Spring Security中HttpSecurity和WebSecurity的区别

最新推荐文章于 2024-06-04 16:17:04 发布
最新推荐文章于 2024-06-04 16:17:04 发布
阅读量2.1k 收藏 4
点赞数
文章标签: spring java 前端
原文链接:https://blog.csdn.net/weixin_43874301/article/details/111571551?ops_request_misc=&request_id=&biz_id=102&utm_term=WebSecurity%20web%E5%92%8CHttpSecurity%20h&utm_medium=distribute.pc_search_result.none-task-blog-2~all~sobaiduweb~default-5-111571551.142^v50
版权

为什么会有 Http security 这么个东西存在?

  • 为了阻止假用户冒充真实用户访问网站,所以需要 认证(authentication)。
  • 为了阻止真实用户访问本不是他应该访问的页面,所以需要授权(authorization)。
  • 为了阻止真实用户与网站之间传输的信息被第三方窃听到,所以需要加密(encryption)。

Spring Security是一个强大的、可根据需求高度自定义的用户认证和访问控制框架。Spring Security 怎么保证所有向
Spring application 发送请求的用户必须先通过认证?怎么保证用户可以通过表单或者 http
的方式进行认证。解决的办法是Spring
Security中有个WebSecurityConfigurerAdapter类,程序员通过继承这个类并重写
configure(HttpSecurity http) 方法就可以按照场景需求自定义认证和授权。

HttpSecurity是Spring Security Config用于配置http请求安全控制的安全构建器(类似于Spring
Security
XML配置中的http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring
Security的安全过滤器FilterChainProxy所持有和应用于相应的http请求的安全控制。

// 这是源码中默认的 认证 和 授权 的配置。
    protected void configure(HttpSecurity http) throws Exception {
        this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
        ((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.authorizeRequests().anyRequest()).authenticated().and()).formLogin().and()).httpBasic();
    }

这个配置规定了以下三点:

  1. 若要给应用程序发送请求,则发送请求的用户必须先通过认证。
  2. 允许用户采用表单登录的方式进行认证。
  3. 允许用户采用 HTTP 基本的认证方式进行认证。

Java配置和表单登录

当配置表单登录后,就需要一个登录页面供用户填写 用户名 和 密码。Spring Secrity
默认了一个页面,如果你觉得它很丑,也可以自己写一个,使用 loginPage(“/login”)
声明自定义的登录页面所在位置。当用户第一次访问 web 应用时会自动跳转到默认登录界面或者用户自定义的登录界面。

protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()
			.anyRequest().authenticated()
			.and()
		.formLogin()
			.loginPage("/login") 
			.permitAll();        
}

在这个demo中,loginPage(“/login”)指定了登录页的URL,并允许所有的用户(包括没认证的)访问登录页,formLogin().permitAll()方法允许所有用户访问这个URL。
认证请求

应用程序的每个URL都要求用户通过认证,我们可以通过给http.authorizeRequests()方法添加子方法的方式为每个URL指定自定义要求。例如:

//请求授权验证

protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()                                                                1
			.antMatchers("/resources/**", "/signup", "/about").permitAll()                  2
			.antMatchers("/admin/**").hasRole("ADMIN")                                      3
			.antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            4
			.anyRequest().authenticated()                                                   5
			.and()
		// ...
		.formLogin();
}

**http.authorizeRequests()**下添加了多个匹配器,每个匹配器用来控制不同的URL接受不同的用户访问。简单讲,http.authorizeRequests()就是在进行请求的权限配置。

所有用户都可以访问以/resources/**开头的URL,和/signup、/about两个URL。

拥有ADMIN角色的用户可以访问以/admin/开头的URL。hasRole(String):如果当前用户有String表示的角色,则返回True。
同时拥有ADMIN和DBA角色的用户可以访问以/db/**开头的URL。

access(String):当String为true时才可进行访问。
所有没被匹配器匹配到的URL都需用户通过认证。

and()返回一个SecurityBuilder。Spring Security支持两种认证方式:formLogin()和httpBasic()。

安全构建器HttpSecurity和WebSecurity的区别是 :

WebSecurity不仅通过HttpSecurity定义某些请求的安全控制,也通过其他方式定义其他某些请求可以忽略安全控制;
HttpSecurity仅用于定义需要安全控制的请求(当然HttpSecurity也可以指定某些请求不需要安全控制);
可以认为HttpSecurity是WebSecurity的一部分,WebSecurity是包含HttpSecurity的更大的一个概念;

    注意 : 这里是从语义上讲,而不是从实现层面的表示形式上讲;

构建目标不同
    WebSecurity构建目标是整个Spring Security安全过滤器FilterChainProxy,
    而HttpSecurity的构建目标仅仅是FilterChainProxy中的一个SecurityFilterChain。

