SpringBoot开发——SpringSecurity安全框架17个业务场景案例(三)

最新推荐文章于 2024-11-10 13:47:39 发布
最新推荐文章于 2024-11-10 13:47:39 发布
阅读量927 收藏 23
点赞数 11
分类专栏: SpringBoot开发 后端开发 文章标签: spring boot SpringSecurity 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/bjzhang75/article/details/142603387
版权

文章目录

  • 一、Spring Security 常用应用场景介绍
  • 二、Spring Security场景案例
    • 12 表达式支持(Expression-Based)
      • 12.1 Spring Security 配置
      • 12.2 业务逻辑代码
      • 12.3 控制器
    • 13、安全上下文(Security Context)
      • 13.1 Spring Security 配置
      • 13.2 业务逻辑代码
      • 13.3 控制器
    • 14、安全过滤器链(Security Filter Chain)
      • 14.1 Spring Security 配置
      • 14.2 业务逻辑代码
      • 14.3 控制器
    • 15、用户详细信息服务(UserDetailsService)
      • 15.1 Spring Security 配置
      • 15.2 业务逻辑代码
      • 15.3 控制器
    • 16、多因素认证(Multi-Factor Authentication)
      • 16.1 Spring Security 配置
      • 16.2 业务逻辑代码
      • 16.3 控制器
    • 17、匿名访问(Anonymous Access)
      • 17.1 Spring Security 配置
      • 17.2 业务逻辑代码
      • 17.3 控制器

Spring Security通过一系列注解简化了安全配置,我们将深入探讨 Spring Security框架的17个关键应用场景,包括认证、授权、 OAuth2CSRF保护等。每个案例都配有详细的时序图和代码示例,旨在帮助开发者全面理解并有效利用 Spring Security的强大功能,以构建更安全、更可靠的应用程序。

一、Spring Security 常用应用场景介绍

1、认证(Authentication)

  • 应用场景:确保只有经过验证的用户才能访问应用程序。

2、授权(Authorization)

  • 应用场景:控制用户对特定资源的访问权限,如角色基础的访问控制。

3、表单登录(Form-Based Login)

  • 应用场景:为用户提供登录表单,处理登录请求和重定向。

4、HTTP 基本认证(HTTP Basic Authentication)

  • 应用场景:为 RESTful API 或其他服务提供基础的用户名和密码认证。

5、OAuth2 和 OpenID Connect

  • 应用场景:支持现代的授权框架,适用于需要第三方应用认证的场景。

6、CSRF 保护(CSRF Protection)

  • 应用场景:防止跨站请求伪造攻击,保护 Web 应用程序的安全。

7、密码编码(Password Encoding)

  • 应用场景:安全地存储用户密码,防止密码泄露。

8、方法级安全性(Method Security)

  • 应用场景:控制对特定方法或 Bean 属性的访问,实现细粒度的安全控制。

9、异常处理(Exception Handling)

  • 应用场景:自定义安全相关的异常处理,如认证失败、授权失败。

10、记住我(Remember-Me)

  • 应用场景:为用户提供持久的登录状态,方便用户再次访问。

11、预授权(Pre-Invocation)

  • 应用场景:在方法执行前进行安全检查,确保方法调用的安全性。

12、表达式支持(Expression-Based)

  • 应用场景:使用 Spring Expression Language (SpEL) 实现复杂的安全逻辑。

13、安全上下文(Security Context)

  • 应用场景:管理和检索认证信息,如获取当前认证用户。

14、安全过滤器链(Security Filter Chain)

  • 应用场景:处理 HTTP 请求的安全检查,如认证、授权。

15、用户详细信息服务(UserDetailsService)

  • 应用场景:自定义用户认证信息的加载逻辑,如从数据库加载用户数据。

16、多因素认证(Multi-Factor Authentication)

  • 应用场景:增加额外的安全层,如短信验证码、电子邮件确认。

17、匿名访问(Anonymous Access)

  • 应用场景:允许未认证的用户访问某些公共资源。

二、Spring Security场景案例

12 表达式支持(Expression-Based)

