Spring Security 学习总结

最新推荐文章于 2024-06-13 13:15:52 发布
最新推荐文章于 2024-06-13 13:15:52 发布
阅读量414 收藏
点赞数
分类专栏: 认证_鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JoahLi/article/details/103685217
版权

这里使用的是jdk1.8,spring boot 、spring security、mybatis、mysql,使用spring security 的目的是实现认证和鉴权。

 

1、环境搭建

1.1引入spring  security 相关依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

这里spring   security 的版本由spring boot 决定,如果按照自己的版本来配置如下:

<properties>
    <spring-security.version>5.2.1.RELEASE</spring-security.version>
</dependencies>

1.2 spring security 的基本配置

创建一个spring security 的核心配置类并继承WebSecurityConfigurerAdapter, 加上@Configuration、@EnableWebSecurity注解,表示使用spring security 的过滤器链springSecurityFilterChain,

2、Spring Security 常用到的对象/接口

2.1 SecurityContextHolder   保存着安全信息,能获得 SecurityContext

2.2 Authentication 对象

不能直接创建这个对象,这个对象有认证等方面信息,如果想获取这个对象,如下方式:

Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

if (principal instanceof UserDetails) {
String username = ((UserDetails)principal).getUsername();
} else {
String username = principal.toString();
}

2.3 UserDetailsService    基于数据库进行用户认证,全靠它获取登录的用户信息

UserDetailsService     是spring security 的接口
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;

一旦用户认证成功,就会利用UserDetails   构建Authentication 对象。

2.4 AuthenticationManager 用户认证全靠它,就是认证管理

2.5 AuthenticationProvider  如果自己定制一个认证流程,要实现这个接口

2.6 GrantedAuthority 用户的全部权限 

2.7 AbstractSecurityInterceptor 处理请求  必须实现   

2.8 SecurityContextPersistenceFilter 拦截请求生成 security context

2.9 AccessDecisionManager  对访问的请求进行授权的接口  必须实现

2.10 SecurityMetadataSource  认证对象后  获取权限资源接口 必须实现

2.11 security object model

 

2.12 PasswordEncoder 自定义密码加密方式,需要实现的接口

3、spring security  认证

3.1 认证流程

1、用户登录,将用户输入的用户名、密码信息被绑定到UsernamePasswordAuthenticationToken (实现 Authentication 接口);

2、AuthenticationManager  获得token 用于校验;

3、AuthenticationManager 认证成功,返回Authentication 对象;

4、通过返回的Authentication 对象,使用SecurityContextHolder.getContext().setAuthentication(…​),

构建出 security context。

认证方式:form-base login 和 Basic authentication.

 

4、认证和授权简单例子,基于数据库

4.1、spring security 核心配置

/**
 * 
 */
package com.springbootDemo.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.access.intercept.FilterSecurityInterceptor;
import com.springbootDemo.service.UserService;
import com.springbootDemo.util.security.MyPasswordEncoder;


/**
 * Spring security 核心配置类 用于认证、授权
 * 
 *
 */
@Configuration
@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Autowired
    private UserService userService;
    @Autowired
    private MyFilterSecurityInterceptor myFilterSecurityInterceptor;
    

    /**
     * security 两种认证登录模式 formLogin 和 http basic   这里采用formLogin 模式
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
          //对所有的请求进行拦截
        http.authorizeRequests()
            .anyRequest().authenticated()
            .and()
            .logout().permitAll()
            .and()
            .formLogin();
        http.addFilterBefore(myFilterSecurityInterceptor, FilterSecurityInterceptor.class);
        //关闭spring security 默认的 csrf认证
        http.csrf().disable();
    }

    /**
     * 对进行登录操作的用户进行认证
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //不加.passwordEncoder(new MyPasswordEncoder())
        //就不是以明文的方式进行匹配,会报错
        //这样,页面提交时候,密码以明文的方式进行匹配。
        //采用BCrypt强哈希加密
        auth.userDetailsService(userService).passwordEncoder(new MyPasswordEncoder());
    }

    /**
     * 全局配置忽略哪些请求资源被认证
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        //设置静态资源不被拦截
        web.ignoring().antMatchers("/resources/**");
    }
    
    /**
     * 强哈希、盐加密
     * @return
     */
    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

}
4.2、  用户登录认证必须实现UserDetailsService

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserDetails userDetails = null;
        UserPO user = null;
        try {
            user=this.findUserByUsername(username);
            if(user == null){
                throw new UsernameNotFoundException(username + " do not exist!");
            } 
            List<RolePO> roleList = roleMapper.findRoleListByUserId(user.getUserId());
            List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
            
