Spring Security 常用配置详解

最新推荐文章于 2024-09-18 11:39:52 发布
最新推荐文章于 2024-09-18 11:39:52 发布
阅读量8k 收藏 16
点赞数 5
分类专栏: 框架 Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MarcoAsensio/article/details/104573094
版权
Java 同时被 2 个专栏收录
27 篇文章 0 订阅
订阅专栏
框架
10 篇文章 0 订阅
订阅专栏

Spring Security 是 Spring 家族为我们提供的一款安全管理的框架,它是一个功能强大并且可以灵活定制的身份验证和访问控制框架。Spring Security 侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它非常容易扩展来满足我们的不同需求。

在 SSM 时代,Spring Security 因为繁琐的配置而不被人们常用,但是在 Spring Boot 中为提供了自动化配置方案,可以零配置使用 Spring Security。

初体验

在 pom.xml 中导入 maven 依赖

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

只要在项目中加入 Spring Security 的依赖,项目中的所有接口都会被保护起来了。

当我们访问我们的项目的时候,就会先来到 Spring Security 默认的登录页面,

在这里插入图片描述

默认的用户名是 user,密码会在控制台打印,

在这里插入图片描述

登录后就可以正常访问项目了。

自定义用户名密码

因为密码是随机生成的一段密钥,不方便记忆,所以我们可以自己配置用户名和密码。

配置用户名和密码的方式有三种,我们可以在配置文件中配置,也可以在 Java 代码中配置,还可以在数据库中配置,我们先看如何在配置文件中配置。

使用配置文件配置

使用配置文件配置比较简单,直接在 application.yml 中配置即可。

spring:
  security:
    user:
      name: user
      password: 1234

使用 Java 代码配置

使用 Java 代码配置也比较简单,我们只需要编写一个 SecurityConfig 配置类,重写一个 configure() 方法即可。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("user").password("$2a$10$zwUhw4cAEv1AH6auayRPbePJAKk87peABiKegNMp4mqKXWxJZyDQS").roles("user")
                .and()
                .withUser("admin").password("$2a$10$mDQiCHTt3RLV.pLozBKOBOVIe7kaa3vYUCqZUu.957mpomdztOr0y").roles("admin");
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    
}

使用 Java 代码配置比较灵活,我们可以用 and() 方法来配置多个用户。

在 Spring 5 以后要求我们配置的密码必须是加密的,我们可以配置一个 BCryptPasswordEncoder 密码编码器来帮助我们加密密码,我们只需要在单元测试中创建一个 BCryptPasswordEncoder 密码编码器,调用它的 encode()方法来加密,把得到的值复制到代码中,然后再将这个密码编码器配置到容器中,这个密码编码器的的好处是即使是相同的字段也可以得到不同的结果。

自定义拦截规则

因为 Spring Security 默认拦截所有的请求,但我们实际项目中肯定不能这样,所以我们应该自定义拦截规则,针对不同的请求,制定不同的处理方式。

这就需要用到 HttpSecurity 的配置,我们只需要在配置类中实现重载的 configure() 方法

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()  // 验证请求
            	// 路径匹配,参数是要处理的 url
                .antMatchers("/admin/**").hasRole("admin")  // 要具有某种权限
                .antMatchers("/user/**").hasAnyRole("admin", "user")// 要具有某种权限中的一种
                .anyRequest().authenticated();
    }
    
