Spring Security入门-1

最新推荐文章于 2024-07-20 20:04:43 发布
最新推荐文章于 2024-07-20 20:04:43 发布
阅读量302 收藏 1
点赞数 2
分类专栏: spring security 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Logic_YSY/article/details/120683369
版权

Spring Security 入门-1

摘要

看了好多的帖子来学习学习 spring security 这个安全框架了,但是一直没有系统的总结过,所以这次准备写出来一些东西记录一下,来帮助自己来记忆,上一次的帖子已经写了最简单的整合了,已经体验过了,所以这一次的主要目标是:

  1. 配置和使用一些简单的url权限
  2. 通过访问数据库来对用户进行认证(暂时忽略授权)

一、构建项目并配置简单的 url 和权限控制

在第一步的时候先完成项目的构建,然后用户的认证暂时通过内存的方式认证,通过数据库的认证在第二部完成

a. 构建项目

使用idea来构建项目
pom 文件的配置

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.logic</groupId>
    <artifactId>security-1</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>security-1</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
                <configuration>
                    <excludes>
                        <exclude>
                            <groupId>org.projectlombok</groupId>
                            <artifactId>lombok</artifactId>
                        </exclude>
                    </excludes>
                </configuration>
            </plugin>
        </plugins>
    </build>
</project>

b. 简单的url配置

如果要配置url则需要写一个配置类,然后继承 WebSecurityConfigurerAdapter 重写 configure(HttpSecurity http) 方法。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
                // 配置所有的自定义请求都需要登录后才能访问
                .authorizeRequests().anyRequest().authenticated()
                .and()
                // 开启 页面表单登录
                .formLogin()
                // 配置登录成功后转发的请求 注释这里请求方式是 POST 方式。
                .successForwardUrl("/index")
                ;

    }

}

c. 编写登录成功后的controller


@RestController
public class HomeController {
    @PostMapping("/index")
    public String index(){
        return "登录成功之后的跳转";
    }
}

d. 测试

访问任意的任意的url例如:http://localhost:8080/security
注意:登录的页面是 security 默认集成的不需要我们编写,如果需要自定义配置登录页面,后期会再写帖子。
登录页面
登录成功后的截图:
登陆成功的截图
现在再访问 http://localhost:8080/security
对比

d. 不使用系统默认用户,使用自定义内存配置用户。

配置用户还是需要继承 WebSecurityConfigurerAdapter 重写 configure(AuthenticationManagerBuilder auth) 方法,这里我直接写在了上面已经创建的 WebSecurityConfig 类中。
spring security 5 之后要添加一个加密类,我们使用的是 BCryptPasswordEncoder 加密工具

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

	/**
     * 这个是密码的认证的类
     * @return pass
     */
    @Bean
    public PasswordEncoder getPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin").password(getPasswordEncoder().encode("admin")).roles("admin") // 这里随便写了一个权限,不写会报错
                .and()
                .withUser("root").password(getPasswordEncoder().encode("root")).roles("root")// 这里随便写了一个权限,不写会报错
                ;
    }

}

e. 测试

使用自定义用户登录即可
使用自定义用户登录

二、实现用户从数据库中读取

1. 创建数据库表

其实这里也可以不用创建,我用的是jpa可以自动的创建数据库表

-- 1. 创建数据库表
CREATE TABLE `sys_user` (
  `id` bigint(20) NOT NULL,
  `username` varchar(64) NOT NULL DEFAULT '0' COMMENT '用户名',
  `password` varchar(64) NOT NULL DEFAULT '0' COMMENT '密码',
  `org_id` bigint(20) NOT NULL COMMENT '组织id',
  `enabled` tinyint(1) NOT NULL DEFAULT '1' COMMENT '0禁用用户,1是激活用户',
  `phone` varchar(16) DEFAULT NULL COMMENT '手机号',
  `email` varchar(32) DEFAULT NULL COMMENT 'email',
  `create_by` varchar(64) NOT NULL COMMENT '本条记录创建人',
  `create_time` datetime NOT NULL DEFAULT CURRENT_TIMESTAMP COMMENT '本条记录创建时间',
  `update_by` varchar(64) NOT NULL COMMENT '本条记录修改人',
  `update_time` datetime NOT NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP COMMENT '本条记录的修改时间',
  PRIMARY KEY (`id`),
  UNIQUE KEY `username` (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COMMENT='用户信息表';

