Spring Security

最新推荐文章于 2023-05-24 11:47:22 发布
最新推荐文章于 2023-05-24 11:47:22 发布
阅读量363 收藏
点赞数
分类专栏: 《Spring实战》学习笔记 文章标签: spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ccblogger/article/details/112146887
版权

一、Spring Security简介

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。

二、Spring Security详情

2.1.实现

Spring Security从两个角度来解决安全性问题:使用Servlet规范中的Filter保护Web请求并限制URL级别的访问;使用Spring AOP保护方法调用——借助于对象代理和使用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法。

对于Spring Security来说主要提供的两个安全服务是指:认证(Authentication)和 授权(Authorization);认证是用来确定当前用户,授权是判断一个用户是否有访问某个安全对象的权限。

2.2.Spring Security模块

下面常用的模块包括:配置(config)、核心(core)和Web是必须要的;标签库也是常用的模块。

Spring Security标签库支持的标签包括:

 

2.3.Spring Security用户认证

Spring Security中提供了多种的用户认证策略,常用的认证策略包括(认证将在后面详细说明过程):

         1.基于内存的用户存储(下面第一个Demo就是基于内存的用户存储)

         2.基于数据库表进行认证(将在后面展示Demo)

         3.基于LDAP进行用户认证(将在后面展示Demo)

三、示例

下面示例展示了通过JavaConfig的方式集成spring-security安全框架

1,实现AbstractSecurityWebApplicationInitializer,只用写好一个实现类就可以了,Spring系统会发现他,并用他在web容器中注册DelegetingFilterProxy。DelegetingFilterProxy会拦截发往应用中的请求。并将请求委托给一个ID为springSecurityFilterChain的bean,该bean可以连接一个或任意多个Filter,Spring security就是依赖着一系列servlet filter来提供不同的安全特性。这些细节我们不用管,当启用web安全性时,会自动创建这些filter。

package com.cc.test.security;
 
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;
 
public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {
}

2,创建SecurityConfig

package com.cc.test.config;
 
import javax.sql.DataSource;
 
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.StandardPasswordEncoder;
 
import com.halfworlders.idat.security.IdatUserDetailsService;
import com.halfworlders.idat.service.Userservice;
 
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//	@Autowired
//	private DataSource dataSource;
 
	@Autowired
	private Userservice userservice;
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		/*
		 * 可以通过内存设置的方式,来做用户登录验证,此种方式比较适合开发和测试阶段使用
		 */
		/*auth
		.inMemoryAuthentication()
		.withUser("admin")
		.password("admin")
		.roles("ADMIN");*/
 
		/*
		 * 可以通过数据源设置的方式,直接基于数据库的验证,还可以设置密码加密,
		 * 但此种方式要求数据库的用户表结构必须符合spring-security的要求
		 * 一下配上sql
		 */
		/*auth
		.jdbcAuthentication()
		.dataSource(dataSource)
		.passwordEncoder(new StandardPasswordEncoder("idatpwd"));*/
 
		/*
		 * 最好的是基于UserDetailService的接口方式,这样spring-security并不知道系统通过什么样的方式来实现用户数据验证
		 * 开发人员可以在接口内以任意方式实现,增加了系统的灵活性
		 */
		auth.userDetailsService(new IdatUserDetailsService(userservice));
	}
}

3,在TilesWebConfig中导入配置

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "com.halfworlders.idat.controller")
@Import(SecurityConfig.class)
public class TilesWebConfig extends WebMvcConfigurerAdapter {
。。。。。
}

只需这三步,就能轻松的启用了Spring security安全框架

另外再需要实现UserDetailsService

package com.cc.test.security;
 
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
 
import com.halfworlders.idat.service.Userservice;
 
public class IdatUserDetailsService implements UserDetailsService{
 
	private final Userservice userservice;
	
	public IdatUserDetailsService(Userservice userservice) {
		this.userservice = userservice;
	}
	@Override
	public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
		User user = userservice.findUserByName(userName);
		if (null != user) {
			return user;
		}
		throw new UsernameNotFoundException("User name" + userName + "not find");
	}
 
