Spring Security入门

已于 2024-09-18 18:11:00 修改
阅读量326 收藏 9
点赞数 4
文章标签: java
于 2024-09-18 16:37:24 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_85480529/article/details/142337413
版权

Spring Security 是一个强大的框架,用于保护 Spring 应用的安全。它提供了身份认证和授权功能。为了快速入门,以下是一些关键模块和类的介绍:

1. 核心模块

1.1. 认证 (Authentication)

认证模块负责验证用户的身份,确保用户是系统中的合法用户。

  • AuthenticationManager:认证的核心接口,通常会使用它来处理认证请求。

    • 实现类:ProviderManager:常用的认证管理器,会通过多个 AuthenticationProvider 来处理认证。

  • AuthenticationProvider:具体的认证处理器,用于验证用户的身份信息(如用户名、密码、JWT 等)。常见的实现有:

    • DaoAuthenticationProvider:处理基于数据库的认证,配合 UserDetailsService 使用。
    • JwtAuthenticationProvider:处理基于 JWT 的认证。

  • SecurityContextHolder:存储 SecurityContextSecurityContext 持有当前经过认证的用户信息,即 Authentication 对象。开发者可以从 SecurityContextHolder 获取或设置当前用户的认证信息。

1.2. 授权模块(Authorization)

授权是在认证通过之后,决定用户是否有权访问某些资源的过程。在 Spring Security 5.5 之后,授权可以使用 AuthorizationManager 来实现,它比之前的 AccessDecisionManager 更加简洁和灵活。

  • AuthorizationManager:处理授权决策的接口。
    常见实现类:
  • AuthenticatedAuthorizationManager:确保用户已认证。
  • AuthorityAuthorizationManager:检查用户的角色或权限。
  • WebExpressionAuthorizationManager:使用表达式进行授权控制。

2. 关键配置类

2.1. SecurityConfigurerAdapter

这是 Spring Security 配置的基类,用来配置认证和授权的相关规则。常见的实现类有:

  • WebSecurityConfigurerAdapter(Spring Security 5.7 之后被弃用):负责配置应用的安全机制。你可以继承它,重写 configure(HttpSecurity http) 方法来自定义安全配置。
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout();
    }
}
2.2. HttpSecurity

负责基于 HTTP 请求的安全配置。常见的配置方法:

  • authorizeRequests():定义 URL 的访问权限控制。
  • formLogin():启用基于表单的登录。
  • httpBasic():启用 HTTP Basic 认证。
  • logout():配置退出登录相关的设置。

3. 用户细节服务 (UserDetailsService)

  • UserDetailsService:核心接口,用于加载用户的详细信息(通常从数据库加载)。
    • UserDetails:接口,表示用户的详细信息(如用户名、密码、权限等)。
@Service
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库加载用户信息
        return new User(username, password, authorities);
    }
}

4. 过滤器 (Filters)

Spring Security 的过滤器链负责处理所有进入应用的 HTTP 请求。

  • UsernamePasswordAuthenticationFilter:处理基于表单登录的认证。
  • JwtAuthenticationFilter:自定义的过滤器,用于处理 JWT 认证。

过滤器链会通过 SecurityFilterChain 进行配置。

5. 密码加密 (PasswordEncoder)

  • PasswordEncoder:接口,用于处理密码的加密与匹配。
    • BCryptPasswordEncoder:常用的实现类,使用 BCrypt 加密算法。
@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

6. 重要注解

  • @EnableWebSecurity:启用 Spring Security 的 Web 安全功能,通常放在配置类上。
  • @PreAuthorize:方法级别的权限控制注解,确保某个方法只有特定角色或权限的用户可以访问。
    @PreAuthorize("hasRole('ADMIN')")
public void adminOnlyMethod() {
    // 只有管理员能访问
}

7. Session 管理

  • SessionManagementConfigurer:用于管理 Session 的行为,支持并发会话控制、Session 失效策略等。
http
    .sessionManagement()
    .sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 无状态的 Session 管理

8. 跨站请求伪造 (CSRF)

Spring Security 默认启用 CSRF 防护,确保表单提交的安全性。如果使用的是无状态的 API(如 REST API),可以禁用 CSRF:

http.csrf().disable();

总结

  • 认证 (Authentication):通过 AuthenticationManagerAuthenticationProvider 进行用户身份验证。
  • 授权 (Authorization):使用 GrantedAuthorityAccessDecisionManager 控制用户对资源的访问权限。
  • 核心配置SecurityConfigurerAdapterHttpSecurity 用于配置应用的安全规则。
  • 用户管理UserDetailsService 用于加载用户信息,配合 PasswordEncoder 实现密码加密。
  • 过滤器链:处理所有进入的请求,核心过滤器如 UsernamePasswordAuthenticationFilter 负责登录认证。