-- 插入数据 这里的密码通过代码得来的。下面会赘述
INSERT INTO `sys_user`(`id`, `username`, `password`, `org_id`, `enabled`, `phone`, `email`, `create_by`, `create_time`, `update_by`, `update_time`) VALUES (1297873308628307970, 'admin', '$2a$10$/yOSnA2NwMh4UwXK5K8gnOUI37y.Jl.eAwnXrfML6SXoTRwWThvN6', 1, 1, '12345678901', '123123@163.com', '', '2020-10-06 10:32:22', 'admin', '2021-10-25 10:52:31');

在这里插入图片描述

通过 main 方法获取 admin 的密码,admin 的明文密码为 admin ,获取到密码之后贴入数据库即可。
在这里插入图片描述

2. 创建用户实体类

@Data
@Entity(name = "sys_user")
public class SysUser implements Serializable {
    @Transient
    private static final long serialVersionUID = 523701959739148945L;

    @Id
    @GeneratedValue
    private Long id;
    private String username;
    private String password;
    private Long orgId;
    private String phone;
    private String email;
    private String createBy;
    private LocalDateTime createTime;
    private String updateBy;
    private LocalDateTime updateTime;
}

3. 配置从数据库查询数据

3.1 配置 pom 增加 jpa 的配置
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.1.9</version>
        </dependency>
3.2 yml文件中增加jpa的配置
spring:
  datasource:
    url: jdbc:mysql://localhost:3306/security
    type: com.alibaba.druid.pool.DruidDataSource
    username: root
    password: root
    driver-class-name: com.mysql.cj.jdbc.Driver
  jpa:
    hibernate:
      ddl-auto: update
    show-sql: true
3.3 创建 repository 接口
public interface SysUserRepository extends JpaRepository<SysUser,Long> {
    // 查询用户
    SysUser findByUsername(String username);
}

4. 配置 security 读取数据库用户信息

4.1 删除上次在 WebSecurityConfig 中配置的用户信息

注释掉配置在内存中的用户。


//    @Override
//    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        auth.inMemoryAuthentication().withUser("admin").password(getPasswordEncoder().encode("admin")).roles("admin")
//                .and()
//                .withUser("root").password(getPasswordEncoder().encode("root")).roles("root");
//    }
4.2 配置 security 从数据库中获取用户信息

security测数据库获取用户信息就需要实现 UserDetailsService 这个接口

@Service
public class UserServiceImpl implements UserDetailsService {
    @Resource
    SysUserRepository userRepository;
    // 这里实现 loadUserByUsername 这个方法,根据用户的名称来获取用户的基本信息,至于密码是在哪里比对的,是怎么认证的,这个随后再写
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser userDb = userRepository.findByUsername(username);
        return new User(userDb.getUsername(), userDb.getPassword(), Collections.singletonList(new SimpleGrantedAuthority("admin")));
    }
}

5. 测试

访问可以正常的登录没有问题。
正常的登录截图

总结

security 用户的读取有多种多样的方式,security 为我们提供了很多的方案,一般我们使用的读取方式 测试就使用 内存 的读取方式,正式的一般就是使用实现 UserDetailsService 这个接口的 loadUserByUsername 这个方法来从数据库中查询用户。

