Spring Security进阶

最新推荐文章于 2023-04-22 00:56:05 发布
最新推荐文章于 2023-04-22 00:56:05 发布
阅读量352 收藏 1
点赞数 1
分类专栏: Java 框架 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IAHEAD/article/details/117930290
版权

Spring Security进阶

一、配置可匿名访问的资源

在spring-security.xml文件中配置,指定哪些资源可以匿名访问。

 <!-- 指定匿名即可访问的资源,也就是不需要认证授权,就可以访问     -->
    <security:http security="none" pattern="/css/**"/>
    <security:http security="none" pattern="/js/**"/>
    <security:http security="none" pattern="/login.html"/>

二、使用指定的登录页面

1. 提供login.html作为项目的登录页

<!DOCTYPE html>
<html>
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<form action="/login.do" method="post">
    <table>
        <tr>
            <td>用户名:</td>
            <td><input type="text" name="username"></td>
        </tr>
        <tr>
            <td>密码:</td>
            <td><input type="text" name="password"></td>
        </tr>
        <tr>
            <td colspan="2"><input type="submit" value="登录"></td>
        </tr>
    </table>
</form>
</body>
</html>

2. 指定登录页面

指定login.html页面可以匿名访问,否则无法访问。

<security:http security="none" pattern="/login.html" />

3. 配置表单登录信息

<!--
security:form-login : 用于配置登录的表单页面信息
login-page : 登录页面是哪个
username-parameter :用户名的那个name属性的值是什么
password-parameter : 密码的那个name属性的值是什么
login-processing-url : 登录的表单提交的地址是哪个
default-target-url : 登录成功之后,去到哪里
authentication-failure-url : 登录失败之后,去到哪里
always-use-default-target : 表示登录之后之后是否打开index首页。 true :表示一定会打开首页,false:不一定打开index.html
 -->
<security:form-login
    login-page="/login.html"
    username-parameter="username"
    password-parameter="password"
    login-processing-url="/login.do"
    always-use-default-target="true"
    default-target-url="/index.html"
    authentication-failure-url="/login.html"
    />

4. 关闭CsrfFilter过滤器

Spring-security采用盗链机制,其中_csrf使用token标识和随机字符,每次访问页面都会随机生成,然后和服务器进行比较,成功可以访问,不成功不能访问(403:权限不足)。

<!--加入csrf的忽略-->
<security:csrf disabled="true"/>

三、从数据库查询用户信息

如果我们要从数据库动态查询用户信息,就必须按照spring security框架的要求提供一个实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可。框架会自动调用实现类中的方法并自动进行密码校验。

1. 定义UserService类,实现UserDetailsService接口

public class UserService implements UserDetailsService {}

2. 在spring-security.xml中配置认证管理

<!--
2. 认证管理:使用我们写好的认证的服务 :UserService
authentication-manager : 认证管理员
authentication-provider : 由它提供认证的规则
user-service-ref :表示使用的认证规则是我们写好的UserService这个类,当然,我们需要把这个类先交给spring管理。
user-service-ref="userService"  ,里面的userService是托管类的id名字
-->
<bean id="us" class="com.itheima.security.UserService"/>
<security:authentication-manager>
    <security:authentication-provider user-service-ref="us">
    </security:authentication-provider>
</security:authentication-manager>**

四、对密码进行加密

bcrypt:将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。
spring security中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥 对密码进行加密。SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。

(1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。

(2)密码匹配(matches):用户登录时,密码匹配阶段并没有进行密码解密(因为密码经过Hash处理,是不可逆的),而是使用相同的算法把用户输入的密码进行hash处理,得到密码的hash值,然后将其与从数据库中查询到的密码hash值进行比较。如果两者相同,说明用户输入的密码正确。

这正是为什么处理密码时要用hash算法,而不用加密算法。因为这样处理即使数据库泄漏,黑客也很难破解密码。

	<!--
	security:password-encoder : 使用什么密码加密技术
	passwordEncoder : 表示使用BCryptPasswordEncoder
    -->
    <bean id="us" class="com.itheima.security.UserService"/>
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="us">
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

五、配置多种校验规则(对访问的页面做权限控制)

