一夜之间火爆GitHub的好文!!阿里资深架构师整理分享(内部)的SpringSecurity实战技术文档,看完我立马跪了!!

最新推荐文章于 2022-11-26 00:29:00 发布
最新推荐文章于 2022-11-26 00:29:00 发布
阅读量2k 收藏 2
点赞数 11
分类专栏: java 文章标签: SpringSecurity spring 框架 ssm java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjmashibing001/article/details/108720514
版权

前言

SpringSecurity是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。

Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,不仅新增了原生OAuth框架,还支持更加现代化的密码加密方式。可以预见,在 Java 应用安全领域,Spring Security会成为首先被推崇的安全解决方案。

阿里资深架构师整理分享的SpringSecurity实战文档

 

希望大家能够仔仔细细的品读本文内容,实实在在的掌握到自己的手中,并且能够灵活的运用到实际的工作中去 ,不断强大自身,增加自己的技术深度和宽度,希望能够帮助到大家的学习,也希望能够得到大家的喜欢!!

本文将从目录、主要内容、还有面向读者三部分给大家进行介绍,希望大家能够仔细阅读!!

目录

阿里资深架构师整理分享的SpringSecurity实战文档

 

主要内容

本文通过4部分,14章的内容由浅入深地介绍了Spring Security的方方面面。

第1部分主要讲解Spring Security的基本配置;

第1章初识Spring Security,Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第2章表单认证,在第1章中,我们初步引入了SpringSecurity,并使用其默认生效的HTTP基本认证来保护URL资源,本章我们使用表单认证来保护URL资源。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第3章认证与授权,在第2章中,我们沿用了Spring Security默认的安全机制:仅有一个用户,仅有一种角色。在实际开发中,这自然是无法满足需求的。本章将更加深入地对Spring Security迚行配置,且初步使用授权机制。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第2部分剖析Web项目可能遇到的安全问题,并讲解如何使用SpringSecurity进行有效防护;

第4章实现图形验证码,在验证用户名和密码前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行有效的一种辅助验证方式。下面将使用过滤器和自定义认证两种方式实现图形验证码功能。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第5章自动登录和注销登录,关于网站的安全设计,通常是有一些矛盾点的。我们在作为某些系统开发者的同时,也在充当着另外一些系统的用户,一些感同身受的东西可以带来很多思考。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第6章会话管理,只需在两个浏览器中用同一个账号登录就会发现,到目前为止,系统尚未有任何会话并发限制。一个账户能多处同时登录可不是一个好的策略。事实上,Spring Security已经为我们提供了完善的会话管理功能,包括会话固定攻击、会话超时检测以及会话并发控制。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第7章密码加密,密码安全是互联网安全的一个缩影,我们在享受互联网服务的同时,也应当对它投入更多的关注。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第8章跨域与CORS,跨域是一种浏览器同源安全策略,即浏览器单方面限制脚本的跨域访问。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第9章跨域请求伪造的防护,CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录态的cookie迚行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨大的安全隐患。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第10章单点登录与CAS,单点登录(Single Sign On,SSO)是指在多个应用系统中,只需登录一次,即可同时以登录态共享企业所有相关又彼此独立的系统的功能。对于旗下拥有众多系统的企业来说,单点登录不仅降低了用户的登录成本,统一了不同系统间的账号体系,还减少了各个系统在用户设计上付出的精力。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第11章HTTP认证,除系统内维护的用户名和密码认证技术外,SpringSecurity还支持HTTP层面的认证技术,包括HTTP基本认证和HTTP摘要认证两种。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第12章@EnableWebSecurity与过滤器链机制,为什么加上@EnableWebSecurity注解就可以让Spring Security起作用?Spring Security又是通过什么方式来拦截请求并执行认证的?下面就带着这两个问题,深入源码一探究竟。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第3部分详细介绍OAuth,并使用Spring Social整合Spring Security,实现QQ快捷登录;

第13章用Spring Social实现OAuth对接,OAuth 解决了在用户不提供密码给第三方应用的情况下,让第三方应用有权获取用户数据以及基本信息的难题。

阿里资深架构师整理分享的SpringSecurity实战文档

 

