SpringBoot开发——SpringSecurity安全框架17个业务场景案例(一)

已于 2024-10-07 10:45:47 修改
阅读量360 收藏 20
点赞数 7
分类专栏: SpringBoot开发 后端开发 文章标签: spring boot SpringSecurity 安全框架
于 2024-10-07 10:45:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjzhang75/article/details/142574333
版权

文章目录

  • 一、Spring Security 常用应用场景介绍
  • 二、Spring Security场景案例
    • 1、认证(Authentication)
      • 1.1. Spring Security 配置
      • 1.2 业务逻辑代码
      • 1.3 登录控制器
      • 1.4 登录页面 (login.html)
    • 2、授权(Authorization)
      • 2.1 Spring Security 配置
      • 2.2 业务逻辑代码
      • 2.3 控制器
    • 3、表单登录(Form-Based Login)
      • 3.1 Spring Security 配置
      • 3.2 登录控制器
      • 3.3 登录页面 (login.html)
      • 3.4 Home页面 (home.html)
      • 3.5 配置静态资源
    • 4、HTTP 基本认证(HTTP Basic Authentication)
      • 4.1 Spring Security 配置
      • 4.2 业务逻辑代码
      • 4.3测试HTTP基本认证
    • 5、OAuth2 和 OpenID Connect
      • 5.1 Spring Security 配置
      • 5.2 业务逻辑代码

Spring Security通过一系列注解简化了安全配置,我们将深入探讨Spring Security框架的17个关键应用场景,包括认证、授权、OAuth2CSRF保护等。每个案例都配有详细的时序图和代码示例,旨在帮助开发者全面理解并有效利用Spring Security的强大功能,以构建更安全、更可靠的应用程序。

一、Spring Security 常用应用场景介绍

1、认证(Authentication)

  • 应用场景:确保只有经过验证的用户才能访问应用程序。

2、授权(Authorization)

  • 应用场景:控制用户对特定资源的访问权限,如角色基础的访问控制。

3、表单登录(Form-Based Login)

  • 应用场景:为用户提供登录表单,处理登录请求和重定向。

4、HTTP 基本认证(HTTP Basic Authentication)

  • 应用场景:为 RESTful API 或其他服务提供基础的用户名和密码认证。

5、OAuth2 和 OpenID Connect

  • 应用场景:支持现代的授权框架,适用于需要第三方应用认证的场景。

6、CSRF 保护(CSRF Protection)

  • 应用场景:防止跨站请求伪造攻击,保护 Web 应用程序的安全。

7、密码编码(Password Encoding)

  • 应用场景:安全地存储用户密码,防止密码泄露。

8、方法级安全性(Method Security)

  • 应用场景:控制对特定方法或 Bean 属性的访问,实现细粒度的安全控制。

9、异常处理(Exception Handling)

  • 应用场景:自定义安全相关的异常处理,如认证失败、授权失败。

10、记住我(Remember-Me)

  • 应用场景:为用户提供持久的登录状态,方便用户再次访问。

11、预授权(Pre-Invocation)

  • 应用场景:在方法执行前进行安全检查,确保方法调用的安全性。

12、表达式支持(Expression-Based)

  • 应用场景:使用 Spring Expression Language (SpEL) 实现复杂的安全逻辑。

13、安全上下文(Security Context)

  • 应用场景:管理和检索认证信息,如获取当前认证用户。

14、安全过滤器链(Security Filter Chain)

  • 应用场景:处理 HTTP 请求的安全检查,如认证、授权。

15、用户详细信息服务(UserDetailsService)

  • 应用场景:自定义用户认证信息的加载逻辑,如从数据库加载用户数据。

16、多因素认证(Multi-Factor Authentication)

  • 应用场景:增加额外的安全层,如短信验证码、电子邮件确认。

17、匿名访问(Anonymous Access)

  • 应用场景:允许未认证的用户访问某些公共资源。

二、Spring Security场景案例

1、认证(Authentication)

