SpringSecuryty中的常用配置类

最新推荐文章于 2024-02-23 19:48:25 发布
最新推荐文章于 2024-02-23 19:48:25 发布
阅读量847 收藏
点赞数
分类专栏: Spring Security 文章标签: 服务器 mysql 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHENFU_ZKK/article/details/127317300
版权

SpringSecuryty中的常用配置类

常用配置类

WebSecurityConfigurerAdapter

Spring Security 的基本配置。

在这里插入图片描述

OAuth2

认证服务器

AuthorizationServerConfigurerAdapter

配置授权服务器。

记得加上 @EnableAuthorizationServer 注解,表示开启授权服务器的自动化配置。

在这里插入图片描述

在写 AuthorizationServerConfigurerAdapter 子类中,我们其实主要重写三个 configure 方法。

  • AuthorizationServerSecurityConfigurer :用来配置令牌端点的安全约束,也就是这个端点谁能访问,谁不能访问。

    checkTokenAccess 是指一个 Token 校验的端点,这个端点我们设置为可以直接访问(在后面,当资源服务器收到 Token 之后,需要去校验 Token 的合法性,就会访问这个端点)。

  • ClientDetailsServiceConfigurer :用来配置客户端的详细信息

    授权服务器要做两方面的检验,一方面是校验客户端,另一方面则是校验用户,校验用户,WebSecurityConfigurerAdapter 中配置,这里就是配置校验客户端。客户端的信息我们可以存在数据库中。授权类型一共是四种,四种之中不包含 refresh_token 这种类型,但是在实际操作中,refresh_token 也被算作一种。

  • AuthorizationServerEndpointsConfigurer :这里用来配置令牌的访问端点和令牌服务。

TokenStore

这个是指你生成的 Token 要往哪里存储,我们可以存在 Redis 中,也可以存在内存中,也可以结合 JWT 等等。
在这里插入图片描述

AuthorizationServerTokenServices

这个 Bean 主要用来配置 Token 的一些基本信息,例如 Token 是否支持刷新、Token 的存储位置、Token 的有效期以及刷新 Token 的有效期等等。Token 有效期这个好理解,刷新 Token 的有效期我说一下,当 Token 快要过期的时候,我们需要获取一个新的 Token,在获取新的 Token 时候,需要有一个凭证信息,这个凭证信息不是旧的 Token,而是另外一个 refresh_token,这个 refresh_token 也是有有效期的。

AuthorizationCodeServices

用来配置授权码的存储,这里我们是存在在内存中,tokenServices 用来配置令牌的存储,即 access_token 的存储位置。

资源服务器

大家网上看到的例子,资源服务器大多都是和授权服务器放在一起的,如果项目比较小的话,这样做是没问题的,但是如果是一个大项目,这种做法就不合适了。

ResourceServerConfigurerAdapter

配置资源服务器

ResourceServerTokenServices

如果资源服务器和授权服务器是分开的,就需要配置该实现类,资源服务器和授权服务器是放在一起的,就不需要配置 RemoteTokenServices 了。

该接口实现如下

在这里插入图片描述

RemoteTokenServices

配置项如下

RemoteTokenServices services = new RemoteTokenServices();
services.setCheckTokenEndpointUrl("http://localhost:8080/oauth/check_token");
services.setClientId("javaboy");
services.setClientSecret("123");
return services;ces;

配置了 access_token 的校验地址、client_id、client_secret 这三个信息,当用户来资源服务器请求资源时,会携带上一个 access_token,通过这里的配置,就能够校验出 token 是否正确等。

ResourceServerSecurityConfigurer

资源配置

resources.resourceId("res1").tokenServices(ResourceServerTokenServices);