第4部分重点介绍Spring Security OAuth框架,剖析Spring Security OAuth的部分核心源码。

第14章用Spring Security OAuth实现OAuth对接,Spring Security OAuth是一个专注于OAuth认证的框架,它完整覆盖了客户端、资源服务和认证服务三个模块。这三个模块分别在Spring Security 5.0、5.1和5.3三个版本中被集成,原有的独立项目则进入维护状态。

阿里资深架构师整理分享的SpringSecurity实战文档

 

这份【SpringSecurity实战】共有319页,需要完整版的朋友,转发+评论,关注我私信回复“666”即可免费获取!

阿里资深架构师整理分享的SpringSecurity实战文档

 

本文面向的读者

本文包含Spring Security Java配置、Spring Security安全防护和源码导读;

详细讲解OAuth2实战,并简单剖析部分OAuth2核心源码;

本文主要面向有一定Java基础的读者,以及希望在实际项目中应用Spring Security的开发人员。

希望本文能够帮助到大家的学习,也希望大家能够把技术内容全部掌握,运用到实际项目开发工作中去!!!

程序员高级码农1
关注
  • 11
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 15
    评论
专栏目录
Spring Security 中官方文档
11-12
Spring_Security-3.0.1_中官方文档(翻译版).pdf
springsecurity-2.x官方文档翻译初步整理成,附上几个例子
xyz20003的专栏
08-17 210
预览地址:http://family168.com/tutorial/springsecurity/html/springsecurity.html 例子:因为网站不允许下载war扩展名的件,我已经把扩展名改成.zip了,请各位下载后,将扩展名修改为war再使用。 secure-hello,最简单的namespace配置方式, 两个用户:admin:admin, user:user...
SpringSecurity学习笔记
雨落
05-07 2055
使用SpringSecurity+jwt实现前后端认证和授权
Spring Security 文档
h390291060的专栏
02-25 1672
Spring Security OAuth 已经不推荐使用了,最新的OAuth 2.0 的支持由Spring Security提供,官方给出了迁移指南http://OAuth 2.0 Migration Guide。文档还是摆在一起的,Spring Security大类里面也有Spring Security OAuth 的文档。 Spring Security是一套可定制的授权和访问控制框架,容易扩展适应需要。 架构 应用安全问题大体可归为两个,...
阿里大佬整理分享Spring Security王者晋级文档,实在太香了
Java6888的博客
09-25 720
Spring是一个非常流行和成功的 Java 应用开发框架。SpringSecurity是Spring家族中的一个安全管理框架,提供了一套 Web 应用安全性的整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对...
spring-boot集成spring-security的oauth2实现github登录网站的示例
08-28
本篇章主要介绍了spring-boot集成spring-security的oauth2实现github登录网站的示例,非常具有实用价值,需要的朋友可以参考下
octoProfile-github:更好地了解您的GitHub个人资料! 有图表!
02-04
octoProfile-github:更好地了解您的GitHub个人资料! 有图表!
MarsRon.github.io:我的个人GitHub页面。 感谢GitHub托管网站!
03-17
看来您找到了我的GitHub页面! 去做: 没有
octoprofile:更好地查看您的GitHub个人资料! 有图表!
02-04
OctoProfile 更好地查看您的GitHub个人资料! 有图表! 内置:入门安装依赖项yarn 启动服务器并查看件yarn dev部署方式安装Now CLI yarn add now 部署! now
jasypt-spring-boot-2.1.0-API文档-中版.zip
05-04
赠送jar包:jasypt-spring-boot-2.1.0.jar; 赠送原API文档:jasypt-spring-boot-2.1.0-javadoc.jar; 赠送源代码:jasypt-spring-boot-2.1.0-sources.jar; 赠送Maven依赖信息件:jasypt-spring-boot-2.1.0.pom;...
spring-security 官方文档
10-12
spring security官方文档版 看了下翻译 还是可以的 比其他查到的专业点 希望可以帮助到大家
SpringSecurity文档.zip
11-11
SpringSecurity文档 2个 学习SpringSecurity必备
Spring Security最新文档(英)
10-19
Spring Security Reference最新版的英文档5.1.1.
Spring Security-3.0.1中官方文档(翻译版)