业务场景: 一个在线书店系统,用户需要登录后才能查看订单和购买书籍。
业务时序图
在这里插入图片描述
1.用户(User) 访问登录页面。

2.表单登录认证过滤器(FormLoginAuthenticationFilter) 显示登录表单。

3.用户填写凭据并提交。

4.表单登录认证过滤器(FormLoginAuthenticationFilter) 调用 认证管理器(AuthenticationManager) 的 attemptAuthentication 方法。

5.认证管理器(AuthenticationManager) 请求 用户详细信息服务(UserDetailsService) 根据用户名加载用户信息。

6.用户详细信息服务(UserDetailsService) 调用自定义的 CustomUserDetailsService 获取用户详细信息。

7.CustomUserDetailsService 返回用户详细信息给 认证管理器(AuthenticationManager) 。

8.认证管理器(AuthenticationManager) 请求 密码编码器(PasswordEncoder) 对用户输入的密码进行编码。

9.密码编码器(PasswordEncoder) 将编码后的密码与存储的密码进行比较。

10.认证管理器(AuthenticationManager) 根据比较结果决定认证是否成功。

11.表单登录认证过滤器(FormLoginAuthenticationFilter) 根据认证结果重定向用户到主页或显示错误。

12.认证信息被设置到 SecurityContextHolder 中。

1.1. Spring Security 配置

首先,我们需要配置Spring Security来处理用户的登录请求。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{
   
  @Override
  protected void configure(HttpSecurity http) throws Exception {
   
        http       
			.authorizeRequests()           
				.antMatchers("/login", "/register").permitAll()
                .anyRequest().authenticated()
			.and()
            .formLogin()
				.loginPage("/login")               
				.defaultSuccessUrl("/home", true)                
				.permitAll()            
			.and()            
			.logout()               
				.permitAll();    
	}

	@Override    
	protected void configure(AuthenticationManagerBuilder auth) throws Exception{
   
        auth           
			.inMemoryAuthentication()
            .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
         .and()
         .withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN");
  }
 
	@Bean    
	public PasswordEncoder passwordEncoder() {
   
    	return new BCryptPasswordEncoder();
    }
}

1.2 业务逻辑代码

接下来,我们创建一个服务来处理用户的登录逻辑。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Service;

@Service
public class AuthService {
   

    @Autowired    
	private AuthenticationManager authenticationManager;

   /**
     * 用户登录方法
     *
     * @param username 用户名
     * @param password 密码
     * @return 登录成功返回 true,否则返回 false
     */

    public boolean authenticateUser(String username, String password) {
   

       try {
   
            // 调用 Spring Security 的认证管理器进行认证
            Authentication authentication = authenticationManager
                .authenticate(new UsernamePasswordAuthenticationToken(username,password));

            // 将认证信息放入安全上下文中
            authenticationManager.authenticate(authentication);

