SpringSecurity (1) Quickstart

最新推荐文章于 2023-04-20 10:09:26 发布
最新推荐文章于 2023-04-20 10:09:26 发布
阅读量1.3k 收藏 2
点赞数 5
分类专栏: # Spring Security 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/caplike/article/details/105888635
版权

文章目录


SpringSecurity 的系列文章. 实际案例已经进行到很后面了…博客缓慢更新中…
从简单的 Quickstart 开始…作为 SpringSecurity 5 的快速入门案例。主要涉及 HttpSecurity 的 csrf,httpBasic,failureHandler 和 successHandler。

关于 SpringSecurity

SpringSecurity 是一个为企业级应用提供认证, 授权以及其他安全特性的框架.
Reference

引入依赖

作为入门案例, 我们只需引入 SpringSecurity, SpringBoot Web 以及 Lombok 即可.

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
    </dependency>
</dependencies>

配置 SpringSecurity

编写一个配置 (@Configuration) 类继承 WebSecurityConfigurerAdapter.
这里启用了 httpBasic (用户名和密码会按以:拼接再 Base64 编码放到请求头的 Authorization 中, 是最基础 / 不安全的认证方式) 和 表单登陆并自定义了表单登陆成功和失败的处理类. 最后禁用了 csrf (关于 csrf, 计划有专门的篇幅介绍)
由于是入门案例, 我们先将用户名和密码保存到内存中, 以后会讨论数据库的实现.

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    private CustomAuthenticationFailureHandler customAuthenticationFailureHandler;

    private CustomSimpleUrlAuthenticationSuccessHandler customSimpleUrlAuthenticationSuccessHandler;

    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // Java 配置用户名 / 密码
        auth.inMemoryAuthentication()
                .withUser("caplike").roles("ADMIN").password(passwordEncoder.encode("caplike"))
                .and()
                .withUser("tiantian").roles("USER").password(passwordEncoder.encode("tiantian"));
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 任何 URL 均由认证过的用户访问
        http.authorizeRequests().anyRequest().authenticated()
                .and().httpBasic()
                .and().formLogin().failureHandler(customAuthenticationFailureHandler).successHandler(customSimpleUrlAuthenticationSuccessHandler)
                // Cross Site Request Forgery: 跨站请求伪造; Reference: https://docs.spring.io/spring-security/site/docs/3.2.0.CI-SNAPSHOT/reference/html/csrf.html
                // Reference: demo-spring-security-csrf
                .and().csrf().disable()
        ;
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    // ~Autowired
    // -----------------------------------------------------------------------------------------------------------------

    @Autowired
    public void setPasswordEncoder(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = passwordEncoder;
    }

    @Autowired
    public void setCustomAuthenticationFailureHandler(CustomAuthenticationFailureHandler customAuthenticationFailureHandler) {
        this.customAuthenticationFailureHandler = customAuthenticationFailureHandler;
    }

    @Autowired
    public void setCustomSimpleUrlAuthenticationSuccessHandler(CustomSimpleUrlAuthenticationSuccessHandler customSimpleUrlAuthenticationSuccessHandler) {
        this.customSimpleUrlAuthenticationSuccessHandler = customSimpleUrlAuthenticationSuccessHandler;
    }
}

运行

HttpBasic 方式登陆

打开 Postman, 在 Authorization 选项卡中填入用户名/密码.
在这里插入图片描述
点击 Headers 可以看到 Authorization 所对应的值就是 Basic caplike:caplike
在这里插入图片描述

表单登陆

启动项目, 访问 /login 端点, 可以看到如下图所示的登陆界面:
在这里插入图片描述
输入用户名/密码 caplike/caplike

自定义的 failureHandler 和 successHandler

在表单登陆中可以自定义登陆成功和失败的 Handler.

failureHandler

@Slf4j
@Component
public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException {
        log.debug("::: 认证失败");
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        out.write("fail");
        out.flush();
    }

}

successHandler

如果配置了 successHandler, 在登陆成功后并不会自动跳转到要访问的端点, 这个时候需要重写 determineTargetUrl 方法, 代码如下:

@Component
public class CustomSimpleUrlAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

    private final RequestCache requestCache = new HttpSessionRequestCache();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        log.debug("自定义 SuccessHandler :: 登陆成功");
        super.onAuthenticationSuccess(request, response, authentication);
    }

    @Override
    protected String determineTargetUrl(HttpServletRequest request, HttpServletResponse response) {
        log.debug("自定义 SuccessHandler :: 重定向到: {}", requestCache.getRequest(request, response).getRedirectUrl());
        return requestCache.getRequest(request, response).getRedirectUrl();
    }
}

新建一个 Controller 便于模拟跳转到登陆前的端点:

@Slf4j
@RestController
public class HelloController {

    @GetMapping("/hello")
    public String hello() {
        log.debug("authentication: {}", SecurityContextHolder.getContext().getAuthentication());
        return "Hello and congrats, you have successfully accessed inside!";
    }
}

模拟登陆

重启服务, 访问 /hello 端点, 由于没有登陆, 重定向到 /login, 这时输入正确的用户名和密码, 可以看到登陆成功后跳转到了 /hello 端点. 后台日志:
在这里插入图片描述
相反, 失败的时候也会调用 failureHandler 的 onAuthenticationFailure 方法.

总结

作为入门案例, 以上就是这篇文章的全部内容.
关于从数据库获取用户信息将在下一篇文章中介绍.
缓慢更新中…

caplike
关注
  • 5
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 652
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
SpringSecurity系列——JWT(jjwt)day1-2
qq_51553982的博客
06-17 1338
jwt(JSON Web Tokens) JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间安全地传输信息作为 JSON 对象。 此信息可以验证和信任,因为它是数字签名的。 JWT 可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对进行签名。https://jwt.io/ 从这张图我们可以看出来jjwt是在Java中支持最好的,所以我们直接学这个http协议本身是一种无状态的协议,而这就意味着如
spring-security-getting-start:http
05-05
Spring安全性样本 来源我遵循了 。 只有非常基本的设置和应用方法。 稍后,在阅读《 我打算将其应用于一个简单的项目。
SpringSecurity - Quick Start Demo And Know What Did It Do ?
The Secret
07-14 407
目录 一. 实现WebMvcConfigurer接口 二. 实现GrantedAuthority接口 三. 定义实体(附带权限集合) 四. 实现AuthenticationSuccessHandler 五. 实现UserDetailsService接口 六. 继承WebSecurityConfigurerAdapter 七. 启动类及前端页面 java代码以及html页面...
Spring Security - quick start
anxelswanz的博客
03-17 109
​​​/***/@OverrideResponseResult responseResult = new ResponseResult(HttpStatus.FORBIDDEN.value(), "用户授权失败");​​​/***/@Component@Override//处理异常。
Spring Security渐入佳境(一) -- Getting Start
分享技术,共同进步!
12-05 159
一、概念 Spring Security 是一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架,应用的安全性包括用户认证(Authentication)、用户授权(Authorization)和 攻击防护(防止伪造身份)。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成...
源码解读Spring-Security之初始化启动
夫礼者的专栏
01-30 302
基于 SpringBoot2.4.2 + Spring-Security5.4.2。鉴于最近两年使用到的技术栈中Spring的权重越来越高,加之近期所参与的一个项目需求,遂决定加深以下对于Spring-Security的理解,做到"胸有成竹,遇事不慌"。
java开发短信验证源码-account-security-quickstart-spring:使用Java和Spring的TwilioAcc
06-05
Java、Spring 和 AngularJS 实现,该网站使用 Twilio Authy 通过双因素身份验证保护文件夹中的所有资产。 此外,它还显示了验证电话验证实现。 它使用四个传送通道、SMS、语音、软令牌和推送身份验证。 您应该安装 ...
Spring MVC 4 Quickstart Maven Archetype
