JavaEE安全框架源码剖析与整合-Spring Security篇

最新推荐文章于 2023-09-23 10:29:38 发布
最新推荐文章于 2023-09-23 10:29:38 发布
阅读量357 收藏
点赞数
分类专栏: 项目开发 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Zhangjiangyuan/article/details/105658595
版权

安全框架简介

javaEE生态中,关于安全的框架主要有两种,Shiro和SpringSecurity,两者之间区别还有很大,Shiro是一个轻量级框架,可定制化程度较高,相对来说使用比较灵活,新手配置起来比较复杂,而SpringSecurity是Spring生态系列的顶级框架,跟Springboot天然集成,整合起来最容易,所以就先学习SpringSecurity的简单整合和使用

SpringSecurity整合

项目引入Spring Security依赖

第一步先导入SpringSecurtiy的pom依赖,以及跟thymeleaf的整合包

  <!--security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
        </dependency>

自定义Security核心配置类

WebSecurityConfigurerAdapter是SpringSecurity的核心配置类,Spring的最大的特点就是AOP,面向切面编程,所以在不改变原来的代码上,直接注入一个bean,从而来使用框架,所以这里创建一个配置类SecurityConfig继承自WebSecurityConfigurerAdapter,然后项目SpringBoot就天然无缝集成了SpringSecurity

package com.zjy.config.securityconfig;

import com.zjy.service.security.CustomUserService;
import com.zjy.utils.MD5Util;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * Describe: security 配置
 */
@Configuration
//@EnableWebSecurity
//AOP : 拦截器
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{

    @Bean
    UserDetailsService customUserService(){
        return new CustomUserService();
    }

    /**
     *  配置认证方式
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserService())
                //启动密码MD5加密
                .passwordEncoder(new PasswordEncoder() {
            MD5Util md5Util = new MD5Util();
            @Override
            public String encode(CharSequence rawPassword) {
                return md5Util.encode((String)rawPassword);
            }

            @Override
            public boolean matches(CharSequence rawPassword, String encodedPassword) {
                return encodedPassword.equals(md5Util.encode((String)rawPassword));
            }
        });
    }

    /**
     *  配置授权规则
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/index").hasAnyRole("USER","ADMIN")
                .antMatchers("/manager").hasRole("ADMIN")
                .antMatchers("/staff").hasRole("USER")
                .and()
                //loginPage和logoutUrl都是post请求
                .formLogin().loginPage("/login_register").failureUrl("/login_register?error").defaultSuccessUrl("/faceCheck")
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login_register");
//        http.csrf().disable();

        //没有权限默认会到登录页面
//        http.formLogin();
    }
}

这里有个细节要格外注意一下,在SpringBoot2.1.5以后,SpringSecurtity5.0+之后的新版本中增加了很多的加密方式,存在密码加密编码问题,没有配置这个可以会出现问题
然后就是http.formLogin(),SpringSecurity集成页面,没有权限的时候会默认跳转到登录页面,账号和密码在application.propertis的配置文件中配置

spring.sercurity.user.name=admin
spring.sercurity.user.password=123456

忽略拦截

实现忽略拦截只需在上面的类中注入一个bean,并重写源码默认规则

      /**
     * 忽略拦截
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        // 设置拦截忽略url - 会直接过滤该url - 将不会经过Spring Security过滤器链
        web.ignoring().antMatchers("/getUserInfo");
        // 设置拦截忽略文件夹,可以对静态资源放行
        web.ignoring().antMatchers("/css/**", "/js/**");
    }

登录业务

    public UserDetails loadUserByUsername(String phone) {

        User user = userRepository.findByPhone(phone);
        if(user == null){
            throw new UsernameNotFoundException("用户不存在");
        }

        List<SimpleGrantedAuthority> authorities = new ArrayList<>();

        for(Role role : user.getRoles()){
            authorities.add(new SimpleGrantedAuthority(role.getName()));
            System.out.println(role.getName());
        }
        return new org.springframework.security.core.userdetails.User(user.getPhone(), user.getPassword(), authorities);
    }

