Spring Security快速入门

已于 2023-10-29 17:56:17 修改
阅读量1.2w 收藏 26
点赞数 11
分类专栏: springsecurity 文章标签: spring java spring boot
于 2022-02-07 20:45:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZGL_cyy/article/details/122808841
版权

目录

想学习架构师构建流程请跳转:Java架构师系统架构设计
在这里插入图片描述

1 Spring Security介绍

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入springsecurity更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。

2 创建工程

2.1 创建maven工程

创建maven工程 security-spring-security,工程结构如下:

在这里插入图片描述

2)引入以下依赖:

在security-springmvc的基础上增加spring-security的依赖:

<dependencies>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>5.1.5.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.0.1</version>
            <scope>provided</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.8</version>
        </dependency>
    </dependencies>

2.2 Spring容器配置

同security-springmvc.

/**
 * @author Administrator
 * @version 1.0
 **/
@Configuration //相当于applicationContext.xml
@ComponentScan(basePackages = "com.oldlu.security.springmvc"
            ,excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class ApplicationConfig {
    //在此配置除了Controller的其它bean,比如:数据库链接池、事务管理器、业务bean等。
}

2.3 Servlet Context配置

同security-springmvc.

/**
 * @author Administrator
 * @version 1.0
 **/
@Configuration//就相当于springmvc.xml文件
@EnableWebMvc
@ComponentScan(basePackages = "com.oldlu.security.springmvc"
        ,includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {


    //视频解析器
    @Bean
    public InternalResourceViewResolver viewResolver(){
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setPrefix("/WEB-INF/view/");
        viewResolver.setSuffix(".jsp");
        return viewResolver;
    }

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login");
    }

}

2.4 加载 Spring容器

在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口,Spring容器启动时加载WebApplicationInitializer接口的所有实现类。

/**
 * @author Administrator
 * @version 1.0
 **/
public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    //spring容器,相当于加载 applicationContext.xml
    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};
    }

    //servletContext,相当于加载springmvc.xml
    @Override
    protected Class<?>[] getServletConfigClasses() {
        return new Class[]{WebConfig.class};
    }

    //url-mapping
    @Override
    protected String[] getServletMappings() {
        return new String[]{"/"};
    }
}

3 认证

3.1 认证页面

springSecurity默认提供认证页面,不需要额外开发,但实际中没人用

在这里插入图片描述

3.2.安全配置

spring security提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。

  1. 在confifig包下定义WebSecurityConfifig,安全配置的内容包括:用户信息、密码编码器、安全拦截机制。
/**
 * @author Administrator
 * @version 1.0
 **/
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //定义用户信息服务(查询用户信息)
    @Bean
    public UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
        manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
        return manager;
    }

    //密码编码器
    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }

    //安全拦截机制(最重要)
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/r/r1").hasAuthority("p1")
                .antMatchers("/r/r2").hasAuthority("p2")
                .antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过
                .anyRequest().permitAll()//除了/r/**,其它的请求可以访问
                .and()
                .formLogin()//允许表单登录
                .successForwardUrl("/login-success");//自定义登录成功的页面地址

    }
}

在userDetailsService()方法中,我们返回了一个UserDetailsService给spring容器,Spring Security会使用它来获取用户信息。我们暂时使用InMemoryUserDetailsManager实现类,并在其中分别创建了zhangsan、lisi两个用户,并设置密码和权限。

而在confifigure()中,我们通过HttpSecurity设置了安全拦截规则,其中包含了以下内容:

(1)url匹配/r/**的资源,经过认证后才能访问。

(2)其他url完全开放。

(3)支持form表单认证,认证成功后转向/login-success。

关于HttpSecurity的配置清单请参考附录 HttpSecurity。

  1. 加载 WebSecurityConfifig

修改SpringApplicationInitializer的getRootConfifigClasses()方法,添加WebSecurityConfifig.class:

 //spring容器,相当于加载 applicationContext.xml
    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[]{ApplicationConfig.class, WebSecurityConfig.class};
    }

