SpringSecurity

最新推荐文章于 2024-07-21 23:44:17 发布
最新推荐文章于 2024-07-21 23:44:17 发布
阅读量110 收藏
点赞数
分类专栏: springboot 学习笔记 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/S_duxiu/article/details/114804461
版权

一、添加starter

添加starter到pom.xml我们即可得到如下安全性

  • 所有的Http请求路径都需要认证
  • 不需要特定的角色和权限
  • 没有登陆页面
  • 认证过程是通过HTTP basic认证对话框实现的
  • 系统只有一个用户,用户名为user

二、保证应用安全性的基本实现

  1. 通过登录页面来进行认证。
  2. 提供一个注册页面,注册完成即成为我们用户。
  3. 对不同的请求路径,执行不同的安全规则。比如,主页和注册页面不需要认证。

三、 SpringSecurity存储用户方式

类的注解标识:
@Configuration
@EnableWebSecurity
继承:WebSecurityConfigurerAdapter

3.1 基于内存存储用户

重写方法:configure
参数:AuthenticationManagerBuilder
应用场景:数量有限的几个用户,而且这些用户基本不会发生变化

auth
	.inMemoryAuthentication()
	.withUser("buzz")
	.password("123456");
	.authorities("ROLE_USER");
	.and()
	.withUser("joker")
	.password("123456");
	.authorities("ROLE_USER");

3.2 基于JDBC用户存储

重写方法:configure
参数:AuthenticationManagerBuilder
应用场景:用户存储与关系型数据库中
此方法不建议使用,最好使用自定义用户认证
《Spring实战》p86

3.3 以LDAP作为后端的用户存储

此方法基于spring security内嵌的LDAP服务器进行存储

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .ldapAuthentication()
                .userSearchBase("ou=people")
                .userSearchFilter("(uid={0})")
                .groupSearchBase("ou=groups")
                .groupSearchFilter("member={0}")
                .passwordCompare()
                .passwordEncoder((PasswordEncoder) new BCryptPasswordEncoder())
                .passwordAttribute("passcode")
                .and()
                .contextSource()
                .root("dc=tacocloud,dc=com")
                .ldif("classpath:ldap.ldif");
    }

3.4 自定义用户认证

此方法最适合存储与关系型数据库中。因此,需要好好学习。

自定义用户认证分为以下几个步骤实现

  1. 因为用来存储用户,所以要先构建用户实体
  2. 实现UserDetailsService接口,并实现loadUserByUsername方法。spring security框架需要根据此方法来通过数据库对用户名进行查询,然后对该用户进行安全认证和授权等操作。
  3. 基于第二步我们需要构造dao接口,连接数据库,进而实现查询语句。
  4. 配置springsecurity 添加userDetailsService服务到springsecurity配置中。
  5. 继续配置转码器。(PasswordEncoder

按照上面步骤,首先构造用户实体

@Entity // spring ORM 与 数据库中表名对应
@Data	// lombok 生成setter、getter
@NoArgsConstructor(access = AccessLevel.PRIVATE, force=true)	// lombok 生成一个无参构造方法
@RequiredArgsConstructor	// lombok 提供经过final或@NotNull修饰的没有初始化的字段的参数的构造方法,如果没有也可以无参。
public class User implements Serializable, UserDetails {

    private static final long serialVersionUID = -5629829985398800755L;

    @Id	// jpa 主键声明
    @GeneratedValue(strategy = GenerationType.AUTO) // jpa 该键策略为自增
    private Long id;
    private final String username;
    private final String password;
    private final String fullname;
    private final String street;
    private final String city;
    private final String state;
    private final String zip;
    private final String phoneNumber;
       
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return Arrays.asList(new SimpleGrantedAuthority("ROLE_USER"));
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

实现了UserDetails的接口,为spring security框架提供了更为详细的用户安全信息。

接着,实现UserDetailService接口

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    private UserDAO userDAO;

    public UserDetailsServiceImpl(UserDAO userDAO) {
        this.userDAO = userDAO;
    }

    ;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userDAO.findByUsername(username);
        if (user != null) {
            return user;
        }
        throw new UsernameNotFoundException(
                "User '" + username + "' not found");
    }
}

如果存在就添加,如果不存在就抛出UsernameNotFoundException异常。

然后,配置security

	@Bean	// 此注解会将下面方法的返回值被注册为spring bean到spring应用上下文中
    public PasswordEncoder encoder() {
        return new StandardPasswordEncoder("53cr3t");
    }

