Spring Security6.x快速入门——用户认证模块

最新推荐文章于 2024-05-14 14:01:17 发布
最新推荐文章于 2024-05-14 14:01:17 发布
阅读量808 收藏 12
点赞数 23
分类专栏: spring-security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/coder184/article/details/136435892
版权

系列文章目录

Spring Security6.x认证模块核心——AuthenticationProvider解析

Spring Security6.x认证架构解析

目录

前言

一、如何快速入门?

二、准备环境

三、入门说明

四、入门步骤

1.SecurityConfig

2.自定义Filter

五、测试

总结

前言

        拳拳到肉,尽可能地通俗易懂。

一、如何快速入门?

        Spring Security是基于过滤器进行设计的,它自身是一个SecurityFilterChain,在spring官网中,有很长的一个篇幅,对其架构进行介绍;而在这里,我推荐的入门方式是:可以将其快速地浏览一遍,心中只需要留下印象的是——Spring Security和过滤器链,你甚至直接可以将Spring Security看作是"一堆过滤器",这些过滤器组成了"过滤器链",而过滤器链中最重要的一个过滤器是:AuthorizationFilter。

二、准备环境

        本演示使用的是:JDK 17 + Spring Security 6.2.1,maven依赖如下所示:

        核心依赖,即红框框内所示。

        Spring Security的最新版本是6.x,官网6.x演示搭配的是JDK 17,个人尝试了用JDK 8,运行项目时发现存在依赖问题,瞧了官网后便不再深究,直接切换JDK 17。虽然JDK 8是一个里程碑版本,但是JDK 17有替换8的可能。

三、入门说明

        使用spring-initializer初始化一个spring boot项目,导入maven依赖,并添加下述两个源文件,启动项目进行初体验。

        初体验目标:

                1.理解SecurityConfig结构;

                2.自定义Filter中需要加入什么逻辑;

                3.SecurityConfig和自定义Filter如何搭配使用;

                4.如何完成认证测试,认证成功和不成功分别是怎么样的;

四、入门步骤

1.SecurityConfig

代码如下(注释重要):

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private AuthenticationManager authenticationManager;

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        System.out.println(">>>>>>>>>>  进入securityFilterChain");

        http
                .authorizeHttpRequests((authorize) -> authorize
                        .requestMatchers("/login/**").permitAll()
                        .anyRequest().authenticated()
                // 禁用csrf,公司中会使用Token方案,不太会用到csrf,禁用即可
                ).csrf(AbstractHttpConfigurer::disable)
                // 在认证核心AuthorizationFilter执行之前,加入自定义Filter
                // 自定义Filter需要完成的事情:装配Authentication对象,以便AuthorizationFilter执行时可以拿到
                .addFilterBefore(new AuthenticationTokenFilter(authenticationManager), AuthorizationFilter.class);

        return http.build();
    }

    @Bean
    public AuthenticationManager authenticationManager(
            UserDetailsService userDetailsService,
            PasswordEncoder passwordEncoder
    ) {
        DaoAuthenticationProvider daoAuthenticationProvider = new DaoAuthenticationProvider();
        // 认证逻辑的提供者,设置UserDetailsService
        daoAuthenticationProvider.setUserDetailsService(userDetailsService);
        // 认证逻辑的提供者,设置PasswordEncoder
        daoAuthenticationProvider.setPasswordEncoder(passwordEncoder);

        authenticationManager = new ProviderManager(daoAuthenticationProvider);
        return authenticationManager;
    }

    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails userDetails = User.withDefaultPasswordEncoder()
                .username("user")
                .password("123")
                .roles("USER")
                .build();
        // 使用内存模式的UserDetailsService 
        return new InMemoryUserDetailsManager(userDetails);
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        // 默认PasswordEncoder
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }
}
 

2.自定义Filter
 

代码如下(示例): 
 

public class AuthenticationTokenFilter extends OncePerRequestFilter {
    public final AuthenticationManager manager;
    public AuthenticationTokenFilter(AuthenticationManager manager) {
        this.manager = manager;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        System.out.println("执行我的过滤器啦~~~");

        String userName = request.getHeader("userName");
        String password = request.getHeader("password");
        UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(userName, password);
        // 验证Authentication对象,并将其设置在上下文环境中
        SecurityContextHolder.getContext().setAuthentication(this.manager.authenticate(token));

        filterChain.doFilter(request, response);
    }
}
 

 

五、测试
 

        访问请求+不带header信息;
 

        访问请求+带header信息,header中包含正确的用户名/密码;
 

        访问请求+带header信息,header中包含错误的用户名/密码;
 

 

总结
 

        建议先看前两篇博文介绍,再看这一篇简单的实操文,能帮助深入理解。

                

        

        

    




    

      

        

            

              
                
                  锐明清风
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                    23
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    12
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                    0
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
Spring Security 6.x 系列(1)—— 初识Spring Security

				
			

			

				

					gmHappy
				

				

					10-05
					
					2万+
					
				

			

		

		

			
				
`Spring Security`作为一个功能完善的安全框架,具有以下特性:
- **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。
- **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。

			
		

	



                

              
                



	

		

			

				
					
SpringSecurity 3.0.1.RELEASE.CHM

				
			

			

				

					03-21
				

			

		

		

			
				
18.4.6. LDAP属性和自定义UserDetails  19. JSP标签库  19.1. 声明Taglib  19.2. authorize标签  19.3. authentication 标签  19.4. accesscontrollist 标签  20. Java认证和授权服务(JAAS)供应器  20.1. 概述  ...