Logic_YSY
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security入门
tt8889的博客
05-04 287
public void setPassword(String password) { if (!StringUtils.hasLength(password)) { return; } this.passwordGenerated = false; this.password = password; } 从这里我们可以看到,application.properties 中定义的密码在注入进来之后,还顺便设置了 passwordGenerated 属性为 false,这个属性设置为 false 之后,控制台就
【密码加密原则三】
居然天上楼的博客
12-06 1954
盐值的优化为了进一步保障密码安全,可以考虑使用随机的盐值,但是,需要注意,随机的盐值必须保存下来,否则,当“注册”时使用随机盐进行编码得到密文,后续“登录”时在无法得到相同盐值的情况下,无法编码得到相同的密文,会导致注册的账号无法经过密码验证来登录!示例:但是,以上做法仍无法抵御“穷举式的暴力破解”,在这种破解手段面前,是完全无视加密时使用的算法的,而是直接通过你设计算法,一个个的去尝试,直至“试”正确的原始密码。针对暴力破解,最有效的手段就是:验证码、对恶意访问的客户端实。
Spring Security权限控制框架
1663988740
07-16 384
Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spring.io/projects/spring-security [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WkE8obgh-1594902354342)(img/4.png)] 对应的maven坐标: <dependency> <groupId&
$2a$10$-bcrypt哈希算法生成的密码哈希值-Python脚本
becklee1218的博客
12-29 1679
使用bcrypt哈希算法生成的密码哈希值。bcrypt是一种密码哈希函数,通常用于存储用户密码的安全散列值。
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
spring-security-helloworld
07-07
"级别的项目通常是编程初学者的第一步,而“入门”则表明这适用于那些初次接触Spring Security的人。标签中的“spring security”是核心关键词,指的是这个项目将围绕Spring Security框架进行,帮助新手了解其工作...
spring security 入门demo
08-11
1. **Spring Security RESTful服务**: - `spring-security-rest-full` 模块展示了如何为RESTful API配置Spring Security,包括HTTP Basic认证和Digest认证。这涉及到创建过滤器链,定义访问控制规则,以及处理认证...
SpringSecurity入门Demo实例
10-15
在这个入门Demo实例中,我们将探讨如何配置和使用Spring Security来保护我们的Java应用。教程链接提及的CSDN博客文章提供了详细的步骤,指导我们逐步创建一个基本的Spring Security应用。 首先,我们需要在项目中...
SpringSecurity-从入门到精通 demo源码
06-21
​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证和授权。 ​ 认证:验证当前访问系统的...
MD5加密
Heyyouare的博客
12-25 228
下面这个是工具类 package com.zgq.xl.content; import java.io.UnsupportedEncodingException; import java.security.Key; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; impor...
密码加密器-BCrypt加密算法
Healer_小振的博客
11-18 1327
@SpringBootTest public class BCryptTests { PasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); @Test //测试加密输出20种不同的加密结果 void encode(){ String password = "12345"; System.out.println("原密码:"+password); for .
加密规则
juner_ge的专栏
08-12 417
$tmpPwd = I('post.pwd'); $tmpPwd=md5($tmpPwd); $tmpPwd = substr($tmpPwd, 10, 16); $tmpPwd = sha1($tmpPwd); $tmpPwd = substr($tmpPwd, 5, 32); 即:substr(sha1(substr(md5($tmpPwd), 10, 16)), 5, 32)
使用Bcrypt进行密码加密
热门推荐
馒头花卷儿
08-07 1万+
Bcrypt简介:bcrypt是一种跨平台的文件加密工具。 bcrypt 使用的是布鲁斯·施内尔在1993年发布的 Blowfish 加密算法。 由它加密的文件可在所有支持的操作系统和处理器上进行转移。它的口令必须是8至56个字符,并将在内部被转化为448位的密钥。 Bcrypt就是一款加密工具,可以比较方便地实现数据的加密工作。你也可以简单理解为它内部自己实现了随机加盐处理 例如,我们...
程序的加密解密
zrzcsl的博客
08-26 480
8.23 package com.zhongruan; public class Test4 { public static void main(String[] args) { /* String hualili = Encrypt("hualili", 123); System.out.println(hualili); String encrypt = Decrypt...
SpringSecurity中的密码加密算法:BCryptPasswordEncoder的使用及原理
Chafferexb的博客
10-16 1759
代码很长,但是真正关键的代码在上面第 43 、44 和 51 行的位置处,43 行处获取真正的 salt ,44 行是使用 base64 进行解码,然后 51 行用 密码、salt 进行处理。这里只有一行代码,但是代码中同样调用了前面的 hashpw 这个方法,传入的参数是 plaintext 和 hashed,plaintext 是我们的密码,即 “123456”, hashed 是加密后的密码。运行上面的代码,查看输出。虽然上面代码很长,其实真正关键的就只有上面我提到的几句,其余的部分不用看。
OAuth2.0 or Spring Session or 单点登录流程
最新发布
qq_53374893的博客
07-20 301
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
Spring Security 3.0入门教程
1. `spring-security-core`: 这个包包含了核心的认证和权限控制类及接口,以及远程支持和基本的供应商API。它是使用Spring Security的基础,支持独立运行的应用、远程客户端、方法安全以及使用JDBC的用户供应。 2. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值