原文链接:https://blog.csdn.net/weixin_43874301/article/details/111571551

微风粼粼
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity基础(三)通过配置类放行静态界面与过滤器链
weixin_43189971的博客
07-18 1517
1.通过WebSecurityCustomizer 放行界面 1.1放行不需要经过过滤器链Spring Security的静态界面 1.2放行经过 Spring Security 过滤器链,但是不拦截(如果是一个接口想要匿名访问,一般使用这种)。 2.安全过滤器链SecurityFilterChain 类似于shiro的xml配置的过滤器 .........
WebSecurity
04-21
通过高级加密标准(AES)和安全断言标记语言(SAML)在Web上的安全性
webSecurity安全
最新发布
jijisaq的博客
06-04 1225
大家好,今天跟大家讨论的是Electron的安全配置选项 ——这在之前的文章《Electron安全与你我息息相关》就已经提到过了,该选项的意义是开启同源策略,是Electron的默认值,即默认即开启同源策略之前我们在讨论Goby的漏洞时,我们发现,利用的Payload如下php?})();在这里我们注意到放置Payload的地方在外部的JavaScript文件,虽然上面写的是127.0.0.1,实际是想说我们恶意服务器上的JavaScript。
Spring Security 实战干货:WebSecurityHttpSecurity的关系
码农小胖哥
04-19 2590
前几天有粉丝私信我:WebSecurityHttpSecurity啥关系?当时给我问住了,我大概只知道它们之间的关系类似TypeScript和JavaScript的关系,但是具体的细节确...
HttpSecurityWebSecurity
mingzq123的博客
03-22 975
它提供了一些方法,用于配置 Spring Security 的一些基本行为,如忽略某些请求、设置用户信息来源、启用 HTTPS 等。它提供了一些方法,用于配置请求的身份认证、授权、跨站请求伪造防护等。在该方法之后,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。方法用于开启请求授权配置,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。配置请求的授权策略,如哪些请求需要进行身份认证、哪些请求需要授权等。
Spring Security : 安全构建器HttpSecurityWebSecurity区别
Details Inside Spring
05-10 9130
Spring Security,安全构建器HttpSecurityWebSecurity区别是 : WebSecurity不仅通过HttpSecurity定义某些请求的安全控制,也定义其他某些请求可以忽略安全控制; HttpSecurity仅用于定义需要安全控制的请求; 可以认为HttpSecurityWebSecurity的一部分,WebSecurity是包含HttpSecurity的...
SpringSecurityWebSecurityHttpSecurity
love_asia的专栏
03-24 888
SpringSecurityWebSecurityHttpSecurity
SpringSecurity如何实现配置单个HttpSecurity
08-18
Spring Security 配置 HttpSecurity Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能。今天,我们将详细介绍如何使用 Spring Security 实现配置单个 HttpSecurity。 一、创建项目并...
全面解析Spring Security 过滤器链的机制和特性
08-18
在 FilterChainProxy , Filter 们按照一定的顺序被 SecurityBuilder 的实现来组装为 SecurityFilterChain,然后通过 WebSecurity 注入到 FilterChainProxy 去。这个过程称为过滤器链的形成过程。 过滤器链的...
详解Spring SecurityWeb应用和指纹登录实践
08-26
Web应用Spring Security可以通过过滤器链来保护HTTP请求。例如,当我们实现指纹登录时,我们需要扩展AbstractAuthenticationProcessingFilter,该过滤器负责接收指纹数据并进行验证。然后,我们可以自定义...
Spring security实现登陆和权限角色控制
09-09
Spring Security的配置类,你需要启用Spring SecurityWeb安全配置,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // 配置...
SpringSecurity笔记,编程不良人笔记
10-28
总之,SpringSecurity为开发者提供了强大的安全工具,通过灵活的配置和丰富的扩展性,能够满足各种复杂的Web应用安全需求。与SpringBoot的集成使得配置更加简洁,让开发者能更专注于业务逻辑,而无需过多关注安全...
深入浅出Spring Security(四):WebSecurityHttpSecurity
热门推荐
紫眸的博客
10-09 1万+
上篇回顾 前面我们已经分析了Spring Security的核心过滤器FilterChainProxy的创建和运行过程,认识了建造者和配置器的作用。 现在我们知道WebSecurity作为一个建造者就是用来创建核心过滤器FilterChainProxy实例的。 WebSecurity在初始化的时候会扫描WebSecurityConfigurerAdapter配置器适配器的子类(即生成HttpSec...
spring securityhttpSecurity使用示例
06-03 1150
httpSecurity 类似于spring security的xml配置文件命名空间配置的<http>元素。它允许对特定的http请求基于安全考虑进行配置。默认情况下,适用于所有的请求,但可以使用requestMatcher(RequestMatcher)或者其它相似的方法进行限制。 使用示例: 最基本的基于表单的配置如下。该配置将所有的url访问权限设定为角...
Spring Security】—— WebSecurityHttpSecurity、AuthenticationManagerBuilder 构建者
qq_33471737的博客
06-23 942
官网地址 Spring Security Reference 版本:Version 5.5.0 概述 WebSecurityHttpSecurity、AuthenticationManagerBuilder 都是框架的构建者,把他们放到一起看看他们的共同特点: 首先还是利用idea工具看看他们的继承实现关系图: 1. AuthenticationManagerBuilder 2. WebSecurity 3. HttpSecurity 可以看出(红色线框标记的部分),他们都有这样一条继承树:
spring security httpSecurity
DQchat的博客
08-13 291
protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } 上面的默认配置: 确保我们应用的...
Spring Security教程系列》三.HttpSecurity的使用
AndyCat的知识库
11-30 1万+
HttpSecurity到目前为止我们的 SecurityConfig 只包含了关于如何验证我们的用户的信息。Spring Security怎么知道我们想对所有的用户进行验证?Spring Security怎么知道我们需要支持基于表单的验证?原因是我们的SecurityConfig类继承的WebSecurityConfigurerAdapter在 configure(HttpSecurity htt
SpringSecurityHttpSecurity
weixin_43172297的博客
08-02 931
文章目录前言一、HttpSecurity是什么?1.1 定义:1.2 类图:1.3 DefaultSecurityFilterChain1.4 HttpSecurity的performBuild方法1.5 HttpSecurity常用的方法 前言 之前的文章分析了WebSecurityConfigurerAdapter,这次分析下HttpSecurity。 一、HttpSecurity是什么? 1.1 定义: HttpSecurity类似于命名空间配置 Spring Security 的 XML 元素。
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5259
HttpSecuritySpring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值