}

登录注销配置

Spring Security 为我们提供的绝不止上面的那么简单,我们通过配置 HttpSecurity 还可以定制登录接口,登录成功后的响应,登录失败后的响应以及注销的相关操作。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .formLogin()
            	// 登录处理接口
                .loginProcessingUrl("/login")
            	// 定义登录页面,未登录时,访问一个需要登录之后才能访问的接口,会自动跳转到该页面
                .loginPage("/login")
            	// 定义登录时,用户名的 key,默认为 username
                .usernameParameter("uname")
            	// 定义登录时,用户密码的 key,默认为 password
                .passwordParameter("passwd")
            	// 登录成功的处理器
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 200);
                        map.put("msg", authentication.getPrincipal());
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
            	// 登录失败的处理器
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 401);
                        if (e instanceof LockedException) {
                            map.put("msg", "账户被锁定,登录失败!");
                        } else if (e instanceof BadCredentialsException) {
                            map.put("msg", "用户名或密码输入错误,登录失败!");
                        } else if (e instanceof DisabledException) {
                            map.put("msg", "账户被禁用,登录失败!");
                        } else if (e instanceof AccountExpiredException) {
                            map.put("msg", "账户过期,登录失败!");
                        } else if (e instanceof CredentialsExpiredException) {
                            map.put("msg", "密码过期,登录失败!");
                        } else {
                            map.put("msg", "登录失败!");
                        }
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                })
            	// 和表单登录相关的接口统统都直接通过
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/logout")
            	// 注销成功的处理器
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        Map<String, Object> map = new HashMap<>();
                        map.put("status", 200);
                        map.put("msg", "注销登录成功!");
                        out.write(new ObjectMapper().writeValueAsString(map));
                        out.flush();
                        out.close();
                    }
                });
    }

}

方法安全

Spring Security 还为我们提供了方法级别安全的配置,什么是方法安全呢?就是在调用方法的时候来进行验证和授权。怎么实现方法安全呢?

首先我们要在配置类上加一个注解 @EnableGlobalMethodSecurity,

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}

并将 prePostEnabled 和 securedEnabled 两个属性值设置为 true,接下来就可以在方法上加注解来进行权限控制了。

我们先写一个 MethodService

@Service
public class MethodService {

    @PreAuthorize("hasRole('admin')")
    public String admin() {
        return "hello admin";
    }
    @Secured("ROLE_user")
    public String user() {
        return "hello user";
    }
    @PreAuthorize("hasAnyRole('admin', 'user')")
    public String hello() {
        return "hello hello";
    }

}

用@PreAuthorize 注解和@Secured 注解来控制方法的访问权限,再写一个 HelloController

@RestController
public class HelloController {

    @Autowired
    MethodService methodService;

    @GetMapping("hello1")
    public String hello1() {
        return methodService.admin();
    }
    @GetMapping("hello2")
    public String hello2() {
        return methodService.user();
    }
    @GetMapping("hello3")
    public String hello3() {
        return methodService.hello();
    }

