安全模块springboot security

最新推荐文章于 2024-06-27 10:35:57 发布
最新推荐文章于 2024-06-27 10:35:57 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: springcloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chang_li/article/details/92395164
版权

为什么用springboot security?

1、Spring Security是一个安全组件,为java企业级开发提供了全面的安全防护。它可以在Controller层、Service层、DAO层等以加注解的方式来保护应用程序的安全。SpringSecurity提供了细粒度的权限控制,可以精细到每一个API接口,每一个业务方法,或者每一个DAO层的方法。SpringSecurity提供的是应用程序层的安全解决方案。
2、SpringSecurity对环境无依赖性、低耦合性,提供了数十个安全模块,模块间耦合性低,可以自由组合来定制安全功能。
安全领域的两大模块是认证和授权
认证是要确认身份,可以是执行操作的用户、设备或者其他系统。
授权是赋予权限,给认证后的身份确定能做什么操作。

3、SpringSecurity采用了注解的方式控制权限,熟悉spring的开发者很容易上手;且很容易集成到springboot工程中。
4、与shiro对比
shiro一般使用在单体应用中,但在微服务架构中,它是无能为力的。

springboot security和spring security的关系

spring security框架中,主要包含两个jar:

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
</dependency>

springboot对spring security框架做了封装,并没有改动这两个包的内容

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置Spring Security

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   @Override
   protected void configure(HttpSecurity http) throws Exception {
      http
            .authorizeRequests()
               .antMatchers("/css/**", "/index").permitAll()
               .antMatchers("/user/**").hasRole("USER")
                .antMatchers("/qirui/**").hasRole("USER")
               .and()
            .formLogin().loginPage("/login").failureUrl("/login-error")
            .and()
            .exceptionHandling().accessDeniedPage("/401");
      http.logout().logoutSuccessUrl("/");
   }

   @Autowired
   UserDetailsService userDetailsService;

   @Autowired
   public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
      auth.userDetailsService(userDetailsService);
   }

以上配置类添加@EnableWebSecurity注解,开启WebSecurity功能。

  • 每个请求都要认证
  • 自动生成一个登陆表单
  • 可以用username和password来进行认证
  • 用户可以注销
  • 阻止了CSRF攻击
  • 排除掉了/css和/index开头的资源验证
  • 以/user开头的资源需要验证,并且需要的角色是Role
  • 表单的登录地址是/login,登录失败的地址为/login-error
  • 异常处理会重定向到/401
  • 注销成功,重定向到首页
  • @EnableGlobalMethodSecurity(prePostEnabled = true)开启方法级别的保护
    同时需要配置Controller来完成web跳转。
Spring Security方法级别的保护

在方法级别上的安全验证是通过相关的注解和配置来实现的。@EnableGlobalMethodSecurity注解开启了方法级别的保护,参数最常用的是@prePostEnabled
生产上一般从数据库中读取用户和用户的角色权限信息,springcloud中常用UserDetails接口来实现SpringSecurity认证信息;Service层通过实现UserDetailsService接口,根据用户名获取该用户的所有信息,包括yoghurt信息和权限点。

