新版SpringSecurity5.x使用与配置

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量1.8k 收藏 26
点赞数 27
分类专栏: 项目 文章标签: 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dogxixi/article/details/140487200
版权

目录

一、了解SpringSecurity

1.1 什么是Spring Security?

1.2 Spring Security功能

1.3 Spring Security原理

1.4 RABC (Role-Based Access Control)

二、SpringSecurity简单案例

2.1 引入SpringSecurity依赖

 2.2 创建一个简单的Controller

三、SpringSecurity配置

3.1 自定义用户与密码

3.2 允许匿名访问路径

3.3 数据库实现登陆校验

3.4 实现角色权限访问

3.5 对密码进行B加密

3.6 结合Jwt实现多重校验

一、了解SpringSecurity

1.1 什么是Spring Security?

Spring Security 是一个强大且高度可定制的身份验证和访问控制框架。它是 Spring 生态系统的一部分,为基于 Spring 的应用提供了全面的安全服务。Spring Security 的设计目标是为应用的安全需求提供一个完整的解决方案,同时保持高度的灵活性和可扩展性。

1.2 Spring Security功能

Spring Security 提供的功能包括但不限于:

  • 认证(Authentication):验证用户身份,通常需要用户名和密码。
  • 授权(Authorization):确定已认证的用户可以访问哪些资源或执行哪些操作。
  • CSRF 保护:防止跨站请求伪造攻击。
  • 会话管理:处理用户的会话,包括会话的创建、维护和销毁。
  • 加密和编码:提供加密和散列算法的支持。
  • OAuth2 和 OpenID Connect 支持:集成 OAuth2 和 OpenID Connect 协议,实现第三方认证。
  • CORS 支持:处理跨域资源共享(Cross-Origin Resource Sharing)请求。
  • 安全配置:允许通过 XML 或 Java 配置来定制安全策略。
1.3 Spring Security原理

Spring Security 的工作原理涉及几个关键组件:

  • SecurityContext:存储认证信息,如当前登录用户和他们的权限。
  • AuthenticationManager:负责用户认证,通常使用 UserDetailsService 来加载用户信息。
  • AccessDecisionManager:决定用户是否有权访问特定资源。
  • Filter Chain:一系列的过滤器处理请求和响应,例如 UsernamePasswordAuthenticationFilter 用于处理用户名和密码的提交。

1.4 RABC (Role-Based Access Control)

RABC,即基于角色的访问控制,是一种常见的访问控制机制,用于管理用户对资源的访问权限。在 RABC 中,权限不是直接授予用户,而是授予用户所属的角色。每个用户可以拥有一个或多个角色,而每个角色则有一组相应的权限。这种机制简化了权限管理,因为只需更改用户的角色就可以改变他们的权限集。

二、SpringSecurity简单案例

2.1 引入SpringSecurity依赖

<dependency>
      <groupId>org.springframework.boot</groupId>
      <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
     <groupId>org.springframework.security</groupId>
     <artifactId>spring-security-test</artifactId>
     <scope>test</scope>
</dependency>

 2.2 创建一个简单的Controller

@RestController
public class HelloController {
    @GetMapping("Hello")
    public String Hello(){
        return "Hello SpringSecurity";
    }
}

2.3 运行后访问localhost:8080/Hello,会自动跳转到localhost:8080/login

这里的用户密码都在启动时候的控制台上  (注意:每一次启动密码都不一样)

用户名:user

密码:    b82aa5e5-0a3a-466b-90a8-e94098877823(控制台上的一串密码)

登陆后成功访问

三、SpringSecurity配置

后面的配置都是基于小案例的基础上实现,请先完成上述的小案例

3.1 自定义用户与密码

由于每一次生成密码都是不固定的,对调试并不友好,springSecurity可以通过在application.yml中进行自定义设置用户和密码

spring:
  security:
    user:
      name: alphaMilk
      password: 123456

输入用户名和密码即可正常登陆并访问资源

3.2 允许匿名访问路径

        在Spring Security框架中,允许某些路径或资源在未经过身份验证的情况下被访问,通常称为“允许匿名访问”。这种配置对于公共页面、登录页面、注册页面、API文档等是非常必要的,因为这些页面或资源需要对所有用户开放,无论他们是否已经登录。

以下通过配置类实现,用户能够匿名访问login页面

// 使用@Configuration标记此类为Spring的配置类
@Configuration
// 启用WebSecurity的自动配置,以便Spring Security可以管理Web安全
@EnableWebSecurity
public class SecurityConfiguration {