<security:intercept-url pattern="/index.html" access="isAuthenticated()"></security:intercept-url>
<security:intercept-url pattern="/a.html" access="isAuthenticated()"></security:intercept-url>
<security:intercept-url pattern="/b.html" access="hasAuthority('add')"></security:intercept-url>
<security:intercept-url pattern="/c.html" access="hasRole('ROLE_ADMIN')"></security:intercept-url>
<security:intercept-url pattern="/d.html" access="hasRole('ABC')"></security:intercept-url>

六、注解方式权限控制(对访问的Controller类做权限控制)

1:在spring-security.xml文件中配置组件扫描和mvc的注解驱动,用于扫描Controller

<context:component-scan base-package="com.primo"/>
 <mvc:annotation-driven/>

2:在spring-security.xml文件中开启权限注解支持

<!--开启注解方式权限控制-->
<security:global-method-security pre-post-annotations="enabled" />

3:创建Controller类并在Controller的方法上加入注解(@PreAuthorize)进行权限控制。

七、退出登录

<!--
退出登录的配置
security:logout  用于设置退出登录
logout-success-url : 退出成功之后 ,要到什么页面去
logout-url : 退出登录提交的请求地址是什么
invalidate-session : 退出登录之后,是否要删除session,一般选择 true
-->
<security:logout logout-success-url="/login.html" logout-url="/logout.do" invalidate-session="true"/>
Primo^n
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Security快速入门、进阶、高级
qq_45270898的博客
09-18 611
知识点-Spring Security简介 1.目标 知道什么是Spring Security 2.路径 Spring Security简介 Spring Security使用需要的坐标 3.讲解 3.1 Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来==简化认证和授权的过程。...
JWT登录 SpringSecurity基础 SpringSecurity进阶 SpringSecurity高级
05-17
"JWT登录SpringSecurity基础SpringSecurity进阶SpringSecurity高级" Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Spring 的应用程序。它提供了许多功能强大且灵活的安全特性,包括身份验证、...
spring -security进阶
weixin_44331613的博客
03-16 262
spring -security进阶 1、概括 ​ 这是一篇对于spring-security的总结,包含了自己在写spring-security-demo所有的问题。spring-security的底层其实是用了过滤器。对于请求的过滤。并且将认证好的信息存储session中。这一篇中只是简单的使用他的认证和授权。其中认证重写了AbstractAuthenticationProcessingFilter过滤器,而授权则使用了注解的方式开发。并没有对认证成功后的处理进行重写,也没有对没有权限的用户访问页面的
弯道超车!阿里甩出Spring Security宝典我粉了
Java圈全能架构师的博客
01-03 252
前言 据有关数据表明Spring SecurityJava应用安全领域已经慢慢成为首先被推崇的安全解决方案。虽然它在Java应用安全领域所占比重越来越大,但大多数开发者面对Spring Security这样的“庞然大物”时无从入手,也因为对其不够了解而在实际项目中不敢轻易采用。如何学?怎么把它引入到项目里?已经是每一个开发人员需要考虑的问题。 为了能带大家进入Spring Security的新世界,也本着好东西就是要拿出来分享的原则!今天互联网雷锋(小编我)就把从阿里一位老哥手上得到的Spring S
Spring Security进阶学习
Herishwater的博客
12-14 668
本文带大家实操一个SpringBoot项目,实现认证与授权,接着从源码层面分析认证与授权的工作原理,当然,原理分析是枯燥的,后续还会结合实际项目进行学习的。
动吧旅游 生态系统项目 part 1
weixin_47562812的博客
11-25 534
产品功能的实现: 1.首先实现软件的功能; 2.学会控制; 3.运维(项目运行时日志的分析,项目的布署,项目的拓展) 1. 项目简介 1.1概述 动吧旅游生态系统,应市场高端用户需求,公司决定开发这样的一套旅游系统,此系统包含旅游电商系统(广告子系统,推荐子系统,评价子系统,商品子系统,订单子系统,…),旅游分销系统(分销商的管理),旅游业务系统(产品研发,计调服务,系统管理,… 1.2原型分析 基于用户需求,进行原型设计(基于html+css+js进行静态页面实现)。例如系统登录页面:(bootstrap
SpringSecurity进阶DEMO
12-23
