SpringSecurity学习(一)

已于 2022-07-27 23:14:17 修改
阅读量270 收藏 2
点赞数
分类专栏: 日常总结 文章标签: 学习 java spring
于 2022-05-28 21:35:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjl_xupt/article/details/122394416
版权

认证和授权

认证解决“我是谁的问题”

什么是认证?

在这里插入图片描述
认证: 验证当前访问系统的是不是本系统的用户,并且要确认具体是哪一个用户

授权解决“我能做什么”的问题

在这里插入图片描述
授权:经过认证之后判断当前用户是否有权限进行某个操作;
登录校验流程 转载于:B站,三更草堂

Filer和FilterChain

Spring Filters

  • 任何Spring Web应用本质上只是一个Servlet;
  • Security Filter在Http请求到达Controller之前过滤每一个传入的Http请求;
    在这里插入图片描述
    在这里插入图片描述

Filter Chain

在这里插入图片描述

常见的内建过滤器

过滤器名称作用
BasicAuthenticationFilter如果在请求中找到一个Basic Auth Http头,如果找到,则尝试用该头中的用户名和密码验证用户
UsernamePasswordAuthenticationFilter若在请求参数或者Post的RequestBody中找到用户名和密码,则尝试用这些值对用户进行身份验证
DefaultLoginPageGeneratingFiltler默认登录页面生成过滤器,用于生成一个登录页面,若没有明确禁用这个功能,那么就会生成一个登录页面。这就是为什么在启用SpringSecurity时候,会得到一个默认的页面的原因
DefaultLogoutPageGeneratingFilter若没有禁用该功能,则会生成一个注销页面
FilterSecurityInterceptor过滤安全拦截器,用于授权逻辑

SpringSecurity实现认证和授权的底层机制

Http

熟悉Http的请求

在这里插入图片描述

Http响应

在这里插入图片描述

Filter和客户端交互(获取数据返回数据)是通过请求和响应中的字段完成的

实战

定制化登录页

新建工程

	<dependency>
	   <groupId>org.webjars</groupId>
	   <artifactId>webjars-locator-core</artifactId>
	</dependency>
	
	<dependency>
	   <groupId>org.webjars</groupId>
	   <artifactId>bootstrap</artifactId>
	   <version>${bootstrap.version}</version>
	</dependency>
	
	<dependency>
	   <groupId>org.springframework.boot</groupId>
	   <artifactId>spring-boot-starter-thymeleaf</artifactId>
	</dependency>

依赖类库

安全配置

SecurityConfig

package com.vleus.uaa.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

/**
 * @author vleus
 * @date 2022年05月17日 22:45
 */
@EnableWebSecurity(debug = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 走过滤器链
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf(csrf -> csrf.disable())
                .httpBasic(Customizer.withDefaults())
                .formLogin(form -> form.loginPage("/login"))
                .authorizeRequests(req -> req.antMatchers("/api/**").authenticated());

    }

    /**
     * 设置不启用过滤器链
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().mvcMatchers("/public/**");
    }
}

路径映射类

package com.vleus.uaa.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.core.Ordered;
import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

/**
 * 映射url与模板文件路径
 * @author vleus
 * @date 2022年05月22日 20:59
 */
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {

    /**
     * 将webjar的静态资源加入到映射中
     * @param registry
     */
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/webjars/**")
                .addResourceLocations("/webjars")
                .resourceChain(false);
        registry.setOrder(1);

    }

    /**
     * 文件路径和url进行映射
     * @param registry
     */
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login")
                .setViewName("login");
        registry.setOrder(Ordered.HIGHEST_PRECEDENCE);
    }
}

CSRF攻击和保护

在这里插入图片描述

防止收到CSRF攻击的方式
CSRF Token在这里插入图片描述
在响应设置Cookie的SameSite属性

在这里插入图片描述

Remember me功能
  • 为解决session过期后用户的直接访问问题;
  • Spring Security提供开箱即用的配置 rememberMe;
  • 原理:使用Cookie存储用户名,过期时间,以及一个Hash;

Hash:md5(用户名+过期时间+密码+key)