    // 定义一个名为securityFilterChain的bean,该bean将负责构建和应用安全过滤器链
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 配置HttpSecurity对象,定义安全规则
        http
                // 授权HTTP请求,定义哪些URL需要什么类型的访问控制
                .authorizeHttpRequests((authz) -> authz
                        // 允许"/user/login" URL匿名访问
                        .requestMatchers("/user/login").anonymous()
                        
                        // 所有其他请求都需要认证才能访问
                        .anyRequest().authenticated())
                
                // 启用HTTP Basic认证,默认情况下提供简单的用户名/密码认证
                .httpBasic(Customizer.withDefaults());

        // 构建并返回SecurityFilterChain
        return http.build();
    }
}

创建一个LoginController类

@RestController
@RequestMapping("user")
public class LoginController {
    
    @GetMapping("/login")
    public String Login(){
        return "这是登陆资源页面";
    }
}

重启系统后直接访问,不需要登陆即可获取资源.

3.3 数据库实现登陆校验

通过自己数据库的用户和密码,实现登陆。将之前的自定义用户密码(application.yml中)都删除掉,并执行以下操作:

用户表单:

-- 创建一个包含用户信息和角色的简化表
CREATE TABLE IF NOT EXISTS `users` (
    `id` INT AUTO_INCREMENT PRIMARY KEY,          -- 用户ID,自增主键
    `username` VARCHAR(255) NOT NULL UNIQUE,      -- 用户名,唯一且不能为空
    `password` VARCHAR(255) NOT NULL,             -- 密码,存储加密后的密码
    `role` ENUM('ROLE_USER', 'ROLE_ADMIN') NOT NULL, -- 角色,预定义为'ROLE_USER'或'ROLE_ADMIN'
    `enabled` TINYINT(1) NOT NULL DEFAULT 1       -- 用户状态,1表示启用,0表示禁用
);

注意:这里的role需要按照ROLE_身份 的方式进行存储以便springsecurity进行权限访问控制

插入案例数据 :

-- 插入示例用户数据
INSERT INTO `users` (`username`, `password`, `role`, `enabled`)
VALUES
    ('user1', '123456', 'ROLE_USER', 1),
    ('admin1', '123456', 'ROLE_ADMIN', 1),
    ('disabledUser', '123456', 'ROLE_USER', 0);

 引入依赖:

<!--        数据库依赖-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.5.5</version>
            <exclusions>
                <exclusion>
                    <groupId>org.mybatis</groupId>
                    <artifactId>mybatis-spring</artifactId>
                </exclusion>
            </exclusions>
        </dependency>

        <dependency>
            <groupId>org.mybatis</groupId>
            <artifactId>mybatis-spring</artifactId>
            <version>3.0.3</version>
        </dependency>
        
        <dependency>
            <groupId>com.mysql</groupId>
            <artifactId>mysql-connector-j</artifactId>
            <scope>runtime</scope>
        </dependency>

配置数据源:

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/ap_security?characterEncoding=utf-8&serverTimezone=UTC
    username: root
    password: root
    driver-class-name: com.mysql.cj.jdbc.Driver

 创建User实体与mapper并加上启动注释

User实体

@TableName(value ="users")
@Data
public class Users implements Serializable {
    /**
     * 
     */
    @TableId(type = IdType.AUTO)
    private Integer id;

    /**
     * 
     */
    private String username;

    /**
     * 
     */
    private String password;

    /**
     * 
     */
    private Object role;

    /**
     * 
     */
    private Integer enabled;

    @TableField(exist = false)
    private static final long serialVersionUID = 1L;

    @Override
    public boolean equals(Object that) {
        if (this == that) {
            return true;
        }
        if (that == null) {
            return false;
        }
        if (getClass() != that.getClass()) {
            return false;
        }
        Users other = (Users) that;
        return (this.getId() == null ? other.getId() == null : this.getId().equals(other.getId()))
            && (this.getUsername() == null ? other.getUsername() == null : this.getUsername().equals(other.getUsername()))
            && (this.getPassword() == null ? other.getPassword() == null : this.getPassword().equals(other.getPassword()))
            && (this.getRole() == null ? other.getRole() == null : this.getRole().equals(other.getRole()))
            && (this.getEnabled() == null ? other.getEnabled() == null : this.getEnabled().equals(other.getEnabled()));
    }