参考

  1. 这个案例写出来,还怕跟面试官扯不明白 OAuth2 登录流程?
CHENFU_JAVA
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring常用配置文件
小陈学java
07-10 207
核心配置文件(applicationContext.xml) <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org
SpringSecurity详解
m0_71012114的博客
10-19 4976
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
SpringSecurity配置
qq_45733154的博客
10-19 8170
SpringSecurity配置与使用
Spring Security 配置
2301_76424979的博客
06-05 367
【代码】Spring Security 配置
springsecurity 配置
lanlan112233的博客
04-13 1177
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
SpringSecurity配置--常用配置
qq_52211542的博客
10-07 3335
SpringSecurity配置--常用配置
Spring Security安全配置
coolshyman的博客
07-25 1961
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie读取Token进行认证。
[自用留档]SpringSecurity配置
qq_61603262的博客
10-18 345
spring security配置
Spring Security 基本介绍及基础项目搭建
热门推荐
一个菜鸡的博客
05-16 1万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
实战项目 在线学院之集成springsecurity配置以及执行流程
健康平安的活着的专栏
09-01 929
1.Spring Security的核心配置就是继承WebSecurityConfigurerAdapter并注解@EnableWebSecurity配置。定义userDetailServiceImpl 查询用户信息的实现。用户名密码的处理方式、请求路径的开合、登录登出控制等和安全相关。2.配置一些放行的请求。2.token加密工具。
Spring Security配置
qq_46005551的博客
03-27 2191
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
Spring security知识整理
qq_25705173的博客
07-07 778
1) Spring Security进行身份验证的是AuthenticationManager接口,ProviderManager是它的一个默认实现,但它并不用来处理身份认证,而是委托给配置好的AuthenticationProvider,每个AuthenticationProvider会轮流检查身份认证。检查后或者返回Authentication对象或者抛出异常。 验证身份就是加载响应的UserDetails,看看是否和用户输入的账号、密码、权限等信息匹配。此步骤由实现AuthenticationPro
SpringBoot3】Spring Security 常用配置总结
最新发布
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 2200
1、记住我 rememberMe 2、退出处理 3、持久化登录令牌 4、并发登录控制,后登录踢掉前面登录 5、主动踢人下线 6、允许跨域处理 7、跨域攻击防护
SpringSecurity配置
qq_41273101的博客
07-05 816
SpringSecurity配置 实例: public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { // super.configure(http); http.authorizeRequests() .an
14-项目集成SpringSecurity-定义Security配置
weixin_44478828的博客
01-19 383
新建com/itheima/stock/security/config/SecurityConfig.java。启动stock_backend项目。再用postman测试一下,访问。获取验证码和sessionId。
SpringSecurity安全框架(配置版)
武汉小喽啰
07-18 3282
1. 前言 1.1SpringSecurity 框架用法简介 用户登录系统时我们协助 SpringSecurity 把用户对应的角色、权限组装好,同时把各个 资源所要求的权限信息设定好,剩下的“登录验证”、“权限验证”等等工作都交给 SpringSecurity 1.2权限管理过程的相关概念 1.2.1 主体 英文单词:principal 使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是谁使用系统 谁就是主体 1.2.2认...
spring+springMVC+mybatis+springSecurity(全配置
KYGALYX的博客
01-14 452
需要将security配置加到spring容器,不然会抛出找不到springSecurityFilterChain这个bean的定义异常。剩下就是编写增删改查,以上是前后端分离架构ssm项目编写。编写配置,首先配置springconfig配置文件。编写webInit文件,可以替代web.xml文件。编写springSecurity的过滤器。编写jdbc.properties文件。配置springMVCconfig。配置springSecurity。编写jdbcConfig。首先创建一个maven。
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2970
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
《设计模式》建造者模式 (spring-security-oauth2源码之ClientDetailsServiceConfigurer)
kaige8312的博客
02-12 1万+
建造者模式(Builder Pattern)使用多个简单的对象一步一步构建成一个复杂的对象。这种型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。 简单版参照 https://blog.csdn.net/u010102390/article/details/80179754 看下spring-security-oauth2是怎么玩的 1.首先定义总的Configurer--C...
SpringSecurity服务器配置说明
makaixuan_的博客
08-23 646
外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zMldYDBl-1661221320914)(…/AppData/Roaming/Typora/typora-user-images/)]此时登录另一个客户端8082,确认是否也已经授权,免登录了。成功登录自己服务器的首页(user:zhangsan)授权认证成功后跳转到指定客户端的页面。点击登录(成功登录到8081客户端)成功登录到8082,点击登录。登录到8080自己服务器的。到服务器端的认证系统。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值