            // 认证成功
            return true;
        } catch (Exception e) {
   
            // 认证失败
            return false;
        }
    }
}

1.3 登录控制器

最后,我们需要一个控制器来处理用户的登录请求。

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class LoginController {
   

    @GetMapping("/login")
    public String login() {
   
        return "login";
    }

   @GetMapping("/home")
    public String home()
最低0.47元/天 解锁文章
bjzhang75
关注
专栏目录
本文将以一个实际案例——Spring Cloud + Spring Boot进行演示,阐述如何将单体应用架构迁移到微服务架构上时,如何实现安全防护
AI天才研究院
10-09 758
近年来,微服务架构越来越流行,人们期待着微服务可以带来更好的灵活性、弹性和可扩展性,能够应对复杂的业务场景。但是,如何从传统的单体应用架构逐步过渡到微服务架构,并确保安全性是一个重要的课题。随着微服务架构越来越流行,一些企业也开始考虑将现有的单体应用架构迁移到微服务架构上。然而,在将单体应用架构迁移到微服务架构之前,需要做好相关的安全措施,防止数据泄露、信息泄漏、攻击等安全风险发生。
阿里出手必精品——Spring Security王者晋级文档,骨灰级收藏
mf97532的博客
06-05 194
Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。...
SpringBootSpringBoot——Spring Security安全框架
lht964249279的博客
01-31 2397
SpringBoot学习笔记
SpringBoot实战:Spring Boot接入Security权限认证服务
架构师小吴的博客
07-23 935
引言 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制的框架,提供了完善的认证机制和方法级的授权功能,是一个非常优秀的权限管理框架。其核心是一组过滤器链,不同的功能经由不同的过滤器。本文将通过一个案例将 Spring Security 整合到 SpringBoot中,要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 一、基本介绍 登录验证: 通过 JWT 为每个用户生成一个唯一且有期限的 Token,用户
Spring Security 认证源码超详细分析
緑水長流*z
08-30 1221
AbstractAuthenticationProcessingFilter 为处理认证请求提供了一个基础框架。这个抽象类主要用于处理 HTTP 请求,并将其转换为 Authentication 对象,然后提交给 AuthenticationManager 进行认证。这不就是我们前面介绍的 UsernamePasswordAuthenticationFilter 吗?
SpringBoot-Security 具体案例、 实现安全框架、权限控制、aop切入
04-17 349
SpringBoot-Security 具体案例、 实现安全框架、权限控制、aop切入 SpringBoot-Security介绍 Security 官方序言 ​ 安全是一个不断变化的目标,追求一个全面的、系统范围的方法很重要。在安全领域,我们鼓励您采用“安全层”,这样每个层都可以尽可能地保证自身的安全性,并且连续的层提供额外的安全性。每一层的安全性越“严格”,您的应用程序就越健壮和安全。在底层,为了减少中间人攻击,你需要处理诸如传输安全和系统辨识等问题。接下来,您将通常使用防火墙,也许是通过 vpn 或
测试开发进阶——Spring cloud——入门——微服务框架理解(转载)
小白龙白龙马的博客
09-29 225
Spring Cloud 微服务架构学习笔记与示例 本文示例基于Spring Boot 1.5.x实现,如对Spring Boot不熟悉,可以先学习我的这一篇:《Spring Boot 1.5.x 基础学习示例》。关于微服务基本概念不了解的童鞋,可以先阅读下始祖Martin Fowler的《Microservice》,本文不做介绍和描述。 一、分布式服务框架的发展 1.1 第一代服务框架  ...
Spring Boot 自定义应用开发框架五——用户认证授权(Spring Security 、Oauth2、JWT)
半路凉亭
07-29 716
一、用户认证授权 在系统中最基础的就是用户登陆,一般系统用到的登陆有2种,分别是账号密码和手机验证码。本笔记以账号密码登陆为例,手机验证码登陆等整个框架基本搭好后再写。 1.1 需求分析 用户使用一个系统其实就是访问系统里的每一个功能,在浏览器中对应的就是一个个网页。一个正常的系统,那么肯定存在有些网页不需要权限,所有人都能访问,例如首页,登录页面,找回密码页面等;有些页面则需要用户登陆后才能访问,例如管理页面等。那么这就需要给用户授权,当然根据项目的实际需求,授权也分为功能授权和数据授权,这2块就
微服务安全——SpringSecurity6详解
qq_44027353的博客
07-23 2323
