Spring4详解系列(九)保护Web应用Spring Security的使用

最新推荐文章于 2024-04-18 01:22:36 发布
最新推荐文章于 2024-04-18 01:22:36 发布
阅读量4.3k 收藏 2
点赞数 2
分类专栏: Spring系统整理 文章标签: SpringSecurity案例 Spring保护web应用 Spring4详解 Spring4系列笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/amosjob/article/details/99721712
版权

1、什么是Spring Security

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。

Spring security借助一系列Servlet Filter来提供各种安全性功能。DelegatingFilterProxy是一个特殊的Servlet Filter,它会将工作委托给一个javax.servlet.Filter实现类,这个实现类作为一个<bean>注册在Spring应用的上下文。如图所示:

在XML中可以使用<filter>元素配置:

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

在这里,最重要的是<filter-name>设置成了springSecurityFilterChain。这是因为我们马上就会将Spring Security配置在Web安全性之中,这里会有一个名为springSecurityFilterChain的Filter bean,DelegatingFilterProxy会将过滤逻辑委托给它。 如果你希望借助WebApplicationInitializer以Java的方式来配置DelegatingFilterProxy的话,那么我们所需要做的就是创建一个扩展的新类:

package spittr.config;

import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {

}

AbstractSecurityWebApplicationInitializer实现了WebApplicationInitializer,因此Spring会发现它,并用它在Web容器中注册DelegatingFilterProxy。尽管我们可以重载它的appendFilters()或insertFilters()方法来注册自己选择的Filter,但是要注册DelegatingFilterProxy的话,我们并不需要重载任何方法。 不管我们通过web.xml还是通过AbstractSecurityWebApplicationInitializer的子类来配置DelegatingFilterProxy,它都会拦截发往应用中的请求,并将请求委托给ID为springSecurityFilterChain bean。 springSecurityFilterChain本身是另一个特殊的Filter,它也被称为FilterChainProxy。它可以链接任意一个或多个其他的Filter。Spring Security依赖一系列Servlet Filter来提供不同的安全特性。但是,你几乎不需要知道这些细节,因为你不需要显式声明springSecurityFilterChain以及它所链接在一起的其他Filter。当我们启用Web安全性的时候,会自动创建这些Filter。

2、Spring Security在SpringBoot实战中的应用

引用依赖:

<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-security</artifactId>
</dependency>

在启动类上加上如下注解:

/**
 * security.basic.enabled=false 被废弃了,现在使用
 * @SpringBootApplication(exclude= SecurityAutoConfiguration.class) 代替
 */
@EnableAsync
@EnableDiscoveryClient
@ComponentScan(basePackages = "com.bloc.core.*")
@SpringBootApplication(exclude= SecurityAutoConfiguration.class)
public class BlocCoreApplication {
	public static void main(String[] args) {
		SpringApplication.run(BlocCoreApplication.class, args);
	}
}

创建WebAuthenticationEntryPoint组件:

@Component
public class WebAuthenticationEntryPoint implements AuthenticationEntryPoint, Serializable {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        // 因为用的是restful 没有登陆页面 在用户未登录的情况下返回一个401
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized");
    }
}

创建一个过滤器SecuritySessionFilter组件:

@Component
public class SecuritySessionFilter extends OncePerRequestFilter {
    private static Logger logger = LoggerFactory.getLogger(SecuritySessionFilter.class);
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
        HttpSession session = request.getSession(false);
        if (session != null) {
            logger.info("SecuritySessionFilter session loading...");
            AuthUserDetails authUser = (AuthUserDetails) session.getAttribute(Contants.USER);
            if (authUser != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                logger.info("SecuritySessionFilter Authentication info:{}",authUser.getAuthorities());
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(authUser, null, authUser.getAuthorities());
                authentication.setDetails((new WebAuthenticationDetailsSource()).buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
        }
        filterChain.doFilter(request, response);
    }
}

添加WebSecurityConfig配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    UserDetailsService userDetailsService;
    @Autowired
    WebAuthenticationEntryPoint webAuthenticationEntryPoint;
    @Autowired
    SecuritySessionFilter securitySessionFilter;
    private HttpSecurity http;

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }
    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
.exceptionHandling().authenticationEntryPoint(this.webAuthenticationEntryPoint)
                .and()
                .authorizeRequests()
                // 登录放行
                .antMatchers("/login").permitAll()
                //所有请求都拦截
                .anyRequest().authenticated()
                .and().csrf().disable();
        http.addFilterBefore(securitySessionFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

重写UserDetailsService接口:

@Service
public class AuthUserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private PasswordEncoder passwordEncoder;
    // 查询数据库中角色配置
    @Autowired
    private RoleService roleService;
    // 查询用户的信息
    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userService.findUserByName(username);
        List<Role> roleByUid = roleService.findRoleByUid(user.getId());
        StringBuffer buffer = new StringBuffer();
        for (Role r: roleByUid) {
            buffer.append(r.getRoleName()).append(",");
        }
        buffer.deleteCharAt(buffer.length()-1);
        String encode = passwordEncoder.encode(user.getPassWord());
        // AuthUserDetails 继承了User类,重写了里面的方法,返回我们自定义的信息
        return new AuthUserDetails(username,encode,
                AuthorityUtils.commaSeparatedStringToAuthorityList(buffer.toString()));
    }
}

在UserController中的使用:

@Override
    public ReturnResult login(String userName, String passWord) {
        System.out.println("-------------  service message come in  --------------");
        try {
            User user = userService.login(userName, passWord);
            if (user != null) {
                final Authentication authentication = authenticationManager.authenticate(
                        new UsernamePasswordAuthenticationToken(
                                userName, passWord
                        )
                );
                SecurityContextHolder.getContext().setAuthentication(authentication);
                AuthUserDetails userDetails = (AuthUserDetails) userDetailsService.loadUserByUsername(userName);
                session.setAttribute(Contants.USER, userDetails);
                userDetails.setServiceSessionId(session.getId());
                //此处可优化,目前只处理一个权限
                Collection<GrantedAuthority> authorities = userDetails.getAuthorities();
                String authorityName = "";
                for (GrantedAuthority authority : authorities){
                    authorityName = authority.getAuthority();
                }
                Integer roleCode = RoleEnum.getRoleCode(authorityName);
                List<Menus> menusList = menusService.findMenusByUserTypeAndRoleCode(user.getUserType(), roleCode);
                userDetails.setMenuList(menusList);
                return ReturnResult.resultSucc("查询成功", userDetails);
            }
        }catch (Exception e){
            logger.info("认证失败:{},{}",e.getMessage(),e);
        }
        return ReturnResult.resultFail("查询失败");
    }

以上就是Spring Security在SpringBoot实战中的应用、当然也可以新增一个组件继承OncePerRequestFilter类,重写doFilterInternal方法,进行接口验签。