    @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 自定义用户认证
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .userDetailsService(userDetailsService)	// 使用我们实现的用户详情服务作为springsecurity对数据库用户数据进行安全认证的途径。
                .passwordEncoder(encoder());	// springsecurity拿到用户数据后要对密码进行转码。
    }

最后,自定义登录页面,进而post表单内容到登录页面url,进行springsecurity框架的安全认证。

四、自定义登录页面

默认的,spring security会为我们提供一个对话框作为登录页面。
当我们实现了SpringSecurity配置(继承WebSecurityConfigurerAdapter)时候,会为我们提供一个默认的登录页面。
但是往往我们要使用我们自己的登录页面,因为默认的登录页面太丑了。。。

废话不多说,上代码。

	@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .formLogin()
                .loginPage("/login")	//配置登录页面(由于登录很少controller代码,可以在webspirngmvc中配置此url对应的视图模板页面
	                .defaultSuccessUrl("/design", true)	// 默认登录成功跳转页面,true为强制跳转
                .and()	// 连接,进行下一个策略配置
                .logout()	// 登出(清空session内容)
                .logoutUrl("/")	// 配置登出的跳转url
        ;
    }
Peas.
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security
qq_45429856的博客
11-22 3845
Spring Security简介 Spring Security是一个高度自定义的安全框架。利用Spring IOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作 spring security 的核心功能主要包括: 认证 (系统认证用户是否登录) 授权 (系统判断用户是否有权限去做某些事情) 攻击防护 (防止伪造身份) Spring Security项目搭建 一:导入依赖 <!--导入spring security依赖-->
springcloud集成Spring Security
最新发布
youxmm的博客
07-21 2797
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
SpringSecurity认证
小钟不想敲代码
05-28 5313
SpringSecurity认证
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6835
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
SpringBoot整合SpringSecurity(通俗易懂)
BookSea的博客
10-24 4万+
先看后赞,养成习惯。 点赞收藏,人生辉煌 基于数据库的身份认证 一、创建项目 创建一个 SpringBoot 模块项目,选择相关依赖: 先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释 <!--<dependency>--> <!--<groupId>org.springframework.boot</groupId>--> <!--<artifactId>spring-bo.
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
评论功能实现
S_duxiu的博客
09-08 8911
9.8 评论功能实现整理 这里以实现文章页面的评论列表为例 一、业务分析 模拟B站评论业务 1.1 业务逻辑 当访问某篇文章的时候,尝试获取该文章的评论列表。 按照文章评论配置(这些配置单独一张表,与文章一对一关系),进行分页展示相应的一级评论和二级评论。 ...
BaseRepository 用法指南
S_duxiu的博客
08-07 3516
8-7 BaseRepository API 本文将通过讲解+测试来一一列举该JPA的用法与特点。并在结尾附上API。 一、使用流程 在理解使用的每一步意义之前,我们先来了解一下整体使用过程。 本章节将通过描述对Article类的查询来进行。 查询条件为: 根据userId来查找 根据title来全模糊匹配 根据descr来左模糊匹配 进行分页,每页2条数据,查找第2页内容 正序排序 1.1 搭建使用环境 1.1.1 引入框架源码 引入这些类,这些类是我们的封装JPA框架的底层代码。 1.1..
session存储、登录认证、权限认证解决方案
S_duxiu的博客
08-25 1714
8-25 session存储、登录认证、权限认证解决方案初步学习 本章节将围绕登录功能的实现,来搭建 sessin存储方案 登录认证方案 权限验证方案 一、整体思路分析 1.1 登录思路 登录的目的: 生成token令牌:在登录之后,当访问那些需要登录才能访问的接口时,放置令牌在请求中是证明我们登录过的手段 存储session到数据库:session是什么,为什么要存储session,后面会介绍到 整体思路分析 效验数据:验证账号密码是否正确 写session:提供我们在项目的任何地方 .
OSS与业务场景学习
S_duxiu的博客
09-03 1554
9.1 Oss学习、Oss文件直传前端、耗时任务异步处理方式 Oss搭建 Oss文件传输直接与前端交互 重任务的异步处理 一、Oss 阿里云存储Oss,将文件图片等资源存储在云端。 应用场景:存储项目中文件、图片、音频等资源不易在数据库和服务器中存储的资源 解决问题:文件不经过Api服务器,减轻APi服务器压力。减少数据库压力,提高读写性能 1.1 创建Bucket 1.2 权限设置 1.3 项目引用 1.4 搭建与使用Oss业务框架 二、Oss与前端直传 Oss与前端直传,能够减轻Api服务.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值