02-25
通过这个Quickstart Archetype,开发者可以快速上手Spring MVC 4、Thymeleaf、Bootstrap、JPA和Spring Security,构建出具有现代Web应用特性的项目,例如用户登录注册、权限管理、响应式布局以及数据库操作等功能。...
Spring Security OAuth
BLOG域名:programb.blog.csdn.net
05-11 379
Overview Learn Deprecation Notice The Spring Security OAuth project is deprecated. The latest OAuth 2.0 support is provided by Spring Security. See the OAuth 2.0 Migration Guide for further details. Spring Security OAuth provides support for using Spring
Spring Security渐入佳境(一)[附] --SpringSecurity的基本原理及源码剖析
分享技术,共同进步!
09-06 218
知识预备 一、概念 Spring Security 是一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。...
springSecurity简单使用
qq_32865713的博客
09-10 373
目录 传统用户名登录流程 使用SpringSecurity的流程 一.maven导入依赖 二.在web.xml中配置过滤器(固定写法) 三.编写spring-security.xml文件 1.无数据库情况下使用spring-security 2.有数据库情况下的springSecurity.xml 四.创建对应的页面文件 五.创建业务类存入ioc容器,按上方配置的userSer...
详解SpringSecurity的启动流程
2301_76607156的博客
04-20 294
全部弄得明明白白,必须要精研源码,在初期,我们只要知道它的一条主脉络,在之后的使用中,哪出了问题你可以直接去定位到可能是哪有问题,这样就已经很好了,学习是一个循环渐进的过程。中的过滤器链的时候,往往是把它作为一个概念了解的,就是我们只是知道有这么个东西,也知道它到底是干什么用的,但是我们却不知道这个过滤器链是由什么类什么时候去怎么样创建出来的。其次,还有一个重点就是倒数第二行代码,我也加上了注释,我们一般在我们自定义的配置类中重写的就是这个方法,所以我们的自定义配置就是在这里生效的。
Spring Security 学习笔记(四)-- Spring Security应用详解
SuperArc1999的博客
01-03 404
4.1SpringBoot集成Spring Security 4.1.1SpringBoot介绍 略。 4.1.2创建SprngBoot工程 引入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependen
Enterprise Library: Security Quickstart代码解析篇, Part 1
weixin_34293059的博客
02-26 119
Enterprise Library: Security Quickstart代码解析篇 Part 1 Written by: Rickie Lee (rickieleemail#yahoo.com) My blog: www.cnblogs.com/rickie Enterprise Library Security Quickstart基于Security Application Bl...
Enterprise Library: Security Quickstart代码解析篇, Part 2
weixin_33827731的博客
02-27 92
Enterprise Library: Security Quickstart代码解析篇 Part 2 Written by: Rickie Lee (rickieleemail#yahoo.com)My blog: www.cnblogs.com/rickie Enterprise Library: Security Quickstart代码解析篇, Part 1 ******  2. ...
全网最详细 Spring Security 使用说明
Supreme_Sir的博客
07-11 915
项目开发过程中,几乎每一次的项目交付都会遇到系统认证与安全问题。而之前的方法都是“兵来将挡水来土掩”,没有一套完善的开发流程与规范,受尽折磨。所以这次借助开发新项目的机会,尝试了 Spring Security 框架来进行安全模块的开发。 pom.xml <!-- Spring security start --> <dependency> <groupId&g...
一步一步开启Spring Security(使用Spring Boot)
Mackyhuang
10-24 1074
##一步一步开启Spring Security(使用Spring Boot) ###创建一个SpringBoot项目 网址输入 start.spring.io https://start.spring.io/ 输入Group 和 Artifact 点击下面一排小字的 Switch to the full version. 勾选 Security 和 Web俩个模块 如图所示:...
Spring MVC使用 spring security来实现登录(无数据库)Gradle/Spring
sky1_fly的博客
03-12 1089
做了大概一天半吧,才终于做出来,还是小有成就的(PS:还是有点笨的,多多见谅) 两份代码均会分享给大家,但是还是希望大家可以看完我的啰嗦哈 项目呢分为俩种, 第一种是Spring +pom 第二种是Spring+Gradle 本人做的是Spring+Gradle的就拿这个给大家介绍了 1.首先需要创建一个Gradle的项目 完成之后进入就是这样 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界面设计
quickstart
最新发布
07-27
- *1* *2* [一个 Flink 简单的入门 quickstart](https://blog.csdn.net/Little_fxc/article/details/115469740)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值