    @Override
    public int hashCode() {
        final int prime = 31;
        int result = 1;
        result = prime * result + ((getId() == null) ? 0 : getId().hashCode());
        result = prime * result + ((getUsername() == null) ? 0 : getUsername().hashCode());
        result = prime * result + ((getPassword() == null) ? 0 : getPassword().hashCode());
        result = prime * result + ((getRole() == null) ? 0 : getRole().hashCode());
        result = prime * result + ((getEnabled() == null) ? 0 : getEnabled().hashCode());
        return result;
    }

    @Override
    public String toString() {
        StringBuilder sb = new StringBuilder();
        sb.append(getClass().getSimpleName());
        sb.append(" [");
        sb.append("Hash = ").append(hashCode());
        sb.append(", id=").append(id);
        sb.append(", username=").append(username);
        sb.append(", password=").append(password);
        sb.append(", role=").append(role);
        sb.append(", enabled=").append(enabled);
        sb.append(", serialVersionUID=").append(serialVersionUID);
        sb.append("]");
        return sb.toString();
    }
}

UserMapper

public interface UsersMapper extends BaseMapper<Users> {

}

@MapperScan

@SpringBootApplication
@MapperScan("com.example.mysecurity.mapper")
public class MySecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(MySecurityApplication.class, args);
    }

}

测试mybatisPlus是否配置正确

@SpringBootTest
class MySecurityApplicationTests {

    @Autowired
    private UsersMapper usersMapper;

    @Test
    void contextLoads() {
        List<Users> users = usersMapper.selectList(null);
        System.out.println(users);
    }

}

通过后,即可开始实现通过自己数据库进行登陆功能:

先创建返回的验证类

 LoginUser 实现 UserDetails

@Data
@NoArgsConstructor
@AllArgsConstructor
public class LoginUser implements UserDetails {

    private Users user;


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

登陆实现类

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UsersMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询用户信息
        LambdaQueryWrapper<Users> wrapper = new LambdaQueryWrapper<>();

        wrapper.eq(Users::getUsername,username);
        Users user = userMapper.selectOne(wrapper);

        //如果查询不到数据就通过抛出异常来给出提示
        if(Objects.isNull(user)){
            throw new RuntimeException("用户名或密码错误");
        }


        Collection<? extends GrantedAuthority> authorities = Collections.singletonList(new SimpleGrantedAuthority(user.getRole()));

        //封装成UserDetails对象返回 
        return new LoginUser(user,authorities);
    }
}

        由于在Spring Boot 2.3及更高版本中,Spring Security默认不再提供任何内置的PasswordEncoder。这意味着如果在配置中直接使用明文密码或没有正确配置PasswordEncoder,你将看到这个异常。这里暂时先使用明文加密。后面将一步步完善加密功能.

在SecurityConfig中加入配置

@Configuration
// 启用WebSecurity的自动配置,以便Spring Security可以管理Web安全
@EnableWebSecurity
public class SecurityConfiguration {

//    设置密码加密为明文加密
    @Bean
    public org.springframework.security.crypto.password.PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }
    
    // 定义一个名为securityFilterChain的bean,该bean将负责构建和应用安全过滤器链
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 配置HttpSecurity对象,定义安全规则
        http
                // 授权HTTP请求,定义哪些URL需要什么类型的访问控制
                .authorizeHttpRequests((authz) -> authz
                        // 允许"/user/login" URL匿名访问
                        .requestMatchers("/user/login").anonymous()
                        
                        // 所有其他请求都需要认证才能访问
                        .anyRequest().authenticated())
                
                // 启用HTTP Basic认证,默认情况下提供简单的用户名/密码认证
                .httpBasic(Customizer.withDefaults());

        // 构建并返回SecurityFilterChain
        return http.build();
    }
}

再次访问localhost:8080/Hello后弹出登陆框:

输入任意的用户与密码即可正常访问

3.4 实现角色权限访问

在Controller中定义一个Admin资源类,只有admin用户才能进行访问

@RequestMapping("admin")
@RestController
@Slf4j
public class AdminController {

    @GetMapping("resourse")
    public String AdminRole(){
        return "这是只有管理员用户才能访问的资源";
    }

}

在设置中进行配置

@Configuration
// 启用WebSecurity的自动配置,以便Spring Security可以管理Web安全
@EnableWebSecurity
public class SecurityConfiguration {

//    设置密码加密为明文加密
    @Bean
    public org.springframework.security.crypto.password.PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