}


UserService

package com.cc.test.service;
 
import org.springframework.security.core.userdetails.User;
 
public interface Userservice {
	User findUserByName(String userName);
}
package com.cc.test.service.impl;
 
import java.util.ArrayList;
import java.util.List;
 
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Service;
 
import com.halfworlders.idat.service.Userservice;
 
@Service
public class UserServiceImpl implements Userservice {
 
	@Override
	public User findUserByName(String userName) {
		List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
		grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
		return new User(userName, "admin", grantedAuthorities);
	}
}

mysql-sql

SET FOREIGN_KEY_CHECKS=0;
 
-- ----------------------------
-- Table structure for authorities
-- ----------------------------
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(20) DEFAULT NULL,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for groups
-- ----------------------------
DROP TABLE IF EXISTS `groups`;
CREATE TABLE `groups` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `groupName` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for group_authorities
-- ----------------------------
DROP TABLE IF EXISTS `group_authorities`;
CREATE TABLE `group_authorities` (
  `group_Id` int(11) NOT NULL AUTO_INCREMENT,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`group_Id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for group_members
-- ----------------------------
DROP TABLE IF EXISTS `group_members`;
CREATE TABLE `group_members` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `group_Id` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(8) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `password` varchar(50) DEFAULT NULL,
  `enabled` tinyint(4) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

四、参考

《Spring In Action(第四版)》

https://blog.csdn.net/u013468915/article/details/81347063

http://www.cnblogs.com/wutianqi/p/9185266.html

http://www.cnblogs.com/wutianqi/p/9186645.html

https://www.cnblogs.com/jaylon/p/4905769.html

https://www.cnblogs.com/guoziyi/p/6001085.html

https://www.cnblogs.com/xz816111/p/8528896.html

https://blog.csdn.net/elim168/article/details/72869685

https://blog.csdn.net/kaikai8552/article/details/3930747

https://blog.csdn.net/lbqssss/article/details/78971037

https://blog.csdn.net/lifeifei2010/article/details/78787558

https://blog.csdn.net/marvel__dead/article/details/77094848

CC丶Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security的使用(一)
lucky_ly的博客
02-05 439
spring securityspring全家桶中负责认证,授权,安全方便的框架,spring security 相对于 apache的授权认证框架——shiro来说会相对复杂些,spring security不仅可以提供单体应用的认证授权,还提供sso oauth2,微服务内的鉴权授权的等能力。
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
SpringSecurity简介
justlpf的专栏
04-10 1267
SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLocal实现的(),这样就保证了本线程内所有的方法都可以获得SecurityContext对象。
springSecurity
最新发布
10-14
springSecurity
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
springsecurity
07-23
springsecurity
SpringSecurity
02-21
SpringSecurity
SpringSecurity课程文档下载 pdf 教学
05-05
SpringSecurity课程文档下载 pdf 教学
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
Spring Security in Action
11-22
Spring Security in Action
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringSecurity详解
weixin_50748675的博客
03-31 7237
在之前,对springsecurity进行了一个简单介绍,并且上手了一个简单demo。这里是链接,需要的可以去看一下如何给用户分配权限?这篇文章主要为大家介绍一下,基于springSecurity对于角色和用户一些简单的权限判断。 角色判断: 首先必须去定义角色,且定义角色时,开头必须为ROLE_ 这样子才能够被security识别为角色 ; returnnewUser(username,password,AuthorityUtils.commaSeparatedStringToAutho...
SpringSecurity概述
一名蒟蒻的博客
07-23 1313
一、SpringSecurity概述 1、SpringSecurity简介: ​ Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 2、基本功能: 主要功能是“认证”和“授权”,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 Spring
SpringSecurity在权限认证时返回JSON数据
weixin_66822145的博客
05-24 507
因为多数的系统都是前后端分离的系统,前段请求后端的数据来判断认证的标识,SpringSecurity要实现返回JSON也并不难,只需要重写一些相关的处理器即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值