没有接触过Spring Security,那就一定要先仔细的把官网的文档以及demo项目看明白了,再接着看我的博客)
https://spring.io/guides/tutorials/spring-security-and-angular-js/
然而官网的demo项目,仅仅是演示了Spring Security框架可以解决什么企业问题:如 安全登录,权限控制,然而并不能拿到企业当中来用。接下来,我将和大家分享最关键也是最核心的内容就是Spring Security如何在企业当中解决安全认证(我使用了md5加密来作为密码加密器),权限控制。
首先是jar包依赖,我使用的是maven项目,需要添加maven依赖:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

下面仔细说明一下Spring Security工作的核心类信息:
HttpSecurity类:进行权限的配置,具体哪里路径可以直接放行.antMatchers(…).permitAll()
哪些路径需要权限认证 .antMatchers(…).hasAutority(…) 仅测试需要
.anyRequest().authenticated()
配置登录页面,登录错误页面 以及安全退出,安全退出页面,记住我等等。
FilterInvocationSecurityMetadataSource:该类为过滤器类,容器启动就会加载该类进行资源 角色的加载。
需要自定义该类的实现类,自定义init方法,从数据库加载该程序需要的全部的权
限信息。然后每次请求都回走getAttributes,加载该url需要的角色列表。
AccessDecisionManager:该接口 的decide方法即为权限审核接口,判断当前用户有没有访问该url的权限
UserDetailsService: 用户登录真正工作类,需要自定义实现类实现该接口,实现loadUserByUserName
UserDetails:用户信息实体类接口,自定义的javaBean需要实现该类。
下面是我的部分的java config代码,供大家参考。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/**")
            .authorizeRequests()
             .antMatchers( "/se-home","/se-public/**","/login**", "/webjars/**","/js/**","/myexcel","/upload*").permitAll()
                .antMatchers("/se/**").hasAuthority("ROLE_USER")
                .anyRequest().fullyAuthenticated()
                .and()
            .formLogin()
                .loginPage("/se-goLogin").failureUrl("/se-goLogin?error")
                .loginProcessingUrl("/se-login")
                .defaultSuccessUrl("/se/se-hello")
                .permitAll()
                .and()
            .logout()
            .logoutSuccessUrl("/se-home")
                .permitAll()
                .invalidateHttpSession(true)
                .and()
                .rememberMe();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
          .userDetailsService(getCustomUserDetailsServiceImpl())//自定义开发的UserDeatilsService
          .passwordEncoder(getMD5Encoder());//自定义开发的密码加密器
        }

自定义的类都需要通过@Bean注解的形式交给Spring Boot来管理,如下获取Spring Security的过滤器代理的类配置:

 @Bean
        public DelegatingFilterProxy getDelegatingFilterProxy(){
             FilterRegistrationBean registrationBean=new FilterRegistrationBean();
            DelegatingFilterProxy delegatingFilterProxy=new DelegatingFilterProxy();
            delegatingFilterProxy.setTargetBeanName(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME);
            registrationBean.setFilter(delegatingFilterProxy);
            registrationBean.setName(AbstractSecurityWebApplicationInitializer.DEFAULT_FILTER_NAME);
            registrationBean.addUrlPatterns("/*");
            registrationBean.setOrder(1);
            return delegatingFilterProxy;

        }

上面的那个bean是有一定难度的配置,我自己琢磨了好久,参考了大量的资料,才琢磨出来。其他的配置相对比较简单大家可以自己动手,来做,其实在做的过程中,大家的能力就在不知不觉中有了很大的提升。具体的我就不贴了哟,相信大家可以的。
做好了SpirngBoot与Spring Security的整合,接下来就是Spring Security的使用
http://blog.csdn.net/weixin_38024391/article/details/71427469
如果大家对Spring Security OAuth2感兴趣 可以查看我的博客:
https://my.oschina.net/u/3375419/blog/895728