通过理解这些模块和类,你可以快速掌握 Spring Security 的使用,配置安全规则,保护应用的访问权限。

2401_85480529
关注
手把手教你spring security入门
yangfenggh的博客
11-24 2122
spring Security权限控制
Spring Security——入门介绍
代码星辰的博客
10-05 3288
Spring Security——入门介绍
SpringSecurity 快速入门
最新发布
时间如瑾 代码如诗
07-24 946
在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证。认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。简单说: 认证就是让系统知道我们是谁。如何实现授权?
SpringSecurity基础入门详解
小小默:进无止境
06-27 1087
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
SpringSecurity入门
凉茶铺的博客
07-15 888
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
SpringSecurity入门(超级无敌认真好用,万字收藏篇!!!!)
IT搬砖工
03-22 1533
内容包括 [SpringSecurity概述,SpringSecurity的基本使用,SpringSecurity基于内置账户的实现,SpringSecurity基于数据库的实现...]> 在西安加中实训学习期间作的笔记用于后边记忆和留存
spring security 入门demo
08-11
在这个"Spring Security 入门demo"中,我们将会探讨一系列关键概念和功能,通过提供的压缩包文件,我们可以看到不同方面的实现示例。 1. **Spring Security RESTful服务**: - `spring-security-rest-full` 模块...
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
SpringSecurity入门Demo实例
10-15
在这个入门Demo实例中,我们将探讨如何配置和使用Spring Security来保护我们的Java应用。教程链接提及的CSDN博客文章提供了详细的步骤,指导我们逐步创建一个基本的Spring Security应用。 首先,我们需要在项目中...
全套Spring Security入门到项目实战课程
03-21
### Spring Security 全套入门到项目实战课程知识点详解 #### 一、Spring Security 概述 **1.1 Spring Security 介绍** - **定义**: Spring Security 是一款基于 Spring 框架的身份认证(Authentication)与用户...
springsecurity入门实例
11-20
**Spring Security 入门实例详解** Spring Security 是一个强大的安全框架,用于保护基于 Java 的 Web 应用程序。它提供了一套完整的访问控制和身份验证机制,帮助开发者处理应用程序的安全需求。本教程将引导你...
HAP框架-SpringSecurity入门手册.docx
10-02
本手册是关于HAP框架中Spring Security入门指南,由Chenxinkai在2016年7月13日创建,并于2016年7月24日进行了最后更新。该文档的参考编号为Hap框架 Spring Security 使用,版本号为1.0。本手册仅供内部使用,未经...
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
通过以上步骤,我们可以构建一个基本的SpringBoot + Spring Security入门程序,实现用户登录和自动登录功能。这个程序结合了数据库集成、安全配置以及IDEA的使用,为开发者提供了一个完整的实践案例。在实际开发中,...
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1284
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
品优购第四天
编程之心的博客
11-22 501
品优购 第4天 学习目标 目标1:实现SpringSecurity入门小Demo 目标2:完成运营商登陆与安全控制功能 目标3:完成商家入驻 目标4:完成商家审核 目标5:完成商家系统登陆与安全控制功能 目标6:完成商家异步登录 第1章 Spring Security框架入门 1.1 Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声...
springsecurity入门
09-13
Spring Security是一个用于身份验证和授权的框架,在Spring项目中提供了一套强大的安全性解决方案。以下是你入门Spring Security的步骤: 1. 添加Spring Security依赖:在你的项目中,通过Maven或Gradle添加Spring Security的依赖。例如,在Maven中,你可以添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类来配置Spring Security。这个配置类需要继承`WebSecurityConfigurerAdapter`类,并覆盖`configure`方法。例如,你可以创建一个类叫做`SecurityConfig`: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 允许公共访问的URL .anyRequest().authenticated() // 其他URL需要身份验证 .and() .formLogin() // 启用表单登录 .loginPage("/login") // 自定义登录页面URL .permitAll() .and() .logout() // 启用注销 .permitAll(); } } ``` 上述配置中,我们定义了哪些URL是公开访问的,哪些URL需要身份验证,以及自定义了登录和注销的相关配置。 3. 创建用户服务:在上面的配置类中,你需要定义一个用户服务来获取用户的身份验证信息。这可以通过实现`UserDetailsService`接口来完成。你可以创建一个类叫做`UserService`来实现这个接口,并重写`loadUserByUsername`方法: ```java @Service public class UserService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 从数据库或其他数据源中获取用户信息 // 然后返回一个实现了UserDetails接口的类,代表用户的身份验证信息 // 例如,你可以使用Spring Security提供的User类 return User.builder() .username(username) .password("password") .roles("USER") .build(); } } ``` 上述代码中,我们简单地返回了一个固定的用户信息,实际应用中你需要从数据库或其他数据源中获取真实的用户信息。 4. 配置密码编码器:为了安全起见,你需要对用户密码进行编码。在上述的配置类中,通过重写`configure`方法来配置密码编码器。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService).passwordEncoder(passwordEncoder()); } // 其他配置... } ``` 上述代码中,我们使用了`BCryptPasswordEncoder`来对密码进行编码。 这些是入门Spring Security的基本步骤。当你完成了上述配置后,你的应用程序将需要进行身份验证,并且可以通过URL保护来限制访问。你可以根据需要进一步自定义和扩展Spring Security的功能。希望这能帮助到你!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值