Spring Security的学习使用

最新推荐文章于 2024-05-22 16:49:19 发布
最新推荐文章于 2024-05-22 16:49:19 发布
阅读量196 收藏
点赞数
分类专栏: spring 文章标签: spring 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Li_first/article/details/106867586
版权

一、简介

Spring Security是基于Spring的应用程序提供声明式安全保护的安全性框架,它主要基于Spring Aop和servelet规范里的Filters实现,能够在web请求级别和方法调用级别处理身份认证和授权。
最开始该框架被称为Acegi Security。当时需要几百行xml配置,随着升级2.0,框架更名,再后来到3.0时,加入Spring EL表达式,如今的配置只需要十几行。

二、使用

在早期的版本,因为借助了一系列filter,所以配置filter是必要的,但是,我们不需要配置大量的filter,只需要配置一个便可。
对于这个的配置,可以采取web.xml或者java代码方式的配置。
如果喜欢传统的xml配置,可以如下:

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>
        org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>

或者java代码方式

public class SecurityWebInitialiizer extends AbstractSecurityWebApplicationInitializer {
}

在如今的版本,已经不需要这一步了,
下面是最简单的安全性配置:

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {}

顾名思义,@EnableWebSecurity是启用web安全性配置,这样就不用再写前面的繁琐配置了。Spring Security必须配置在实现了WebSecurityConfigurerAdapter的bean中,最简单的就是继承方式。
继承之后,我们可以通过重载三个configure方法。

  • configure(WebSecurity) :通过重载,配置spring security的filters链
  • configure(HttpSecurity) | 通过重载,配置如何通过拦截器保护请求
  • configure(AuthenticationManagerBuilder) | 通过重载,配置user-detail服务
    第二个是对http请求的拦截,第三个是对用户存储的认证。
    当没有任何一个重写的时候,第二个默认任何请求都需要验证,第三个默认没有用户存储,此时意味着无法验证,那么这个过程将有一个唯一的结果,不能通过,没有任何用户可以进入系统。
    此时默认的
 protected void configure(HttpSecurity http) throws Exception {
        http.
                .authorizeRequests()
                .anyRequest().permitAll()//除了/r/**,其它的请求可以访问
                .and()
                .formLogin()//允许表单登录
                 .and()
                .httpBasic();//使用外部应用登录
    }

安全拦截机制与认证

对于第二个方法的重载,是对url的拦截,这个时候,我们需要在这里规定,哪些路径需要认证,哪些不需要认证,哪些认证的具体权限是什么,于是,可以如下编写代码:

 http.csrf().disable()
                .authorizeRequests()
                .antMatchers("/r/r1").hasAuthority("p2")
                .antMatchers("/r/r2").hasAuthority("p2")
                .antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过
                .anyRequest().permitAll()//除了/r/**,其它的请求可以访问

要注意,需要将permitAll放最后,如果放在最前面,将会产生的后果就是全部不进行认证(即使后面部分路径编写了认证要求),事实上,还可以使用@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)注解进行方法级别的认证,这样子能大量减少类中的代码配置。
当然,有时候,我们有时候的要求不会那么简单,例如我需要对某个url进行ip和权限的约束,这个时候上面的写法就行不通了,这个时候,我们可以使用access()和spring el表达式,spring security根据安全性对表达式进行了扩展,包括以下:
在这里插入图片描述
通过以上的EL表达式,可以将之前的要求转化为如下代码:

.antMatchers("/r/r2").access("hasAnyAuthority('p1') and hasIpAddress('192.168.1.2')")

事实上,可以添加的约束远不止这么简单。
在这个框架中,我们可以使用它的登录页面,也可以自定义登录页面,

.loginPage("/login-view")//登录页面
                .loginProcessingUrl("/login")
                .successForwardUrl("/login-success")//自定义登录成功的页面地址

事实上,有时候在前后端分离应用中,我们使用restful请求,这个时候就不要设置界面了,如下即可:

 .formLogin()//允许表单登录
                .usernameParameter("username")
                .passwordParameter("password")
                .loginProcessingUrl("/login")

用户存储与授权

用户的存储我们需要重载configure(AuthenticationManagerBuilder)方法。
此时分几种情况,

第一种,存储在内存里:

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.
                inMemoryAuthentication()
                .withUser("user").password("666666").roles("admin");
    }

第二种,存储在数据库:

此时又两种方式:
第一种如上,重载configure方法:

 @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
                .jdbcAuthentication()
                .dataSource(dataSource)
                .usersByUsernameQuery("select * from t_user where username=?")
                .authoritiesByUsernameQuery("select username,'Role_User' from t_resource where username=?");
    }