			
		

	



                


  
              

                


	

		

			

				
					
Spring Security6.x认证架构解析

				
			

			

				

					coder184的博客
				

				

					03-02
					
					316
					
				

			

		

		

			
				
4.ProviderManager,非常重要的组件,核心方法是authenticate(),顾名思义,它用于执行认证的主逻辑;3.对于Authentication,不要将其想复杂,它是一个主体,代表当前用户,包含用户名/密码/授权范围,还包含一个最重要的东西——认证状态,它贮藏在SecurityContext上下文中,这意味着你可以在过滤器中随时获取它, 一旦获取到它,认证状态也就立刻知晓,你的系统也就知晓,是否该允许这个用户访问API资源,或者是将其阻挡在外;

			
		

	





	

		

			

				
					
SpringSecurity6.x

				
			

			

				

					qq_45726327的博客
				

				

					03-23
					
					1162
					
				

			

		

		

			
				
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。Java自定义配置用来管理用户信息,

			
		

	



		

			
		



	

		

			

				
					
SpringSecurity基础——快速入门

				
			

			

				

					程序无言
				

				

					09-26
					
					844
					
				

			

		

		

			
				
一. 初始SpringSecurity
1. 简介

Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。

2. 主要jar包

spring-security-core.jar: 核心包
spring-security-web.jar: web工程必备,包含过滤器
spring-security-config.jar: 用于解析xml配置文件
spring-security-tagli

			
		

	





	

		

			

				
					
Spring Security——入门介绍

				
			

			

				

					代码星辰的博客
				

				

					10-05
					
					2386
					
				

			

		

		

			
				
Spring Security——入门介绍

			
		

	





	

		

			

				
					
Spring Security 中文教程.pdf

				
			

			

				

					12-06
				

			

		

		

			
				
19.4.6. LDAP属性和自定义UserDetails   20. JSP标签库   20.1. 声明Taglib   20.2. authorize 标签   20.3. authentication 标签   20.4. accesscontrollist 标签   21. Java认证和授权服务(JAAS)供应器   21.1. ...

			
		

	





	

		

			

				
					
Spring Security-3.0.1中文官方文档(翻译版)

				
			

			

				

					03-08
				

			

		

		

			
				
19.4.6. LDAP 属性和自定义UserDetails   20. JSP 标签库   20.1. 声明Taglib   20.2. authorize 标签   20.3. authentication 标签   20.4. accesscontrollist 标签   21. Java 认证和授权服务(JAAS)供应器   ...

			
		

	





	

		

			

				
					
Spring MVC 拦截器编程开以及常见问题

				
			

			

				

					qq_44031124的博客
				

				

					05-13
					
					323
					
				

			

		

		

			
				
WebMvcConfigurer  该接口可以对拦截器的很多属性进行配置。写在前面:最近在对一个微服务增减接口拦截器的时候,定义的拦截器未能生效,并且未报任何异常,swagger的ui也无法正常访问。经查明原因:prehandler方法最后返回的布尔值是false,拦截器定义部分是从其他服务拷贝的文件,由于没有检查,导致未能生效。我这里配置拦截器没有使用 xml,使用的是java的方式配置的interceptor,这样比较直观,更容易理解。

			
		

	





	

		

			

				
					
springcloudalibaba版本发布说明

				
			

			

				

					jamesge的博客
				

				

					05-11
					
					656
					
				

			

		

		

			
				
适配 Spring Boot 为 2.4,Spring Cloud Hoxton 版本及以下的 Spring Cloud Alibaba 版本按从新到旧排列如下表(最新版本用*标记):每个 Spring Cloud Alibaba 版本及其自身所适配的各组件对应版本如下表所示:

			
		

	





	

		

			

				
					
SpringBoot】 什么是springboot(二)?springboot操作mybatisPlus、swagger、thymeleaf模板

				
			

			

				

					m0_74187147的博客
				

				

					05-12
					
					565
					
				

			

		

		

			
				
@@@@@@如果使用Mybatis所有操作要自己编写sql语句,自己编写mapper接口中方法,mybatisPlus对Mybatis进行了封装,常见的方法不用自己声明,即可直接使用