            //写入用户的角色  ***  切记 由于框架原因 角色名称要以 ROLE_ 开头 
            //源码:org.springframework.security.access.expression.SecurityExpressionRoot hasAnyRole()
            if(!roleList.isEmpty()) {
                for (RolePO role : roleList) {
                    SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role.getRoleCode());
                    grantedAuthorities.add(grantedAuthority);
                    
                }
            }
            
            userDetails= new User(user.getUsername(), user.getPassword(), true, true, true, true,grantedAuthorities );
        } catch (Exception e) {
            e.printStackTrace();
            userDetails=null;
        }
        return userDetails;
    }


4.3、  实现 FilterInvocationSecurityMetadataSource(它继承了 SecurityMetadataSource)

/**
 * 
 */
package com.springbootDemo.config;

import java.util.ArrayList;
import java.util.Collection;
import java.util.HashMap;
import java.util.Iterator;
import java.util.List;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.access.SecurityConfig;
import org.springframework.security.web.FilterInvocation;
import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.stereotype.Service;

import com.springbootDemo.entity.AuthOperPO;
import com.springbootDemo.mapper.RoleMapper;

/**
 *spring security 权限资源
 */
@Service
public class MySecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource {

    @Autowired
    private RoleMapper roleMapper;
    
    private HashMap<String, Collection<ConfigAttribute>> map =null;

    /**
     * 获取所有权限资源
     */
    public void loadResourceDefine(){
        map = new HashMap<>();
        Collection<ConfigAttribute> configAttributeListAttributeList;
        ConfigAttribute cfg = null ;
        List<AuthOperPO> permissions = roleMapper.findAuthOperPOList();
        for(AuthOperPO permission : permissions) {
            configAttributeListAttributeList=new ArrayList<ConfigAttribute>();
            cfg = new SecurityConfig(permission.getRoleCode());
            //此处只添加了用户的名字,其实还可以添加更多权限的信息,例如请求方法到ConfigAttribute的集合中去。此处添加的信息将会作为MyAccessDecisionManager类的decide的第三个参数。
            configAttributeListAttributeList.add(cfg);
            //用权限的getUrl() 作为map的key,用ConfigAttribute的集合作为 value,
            map.put(permission.getMenuUrl(), configAttributeListAttributeList);
        }

    }

    @Override
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        if(map ==null) {
            loadResourceDefine();
        } 
        //object 中包含用户请求的request 信息
        HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
        AntPathRequestMatcher matcher;
        String resUrl;
        for(Iterator<String> iter = map.keySet().iterator(); iter.hasNext(); ) {
            resUrl = iter.next();
            matcher = new AntPathRequestMatcher(resUrl);
            if(matcher.matches(request)) {
                return map.get(resUrl);
            }
        }
        return null;
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }

}
4.4、实现授权管理器

/**
 * 
 */
package com.springbootDemo.config;

import java.util.Collection;
import java.util.Iterator;

import org.springframework.security.access.AccessDecisionManager;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.access.ConfigAttribute;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.stereotype.Service;

/**
 *spring  security 鉴权  决策
 *根据URL资源权限和用户角色,进行鉴权
 */
@Service
public class MyAccessDecisionManager  implements AccessDecisionManager {

    /**
     *  // decide 方法是判定是否拥有权限的决策方法,
  //authentication 是释CustomUserService中循环添加到 GrantedAuthority 对象中的权限信息集合.
  //object 包含客户端发起的请求的requset信息,可转换为 HttpServletRequest request = ((FilterInvocation) object).getHttpRequest();
  //configAttributes 为MyInvocationSecurityMetadataSource的getAttributes(Object object)这个
     */
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) {

    if(null== configAttributes || configAttributes.size() <=0) {
        return;
    }
    ConfigAttribute c;
    String needRole;
    for(Iterator<ConfigAttribute> iter = configAttributes.iterator(); iter.hasNext(); ) {
        c = iter.next();
        needRole = c.getAttribute();
        for(GrantedAuthority ga : authentication.getAuthorities()) {//authentication 为在注释1 中循环添加到 GrantedAuthority 对象中的权限信息集合
            if(needRole.trim().equals(ga.getAuthority())) {//匿名访问用户  角色   ROLE_ANONYMOUS
                return;
            }
        }
    }
    throw new AccessDeniedException("no right");

    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }

}


未完待续.................................