3.2.Spring Security初始化

Spring Security初始化,这里有两种情况若当前环境没有使用Spring或Spring MVC,则需要将 WebSecurityConfifig(Spring Security配置类) 传入超类,以确保获取配置,并创建spring context。相反,若当前环境已经使用spring,我们应该在现有的springContext中注册Spring Security(上一步已经做将WebSecurityConfifig加载至rootcontext),此方法可以什么都不做。在init包下定义SpringSecurityApplicationInitializer:

/**
 * @author Administrator
 * @version 1.0
 **/
public class SpringSecurityApplicationInitializer
        extends AbstractSecurityWebApplicationInitializer {
    public SpringSecurityApplicationInitializer() {
        //super(WebSecurityConfig.class);
    }
}

2.3.默认根路径请求

在WebConfifig.java中添加默认请求根路径跳转到/login,此url为spring security提供:

@Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login");
    }

spring security默认提供的登录页面。

2.4.认证成功页面

在安全配置中,认证成功将跳转到/login-success,代码如下:

    @RequestMapping(value = "/login-success",produces = {"text/plain;charset=UTF-8"})
    public String loginSuccess(){
        return " 登录成功";
    }

2.5 测试

(1)启动项目,访问http://localhost:8080/security-spring-security/路径地址

在这里插入图片描述

页面会根据WebConfifig中addViewControllers配置规则,跳转至/login,/login是pring Security提供的登录页面。

(2)登录

1、输入错误的用户名、密码

在这里插入图片描述

2、输入正确的用户名、密码,登录成功

(3)退出

1、请求/logout退出

在这里插入图片描述
2、退出 后再访问资源自动跳转到登录页面

4 授权

实现授权需要对用户的访问进行拦截校验,校验用户的权限是否可以操作指定的资源,Spring Security默认提供授

权实现方法。

在LoginController添加/r/r1或/r/r2

 /**
     * 测试资源1
     * @return
     */
    @GetMapping(value = "/r/r1",produces = {"text/plain;charset=UTF-8"})
    public String r1(){
        return " 访问资源1";
    }

    /**
     * 测试资源2
     * @return
     */
    @GetMapping(value = "/r/r2",produces = {"text/plain;charset=UTF-8"})
    public String r2(){
        return " 访问资源2";
    }

在安全配置类WebSecurityConfifig.java中配置授权规则

.antMatchers("/r/r1").hasAuthority("p1") .antMatchers("/r/r2").hasAuthority("p2")

.antMatchers(“/r/r1”).hasAuthority(“p1”)表示:访问/r/r1资源的 url需要拥有p1权限。

.antMatchers(“/r/r2”).hasAuthority(“p2”)表示:访问/r/r2资源的 url需要拥有p2权限。

完整的WebSecurityConfifig方法如下:

  //安全拦截机制(最重要)
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/r/r1").hasAuthority("p1")
                .antMatchers("/r/r2").hasAuthority("p2")
                .antMatchers("/r/**").authenticated()//所有/r/**的请求必须认证通过
                .anyRequest().permitAll()//除了/r/**,其它的请求可以访问
                .and()
                .formLogin()//允许表单登录
                .successForwardUrl("/login-success");//自定义登录成功的页面地址

    }

测试:

1、登录成功

2、访问/r/r1和/r/r2,有权限时则正常访问,否则返回403(拒绝访问)

5 小结

通过快速上手,咱们使用Spring Security实现了认证和授权,Spring Security提供了基于账号和密码的认证方式,通过安全配置即可实现请求拦截,授权功能,Spring Security能完成的不仅仅是这些。