03-08
Spring Security-3.0.1 中官方文档(翻译版) 这次发布的Spring Security-3.0.1 是一个bug fix 版,主要是对3.0 中存在的一些问题进 行修 正。文档中没有添加新功能的介绍,但是将之前拼写错误的一些类名进行了修正,建议开发 者以这一版本的文档为参考。 另:Spring Security 从2010-01-01 以后,版本控制从SVN 换成了GIT,我们在翻译文档的 时候,主要是根据SVN 的变化来进行文档内容的比对,这次换成GIT 后,感觉缺少了之前 那种本比对工具,如果有对GIT 熟悉的朋友,还请推荐一下本比对的工具,谢谢。 序言 I. 入门 1. 介绍 1.1. Spring Security 是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config - spring-security-config.jar 1.4.1.4. LDAP - spring-security-ldap.jar 1.4.1.5. ACL - spring-security-acl.jar 1.4.1.6. CAS - spring-security-cas-client.jar 1.4.1.7. OpenID - spring-security-openid.jar 1.4.2. 获得源代码 2. Security 命名空间配置 2.1. 介绍 2.1.1. 命名空间的设计 2.2. 开始使用安全命名空间配置 2.2.1. 配置web.xml 2.2.2. 最小 配置 2.2.2.1. auto-config 包含了什么? 2.2.2.2. 表单和基本登录选项 2.2.3. 使用其他认证提供器 2.2.3.1. 添加一个密码编码器 2.3. 高级web 特性 2.3.1. Remember-Me 认证 2.3.2. 添加HTTP/HTTPS 信道安全 2.3.3. 会话管理 2.3.3.1. 检测超时 2.3.3.2. 同步会话控制 2.3.3.3. 防止Session 固定攻击 2.3.4. 对OpenID 的支持 2.3.4.1. 属性交换 2.3.5. 添加你自己的filter 2.3.5.1. 设置自定义AuthenticationEntryPoint 2.4. 保护方法 2.4.1. 元素 2.4.1.1. 使用protect-pointcut 添加安全切点 2.5. 默认的AccessDecisionManager 2.5.1. 自定义AccessDecisionManager 2.6. 验证管理器和命名空间 3. 示例程序 3.1. Tutorial 示例 3.2. Contacts 3.3. LDAP 例子 3.4. CAS 例子 3.5. Pre-Authentication 例子 4. Spring Security 社区 4.1. 任务跟踪 4.2. 成为参与者 4.3. 更多信息 II. 结构和实现 5. 技术概述 5.1. 运行环境 5.2. 核心组件 5.2.1. SecurityContextHolder, SecurityContext 和Authentication 对象 5.2.1.1. 获得当前用户的信息 5.2.2. UserDetailsService 5.2.3. GrantedAuthority 5.2.4. 小结 5.3. 验证 5.3.1. 什么是Spring Security 的验证呢? 5.3.2. 直接设置SecurityContextHolder 的内容 5.4. 在web 应用中验证 5.4.1. ExceptionTranslationFilter 5.4.2. AuthenticationEntryPoint 5.4.3. 验证机制 5.4.4. 在请求之间保存SecurityContext 。 5.5. Spring Security 中的访问控制(验证) 5.5.1. 安全和AOP 建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager 5.5.2.4. 扩展安全对象模型 5.6. 国际化 6. 核心服务 6.1. The AuthenticationManager , ProviderManager 和AuthenticationProvider s 6.1.1. DaoAuthenticationProvider 6.2. UserDetailsService 实现 6.2.1. 内存认证 6.2.2. JdbcDaoImpl 6.2.2.1. 权限分组 6.3. 密码加密 6.3.1. 什么是散列加密? 6.3.2. 为散列加点儿盐 6.3.3. 散列和认证 III. web 应用安全 7. 安全过滤器链 7.1. DelegatingFilterProxy 7.2. FilterChainProxy 7.2.1. 绕过过滤器链 7.3. 过滤器顺序 7.4. 使用其他过滤器—— 基于框架 8. 核心安全过滤器 8.1. FilterSecurityInterceptor 8.2. ExceptionTranslationFilter 8.2.1. AuthenticationEntryPoint 8.2.2. AccessDeniedHandler 8.3. SecurityContextPersistenceFilter 8.3.1. SecurityContextRepository 8.4. UsernamePasswordAuthenticationFilter 8.4.1. 