《尚硅谷Java项目SpringSecurity+OAuth2权限管理实战教程》系列文章_Spring Security快速入门

于 2024-07-24 20:48:45 发布
阅读量854 收藏 20
点赞数 14
分类专栏: Spring security 文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/buyaotutou/article/details/140420463
版权

系列文章目录

第一章 Spring Security快速入门
第二章 Spring Secrity自定义配置
第三章 前后端分离
第四章 身份认证
第五章 授权
第六章 OAuth2

文章目录

前言

学习SpringSecurity需要前置知识:Java基础、Spring、MyBatis、SpringBoot。
目标:利用最少时间掌握SpringSecurity和OAuth2,掌握底层逻辑,应用到实际项目。
技术版本:SpringBoot 3.2.0 SpringSecrity 6.2.0 JDK 17 MySQL 8.0

一、SpringSecurity是什么和OAuth2是什么?

SpringSecurity:安全性框架,提供了一系列功能来保护应用程序的安全性
OAuth2:开放标准的授权协议,百度定义:OAuth2.0是OAuth协议的延续版本,但不向前兼容OAuth 1.0(即完全废止了OAuth1.0)。 OAuth 2.0关注客户端开发者的简易性。要么通过组织在资源拥有者和HTTP服务商之间的被批准的交互动作代表用户,要么允许第三方应用代表用户获得访问的权限。同时为Web应用,桌面应用和手机,和智能家居设备提供专门的认证流程。

二、Spring Security基本功能

Spring Security官网链接

官网对Spring Security基本功能的介绍:Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements.译文:Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的事实上的标准。Spring Security是一个框架,专注于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松地扩展以满足自定义需求。

Spring Security特点

  1. 对身份验证和授权的全面和可扩展的支持。(授权:用户进行身份认证后,系统会控制谁能访问哪些资源,这个过程叫做授权。用户无法访问没有权限的资源。身份认证:身份认证是验证谁正在访间系统资源,判断用户是否为合法用户。认证用户的常见方式是要求用户输入用户名和密码。)
  2. 防止攻击,如会话固定,点击劫持,跨站点请求伪造等。
  3. Servlet API集成。
  4. 与Spring Web MVC的可选集成。

三、实现最简单的身份认证

官方示例代码:https://github.com/spring-projects/spring-security-samples

1、IDEA新建项目

在这里插入图片描述
选择三个依赖,如下图所示。
在这里插入图片描述
然后点击创建。之后我们实现Gtihub的一个示例代码,相应内容参照前面给出的链接。
在这里插入图片描述
启动后,访问地址即可看到页面(此页面借用了外网的一个在线页面,可能会加载不出来),默认情况下Spring Security将初始的用户名和密码存在了SecurityProperties类中。这个类中有一个静态内部类User,配置了默认的用户名(name = “user”)和密码(password = uuid),密码在上图中箭头所指处可以看到。
在这里插入图片描述
如上图所示进行登录,登录后结果如下图所示。
在这里插入图片描述

四、Spring Security默认做了什么

  1. 保护应用程序URL,要求对应用程序的任何交互进行身份验证。
  2. 程序启动时生成一个默认用户“user”。
  3. 生成一个默认的随机密码,并将此密码记录在控制台上。
  4. 生成默认的登录表单和注销页面。提供基于表单的登录和注销流程。
  5. 对于web请求,重定向到登录页面(因为你还没有登录,无法通过web请求访问其他页面);
  6. 对于服务请求,返回401未经授权。
  7. 处理跨站请求伪造(CSRF)攻击。
  8. 处理会话劫持攻击。
  9. 写入Strict-Transport-Security以确保HTTPS。
  10. 写入X-Content-Type-0ptions以处理探攻击。
  11. 写入Cache Control头来保护经过身份验证的资源。
  12. 写入X-Frame-0ptions以处理点击劫持攻击。

五、Spring Security底层原理

官方文档链接
Architecture( 结构)中提到”本节讨论基于Servlet的应用程序中的Spring Security高级体系结构。我们将在参考文献的身份验证、授权和防止漏洞利用保护部分中建立这种高层次的理解“。
如下图所示,我们如果能把Filter对象当作Spring容器中的Bean对象来管理的话,那Filter对象进行添加、删除、启用、禁用更灵活。
在这里插入图片描述
关键要理解官方文档中的DelegatingFilterProxy,我自己理解,通过SpringBoot中编写一些Bean,然后这个DelegatingFilterProxy会帮我们把我们的Bean所代表的Filter加入到过滤器链中,如下图所示。
在这里插入图片描述

六、DefaultSecurityFilterChain

在这里插入图片描述
如下图所示,在启动之前的项目时,出现的一个日志信息,把它整理出来,如下所示,有16个默认加载的Filter。

2024-07-18T11:43:42.197+08:00  INFO 8960 --- [security-demo] [main] 
o.s.s.web.DefaultSecurityFilterChain: Will secure any request with 
[org.springframework.security.web.session.DisableEncodeUrlFilter@91da29b, 
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@7066363, 
org.springframework.security.web.context.SecurityContextHolderFilter@481558ce, 
org.springframework.security.web.header.HeaderWriterFilter@6411504a, 
org.springframework.web.filter.CorsFilter@75b38c36,
org.springframework.security.web.csrf.CsrfFilter@e91b4f4, 
org.springframework.security.web.authentication.logout.LogoutFilter@2693c618, 
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@553da911, //显而易见是密码相关的过滤器
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@420cd102, 
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@47248a48, 
org.springframework.security.web.authentication.www.BasicAuthenticationFilter@67bd351e, 
org.springframework.security.web.savedrequest.RequestCacheAwareFilter@7f353a0f, 
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@1c93b51e, 
org.springframework.security.web.authentication.AnonymousAuthenticationFilter@2349f14d, 
org.springframework.security.web.access.ExceptionTranslationFilter@2091833, 
org.springframework.security.web.access.intercept.AuthorizationFilter@6975fb1c
]