Amiiya_ff
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring security认证授权
11-30
在这个例子中,我们将深入探讨如何使用Spring Security进行认证授权,并结合数据库操作进行动态配置。 首先,Spring Security的核心概念包括认证(Authentication)和授权(Authorization)。认证是确认用户身份...
springsecurity原理流程图.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证
Spring security工作流程及集成
03-06 98
A user enters their username and password into a login screen and clicks a login button. The entered information is placed into an object calledAuthenticationwhich is passed to theAuthenticati...
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3776
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
springsecurity工作流程
qq_39321234的博客
04-27 1931
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
SpringSecurity工作流程
Cavan_C的博客
07-02 768
工作原理 SpringSecurity过滤器链 SpringSecurity采用的是责任链的设计模式,它有一条很长的过滤器链。 SecurityContextPersistenceFilter会在请求开始时从配置好的SecurityContextRepository中获取SecurityContext,然后把它设置给SecurityContextHolder。在请求完成后将SecurityHolder持有的SecurityContext再保存到配置好的SecurityContextReposit
spring security工作流程
chengshiti9938的博客
07-27 607
1.拦截登录,获取到用户的所有权限信息 1.1默认的拦截器拦截 /login 方法 OncePerRequestFilter 集成这个过滤器,每一次请求都将会被拦截过滤 默认使用 UsernamePasswordAuthenticationFilter 来拦截用户的login操作。...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
总的来说,这个项目展示了如何结合Spring BootSpring Security和JWT来实现一个安全的登录认证系统,以及如何利用MyBatisPlus简化数据库操作。通过这个实现,开发者可以快速构建一个安全的、基于令牌的Web服务,为...
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
它是一个灵活且可扩展的安全框架,支持多种认证授权机制。在微服务架构中,Spring Security 可以帮助我们保护每个微服务的入口点,确保只有经过验证的用户才能访问受保护的资源。 整合Spring SecuritySpring ...
基于spring security实现登录注销功能过程解析
08-25
主要介绍了基于spring security实现登录注销功能过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring security工作的大致流程
yu001207的博客
10-17 1761
spring security工作的大致流程,可以帮助你理解
springSecurity工作流程学习
qq_15042899的专栏
06-19 4264
springSecurity执行流程 整个程序执行的过程如下: 1、容器启动时    通过MyInvocationSecurityMetadataSource # loadResourceDefine 加载系统资源与权限列表resourceMap(一个Map结构,资源[url]为key,权限[auth]为value )     2、WEB服务器启动,加载security内置的
SpringSecuritySecurity工作流程的理解
燕大Java第一深情的博客
09-12 581
security理解
SpringSecurity完整流程
Leon_Jinhai_Sun的博客
06-05 419
SpringSecurity完整流程
springSecurity运行流程(仅记录)
俗语的博客
12-26 276
1  用户点击登录,进入 UsernamePasswordAuthenticationFilter的 attemptAuthentication方法 此方法内获取账号密码,生成未验证的 authRequest(已经设置好了details,可以引入自定义的UserDetails实现)。 authRequest作为参数进行验证。 2  默认provider验证为 Provide...
权限管理系统后端实现1-SpringSecurity执行原理概述
m0_51935008的博客
07-08 601
方法,设置到其中。FilterChainProxy是一个代理,真正起作用的是各个Filter,这些Filter作为Bean被Spring管理,是Spring Security核心,各有各的职责,不直接处理认证授权,交由认证管理器和决策管理器处理!3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。但拦截器里面的实现需要一些组件来实现,所以就有了。
Spring Security工作原理和认证流程
yx444535180的专栏
08-25 1328
一、工作原理 Spring Security所解决的问题是安全访问控制,而安全访问控制功能就是对所有访问系统的请求进行拦截,校验每个请求是否能访问它所期望的资源。一般可以通过Filter和AOP来实现,Spring Security对web资源的保护是通过Filter来实现的,所以从Filter来入手学习Spring Security的原理。 当初始化Spring Security的时候,会创建SpringSecurityFilterChain的过滤器,类型为org.springframework.secu
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值