认证成功和失败的应用流程 9. Basic(基本)和Digest(摘要)验证 9.1. BasicAuthenticationFilter 9.1.1. 配置 9.2. DigestAuthenticationFilter 9.2.1. Configuration 10. Remember-Me 认证 10.1. 概述 10.2. 简单基于散列标记的方法 10.3. 持久化标记方法 10.4. Remember-Me 接口和实现 10.4.1. TokenBasedRememberMeServices 10.4.2. PersistentTokenBasedRememberMeServices 11. 会话管理 11.1. SessionManagementFilter 11.2. SessionAuthenticationStrategy 11.3. 同步会话 12. 匿名认证 12.1. 概述 12.2. 配置 12.3. AuthenticationTrustResolver IV. 授权 13. 验证架构 13.1. 验证 13.2. 处理预调用 13.2.1. AccessDecisionManager 13.2.2. 基于投票的AccessDecisionManager 实现 13.2.2.1. RoleVoter 13.2.2.2. AuthenticatedVoter 13.2.2.3. Custom Voters 13.3. 处理后决定 14. 安全对象实现 14.1. AOP 联盟(MethodInvocation) 安全拦截器 14.1.1. 精确的MethodSecurityIterceptor 配置 14.2. AspectJ (JoinPoint) 安全拦截器 15. 基于表达式的权限控制 15.1. 概述 15.1.1. 常用内建表达式 15.2. Web 安全表达式 15.3. 方法安全表达式 15.3.1. @Pre 和@Post 注解 15.3.1.1. 访问控制使用@PreAuthorize 和@PostAuthorize 15.3.1.2. 过滤使用@PreFilter 和@PostFilter 16. acegi 到spring security 的转换方式 16.1. Spring Security 是什么 16.2. 目标 16.3. 步骤 16.4. 总结 V. 高级话题 17. 领域对象安全(ACLs) 17.1. 概述 17.2. 关键概念 17.3. 开始 18. 预认证场景 18.1. 预认证框架类 18.1.1. AbstractPreAuthenticatedProcessingFilter 18.1.2. AbstractPreAuthenticatedAuthenticationDetailsSource 18.1.2.1. J2eeBasedPreAuthenticatedWebAuthenticationDetailsSource 18.1.3. PreAuthenticatedAuthenticationProvider 18.1.4. Http403ForbiddenEntryPoint 18.2. 具体实现 18.2.1. 请求头认证(Siteminder) 18.2.1.1. Siteminder 示例配置 18.2.2. J2EE 容器认证 19. LDAP 认证 19.1. 综述 19.2. 在Spring Security 里使用LDAP 19.3. 配置LDAP 服务器 19.3.1. 使用嵌入测试服务器 19.3.2. 使用绑定认证 19.3.3. 读取授权 19.4. 实现类 19.4.1. LdapAuthenticator 实现 19.4.1.1. 常用功能 19.4.1.2. BindAuthenticator 19.4.1.3. PasswordComparisonAuthenticator 19.4.1.4. 活动目录认证 19.4.2. 链接到LDAP 服务器 19.4.3. LDAP 搜索对象 19.4.3.1. FilterBasedLdapUserSearch 19.4.4. LdapAuthoritiesPopulator 19.4.5. Spring Bean 配置 19.4.6. LDAP 属性和自定义UserDetails 20. JSP 标签库 20.1. 声明Taglib 20.2. authorize 标签 20.3. authentication 标签 20.4. accesscontrollist 标签 21. Java 认证和授权服务(JAAS)供应器 21.1. 概述 21.2. 配置 21.2.1. JAAS CallbackHandler 21.2.2. JAAS AuthorityGranter 22. CAS 认证 22.1. 概述 22.2. CAS 是如何工作的 22.3. 配置CAS 客户端 23. X.509 认证 23.1. 概述 23.2. 把X.509 认证添加到你的web 系统中 23.3. 为tomcat 配置SSL 24. 替换验证身份 24.1. 概述 24.2. 配置 A. 安全数据库表结构 A.1. User 表 A.1.1. 组权限 A.2. 持久登陆(Remember-Me)表 A.3. ACL 表 A.3.1. Hypersonic SQL A.3.1.1. PostgreSQL B. 安全命名空间 B.1. Web 应用安全- 元素 B.1.1. 