业务场景: 一个在线文档管理系统,其中某些文档的访问权限依赖于用户的多个属性,例如部门和角色。需要使用复杂的表达式来确定用户是否有权访问特定文档。

业务时序图
在这里插入图片描述
1.用户(User) 请求一个资源。

2.浏览器(Browser) 向服务器(Server)发送HTTP 请求

3.服务器(Server) 的 认证管理器(AuthenticationManager) 对请求进行认证。

4.认证管理器(AuthenticationManager) 返回认证令牌给服务器。

5.服务器(Server) 的 方法安全拦截器(MethodSecurityInterceptor) 检查授权。

6.方法安全拦截器(MethodSecurityInterceptor) 请求 表达式评估器(ExpressionEvaluator) 处理SpEL 表达式

7.表达式评估器(ExpressionEvaluator) 根据当前的安全上下文和定义的表达式返回评估结果。

8.方法安全拦截器(MethodSecurityInterceptor) 根据评估结果做出访问决策。

9.服务器(Server) 将响应返回给浏览器。

12.1 Spring Security 配置

首先,我们需要配置Spring Security以启用表达式支持。

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   

    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        http
            .authorizeRequests()                 
				.antMatchers("/documents/**").access("hasRole('ADMIN') or hasAuthority('DOCUMENT_READ')")
                .anyRequest().authenticated()
            .and()
            .formLogin()
                .loginPage("/login")              
				.defaultSuccessUrl("/home")            
			.and()
            .logout()
                .logoutSuccessUrl("/login?logout");
    }

}

12.2 业务逻辑代码

创建一个服务来处理文档访问,并使用表达式来定义访问权限。

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

@Service
public class DocumentService {
   

    /**
     * 获取文档内容
     * 
     * @param documentId 文档ID
     * @return 文档内容
     */
    @PreAuthorize("hasAuthority('DOCUMENT_READ') and #documentId == authentication.principal.departmentId")
    public String getDocumentContent(Long documentId) {
   
        // 模拟从数据库获取文档内容
        return "Content of the document " + documentId;
    }

}

12.3 控制器

创建一个控制器来处理文档访问请求。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class DocumentController {
   
    @Autowired
    private DocumentService documentService;

    @GetMapping("/documents/{documentId}")
    public ResponseEntity<String> getDocument(@PathVariable Long documentId) {
   
        return ResponseEntity.ok(documentService.getDocumentContent(documentId));
    }

}

说明

  • 配置类:配置了Spring Security,并启用了方法级安全性,允许使用SpEL表达式来定义复杂的权限规则。
  • 业务逻辑: DocumentService 提供了获取文档内容的方法,该方法通过 @PreAuthorize 注解限制访问权限,使用SpEL表达式结合用户的角色和属性。
  • 控制器: DocumentController 提供了一个HTTP GET端点来获取文档内容。

13、安全上下文(Security Context)