本文使用的是Security6的版本,先介绍SpringSecurity的使用,然后再去介绍OAuth2。 SpringSecurity也只是入门知识版本:SpringBoot3.1.4、Security6.1.4创建一个简单的SpringBoot应用引入依赖 编写一个简单的Controller 启动项目后测试接口调用引入Spring Security依赖之后 ,访问 API 接口时,需要首先进行登录,才能进行访问。测试 http://localhost:8080/admin/demo ,会跳转到登录界面需
Springboot——常用注解及实例
qq_39367410的博客
02-02 753
*** 若没有数据返回,默认状态码为0,提示信息为:操作成功!*/this.msg = "操作成功!/*** 若没有数据返回,可以人为指定状态码和提示信息*//*** 有数据返回时,状态码为0,默认提示信息为:操作成功!*/this.msg = "操作成功!/*** 有数据返回,状态码为0,人为指定提示信息*/// 省略get和set方法User user = new User(1, "倪升武", "123456");
SpringBoot下使用Security
Vince的专栏
04-27 2457
该文基于SpringBoot版本2.1.8.RELEASE,案例仓库以后有空时整理后补上。 (一)配置文件简单示例 继承WebSecurityConfigureAdapter类,加上@EnableWebSecurity注解,并实现configure方法(注意这个方法有三种入参形式,下面只是其中一种,后面的篇幅中会看到另外一种),下面只是一个简单的配置文件,仅配置了一些简单的URL路径相关的权限。 ......
spring security中文文档_疯狂膜拜!阿里出品Spring Security王者晋级文档
weixin_39954674的博客
10-25 2017
Spring 是一个非常流行和成功的 Java 应用开发框架Spring SecuritySpring 家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security...
Java项目实战II基于Java+Spring Boot+MySQL的智能物流管理系统(文档+源码+数据库)
2401_86524610的博客
09-29 758
随着电子商务的蓬勃发展,物流行业迎来了前所未有的挑战与机遇。传统物流管理方式在应对海量订单、复杂配送网络及实时追踪需求时显得力不从心。因此,开发一套基于Java+Spring Boot+MySQL的智能物流管理系统成为提升物流效率、优化客户体验的关键。本系统通过集成先进的信息技术,实现物流信息的自动化采集、智能分析、实时追踪与高效调度,旨在打造一个透明化、智能化的物流管理体系。
使用 Spring Boot 实现 JWT 生成与验证的自定义类
服务员的博客
09-29 1025
JWT 的结构通常包含三个部分:头部(Header)、载体(Payload)和签名(Signature)。通过对这三个部分进行编码和加密,JWT 能够安全地传递用户信息。有效的 JWT 需要在客户端和服务器之间传递,因此确保它们的安全性是至关重要的。
Spring Boot项目中使用MyBatis
weixin_73060959的博客
10-02 783
Spring Boot项目中使用MyBatis可以极大地简化配置过程,并且Spring Boot提供了很好的集成支持。你只需要添加必要的依赖,配置数据源,然后创建Mapper接口、XML映射文件和实体类,就可以轻松地进行数据库操作了。
Spring Boot 3.x 集成 Feign
IT深耕十余载,大道之简
09-30 1153
其中,@FeignClient注解用于定义Feign客户端,name属性指定客户端的名称(如果与Eureka等服务发现系统集成,可以省略url属性),url属性是服务的基础URL。不过,需要注意的是,在Spring Cloud的新版本中,Hystrix已经被弃用,推荐使用Resilience4j或其他熔断库作为替代。注意:如果项目是基于Spring Cloud的,通常Feign是Spring Cloud中内置的,只需引入spring-cloud-dependencies即可。
Spring Boot新闻推荐:实时数据处理
最新发布
2401_85439108的博客
10-04 888
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。近来,软件工程界趋向于一种新的观点,即认为软件生命周期每一阶段中都应包含测试,从而检验本阶段的成果是否接近预期的目标,尽可能早的发现错误并加以修正,如果不在早期阶段进行测试,错误的延时扩散常常会导致最后成品测试的巨大困难。至此,在功能的测试上也已经比较圆满的完成了。
利用Spring Boot构建足球青训管理平台
2402_85762143的博客
10-01 926
Spring Boot是一个简化程序设置的拥有开箱即用的框架,它主要的优点是根据程序员不同的设置而生成不同的代码配置文件,这样开发人员就不用每个项目都配置相同的文件,从而减低了开发人员对于传统配置文件的时间,提高了开发效率。综上所述,该系统具有技术可行性。在设计之初,我在网上参考了许多相关系统的界面布局设计,发现该系统界面展示比较简单,功能罗列齐全,操作流程简单明了,系统用户不用担心不会操作,系统各个功能模块都会有相应的提示,一看就明白,实在不知道的话,稍微指点就能上手,上手速度很快,时间不会耽误太多。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bjzhang75

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值