川子的博客
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring实战17——Spring Security
?_#的博客
05-20 222
Spring Security 是一种基于Spring AOP 和Servlet 规范中的Filter 实现的安全框架 Spring Security 充分利用了依赖注入DI 和面向切面技术 Spring Securty 使用Servlet 规范中的Filter 保护web 请求并限制url 级别的访问。它还使用Spring AOP 保护方法的调用——借助于对象代理和使用通知。 引入core...
详解Spring SecurityWeb应用和指纹登录实践
08-26
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理。它提供了一整套完善的权限控制机制,能够处理用户的认证(Authentication)和授权(Authorization)需求。在本文中,我们将深入探讨Spring ...
如何用Spring Security保护你的Web应用:认证和授权的最佳实践
grandachn的博客
04-12 308
Spring Security是一个基于Spring框架的安全框架,它为应用程序提供了安全保护功能。Spring Security提供了很多功能,包括身份验证、授权、加密和访问控制等。使用Spring Security,开发人员可以很容易地添加安全性到他们的应用程序中。Spring Security的核心思想是将安全性分离出来,使得开发人员可以专注于应用程序的业务逻辑。这个框架非常容易扩展和自定义,以适应各种不同的应用程序场景。
爆破专栏丨Spring Security系列教程之基于自定义的认证提供器实现图形验证码_webauthenticationdetailssource
最新发布
2401_84424937的博客
04-18 659
了解完上面的这些必要的API,我们就可以实现今天的需求了。
Spring认证指南:了解如何使用 Spring Security 保护您的 Web 应用程序
IT胶囊
03-07 440
原标题:Spring认证指南:了解如何使用 Spring Security 保护您的 Web 应用程序。(Spring中国教育管理中心) 保护 Web 应用程序 本指南将引导您完成使用Spring Security 保护的资源创建简单 Web 应用程序的过程。 你将建造什么 您将构建一个 Spring MVC 应用程序,该应用程序使用由固定用户列表支持的登录表单来保护页面。 你需要什么 约15分钟 最喜欢的文本编辑器或 IDE JDK 1.8或更高版本 Gradle 4+或.
Spring4和SpringSecurity4的整合(一)
weixin_33700350的博客
02-26 348
SpringSecurity的官方文档及其简单,他的示例配置就是在xml文件中把用户名和密码写固定了,然而在实际工作中是不可能的,参考了下网上的教程发现良莠不齐,特此写下记录学习过程首先pom导入jar包:pom.xml <dependencies> <dependency> ...
SpringSecurity从装载到源码
BaiYZ的Blog
05-11 184
SpringSecurity过滤器链源码阅读,以及个人理解
Spring Security保护用户密码常用方法详解
09-07
Spring Security 是一个强大的安全框架,用于管理Web应用和企业级应用的安全性。在Spring Security中,保护用户密码是非常关键的一环,因为不安全的密码处理可能导致严重的安全问题。本文将详细解析Spring Security...
详解spring security之httpSecurity使用示例
08-27
详解 Spring Security 之 HttpSecurity 使用示例 Spring Security 是一个功能强大且广泛使用的 Java 安全框架,旨在提供身份验证、授权和其他安全功能。HttpSecuritySpring Security 中的一个重要组件,负责...
详解Spring Boot 使用Spring security 集成CAS
08-30
Spring Boot 使用 Spring Security 集成 CAS Spring Boot 是一个基于 Java 的开源框架,用于快速构建生产级别的应用程序。Spring Security 是一个基于 Spring 的安全框架,提供了身份验证、授权和访问控制等功能。...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
spring security使用总结
chen's blog
11-22 722
spring security 使用总结 两大核心:1、认证 2授权 认证:就是常见的用户名密码校验 通过实现UserDetailsService 中 loadUserByUsername 方法 完成用户认证 授权:通过继承BasicAuthenticationFilter实现doFilterInternal 方法实现授权 spring security 里面封装的内容很多 里面都是通过filter使用责任链的模式来实现的 暂时只用到了认证 @Configuration @EnableWebSecurity
web Security 入门篇
qq_40800349的博客
04-08 8518
Hello Web Security在这个部分,我们对一个基于websecurity作一些基本的配置。可以分成四个部分:更新依赖 – 我们已经在前一篇文章中用Maven进行了示范进行Spring Security配置 – 这个例子中,我们采用WebSecurityConfigurerAdapter确保Spring Security配置已经被加载了 – 我们采用AbstractAnnotation...
java security 详解_Spring Security 初始化流程详解
weixin_36436373的博客
02-16 411
最近在整合微服务OAuth 2认证过程中,它是基于Spring Security之上,而本人对Spring Security架构原理并不太熟悉,导致很多配置搞不太清楚,遂咬牙啃完了Spring Security核心源码,花了差不多一星期,总体上来说,其代码确实比较晦涩,之前在学习Apache Shiro框架之前也曾经在相关论坛里了解过,相比Spring Security,Apache Shiro真...
SPRING SECURITY JAVA配置:Web Security
飞鸟
03-02 2136
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。 Hello Web Security 在这个部分,我们对一个基于websecurity作一些基本的配置。可以分成四个部分: 更新依赖 – 我们已经在前一篇文章中用Mav
Spring Security在登录验证中增加额外数据(如验证码)
weixin_34248849的博客
07-13 973
  在使用Spring Security框架过程中,经常会有这样的需求,即在登录验证时,附带增加额外的数据,如验证码、用户类型等。下面将介绍如何实现。   注:我的工程是在Spring Boot框架基础上的,使用xml方式配置的话请读者自行研究吧。 实现自定义的WebAuthenticationDetails   该类提供了获取用户登录时携带的额外信息的功能,默认实现WebAuthe...
spring security 5 (5)-自定义认证
JAVA博客
03-10 5516
第3篇讲过,用户登录时,系统会读取用户的UserDetails对其认证,认证过程是由系统自动完成的,主要是检查用户密码。而在现实中,登录方式并不一定是检查密码,也可能是验证码或其他,此时就需要自定义认证。 AuthenticationProvider 自定义认证逻辑在AuthenticationProvider的authenticate方法中完成,第4篇讲过,认证的入参是一个未认证Authen...
spring boot 单体项目 集成 spring security 实现 登录认证 权限认证 jwt token认证
weixin_40773253的博客
05-06 1701
这篇博文讲述的是不集成oath,通过自己编写jwt 的 token 生成器 实现 spring security 的 登录权限token认证的实现方法。 目录结构如下: pom文件 加入 springsecurity 和 JWT的引用包 <!-- spring security --> <dependency> <groupId&gt...
全网最详解Spring Security登录原理(带你看源代码)
OuKman的博客
02-15 6937
根据上图所示配置了所有的请求都需要身份认证,那么,此拦截器就会检测当前请求是否经过了绿色过滤器的认证,即检查标记,实际上,这一段配置可以写的非常复杂,比如可以配置某类请求只有VIP用户才允许访问等,这些配置都会被拦截器读取,拦截器会根据这些配置做判断。如果判断通过,那么访问到具体API,如果不过,根据不过的原因,会抛出不同的异常。 比如在当前配置中,配置了所有请求都需要身份认证,那么,如果当前请求没有认证,拦截器就会抛出一个用户没有经过身份认证异常。如果配置文件中配置了当前请求只有VIP用户才能访问,而..
SpringSecurity保护Web的安全
05-06
SpringSecurity是一个用于保护web应用程序安全的框架,它由一系列的过滤器组成,核心过滤器为org.springframework.web.filter.DelegatingFilterProxy。这个过滤器代理了所有其他的过滤器,并且必须配置在web.xml文件...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值