}

此时启动项目,我们用 admin 登录,分别发送 hello1,hello2,hello3 请求

在这里插入图片描述

hello1 请求能够访问

在这里插入图片描述

因为配置了 user() 方法要具有 user 权限才能访问,所以报 403 错误

在这里插入图片描述

lukamao
关注
专栏目录
Spring Security 核心配置详解
AI天才研究院
08-06 1023
Spring Security是一个用于认证、授权、加密和保护基于Spring的应用的框架。在 Spring Security 中,用户身份验证由 AuthenticationManager 提供,而访问控制则由 AccessDecisionManager 来处理。Spring Security 对 Web 请求进行拦截并检查是否已经认证通过,如果没有通过,将会拒绝访问请求;通过认证之后,AccessDecisionManager 将对访问请求进行评估,判断当前用户是否拥有相应权限。
spring-security 配置及解析
Free Lander
08-03 610
class="com.test.security.service.HelloServiceImpl" /> class="org.springframework.context.support.ReloadableResourceBundleMessageSource"> 启用注解 jsr250-annotations="enabled" /> -->
activiti第六步配置SecurityConfig(需要的使用)
最新发布
weixin_43958014的博客
09-18 213
【代码】activiti第六步配置SecurityConfig(需要的使用)
SpringSecurity配置源码分析
weixin_45555709的博客
10-18 184
Spring security框架简介 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servle...
SpringBoot yml 配置
weixin_30951231的博客
03-26 415
1. 在 spring boot 中,有两种配置文件,一种是application.properties,另一种是application.yml,两种都可以配置spring boot 项目中的一些变量的定义,参数的设置等。下面来说说两者的区别。 application.properties 配置文件在写的时候要写完整,如: spring.profiles.active=devspring...
SpringSecurity配置分析
weixin_34321977的博客
04-23 214
在分析SpringSecurity前,基于多年前使用SpringSecurity和近年来使用Shiro的经验, SpringSecurity这些年在发展和SpringBoot整合之后,也逃不出以下的一些套路: 1.提供一个AuthenticationManager,用于登录认证 2.提供一个web的过滤器链,用于保证web请求的安全处理,这个过滤器链中会包括判断用户是否登录,处理用户的...
springSecurity配置详解
weixin_34062329的博客
11-24 178
Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个资源来说,有的用户只能进行读取,而有的用户可以进行修改。一般...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
Spring security配置详解
qq_22162093的博客
12-21 7375
一直对项目里的安全配置比较陌生,这次总结一下项目里的那些关于security配置 1、 核心组件 这一节主要介绍一些在 Spring Security 中常见且核心的 Java 类,它们之间的依赖,构建起了整个框架。想要理解整个架构,最起码得对这些类眼熟。 1.1 SecurityContextHolder SecurityContextHolder 用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限… 这些都被保存在 Security
Spring Security保护用户密码常用方法详解
09-07
Spring Security 是一个强大的安全框架,用于管理Web应用和企业级应用的安全性。在Spring Security中,保护用户密码是非常关键的一环,因为不安全的密码处理可能导致严重的安全问题。本文将详细解析Spring Security...
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
Spring Security 基本使用和配置代码
10-07
Spring Security 基本使用和配置代码,学习之后自己练习,
SpringSecurity权限配置详解
congge
12-05 1万+
前言 在上一篇,我们讲了一下SpringSecurity和登录认证常用的几种处理方式,SpringSecurity提供了一套完整的认证授权解决方案,注意这里是认证加授权 在OA或那些比较大型的后管系统中,涉及到授权的场景随处可见,目前行业中对于授权有比较成熟的解决方案,可以rbac为核心的授权体系,或者依托于第三方框架的认证授权方案,像SpringSecurity就属于基于rbac模型的进一步封装,因此学习SpringSecurity,有必要对SpringSecurity的授权方式和使用做较多的了解 环境准
五分钟带你玩转SpringSecurity(四)配置全解析,带你掌握security核心要点
小鲍侃java
02-04 886
1认证 认证:辨别用户是否本系统用户。 优势:1 提供多样式的加密方法 2 提供多样式的用户存储方式 3 使用者无需关注验证封装业务 只需要提供查询方法即可 4 多样式的认证方式 5 提供用户信息获取方式 可扩展的功能 1 记住我 2 邮箱验证 3 手机验证 4 验证码验证 配置详解 spring security统一实现WebSecurityCo...
spring security详解
hwt_211博客
11-25 1381
spring security配置 首先,先把项目的整体结构以及整体配置贴出来,后面介绍中会将其中的功能模块一个一个的细讲解,稍安勿躁,一步一步的往下看: 本例使用springMVC+spring security进行测试,需要导入的jar包:       项目基本结构:     环境搭建,主要是三个配置文件:web.xml, applicationContext.xml,
SpringSecurity入门以及配置详解
qq_39182939的博客
02-29 529
1.Spring Security介绍:Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。安全包括两个主要操作: (1)“认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系 统中执行动作的其他系统。 (2)“授权”指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经...
Spring Security详解(二)认证之核心配置详解
热门推荐
Jagger的博客
06-22 1万+
文章目录2.核心配置详解2.1 测试用例2.2 @EnableWebSecurityWebSecurityConfigurationSpringWebMvcImportSelectorEnableGlobalAuthentication2.3 @EnableGlobalMethodSecurityGlobalMethodSecuritySelectorGlobalMethodSecurityConfiguration2.4 SecurityBuilderWebSecurityHttpSecurityAu
springboot情操陶冶-web配置(八)
weixin_30699443的博客
12-07 215
本文关注应用的安全方面,涉及校验以及授权方面,以springboot自带的security板块作为讲解的内容 实例 建议用户可直接路由至博主的先前博客spring security整合cas方案。本文则针对相关的源码作下简单的分析,方便笔者以及读者更深入的了解springsecurity板块 @EnableWebSecurity 这个注解很精髓,基本上可以作为security的入口,笔者贴一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值