    // 定义一个名为securityFilterChain的bean,该bean将负责构建和应用安全过滤器链
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 配置HttpSecurity对象,定义安全规则
        http
                // 授权HTTP请求,定义哪些URL需要什么类型的访问控制
                .authorizeHttpRequests((authz) -> authz
                        .requestMatchers("/user/login").anonymous()
//                        需要有Admin身份的用户才能进行访问
                        .requestMatchers("/admin/**").hasRole("ADMIN")
                        // 所有其他请求都需要认证才能访问
                        .anyRequest().authenticated())
                
                // 启用HTTP Basic认证,默认情况下提供简单的用户名/密码认证
                .httpBasic(Customizer.withDefaults());

        // 构建并返回SecurityFilterChain
        return http.build();
    }
}

重启服务器后分别用两种身份进行访问

用户访问:

管理员访问:

3.5 对密码进行B加密

config中进行配置BCrypt

@Configuration
// 启用WebSecurity的自动配置,以便Spring Security可以管理Web安全
@EnableWebSecurity
public class SecurityConfiguration {

    @Autowired
    private UserDetailsServiceImpl userDetailsService;


//    设置密码加密为B加密
    @Bean
    public PasswordEncoder passwordEncoder() {
     return new BCryptPasswordEncoder();
    }


    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }



    // 定义一个名为securityFilterChain的bean,该bean将负责构建和应用安全过滤器链
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 配置HttpSecurity对象,定义安全规则
        http
                // 授权HTTP请求,定义哪些URL需要什么类型的访问控制
                .authorizeHttpRequests((authz) -> authz
                        .requestMatchers("/user/login").anonymous()
//                        需要有Admin身份的用户才能进行访问
                        .requestMatchers("/admin/**").hasRole("ADMIN")
                        // 所有其他请求都需要认证才能访问
                        .anyRequest().authenticated())
                
                // 启用HTTP Basic认证,默认情况下提供简单的用户名/密码认证
                .httpBasic(Customizer.withDefaults());

        // 构建并返回SecurityFilterChain
        return http.build();
    }
}

由于数据库中都是明文的密码,所以这里可以通过创建一个SpringbootTest类,将所有用户的密码改为B加密后的数据.

    @Test
    public void testUpdateAllPasswords() {
        // 创建一个BCryptPasswordEncoder实例
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();

        // 更新所有用户的密码为加密后的"123456"
        String encodedPassword = encoder.encode("123456");

        // 构造更新条件
        LambdaUpdateWrapper<Users> updateWrapper = new LambdaUpdateWrapper<>();
        updateWrapper.set(Users::getPassword, encodedPassword);

        // 执行更新操作
        boolean result = usersMapper.update(null, updateWrapper) > 0;

        if (result) {
            System.out.println("所有用户的密码更新成功!");
        } else {
            System.out.println("密码更新失败!");
        }
        
    }

配置好后,重新进行登陆查看输入对应的admin1和123456

3.6 结合Jwt实现多重校验

 Spring Security 和 JSON Web Tokens (JWT) 可以协同工作来提供更灵活和安全的身份验证和授权机制。尽管 Spring Security 提供了一套全面的安全框架,但它默认使用基于会话的认证机制,这意味着服务器维护着与客户端的活动会话状态。而JWT提供了一种无状态的认证方式,这意味着每个请求都包含完整的认证信息,无需服务器保存会话状态。

pom文件中引入jwt所需要的依赖

<!--        JWT依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.1</version>
        </dependency>

Jwt资源类:

@Component
@ConfigurationProperties(prefix = "jwt")
@Data
public class JwtProperties {

    private String SecretKey;
    private long Ttl;
    private String TokenName;


}

Jwt yml配置:

jwt:
  secret-key: Alphamilk
  token-name: Authorization
  ttl: 10800000

实现Jwt的工具类

@Component
public class JwtUtil {

    @Autowired
    private JwtProperties jwtProperties;

    public String createJWT(Map<String, Object> claims, long ttlMillis) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        long expMillis = System.currentTimeMillis() + ttlMillis;
        Date exp = new Date(expMillis);

        return Jwts.builder()
                .setClaims(claims)
                .signWith(signatureAlgorithm, jwtProperties.getSecretKey().getBytes(StandardCharsets.UTF_8))
                .setExpiration(exp)
                .compact();
    }

    public Claims parseJWT(String token) {
        return Jwts.parser()
                .setSigningKey(jwtProperties.getSecretKey().getBytes(StandardCharsets.UTF_8))
                .parseClaimsJws(token)
                .getBody();
    }

    public boolean isTokenValid(String token, UserDetails userDetails) {
        final String username = getUsernameFromToken(token);
        return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
    }

    private String getUsernameFromToken(String token) {
        Claims claims = parseJWT(token);
        return (String) claims.getSubject();
    }

    private boolean isTokenExpired(String token) {
        try {
            final Date expiration = parseJWT(token).getExpiration();
            return expiration.before(new Date());
        } catch (ExpiredJwtException e) {
            return true;
        }
    }
}