SpringSecurity源码剖析

说了这么多,其实一切都在源码中,如过会看源码的话,这些配置都不是问题,下面简单来说下,SpringSecurity中主要的类
记住几个类:
WebSecurityConfigurerAdapter 自定义Security策略
AuthenticationManagerBuilder: 自定义认证策略
@EnableWebSecurity: 开启WebSecurity模式
Spring Security的两个主要目标是“认证Authentication”和”授权Authorization“(访问控制),这个概念在所有的安全框架中是互通的
WebSecurityConfigurerAdapter类中有以下方法:
继承的所有方法
在 WebSecurityConfigurerAdapter 这个类里面可以完成上述流程图的所有配置,主要使用就是继承上述方法

Spring Security 过滤器链

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明:
WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。

HeaderWriterFilter:用于将头信息加入响应中。

CsrfFilter:用于处理跨站请求伪造。

LogoutFilter:用于处理退出登录。

UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。

DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。

BasicAuthenticationFilter:检测和处理 http basic 认证。

RequestCacheAwareFilter:用来处理请求的缓存。

SecurityContextHolderAwareRequestFilter:主要是包装请求对象request。

AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。

SessionManagementFilter:管理 session 的过滤器

ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。

FilterSecurityInterceptor:可以看做过滤器链的出口。

RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

SpringSecurity 流程图

先来看下面一个 Spring Security 执行流程图,只要把 SpringSecurity 的执行过程弄明白了,这个框架就会变得很简单:
在这里插入图片描述
流程说明

客户端发起一个请求,进入 Security 过滤器链。

当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出路径则直接进入下一个过滤器。

当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理,如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。

当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

总结

步骤:
项目引入Spring Security依赖
自定义Security核心配置类继承WebSecurityConfigurerAdapter
账号密码配置
登录处理
忽略拦截