使用MybatisPlus后,常见的sql,mapper接口中的方法不需要自己编写了,由MybatisPlus直接提供,这样可以简化开发过程

			
		

	





	

		

			

				
					
org.springframework.jdbc.BadSqlGrammarException

				
			

			

				

					weixin_46176940的博客
				

				

					05-11
					
					210
					
				

			

		

		

			
				
Cause: java.sql.SQLSyntaxErrorException: Table 'web.emp' doesn't exist

			
		

	





	

		

			

				
					
SpringBoot设置默认文件大小

					
最新发布

				
			

			

				

					如果相遇,那么你好哦~
				

				

					05-14
					
					214
					
				

			

		

		

			
				
修改SpringBoot项目的默认上传文件大小

			
		

	





	

		

			

				
					
springboot项目打包部署

				
			

			

				

					Relievedz的博客
				

				

					05-11
					
					341
					
				

			

		

		

			
				
springboot打包的前提条件jdk必须17以后不然本地运行不来(我用的jdk是22)6、java -jar  文件名  出现这个画面就是运行成功了。2、打开项目的maven-项目名-package。4、打开项目文件会出现一个jar的文件。查看自己电脑jdk版本可以参考(1、idea配置打包文件。5、在这个页面cmd。

			
		

	





	

		

			

				
					
SpringAMQP 发布订阅-DirectExchange

				
			

			

				

					2301_79106424的博客
				

				

					05-13
					
					552
					
				

			

		

		

			
				
路由模式模型。

			
		

	





	

		

			

				
					
SpringBoot 实现对提供的接口进行 AES (加密,解密)

				
			

			

				

					林夕
				

				

					05-13
					
					159
					
				

			

		

		

			
				
最近工作中,领导要求给别的项目组的小伙伴提供几个接口,要求对接口的参数进行解密操作,然后对返回的数据进行加密操作。通过传入的appId然后去数据库中查询到对应的 唯一密钥。然后根据唯一密钥进行解析密文。然后转成将密文转成 我们需要的参数对象。AES 是对称加密算法,优点:加密速度快;缺点:如果秘钥丢失,就容易解密密文,安全性相对比较差。

			
		

	





	

		

			

				
					
SpringBoot工程引用其他工程构建的jar包

				
			

			

				

					Borny鼎鼎的博客
				

				

					05-13
					
					128
					
				

			

		

		

			
				
(2)springboot入口类引入注解,即@EnableAuthClient和@Configuration。启动B工程,使用postman测试A工程的接口,例如/admin/menus接口,如下。存在A、B两个工程,其中B工程需要引用A工程的jar包。(2)构建jar包,即gradle build。(1)引入jar包,即A工程构建生成的jar包。(1)自动配置bean。

			
		

	





	

		

			

				
					
Spring-全面详解

				
			

			

				

					qq_33449977的博客
				

				

					05-12
					
					249
					
				

			

		

		

			
				
3. 模块化:Spring家族庞大,有Spring MVC(做网站开发的)、Spring Security(负责安全的)、Spring Data(数据访问更便捷)等等,你可以按需选择,用多少拿多少,灵活组合。Spring是一个开源的Java框架,诞生于2002年,它的初衷是简化Java企业级应用的开发。1. 环境准备:首先,确保你的电脑上有Java环境,然后下载安装Spring相关的工具,比如Spring Tool Suite(STS)或者IntelliJ IDEA,这些都是很好用的开发工具。

			
		

	





	

		

			

				
					
springsecurity 6.x

				
			

			

				

					12-17
				

			

		

		

			
				
Spring Security 6.x 是一个用于保护Spring应用程序的框架。它主要用于认证和授权功能,可以帮助我们构建安全的应用程序。

Spring Security 6.x 提供了丰富的特性和功能,包括基于角色或权限的访问控制、密码加密、单点登录(SSO)、防止CSRF(跨站请求伪造)攻击、防止会话固定攻击等。

在Spring Security 6.x 中,认证可以使用多种方式,包括基于用户名和密码的认证、基于LDAP(轻量级目录访问协议)的认证、基于OpenID Connect的认证等。它还支持自定义的认证流程,可以根据具体需求进行配置。

授权是Spring Security 6.x 的另一个重要功能。它可以通过注解、表达式或配置文件来实现精细的访问控制。我们可以根据用户的角色或权限来限制他们对资源的访问权限,确保只有具备相应权限的用户可以执行某些操作。

Spring Security 6.x 还提供了一些额外的安全功能,如密码加密、会话管理、记住我功能等。密码加密可以确保用户的密码不会被明文存储,会话管理可以管理用户的会话状态,而记住我功能可以通过“记住我”cookie来实现用户持久登录。

总的来说,Spring Security 6.x 是一个强大、灵活且易于使用的安全框架,可以帮助我们构建安全可靠的Spring应用程序。无论是小型Web应用还是大型企业级应用,都可以使用Spring Security来保护应用的安全性。

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值