此时由于密码明文存储容易受到攻击,因此需要密码转码器,Spring Security实现了BCryptPasswordEncoder、NoOpPasswordEncoder、StandardPasswordEncoder三种,以下使用第一种:

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

第二种则是配置自定义多的用户服务,这个时候需要继承UserDetailService接口。

@Service
public class SpringDataUserDetailsService implements UserDetailsService {

    @Autowired
    UserDao userDao;

    //根据 账号查询用户信息
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //将来连接数据库根据账号查询用户信息
        UserDto userDto = userDao.getUserByUsername(username);
        if(userDto == null){
            //如果用户查不到,返回null,由provider来抛出异常
            return null;
        }
        //根据用户的id查询用户的权限
        List<String> permissions = userDao.findPermissionsByUserId(userDto.getId());
        //将permissions转成数组
        String[] permissionArray = new String[permissions.size()];
        permissions.toArray(permissionArray);
        UserDetails userDetails = User.withUsername(userDto.getUsername()).password(userDto.getPassword()).authorities(permissionArray).build();
        return userDetails;
    }
}

@Bean  
    public AuthenticationProvider authenticationProvider() {  
		DaoAuthenticationProvider authenticationProvider = new DaoAuthenticationProvider();
		authenticationProvider.setUserDetailsService(userDetailsService);
		authenticationProvider.setPasswordEncoder(passwordEncoder); // 设置密码加密方式
        return authenticationProvider;  
    }

然后修改用户存储的代码

        auth.userDetailsService(userDetailsService);
        auth.authenticationProvider(authenticationProvider());

Spring Security这个框架虽然配置只有几个类,但是调用的东西很多很杂,很多东西还是一团迷糊,还是要多细究下去。

Li_first
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity详解
m0_71012114的博客
10-19 4978
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
SpringSecurity超详细入门介绍
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍下SpringSecurity使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1201
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
springboot整合security实现权限控制
最新发布
Amour恋空的博客
05-22 1241
Spring Security 的前身是 Acegi Security ,是。Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。
SpringSecurity
iiiis的博客
08-31 1065
::: tip SpringSecurity是什么Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。Spring Security致力于为Java应用程序提供身份验证和授权的能力。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。::: 2.创建接口 3.访问接口 ​ 2.通过创建配置类实现设置 3.编写自定义实现类(常用) 第一步:编写UserDetailsService实现类,可以从数据库中获取用户
springsecurity详解
热门推荐
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
spring security 学习使用的静态文件
05-10
这个“spring security 学习使用的静态文件”可能包含了一些示例代码、配置文件、教程文档等资源,帮助初学者更好地理解并实践Spring Security。 首先,我们要明白Spring Security的基础架构。它基于过滤器链工作,...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Security学习之路
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
SpringSecurity学习1
08-08
在开始使用 SpringSecurity 时,你需要创建一个 Spring Security 项目。通常会包含一个 `loginController` 用于处理登录逻辑,以及登录和登录成功后的跳转页面。启动应用后,SpringSecurity 会拦截所有未授权的请求...
Spring Security 学习总结1_3
03-14
NULL 博文链接:https://fengshen-xia.iteye.com/blog/293799
SpringSecurity 总结
qq_45525848的博客
06-10 4732
Spring Security 总结
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
spring-security
migo_的专栏
02-25 1234
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。Spring SecuritySpring采用 `AOP`思想,基于 `servlet过滤器`实现的安全框架。它提供了完善的认证机制和方法级的授权功能。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4490
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
spring security的认证和授权流程
健康平安的活着的专栏
07-25 1万+
一.springsecurity的认证流程 1.1 常用过滤器 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter 将 Security 上下文与 Spring Web 中用于 处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilte
SpringSecurity入门(超级无敌认真好用,万字收藏篇!!!!)
IT搬砖工
03-22 1511
内容包括 [SpringSecurity概述,SpringSecurity的基本使用,SpringSecurity基于内置账户的实现,SpringSecurity基于数据库的实现...]> 在西安加中实训学习期间作的笔记用于后边记忆和留存
spring security 学习总结
hc1428090104的博客
03-25 157
1. springboot整合好security后, 当未进行登陆直接访问接口, 默认会跳转到security默认的登陆界面, 用户名为"admin" 密码打印在控制台, 并且也可以自己配置用户名和密码 2. 自定义登陆界面 首先编写一个登陆界面login.html, (将其放在resource/static目录下), 再定义一个配置类实现 WebSecurityConfigurerAdapter 接口, 配置如下属性 ...
springSecurity 学习
05-05
Spring Security 是一款基于 Spring 框架的安全框架,...除了以上资源之外,还可以通过实践来学习 Spring Security,例如通过搭建一个简单的 Spring Security 应用程序,逐步深入了解 Spring Security使用和原理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值