JoahLi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 学习总结文档
12-11
spring security学习总结文档是我自己在学习security之后总结的,该部分是初级部分
spring security学习总结
SICAUliuy的博客
03-28 458
概述 是什么 基于spring AOP和servlet过滤器的安全框架,同时在Web请求级(url请求拦截)和方法调用级(controller层中的方法)处理身份确认和授权。 功能 认证 验证 安全防护 原理技术 filter servelet spring DI spring AOP 初体验 依赖 <dependency> <groupId>org.sp...
详解 Spring Security:全面保护 Java 应用程序的安全框架
最新发布
微笑听雨
06-13 1517
Spring Security 是一个功能强大且高度可定制的框架,用于保护基于 Java 的应用程序。它为身份验证、授权、防止跨站点请求伪造 (CSRF) 等安全需求提供了解决方案
spring security 学习总结
hc1428090104的博客
03-25 157
1. springboot整合好security后, 当未进行登陆直接访问接口, 默认会跳转到security默认的登陆界面, 用户名为"admin" 密码打印在控制台, 并且也可以自己配置用户名和密码 2. 自定义登陆界面 首先编写一个登陆界面login.html, (将其放在resource/static目录下), 再定义一个配置类实现 WebSecurityConfigurerAdapter 接口, 配置如下属性 ...
Spring Security 学习总结1_3
03-14
NULL 博文链接:https://fengshen-xia.iteye.com/blog/293799
Spring Security学习总结
06-10
在"Spring Security学习总结一(补命名空间配置)"的文件中,可能涵盖了如何在Spring Security的XML配置中补充命名空间的步骤。命名空间的引入是为了简化配置,例如`<http>`元素用于配置安全拦截和访问规则,`...
SpringSecurity学习总结一.pdf
11-26
SpringSecurity学习总结一.pdf
Spring Security学习总结
05-21
Spring Security学习总结
Spring Security学习总结
05-21
Spring Security学习总结
SpringSecurity学习总结
be_ok的博客
03-20 285
学习目标: 全面掌握Spring Security各种细节 学习内容: Spring Security的默认登录页面 如何配置Spring Security sec标签的使用 文章目录学习目标:全面掌握Spring Security各种细节学习内容:前言一、Spring Security的默认登录页面二、如何配置Spring Security1.创建一个类2.授权(Authorization)3.认证(Authentication)三、sec标签的使用 前言 新手第一篇文章 这是基于狂神的Sprin
SpringSecurity学习总结-2 第三章 使用SpringMVC开发Restful API
Mr_XiMu的博客
02-13 565
SpringSecurity学习总结-2 第三章 使用SpringMVC开发Restful API
学习学习SpringSecurity
mySoul
06-07 319
Spring Security 思维导图 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WP0wmsj1-1591518754336)(http://imgs.iming.info//a879297d888bec8167d72c43d8fa8968)] 简介 SpringSecuritySpring下的一个安全框架,与shiro 类似,一般用于用户认证(Authentication)和用户授权(Authorization)两个部分,常与与SpringBoot相整合。 初阶
Spring Boot Security学习总结
GanLunatic
06-30 213
测试代码地址:https://github.com/ganlunatic/spring-boot-security问题1:认证失败异常UsernameNotFoundException在Security的逻辑中是会隐藏,需要自己注册Bean覆盖默认配置@Bean public UserDetailsService customUserService() { return new CustomUs...
8.2SpringSecurity学习总结
独孤东方朔的博客
09-16 295
SprngSecurity就是一系列的过滤器封装,在对servlet进行请求前进行数据过滤,完成用户的认证授权操作。
Spring Security学习使用
Li_first的博客
06-20 196
一、简介 Spring Security是基于Spring的应用程序提供声明式安全保护的安全性框架,它主要基于Spring Aop和servelet规范里的Filters实现,能够在web请求级别和方法调用级别处理身份认证和授权。 最开始该框架被称为Acegi Security。当时需要几百行xml配置,随着升级2.0,框架更名,再后来到3.0时,加入Spring EL表达式,如今的配置只需要十几行。 二、使用 在早期的版本,因为借助了一系列filter,所以配置filter是必要的,但是,我们不需要配置大
(珍藏版)学习 Spring Security 看这一篇博客就够了 !!!
南淮北安的博客
06-13 1095
文章目录一、学习目录二、扩展目录 一、学习目录 Spring Security 介绍 Spring Security 快速入门 Spring Security 使用数据库认证 JSR-250 学习服务器端方法级权限控制(JSP-250,@Secured,支持表达式的注解) 一文学会对页面端标签的权限控制(authentication,authorize,accesscontrollist) 二、扩展目录 一文学会 Spring Security 中的密码加密(bCryptPasswordEncode
springboot springsecurity springcloud学习方法
07-23
总结来说,学习Spring Boot、Spring SecuritySpring Cloud需要系统地学习官方文档,结合在线教程和实践项目进行深入理解,同时参与社区讨论和阅读开源项目的源代码。这样可以帮助你快速掌握这些框架并在实际开发中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值