赵广陆
关注
  • 11
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
Spring Security-全面详解(学习总结---从入门到深化)
12-01 1886
虽然Spring Security给我们提供了登录页面,但在实际项目中,更 多的是使用自己的登录页面。Spring Security也支持用户自定义登 录页面。用法如下:1、编写登录页面2、在Spring Security配置类自定义登录页面//Spring Security配置@Override// 自定义表单登录.loginPage("/login.html") //自定义登录页面.usernameParameter("username")// 表单中的用户名项。
68篇干货,手把手教你通关 Spring Security
江南一点雨的专栏
11-25 6136
Spring Security 系列前前后后整了 68 篇文章了,是时候告一个段落了。 这两天松哥抽空把该系列的文章整理了一下,做成了一个索引,方便小伙伴们查找。 教程地址如下: http://www.javaboy.org/springsecurity http://www.itboyhub.com/springsecurity 对应的 Demo 地址如下: https://github.com/lenve/spring-security-samples https://github.com/len
SpringSecurity详细解读与应用
CTZL123456的博客
06-19 571
执行完loadUserByUsername后会返回数据库的用户密码,此信息会经过PasswordEncode类,和用户输入的密码来进行校验,但是原生的PasswordEncode比较糟糕(略),所以我们在配置中修改一下PasswordEncode的校验方式,使用 BCrypt。通常,我们习惯于将原生的用户认证修改为基于数据库字段的(例如username和password)进行登录校验的业务逻辑,这就需要我们进入Secuirty的认证流程中,修改源代码来解决。二、代码实现-用户认证。
spring security 入门demo
08-11
spring security 入门demo 非常不错 主要是完整
SpringSecurity
iiiis的博客
08-31 1079
::: tip SpringSecurity是什么Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。Spring Security致力于为Java应用程序提供身份验证和授权的能力。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。::: 2.创建接口 3.访问接口 ​ 2.通过创建配置类实现设置 3.编写自定义实现类(常用) 第一步:编写UserDetailsService实现类,可以从数据库中获取用户
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
SpringSecurity入门Demo实例
10-15
在这个入门Demo实例中,我们将探讨如何配置和使用Spring Security来保护我们的Java应用。教程链接提及的CSDN博客文章提供了详细的步骤,指导我们逐步创建一个基本的Spring Security应用。 首先,我们需要在项目中...
Spring SecuritySpring Security框架详解
DreamSun的博客
05-11 1174
Spring Security是一款基于Spring框架的认证和授权框架,提供了一系列控制访问和保护应用程序的功能,同时也支持基于角色和权限的访问控制,加密密码,CSRF防范,会话管理等多种功能。Spring Security可以轻松地与其他Spring框架,如Spring BootSpring MVC进行集成使用。
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4006
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
spring security (史上最全)
架构师尼恩
04-21 5785
一般意义来说的应用访问安全性,都是围绕认证(Authentication)和授权(Authorization)这两个核心概念来展开的。即:认证这块的解决方案很多,主流的有、、等(不巧这几个都用过-_-),我们常说的单点登录方案(SSO)说的就是这块,授权的话主流的就是spring security和shiro。shiro比较轻量级,相比较而言spring security确实架构比较复杂。但是shiro与 ss,掌握一个即可。这里尼恩给大家做一下系统化、体系化的梳理,供后面的小伙伴参考,提升大家的 3高 架
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 1872
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
Spring Security 详解
阿水的博客
03-28 1056
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 407
zookeeper安装并成功运行。
SpringBoot集成Tomcat、DispatcherServlet
最新发布
好记性不如烂笔头
07-24 1305
AbstractApplicationContext 的 refresh 方法是一个空壳方法,我们主要看它的实现类 ServletWebServerApplicationContext。
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 384
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
spring security快速入门
06-09
Spring Security 是一个基于 Spring 的框架,用于提供身份验证和授权服务。它可以帮助您保护 Web 应用程序中的敏感数据和操作,以确保只有经过身份验证和授权的用户才能访问。 以下是 Spring Security快速入门步骤: 1. 添加 Spring Security 依赖项 - 在 Maven 或 Gradle 项目中,可以添加 Spring Security 的依赖项。 2. 配置 Spring Security - 可以使用 XML 或 Java 配置文件来配置 Spring Security。您需要配置身份验证和授权规则,例如用户角色和权限。 3. 创建用户界面 - 可以使用 Spring Security 提供的默认用户界面,或者创建自定义用户界面。 4. 添加登录和注销功能 - 可以在用户界面中添加登录和注销功能。 5. 测试应用程序 - 使用不同的用户凭据测试应用程序,以确保只有经过身份验证和授权的用户才能访问受保护的资源。 以上是 Spring Security 快速入门的基本步骤。您可以深入学习 Spring Security,了解如何使用它来保护 Web 应用程序中的资源。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

赵广陆

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值