Jwt的校验Filter

@Component
public class JwtFilter extends OncePerRequestFilter {

    @Autowired
    private JwtProperties jwtProperties;

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private JwtUtil jwtUtil;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = request.getHeader(jwtProperties.getTokenName());

        if (token != null) {
            try {
                Claims claims = jwtUtil.parseJWT(token);
                String username = (String) claims.get("userName");

                if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                    UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                    if (jwtUtil.isTokenValid(token, userDetails)) {
                        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(
                                userDetails, null, userDetails.getAuthorities());
                        SecurityContextHolder.getContext().setAuthentication(authentication);
                    }
                }
            } catch (ExpiredJwtException ex) {

                response.sendError(HttpServletResponse.SC_FORBIDDEN, "Token has expired.");
            } catch (JwtException ex) {

                response.sendError(HttpServletResponse.SC_FORBIDDEN, "Invalid token.");
            }
        }else {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "No token provided.");
        }
        filterChain.doFilter(request, response);
    }
}

将jwt校验规则加入到Spring的Filter中进行校验

@Configuration
// 启用WebSecurity的自动配置,以便Spring Security可以管理Web安全
@EnableWebSecurity
public class SecurityConfiguration {

    @Autowired

    private JwtFilter jwtFilter;


    @Autowired
    private UserDetailsServiceImpl userDetailsService;


//    设置密码加密为B加密
    @Bean
    public PasswordEncoder passwordEncoder() {
     return new BCryptPasswordEncoder();
    }


    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService);
    }



    // 定义一个名为securityFilterChain的bean,该bean将负责构建和应用安全过滤器链
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // 配置HttpSecurity对象,定义安全规则
        http
                // 授权HTTP请求,定义哪些URL需要什么类型的访问控制
                .authorizeHttpRequests((authz) -> authz
                        .requestMatchers("/user/login").anonymous()
//                        需要有Admin身份的用户才能进行访问
                        .requestMatchers("/admin/**").hasRole("ADMIN")
                        // 所有其他请求都需要认证才能访问
                        .anyRequest().authenticated())

                // 启用HTTP Basic认证,默认情况下提供简单的用户名/密码认证
                .httpBasic(Customizer.withDefaults());
//        加入jwtFIlter
        http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
        // 构建并返回SecurityFilterChain
        return http.build();
    }
}