属性 B.1.1.1. servlet-api-provision B.1.1.2. path-type B.1.1.3. lowercase-comparisons B.1.1.4. realm B.1.1.5. entry-point-ref B.1.1.6. access-decision-manager-ref B.1.1.7. access-denied-page B.1.1.8. once-per-request B.1.1.9. create-session B.1.2. B.1.3. 元素 B.1.3.1. pattern B.1.3.2. method B.1.3.3. access B.1.3.4. requires-channel B.1.3.5. filters B.1.4. 元素 B.1.5. 元素 B.1.5.1. login-page B.1.5.2. login-processing-url B.1.5.3. default-target-url B.1.5.4. always-use-default-target B.1.5.5. authentication-failure-url B.1.5.6. authentication-success-handler-ref B.1.5.7. authentication-failure-handler-ref B.1.6. 元素 B.1.7. 元素 B.1.7.1. data-source-ref B.1.7.2. token-repository-ref B.1.7.3. services-ref B.1.7.4. token-repository-ref B.1.7.5. key 属性 B.1.7.6. token-validity-seconds B.1.7.7. user-service-ref B.1.8. 元素 B.1.8.1. session-fixation-protection B.1.9. 元素 B.1.9.1. max-sessions 属性 B.1.9.2. expired-url 属性 B.1.9.3. error-if-maximum-exceeded 属性 B.1.9.4. session-registry-alias 和session-registry-ref 属性 B.1.10. 元素 B.1.11. 元素 B.1.11.1. subject-principal-regex 属性 B.1.11.2. user-service-ref 属性 B.1.12. 元素 B.1.13. 元素 B.1.13.1. logout-url 属性 B.1.13.2. logout-success-url 属性 B.1.13.3. invalidate-session 属性 B.1.14. 元素 B.2. 认证服务 B.2.1. 元素 B.2.1.1. 元素 B.2.1.2. 使用 来引用一个AuthenticationProvider Bean B.3. 方法安全 B.3.1. 元素 B.3.1.1. secured-annotations 和jsr250-annotations 属性 B.3.1.2. 安全方法使用 B.3.1.3. 元素 B.3.2. LDAP 命名空间选项 B.3.2.1. 使用 元素定义LDAP 服务器 B.3.2.2. 元素 B.3.2.3. 元素
Spring security-包含官方文档
10-24
这里是Spring security 的jar包以及说明文档,Spring security可以提供系统安全方面的支持
Spring Security文档
大强博客
01-30 2654
1、项目 https://spring.io/projects/spring-security 2、文档 https://docs.spring.io/spring-security/site/docs/4.2.11.RELEASE/reference/htmlsingle/ 3、中文档 https://springcloud.cc/spring-security-zhcn.html ...
Spring Security 5.1 中 参考手册 中文档
06-25
Spring Security 5.1 中 参考手册 中文档文档都是由软件翻译,翻译内容未检查校对,文档内容仅供参考。
Spring Security3.0.1参考文档
Sun
05-04 1699
http://www.fengfly.com/document/springsecurity3/springsecurity.html
Spring Security中文档
程序员小明1024
11-26 5282
Spring Security中文档 来源:https://www.springcloud.cc/spring-security.html#overall-architecture 作者 Ben Alex , Luke Taylor , Rob Winch , Gunnar Hillert , Joe Grandja , Jay Bryant 5.1.2.RELE...
springcloud项目实战 github
最新发布
08-23
这是一些关于Spring Cloud的实战项目的GitHub地址: 。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* *2* *3* [Github点赞接近 70k 的Spring Cloud学习...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 15
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值