在这个“Spring Security进阶DEMO”中,我们将深入探讨如何自定义`UserDetailsService`以满足特定的认证需求,以及如何配置Spring Security的不同功能模块。让我们逐一展开这些主题。 ### 自定义`...
详解Spring Security进阶身份认证之UserDetailsService(附源码)-附件资源
03-05
详解Spring Security进阶身份认证之UserDetailsService(附源码)-附件资源
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
spring-security进阶1---第三方登陆原理1【从常理出发来思考一下oauth2协议】
nrsc
07-27 2123
1.从常理出发来想这个问题 大家肯定都知道什么是第三方登陆,以CSDN来说,当我们需要进行登陆时会进入到如下页面 以使用QQ登陆为例,当我们点击小企鹅图标时,会进入到下面的登陆认证页面 ...
Spring Security-从入门到精通(全网最全)
极客鼠之家
10-18 1084
Spring Securityspring家族中一个安全管理框架,相比其他安全框架Shiro,提供更丰富的功能,社区资源丰富中大型项目使用Spring Security来作安全框架,小项目使用shiro;相比较Spring Security,shiro上手简单。一般web应用需要进行认证和授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:判断登录后的用户是否有权限进行某个操作认证和授权是SpringSecurity作为安全框架核心功能。
SpringSecurity(1)过滤器链、自定义认证页面、退出登录和加密认证
zengdongwen的博客
09-11 1937
1、权限管理的概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管 理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个非常重要的名词: 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。 登录和认证的区别:一般简单的登录是只要验证用户的用户名和密码是否正确,但是认证还包括查询出用户的角色和权限信息。 授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源。 权限管理中三个重要的对象
SpringSecurity中对接口进行匿名访问自定义@Anonymous注解
小姜的博客
04-22 2521
注解仅对Spring MVC的控制器方法生效,对于其他类型的接口,例如Spring Boot的REST端点、WebSocket端点等,需要根据具体的场景进行相应的配置。提问:我需要自定义一个注解@Anonymous来添加到接口的方法上,对该方法进行匿名访问,怎么实现?过滤器会拦截该请求,并将当前用户的身份设置匿名用户,从而实现对该接口的匿名访问控制。如果匹配,则将当前用户的身份设置匿名用户。对象,并将其设置为当前用户的身份,来实现匿名访问控制。注解,表示该接口可以进行匿名访问。过滤器之前添加自定义的。
SpringSecurity不允许匿名(anonymous)访问Post接口(403)
secretdaixin的博客
02-09 2068
问题1:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6643
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
spring security 实现匿名访问接口
zhaosheng的博客
04-23 9106
就如同静态资源一样,我们不希望请求时需要认证,而是直接返回结果。 接下来我使用自定义注解完成匿名访问(以@AnonymousGetMapping举例) 第一步:我们需要写一个匿名访问的注解@AnonymousGetMapping,其中我们需要此注解也注解上@AnonymousAccess,保证在后续过程中获取匿名访问的url。 @AnonymousAccess @Target(ElementType.METHOD) @Retention(RetentionPolicy.RUNTIME) @Documente
集成SpringSecurity,访问接口报401 unauthorization无权限
伟大是熬出来的
03-27 1万+
集成了spring Security的时候启动项目,如果没有设置默认的账号密码,系统会自动给你生成一个密码,默认用户为user 在postman中访问的时候只需要设置 这样就可以简单的访问接口并正确返回。 因为你没有设置密码,这样每次重启会给你一个随机新的密码,这样很不方便,那么我们可以在配置文件中定义固定的账号密码 当然也可以直接在java文件中定义账号密码,首先需要我们...
Spring Security OAuth 匿名认证的使用
m13012606980的专栏
09-14 3012
Spring Security OAuth 匿名认证的使用AnonymousAuthenticationFilter配置匿名访问的资源路径自定义匿名访问注解自定义注解AnonymousAccess动态获取匿名访问路径获取@AnonymousAccess标注的接口为空问题反射获取@AnonymousAccess标注的接口 AnonymousAuthenticationFilter spring security 默认提供了一个匿名身份验证的过滤器AnonymousAuthenticationFilter,默认
spring boot进阶
最新发布
08-26
可以使用Spring Security框架来进行认证和授权,同时还可以了解其他的安全相关技术,如OAuth2、JWT等。 6. 集成测试与持续集成:了解如何编写集成测试,并结合持续集成工具进行自动化测试和部署。可以使用工具如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值