chang_hf
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务常用组件封装项目过程详细介绍总述(七)---基于springboot的自定义security starter组件开发
weixin_47407416的博客
12-16 779
对spring-security-oauth2进行springboot starter组件封,同时集成spring-security-oauth2,justauth-spring-boot-starter,,对spring-security进行简单扩充,自定义处理各种handle,但不涉及具体的认证,具体认证后续会有一个认证服务专门去处理认证跟三方登录问题
Spring Security介绍
热门推荐
li123128的博客
11-03 2万+
文章主要分三部分 1、Spring Security的架构及核心组件:(1)认证;(2)权限拦截;(3)数据库管理;(4)权限缓存;(5)自定义决策; 2、环境搭建与使用,使用当前热门的Spring Boot来搭建环境,结合项目中实际的例子来做几个Case; 3、Spring Security的优缺点总结,结合第二部分中几个Case的实现来总结Spring Security的优点和缺点。 1、Spring Security介绍 ​ 整体介绍,Spring Security为基于J2EE开发的企业应用软件
springboot-security模块搭建
张钰杰杰杰杰杰的博客
05-15 999
springboot-security
Spring Boot中的安全性配置详解
最新发布
聚娃科技开发者博客
06-27 738
通过本文的介绍,您深入了解了如何在Spring Boot应用中实现全面的安全性配置,包括密码加密、身份认证、授权管理、HTTPS配置、CSRF保护以及安全审计和监控等方面。
十一、SpringSecurity微服务权限方案(2)—— 环境准备 & 搭建项目结构
付之一笑的专栏
01-22 818
一、所需环境准备 1.1、创建数据库 /* Navicat Premium Data Transfer Source Server : localhost Source Server Type : MySQL Source Server Version : 80024 Source Host : localhost:3306 Source Schema : acl_db Target Server Type : MySQL
7-Spring Boot的安全管理
daqi1983的博客
04-14 4465
spring boot 认证和授权
springboot+security+cas集成demo
11-23
Spring Security是Spring生态中的一个安全模块,用于处理Web应用的安全问题,如认证和授权。它提供了全面的安全性解决方案,包括HTTP基本认证、表单登录、OAuth2、JWT等多种认证方式,以及角色权限控制、访问决策...
SpringBoot+Security+Cas
09-07
SpringBoot+Security+Cas是一个集成解决方案,用于构建安全的Web应用程序。这个Demo是为那些希望了解如何在Spring Boot应用中整合Spring Security和CAS(Central Authentication Service)服务的开发者准备的。下面...
SpringBootSecurity.zip
08-27
SpringBootSecurity.zip是一个包含Spring Boot和Spring Security集成的项目,用于构建安全的Web应用程序。Spring Boot简化了Spring应用的初始化和配置,而Spring Security则是一个强大的安全框架,提供了身份验证和...
springboot整合security与jwt
08-05
Security是Spring生态中的安全模块,用于处理应用程序的安全需求,如用户认证和授权。JWT(JSON Web Token)是一种轻量级的身份验证机制,它允许在客户端和服务器之间安全地传递信息,而无需在每个请求中发送用户名...
springboot+security项目代码示例
03-01
在Spring Security方面,它是Spring生态中的安全模块,提供了一套完整的安全解决方案。它支持HTTP基本认证、OAuth2、JWT(JSON Web Token)等多种身份验证方式,并且能对URL、方法、表单提交等进行细粒度的访问控制...
spring-security所需要的jar包,
05-20
spring-security所需要的jar包
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,请自行导入mysql中。 运行SpringBootMainClass启动后,请在地址栏访问http://ip:port,在页面中登录,成功后会跳转至下一个页面,此时需要后退到刚才的页面,点击各个超链接来试验用户的授权情况。未登录时点击任何链接都会跳回首页。 一共提供了4个用户: 1.admin:可以访问所有请求 2.user1:只能访问user1Call请求 3.user2:只能访问user2Call请求 4.user3:只能访问user3Call请求 具体代码配置逻辑和说明,详见代码的注释
Spring Security 的主要组件及其作用:
qq_60458298的博客
03-25 212
Authentication:表示用户的身份认证信息,包括用户名、密码、权限等信息。 AuthenticationManager:用于对用户的身份认证进行管理,包括对用户身份进行认证、验证用户的身份信息等。 AccessDecisionManager:用于进行访问决策管理,根据用户的身份信息和访问控制信息,判断用户是否有权限访问该资源。 FilterSecurityInterceptor:用于在请求被处理之前进行安全拦截,根据访问控制信息判断用户是否有权限访问该资源。 AuthenticationE
springboot组件速查
qq_62678867的博客
04-25 1727
1. 跨域配置类 2. 响应结果包装类 3. 常用常量包装类 4. MybatisPlus组件 5. SpringSecurity安全组件 6. redis组件 7. 验证码验证组件 8. jwt组件 9.EasyExcel组件
Spring Security独立微服务包
lifeOn的博客
06-18 851
1、数据库设计 2、代码实现
spring-security项目模块
姑苏的博客
08-10 484
核心 spring-security-core.jar 包含身份验证和访问控制类和接口,远程支持和基本配置API. 使用Spring-security的任何应用程序都需要此模块. 支持独立的应用程序,远程客户端,方法(服务层)安全性和JDBC用户配置. 包含包: org.springframework.security.core org.springframework.security.access org.springframework.security.authentication org.sprin
Springsecurity模块描述
weixin_34415923的博客
09-01 323
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot安全组件总结
剑雪封喉
03-24 7222
目录 防SQL注入组件 什么是sql注入 PreparedStatement防止SQL注入 mybatis防止SQL注入 防XSS攻击组件 XSS过滤处理 防止XSS攻击的过滤器 过滤器配置 防重复提交组件 自定义注解防止表单重复提交 自定义防止重复提交拦截器 对防重复提交业务,拦截器具体逻辑实现 ​​​​​​使用方法一:采用默认参数 ​​​​​​使用方法二:指定防重复时间和错误消息 ​​​​​​前端通过js控制 防SQL注入组件 什么是sql注入 sql注入解释:是
springbootsecurity
03-16
Spring Boot Security是Spring Boot框架的一个模块,它提供了一种简单而强大的方式来保护Web应用程序。它可以集成各种身份验证和授权机制,如基于表单、HTTP基本身份验证、OAuth2等。通过Spring Boot Security,您...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值