Alphamilk
关注
专栏目录
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
八尺妖剑的博客
04-20 1422
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
品优购第四天
编程之心的博客
11-22 501
品优购 第4天 学习目标 目标1:实现SpringSecurity入门小Demo 目标2:完成运营商登陆与安全控制功能 目标3:完成商家入驻 目标4:完成商家审核 目标5:完成商家系统登陆与安全控制功能 目标6:完成商家异步登录 第1章 Spring Security框架入门 1.1 Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声...
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 717
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 3433
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
别再用过时的方式了!全新版Spring Security,这样用才够优雅!
weixin_42907150的博客
01-26 1332
Spring Security的升级用法确实够优雅,够简单,而且对之前用法的兼容性也比较好!个人感觉一个成熟的框架不太会在升级过程中大改用法,即使改了也会对之前的用法做兼容,所以对于绝大多数框架来说旧版本会用,新版本照样会用!
新版Spring Security使用
BUG指挥课堂
07-11 1839
SpringBoot实战电商项目mall(50k+star)地址:github.com/macrozheng/…首先修改项目的文件,把Spring Boot版本升级至版本。 旧用法 在Spring Boot 2.7.0 之前的版本中,我们需要写个配置类继承,然后重写Adapter中的三个方法进行配置; 如果你在SpringBoot 2.7.0版本中进行使用的话,你就会发现已经被弃用了,看样子Spring Security要坚决放弃这种用法了! 新用法非常简单,无需再继承,只需直接声明配置类,再配置
Spring Security 5.0.0正式发布
啊啊啊啊2
12-09 170
Pivotal正式发布Spring Security 5.0.0,是2015年3月发布4.0.0版本以来的第一个大版本。\u0026#xD;\n\u0026#xD;\nSpring Security诞生于2004年,当时叫作Acegi,现在由Pivotal工程师Robert Winch领导开发,Robert是Spring SecuritySpring Security 3.1的合著者。5.0.0...
Spring Security新版本)实现权限认证与授权
热门推荐
weixin_46073538的博客
02-02 4万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是认证和授权,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
快速学习springsecurity新版 (版本6.2)---用户认证
qq_55272229的博客
02-21 2779
​是 Spring 家族中的一个安全管理框架。目前比较主流的是另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富,但是shiro并不简便,这里轻量级安全框架更推荐国产安全框架satokensatoken官网​ 一般大型的项目都是使用来做安全框架。这些安全框架主要的内容包含以下功能模块​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户比如:购买东西前需要登录 ,预约前需要登录认证个人信息​。
SpringSecurity新版使用总结
very_Coolpad的博客
12-28 2808
​ https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter官方文档说的是:To assist with the transition to this new style of configuration, we have compiled a list of common use-cases and the suggested alternatives going forward.I
spring security 5.x实现兼容多种密码的加密方式
08-28
Spring Security 5.x 中,不再需要显式配置密码加密方式,而是通过在密码字符串前添加特定的前缀来指示所使用的加密算法。例如,`{MD5}88e2d8cd1e92fd5544c8621508cd706b` 表示密码使用 MD5 进行加密,`{bcrypt}$...
spring security中文版
11-22
本书的写作遵循了这样的一个开发模式,这个模式我们感觉提供了一个有用的前提来解决复杂的话题—— 即使用一个基于Spring3的web工程作为基础,以理解使用Spring Security3使其保证安全的概念和策略。 不管你是不是已经使用Spring Security还是只是对这个软件有兴趣,就都会在本书中得到有用的信息。 在本节的内容中,你能够: l 检查一个虚拟安全审计的结果 l 讨论web应用通常的一些安全问题 l 学习软件安全中的几个核心词汇和概念
spring boot3.x结合spring security新版实现jwt登录验证
09-02
接下来,我们将步骤化讲解如何在Spring Boot 3.x与Spring Security的集成中使用JWT: 1. **项目初始化**: - 创建一个新的Spring Boot项目,选择Spring Web和Spring Security starter。 - 添加JWT相关的依赖,如`...
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
springsecurity5.7.x和springsecurity6.x配置文件对比
程序猿的傻白甜
11-24 897
SecurityConfig配置文件
Spring Security 新版配置
weixin_46073538的博客
06-30 3546
Springsecurity新版配置
SpringBoot最新版Security配置(2023年),亲测成功
ns3405453840的博客
05-12 3333
application.properties SecurityConfig: 配置默认登录用户(即用数据库的用户和密码登录): 1:UserDetailsServiceImpl 2:UserDetailsImpl: 3:配置完,记得更改SecurityConfig配置,添加前端密码加密验证, 这里就可以使用security自带登录对数据库信息进行验证登录了通过该工具类根据用户id生成jwt
新版SpringSecurity配置SpringBoot>2.7&SpringSecurity>5.7)
钟健的博客
05-17 1万+
使用或者以上版本时,会提示:在 Spring Security 5.7.0-M2 中,我们弃用了,因为我们鼓励用户转向基于组件的安全配置。所以之前那种通过继承的方式的配置组件是不行的。同时也会遇到很多问题,例如:在向SpringSecurity过滤器链中添加过滤器时(例如:JWT支持,第三方验证),我们需要注入对象等问题。
保姆级Spring Security笔记,Git点赞82K
weixin_50666791的博客
09-10 214
什么是Spring Security Spring SecuritySpring 在安全领域的顶级项目,在用户认证方面支持众多主流认证标准,包括但不限于 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等,在用户授权方面,Spring Security 不仅支持最常用的基于 URL 的 Web 请求授权,还支持基于角色的访问控制(Role-Based Access Control、RBAC)以及访问控制列表(Access Control List、ACL)等
Spring Security 3.x 配置使用详解
Spring Security 3 配置使用 Spring Security是一个基于Spring框架的安全框架,提供了强大的身份验证和授权机制。本文将详细介绍Spring Security 3的配置使用方法。 下载和添加依赖 首先,需要从Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Alphamilk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值