登录成功和失败后的处理

  • 登录成功后的处理:AuthenticationSuccessHandler;
  • 登录失败后的处理:AuthenticationFailureHandler;
  • 退出登录成功后的处理:LogoutSuccessHandler;
三笠·阿卡曼
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
通过配置修改springsecurity中cookie生效方式(domain + path + secure + samesite
a1290320893的博客
12-18 4071
我们可以通过配置以下参数来修改默认cookie的生效方式; 一、server.servlet.session.cookie.secure=true(只在访问HTTPS中进行传输cookie) 测试:访问:http://localhost:8080/admin/acl/user/getTitle/smile 需要认证后才可以访问;登录完成后有了cookie,照理说再次访问http://localhost:8080/admin/acl/user/getiphone由于我这边不是https所以不会携带cooki
springsecurity初体验(5.3.5官方文档)-1
tianyadaoke2020的博客
08-27 1736
5.1.2 密码存储 PasswordEncoder,5.0之前默认的NoOpPasswordEncoder ,框架用了DelegatingPasswordEncoder模式,方便将来更新存储方式的时候不用变动框架。 创建委托: PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder(); 创建自定义的委托: String idForEncode = "bcrypt"; M
csrf 系列之Spring Security中的csrf攻击防护(SameSite属性)
console的博客
05-03 1879
防止CSRF攻击的一种新方法是在cookie上指定`SameSite`属性。服务器可以在设置cookie时指定SameSite属性,以表明当来自外部站点时不应该发送cookie。
SpringSecurity学习笔记
weixin_38370441的博客
04-13 159
SpringSecurity学习xuez xuez 两个中文版的官方文档作为大纲: http://docs.jcohy.com/docs/spring-security/5.3.2.RELEASE/html5/zh-cn/#%E9%99%84%E5%BD%95(无图) https://www.docs4dev.com/docs/zh/spring-security/5.1.2.RELEASE/reference Spring session官方文档: https://www.docs4dev.com/doc
SpringSecurity------CSRF跨站请求伪造(三)
豢龙先生
12-07 674
SpringSecurity------Protection Against Exploits(二)一、Cross Site Request Forgery (CSRF)二、Security HTTP Response Headers Spring Security provides protection(保护) against common exploits(漏洞). Whenever possible, the protection is enabled by default. 一、Cross Site
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
以上就是Spring Security 学习笔记的第一部分,涵盖了Spring Security的基本使用和内存认证配置。后续的学习中,你将接触到更高级的主题,如自定义认证提供者、权限控制、OAuth2集成等。继续深入学习,你将能够构建...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Security学习之路
最新发布
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
Spring Web 的Cookie sameSite坑 跨域之坑
BoomMan
11-29 1万+
SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnblogs.com/ziyunfei/p/5637945.html spring web 最新版默认生成为SameSite=Lax,奇怪的是用spring data Session redis 后 cookie新增了 Same...
前后端分离Cookie sameSite坑 跨域之坑
热门推荐
qq_37060233的博客
01-22 5万+
在前后端分离解决跨域问题过程中,利用CORS解决跨域问题,前后端按照规范处理了,但不管怎样session都是不一致,所以前端无法登陆无法在本地测试。查了几天资料,中间反反复复,最后要放弃的时候无意中看到一个大神的博客。 SameSite Cookie 应该是一种新的cookie属性值,我看到很多大型网站如百度都没有用到, 他是防止 CSRF 攻击 具体可看 https://www.cnb...
Spring Security学习笔记
weixin_43877332的博客
05-17 1058
1.特点 # 1.1认证方式 如果用户没有设置密码,则系统会自动生成一个密码在控制台打印。 参考UserDetailsServiceAutoConfiguration类中这段代码: package org.springframework.boot.autoconfigure.security.servlet; private String getOrDeducePassword(User user, PasswordEncoder encoder) { String password =
Springboot+Shiro出现SameSite问题
您已进入外太空
04-30 6698
首先说明一下低版本的shiro-spring是没有这个问题的,我发现这个问题的shiro-spring是1.5.2版本 我没有去考证过到哪个版本会出现这个问题,但是肯定的是新版本shiro-spring对cookie加上了SameSite属性 首先说明一下网上说配置CookieSerializer是不会起作用的,原因是当引入shiro-spring之后,对于cookie的序列化操作会托管给sh...
Spring-Security完整版配置
盲目的拾荒者的博客
04-08 9547
package com.niugang.config; import java.io.IOException; import javax.servlet.ServletException; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.anno...
20180227:关于HTML中table标签中合并单元格时遇到的问题
行无所至,学无所尽。
02-27 9286
今天在初次学习HTML的时候,便在table标签的使用上遇到了个问题,就是在合并单元格时发现单元格的合并显示之后并没有按自己所想的那样显示,具体问题也描述不出来,通过代码和实例来记录一下这个烦人的问题吧。&lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;title
利用Bootstrap写一个Bootstrap官网;利用VUE实现TODOLIST
行无所至,学无所尽。
04-10 1348
一、Bootstrap写官网&lt;!DOCTYPE html&gt; &lt;html lang="en"&gt; &lt;head&gt; &lt;meta charset="UTF-8"&gt; &lt;meta http-equiv="Content-Type" content="text/html; charset=UTF-8"&gt;
20180331:Oracle中的视图(view)、索引(index)、约束(constraint)、序列(sequence)
行无所至,学无所尽。
04-03 672
一、视图 视图是一个虚拟表,他由存储的查询构成,可以将它的输出看作是一个表,视图同真的表一样,也可以包含一系列带有名称的列和行数据。但是,视图并不在数据库中存储数据值,其数据值来自定义视图的查询语句所引用的表,数据库只在数据字典中存储视图的定义信息。 通过视图修改数据时,实际上就是在修改基本表中的数据。与之对应,改变基本表中的数据也会反映到该表组成的视图中。 创建视图 create [...
Spring Security入门:从Acegi到Spring Security的转变
"Spring Security学习总结一" Spring SecuritySpring生态系统中的一个强大且全面的安全框架,源自Acegi Security,自2007年底被纳入Spring Portfolio并更名。它旨在为基于Spring的应用提供声明式安全访问控制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值