业务场景: 一个多租户的SaaS应用程序,需要在每个请求中识别和处理当前认证用户的安全上下文,以确保用户只能访问其租户的数据。

业务时序图
在这里插入图片描述
1.用户(User) 尝试通过浏览器(Browser)访问一个受保护的资源。

2.浏览器(Browser) 向服务器(Server)发送 HTTP 请求

3.服务器(Server) 请求当前的安全上下文( SecurityContextHolder.getContext())。

4.安全上下文持有器(SecurityContextHolder) 提供当前的认证信息。

5.认证(Authentication) 对象检查用户是否有权访问请求的资源。

6.资源(Resource) 根据认证信息返回访问决策。

7.认证(Authentication) 根据需要更新安全上下文。

8.安全上下文持有器(SecurityContextHolder) 返回更新后的安全上下文。

9.服务器(Server) 根据安全上下文返回适当的响应给浏览器。

13.1 Spring Security 配置

首先,我们需要配置Spring Security以确保安全上下文在每个请求中正确处理。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@Ena
最低0.47元/天 解锁文章
bjzhang75
关注
专栏目录
本文将以一个实际案例——Spring Cloud + Spring Boot进行演示,阐述如何将单体应用架构迁移到微服务架构上时,如何实现安全防护
AI天才研究院
10-09 782
近年来,微服务架构越来越流行,人们期待着微服务可以带来更好的灵活性、弹性和可扩展性,能够应对复杂的业务场景。但是,如何从传统的单体应用架构逐步过渡到微服务架构,并确保安全性是一个重要的课题。随着微服务架构越来越流行,一些企业也开始考虑将现有的单体应用架构迁移到微服务架构上。然而,在将单体应用架构迁移到微服务架构之前,需要做好相关的安全措施,防止数据泄露、信息泄漏、攻击等安全风险发生。
Springboot——常用注解及实例
qq_39367410的博客
02-02 773
*** 若没有数据返回,默认状态码为0,提示信息为:操作成功!*/this.msg = "操作成功!/*** 若没有数据返回,可以人为指定状态码和提示信息*//*** 有数据返回时,状态码为0,默认提示信息为:操作成功!*/this.msg = "操作成功!/*** 有数据返回,状态码为0,人为指定提示信息*/// 省略get和set方法User user = new User(1, "倪升武", "123456");
Spring Security 配置多种校验规则
qq_65142821的博客
01-29 469
为了测试方便,首先在项目中创建一个pages文件夹创建a.html、b.html、c.html几个页面。此时分别用admin用户和user用户登录测试效果。改造UserService。登录成功后 访问a.html。使用user用户名测试。接着访问b.html。
SpringSpring Security 5.7与6.0差异性对比
qq_38658567的博客
08-03 3057
Spring Security 默认处理登录数据的过滤器是,在这个过滤器中,系统会通过 request.getParameter(this.passwordParameter) 的方式将用户名和密码读取出来,很明显这就要求前端传递参数的形式是 key-value。首先我们获取请求头,根据请求头的类型来判断请求参数的格式。如果是 JSON 格式的参数,就在 if 中进行处理,否则说明是 key-value 形式的参数,那么我们就调用父类的方法进行处理即可。
简单几步升级Spring security4.x升级到5.x
YSOLA4的专栏
06-01 9258
本次升级源自一次安全漏洞提醒:项目用着spring-security4.1, 也是受到了该漏洞的影响. 知道从4.x跳到5.x这种大版本提升肯定会有不少坑, 但是安全问题不可忽视, 虽然是旧项目也要升级,还要得比较急.本着能省则省的心理, 那就先单独升级一下spring-security吧.从 升级了版本, 重新 maven reimport项目, clean&compile试试. 列举几个版本不兼容的错误(吐槽下IDEA的编译错误提醒没eclipse友好, 一次编译提示一个):居然就一个Md5Pas
Spring BootSpring Security升级、版本选择、安全漏洞说明
学习笔记
05-26 1万+
文章目录一、概述依据一:官方主维护依据二:CVE-2022-22965依据:CVE-2022-22978二、版本选择 一、概述 依据一:官方主维护 截止(2022-05-26)为止,Spring Boot 2.5 、2.6为官方主要维护版本。 **发行说明 :**https://github.com/spring-projects/spring-boot/wiki 依据二:CVE-2022-22965 0x01漏洞详情 Spring Framework存在远程代码执行漏洞,在 JDK 9+ 上运行的 Sp
SpringSecurity安全框架详解
weixin_48530729的博客
04-30 3961
SpringSecurity简介 Spring Security是一个高度自定义的安全框架。利用 Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。使用 Spring Se
SpringBoot开发——SpringSecurity安全框架17业务场景案例(一)
bjzhang75的博客
10-07 916
SpringSecurity安全框架17业务场景案例(一)