sink zhang
关注
专栏目录
SpringSecurity
Tt5802的博客
01-20 2277
springSecurityFilterChain 找不到异常 1、SpringSecurity 框架简介 ​用户登录系统时我们协助 SpringSecurity把用户对应的角色、权限组装好,同时把各个 ​ 资源所要求的权限信息设定好,剩下的“登录验证”、“权限验证”等等工作都交给SpringSecurity 2、在项目中加入SpringSecurity权限控制 2.1、加入依赖 2.1.1、建议在父工程的pom.xml文件中对子工程的jar包版本统一管理 <!-- 统一管理j
Dubbo整合Spring security
qq_37031675的博客
03-08 3365
一.初谈认证 作为web系统肯定少不了登录环节,和spring整合过程中大都通过拦截器来实现,无论是mvc自带的在xml文件中的配置拦截路径;或者与本期“主人公”平分秋色的shiro;框架只是给我们提供了一种简单的实现方式,提高我们的开发速度;但是设计还是我们开发人员需要做的;比如用户-角色-权限表的相关设计;拦截机制和具体加密实现! 二.代码实现 1.web.xml &amp;lt;?xml versi...
SpringSecurity3.2.5搭建支持RBAC的源代码
12-12
SpringSecurity3.2.5搭建支持RBAC的源代码示例~~原文http://blog.csdn.net/yeluosc/article/details/41890351
JavaEESpring-security笔记
a526001650a的专栏
11-21 385
JavaEESpring-security笔记
JAVAEE第三次作业(SpringSecurity框架
一只鼠标的博客
11-13 860
antMatchers("/studentlist","/searchstudent","/courseofstudent").hasAuthority("admin")//对界面配置权限。.antMatchers("/studentlist2").hasAuthority("teacher")//对界面配置权限。.loginProcessingUrl("/user/login")//登录提交的请求。1.login.html(/user/login是security提供的登录验证接口,不能修改)
Springboot + SpringSecurity + mybatis + mysql实现JWT验证&授权
seegirlshere的博客
06-21 279
1.重写WebSecurityConfigurerAdapter的configure(HttpSecurity http)方法 2.
javaee security 笔记
weixin_33690963的博客
07-25 187
参考java ee 6 tutorial的security一章,学习笔记 java ee应用分成多个tier(层),client层是浏览器等, web层是jsp,jsf等,business层是ejb,db层是jpa、jdbc等。 不同tier的container分别提供security,这有一定道理,因为不同tier可能位于不同的物理服务器上,不能认为web tie...
0到1使用spring-securitySpring安全认证框架
qq_27467439的博客
08-31 378
一:搞清楚认证与权限 1.1:什么是认证? 认证就是身份的核实,在我们生活中无处不在。譬如说你坐高铁需要拿着你的身份证以及你的英俊漂亮的脸,过闸机时那个操作相对于铁路局的操作系统而言就是需要对你进行认证,检查你是否有买当天的票,检查你与身份证以及票是否是同一个人。当我们使用别人的身份证进去时就亮红灯,不给进。这就是认证。 1.2:什么是权限? 接着上面的认证,咱们进去候车厅之后,然后等车,上车,接着找自己的位置。那么你是坐一等坐呢?还是二等座?亦或是三等座(站票)?这就取决于你买票的时候所选的坐席以及付出的
SpringSecurity 3.x:企业级安全实战与特性解析
该书详细讨论了Spring Security相较于传统JavaEE安全性编程模型的优势和改进,强调了其设计特点如基于过滤器链的解耦架构,以及与Spring框架的紧密集成。 书中首先介绍了Spring Security的基本概念,指出传统JavaEE...
基于JavaEE的实验仪器预约系统的设计与实现-开题报告.doc
最新发布
07-16
### 基于JavaEE的实验仪器预约系统的设计与实现 #### 1. 研究目的与意义 ##### 研究目的 本研究旨在设计并实现一个基于JavaEE的实验仪器预约系统,该系统将针对当前高校及企业在实验仪器管理上面临的诸多问题提供...
jwt + spring security 登陆验证和权限管理
04-19
一个Spring Security+JWT认证和授权的demo,此demo为Spring安全性与OAuth(1a)和OAuth2结合使用提供了支持。它提供了在Spring安全编程模型和配置下实现分布式无状态授权。
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
基于springBoot+springSecurity+jwt实现前后端分离用户权限认证
12-09
主要基于前后端分离情况下用户权限认证, 当用户登录认证成功后,每个用户会获取到自己的token,在请求其他接口时只需携带token即可,后端会通过token来识别用户身份。springSecurity也有很多种权限认证方式,本项目主要实现基于接口授权,也就是说通过注解给controller赋予权限,用户只有拥有某个接口的权限才能成功访问这个接口,从而实现不同用户拥有不同访问权限;
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
主要介绍了详解SpringBoot+SpringSecurity+jwt整合及初体验,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
javaEE开发技术
06-21
JavaEEKA开发技术
Spring Security + JWT 完成RBAC动态授权
Janche的博客
07-21 4601
文章为spring security系列的第一,着重讲解如何通过spring security完成企业级项目的权限控制。 1. 什么是RBAC RBAC(Role-Based Access Control )基于角色的权限控制,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。 2. JWT 和 Spring Security ...
springsecurity+jwt
weixin_45637293的博客
07-13 213
1. RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限 2.依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 3.增加用户名和密码 spring: securi
Spring Security :二【原理解析、会话管理、RBAC中集成认证和授权、JWT】
m0_52896752的博客
09-23 337
Spring Security :二【原理解析、会话管理、RBAC中集成认证和授权、JWT】
springsecurity 整合JWT
join_null的博客
05-28 728
1.主要原理:首先登录,如果登录成功,则在响应的header中加入生成的jwt token。 然后客户在发起请求时,校验header中的token是否合法,如果合法放行,不合法则返回错误信息 2.依赖 <dependency> <groupId>org.springframework.boot</...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值