七、SecurityProperties

1、查看默认用户名以及密码是如何生成

通过搜索,找到SecurityProperties.class
在这里插入图片描述
如下图所示,我们可以看到默认的用户是”user",以及密码是生成的UUID。
在这里插入图片描述

2、自己设定用户名和密码

如下图所示,在application.properties中设置自己想要的用户名和密码。
在这里插入图片描述

醒了就刷牙
关注
  • 14
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
教程将探讨如何使用Spring Boot结合Spring SecurityOAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
Spring Security+OAuth2 精讲,打造企业级认证与授权2022升级
10-25
Spring Security+OAuth2 精讲,打造企业级认证与授权(2022升级版) 1、企业级认证授权专项解决方案 系统解锁后端开发者必备的"安全"技能 2、主流安全框架核心一网打尽,只学实用的
SpringSecurity+OAuth2权限管理实战
qq_42689918的博客
02-08 1162
Resource@Override} else {true, //用户账号是否过期true, //用户凭证是否过期true, //用户是否未被锁定//权限列表@Override@Override@Override@Override@Override@Override。
SpringSecurity+OAuth2.0实战精讲教程
zjjcchina的博客
01-30 699
教程讲解了SpringSecurityOAuth2的核心概念、原理,以及在实际开发中的应用。内容分为六大部分:快速入门SpringSecurity自定义配置、在前后端分离的场景下使用SpringSecurity、身份认证中的典型案例、SpringSecurity的授权功能、详解OAuth2,教程最后实现了一个基于Github的OAuth2授权登录案例。本套教程适合具有SSM框架基础的学习者。15.自定义配置-SpringSecurity的默认配置。33.授权-基于request的授权-请求未授权处理。
SpringCloud整合spring security+ oauth2+Redis实现认证授权
热门推荐
write less , do more
10-15 2万+
在微服务构建中,我们一般用一个父工程来通知管理依赖的各种版本号信息。父工程pom文件如下: 构建eureka注册中心 在SpringCloud微服务体系中服务注册中心是一个必要的存在,通过注册中心提供服务的注册和发现。具体细节可以查看我之前的博客,这里不再赘述。我们开始构建一个eureka注册中心,对应的yml配置文件如下: 对应的项目启动类代码如下: 至此,一个单体的服务注册中心搭建完成。上文我们已经完成了注册中心的搭建,接下来我们开始搭建认证授权中心。我们同样在父工程下面新建一个子工程,作为认证授权中心
Spring Security + OAuth2】Spring Security快速入门
weixin_43676950的博客
03-28 742
Spring Security 之所以默认帮助我们做了那么多事情,它的底层原理是传统的Servlet过滤器。DelegatingFilterProxy作为过滤器的代理,帮助我们调用spring容器中所有注册的过滤器FilterChainProxy帮助我们管理多个不同的过滤器链(SecurityFilterChain)。SecurityFilterChain帮助我们处理复杂的业务逻辑,通过匹配不同的url,由不同的过滤器链的组合来接收,从而由不同的过滤器来完成相应的功能。
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
Spring SecurityOAuth2是两个非常关键的框架,它们分别处理身份验证(Authentication)和授权(Authorization)的问题。本课程"Spring Security+OAuth2 精讲,打造企业级认证与授权"深入浅出地讲解了这两个框架的...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 1153
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目开发Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
redis+spring面试题
github_36510643的博客
07-21 415
redis+spring面试题
Java-Lambda
lizhiwei21的博客
07-21 453
lambda表达式可以理解为对匿名内部类的一种简化 , 但是本质是有区别的面向对象思想 :强调的是用对象去完成某些功能函数式编程思想 :强调的是结果 , 而不是怎么去做。
Java内存模型
weixin_44267758的博客
07-19 796
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 782
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件
最新发布
weixin_43561432的博客
07-24 152
【代码】Java读取文件中多个JSON对象,并且16进制字符串和byte相互转换,将byte转为16进制字符串并写入json文件。
java算法day19
TOMOT77的博客
07-20 329
我第一时间想到的方法是遍历二叉树+哈希。哈希用来统计数字出现的次数。之后遍历map收集结果。利用了BST的性质,即BST的中序序列是有序序列。
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 1893
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 977
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
Java并发编程之美 | 第三篇】Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
踢桃的成长之路
07-21 831
Java 并发包中锁原理剖析之AQS、ReentrantLock独占可重入锁
java实现springsecurity+oauth2实现sso服务
04-20
2. Spring Security OAuth 官方文档:https://projects.spring.io/spring-security-oauth/docs/oauth2.html 3. Spring Security OAuth2 SSO 服务实现示例:...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值