SpringBoot开发——SpringSecurity安全框架17业务场景案例(二)
bjzhang75的博客
10-08 1040
SpringSecurity安全框架17业务场景案例(二)
Spring Boot中整合Spring Security并自定义验证代码
热门推荐
嗡汤圆的博客
02-25 5万+
最终效果 1、实现页面访问权限限制 2、用户角色区分,并按照角色区分页面权限 3、实现在数据库中存储用户信息以及角色信息 4、自定义验证代码
Spring bootSpring Security 使用改造5部曲
weixin_30919235的博客
11-17 1417
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
Java项目实战II基于Spring Boot的药店管理系统的设计与实现(开发文档+数据库+源码)
2401_86524610的博客
11-06 714
随着医疗行业的快速发展和人们对健康需求的日益增长,药店管理系统的智能化和高效化成为提升服务质量的关键。为了应对这一挑战,我们设计并实现了一套基于Spring Boot的药店管理系统。该系统充分利用Spring Boot框架的轻量级、高并发和易扩展特性,为药店提供了全面的药品管理、销售记录、库存监控以及客户信息管理等功能。通过该系统,药店能够实时掌握药品库存情况,优化采购计划,减少库存积压,提高资金利用率。
Spring Boot驱动的多维分类知识管理系统
2401_85439108的博客
11-06 960
关于程序的数据结构设计,数据的字段设计,为了更好的、更规范的使用数据库,在数据库里进行了字段的设计挑选。用我的话来理解,就是 Spring Boot 其实不是什么新的框架,它默认配置了很多框架的使用方式,就像 Maven 整合了所有的 Jar 包,Spring Boot 整合了所有的框架。通过网络进行文章的转移展示,可以让用户和管理员都能感受到互联网的魅力,让用户解除了地理的远近的限制和降低欣赏时间的成本。开发技术:开发技术部分主要还是介绍开发的平台,使用的技术与开发的语言等内容。
Spring Boot框架下的知识管理与多维分类
2401_85702623的博客
11-06 1145
那么在分析用户这个实体的时候,都会设计出它的属性,有最基本的登录程序的账号属性,有用户的姓名属性,有用户的电话或联系地址属性等内容。在上述内容中,已经设计出相应的E-R模型,就可以在数据库里面根据各个实体创建相应的数据表,不过在初次使用数据库工具的时候,是需要创建一个针对程序的数据库文件,有了此步操作之后,才在刚创建的数据库文件里面创建数据表,创建数据表需要涉及到字段的设计,主键的设计,字段长度与类型的设计等内容,只有设计好的数据表结构才可以按照此规则存放对应的程序数据。
Spring Boot 实现文件防盗链设计
乌南竹的博客
11-07 999
文件防盗链是指防止其他网站或用户通过直接访问文件的URL,绕过你的服务器,从而非法下载或查看存储在你服务器上的文件资源。这通常是通过限制只有特定的HTTP请求(比如来自特定网站或特定请求头的请求)才允许访问文件的方式来实现的。防盗链是一项有效的保护措施,尤其适用于需要保护文件资源的场景。通过Spring Boot实现文件防盗链设计,我们可以结合Referer校验、Token 校验和IP限制等策略,确保文件资源不被非法访问。在实际应用中,可以根据业务需求选择不同的防盗链策略,或者将它们结合使用,以提高安全性。
Spring Boot——日志介绍和配置
2202_76097976的博客
11-05 2168
在前面的学习中,控制台上打印出来的一大堆内容就是日志,可以帮助我们发现问题,分析问题,定位问题,除此之外,日志还可以进行系统的监控,数据采集等日志门面就相当于是淘宝 APP,日志实现相当于入驻的商家,在使用时是使用淘宝,真正提供商品的还是商家也就是使用时使用 SLF4J,真正实现功能还是日志实现的框架SLF4J 就是其他日志框架的门面,相当于提供日志服务的统一 API 接口,并不涉及到具体的日志逻辑实现,而是一个抽象层,对日志框架制定的一种规范、标准、接口。
Spring Boot框架:计算机课程管理的工程认证之光
最新发布
2401_85339615的博客
11-10 804
同时,一个大型的计算机网站系统,必须有一个正确的设计指导思想,通过合理选择数据结构、网络结构、操作系统以及开发环境,构成一个完善的网络体系结构,才能充分发挥计算机信息管理的优势。如果采用电子化的存储方式就会带来很大的改善,而且给用户的查询带来了很大便利,因此设计一个基于工程教育认证的计算机课程管理平台刻不容缓,能够提高信息的管理水平。开发合适的基于工程教育认证的计算机课程管理平台,可以方便管理人员对基于工程教育认证的计算机课程管理平台的管理,提高信息管理工作效率及查询效率,有利于更好的为人们服务。
七、Spring Boot集成Spring Security之前后分离认证最佳实现
JavaEE技术进阶之路
11-06 1006
前后分离项目认证流程代码实现,基于spring security原生流程设计,实现RESTFUL接口、分布式缓存
SpringBoot2.0 + SpringSecurity:实现用户权限安全管理详解
SpringSecurity是一个广泛应用于Spring企业应用的开源安全框架,它提供了一种声明式的方式来控制系统的访问权限,避免了传统的手工编码安全逻辑,大大简化了安全控制的开发工作。 首先,我们来了解一下Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bjzhang75

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值