Spring Security

最新推荐文章于 2024-09-18 20:50:02 发布
最新推荐文章于 2024-09-18 20:50:02 发布
阅读量209 收藏
点赞数
文章标签: spring sql java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/g474928663/article/details/132942821
版权

1.Spring  Security是什么

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

2.为什么使用Spring Security

可以帮助进行认证和授权:

认证:就是用户登录的时候,检验用户的信息是否正确

授权:就是字面的意思,就像是每个用户又那些权限(vip1,vip2)

3.如何使用Spring Security

3.1引入依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

3.2启动项目 ,控制台会出现登录密码。账号未user

可以通过配置文件来修改账号密码:

也可以通过配置类来修改账号密码:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder pe = new BCryptPasswordEncoder();
        String encode = pe.encode("123456");
        auth.inMemoryAuthentication()
                .passwordEncoder(pe)
                .withUser("gjc") //设置用户名
                .password(encode).roles("USER");//设置密码以及角色
    }

}

4.自定义表单登录

如果不直接使用框架自带的html页面的话,就需要我们配置页面比如:使用jsp,或者使用thymeleaf模板引擎

4.1自定义登录页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org">
<head>
    <meta charset="UTF-8">
    <meta http-equiv="x-ua-compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width,initial-scale=1.0">
    <title>登录</title>
    <style>

    </style>
</head>
<body>
<form action="/userlogin" method="post">
    用户名:<input type="text" name="myname">  <!--name=myname注意后台需要配置这个名字-->
    <br/>
    密码:<input type="password" name="mypwd"> <!--name=mypwd注意后台需要配置这个名字-->
    <br/>
    <input type="submit" value="login">
</form>
</body>
</html>

4.2修改配置类

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 这是配置自定义的信息
        http
                .formLogin().loginPage("/login.html")  //配置为自定义的登录页面
                .usernameParameter("myname")  //设置页面form表单的用户名参数
                .passwordParameter("mypwd") //设置页面form表单的密码参数
                .loginProcessingUrl("/userlogin") //登录路径和前台form登录接口路径保持一致
//                .defaultSuccessUrl("/")//登录成功跳转路径
                .and().authorizeRequests().antMatchers("/","userlogin","/login.html").permitAll()//设置哪些路径不需要拦截
                .anyRequest().authenticated()//除去不需要认证的路径的其它路径都需要认证
//                .and().exceptionHandling().accessDeniedPage("")//自定义没有权限的页面
                .and().csrf().disable(); //关闭csrf的保护
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder pe = new BCryptPasswordEncoder();
        String encode = pe.encode("123456");
        auth.inMemoryAuthentication()
                .passwordEncoder(pe)
                .withUser("gjc")
                .password(encode).roles("USER");
    }

}

5.通过数据库账号密码登录

如果需要根据数据库的账号密码进行登录,就需要替换掉原本的UserDetailsService,因为之前实在内存中查找账号密码,现在需要从数据库中查找。

5.1准备工作

依赖:

<dependencies>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--spring security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!--lombok-->
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <!--mp-->
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.2</version>
        </dependency>
        <!--mysql驱动-->
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>8.0.31</version>
        </dependency>
        <!--druid连接池-->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>
    </dependencies>

mysql连接配置:properties

spring.datasource.druid.driver-class-name=com.mysql.cj.jdbc.Driver
spring.datasource.druid.username=root
spring.datasource.druid.password=root
spring.datasource.druid.url=jdbc:mysql://localhost:3306/qy168?serverTimezone=Asia/Shanghai

#配置mybatis plus驼峰关闭
mybatis-plus.configuration.map-underscore-to-camel-case=false
#控制台打印sql语句日志
mybatis-plus.configuration.log-impl=org.apache.ibatis.logging.stdout.StdOutImpl

实体类:

@Data
@TableName("tbl_user")
public class TblUser {
    @TableId(type = IdType.AUTO)
    private long id;
    private String username;
    private String password;
    private String headImg;
    private String phone;
    private String realname;
}

mybatis plus的mapper层和server层这里就不列举了,相信大家都会了

5.2替换UserDetailsService

替换UserDetailsService,重写其中的方法,从数据库中查询用户信息

@Service
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserService userService;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //查询用户信息
        LambdaQueryWrapper<TblUser> query = new LambdaQueryWrapper<>();
        query.eq(TblUser::getUsername,username);
        TblUser tblUser = userService.getOne(query);
        //如果没有查询到用户信息就抛出异常
        if (Objects.isNull(tblUser)){
            throw new RuntimeException("用户名或密码错误");
        }
        //TODO 查询对应的权限信息
        //因为现在用户还没有权限模拟以下权限
        // 查询用户的权限信息并将其转换为GrantedAuthority对象列表
        List<GrantedAuthority> authorities = new ArrayList<>();
        // 例如,假设用户有ROLE_USER角色
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));

        //将数据封装为UserDetails对象
        //因为这个User实现了UserDetails,所以我们可以使用这个User实体类
        User user = new User(tblUser.getUsername(), tblUser.getPassword(), authorities);
        return user;
    }
}

测试:发现报错了

因为这里密码默认采用了一种PasswordEncoder密码校验的东西,如果要让密码是明文存储,需要在密码前加{noop}

真正开发肯定是不会用这种方式的,密码也不会明文存储。我们一般使用的SpringSecurity为我们提供的BCryptPasswordEncoder.

使用非常简单,只需要把BCryptPasswordEncoder注入到bean容器就行

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

}

测试:

@Test
    void text(){
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String encode = passwordEncoder.encode("123456");//对123456进行加密
        String encode1 = passwordEncoder.encode("123456");//对123456进行加密
        System.out.println(encode);
        System.out.println(encode1);
        //盐相同密文是不同的
        //比较
        boolean matches = passwordEncoder.matches("123456", "$2a$10$4IfzCQBjoxfmBGLg.SlnfOKwEBkuXDYBoEpU.8kUmBYF5WO.5zb42");
        boolean matches1 = passwordEncoder.matches("123456", "$2a$10$FDltmVxzybG9HNx6e1jBu.NvBLHM4QD0lmZVV98igMQ4TgOCOet.e");
        System.out.println(matches);
        System.out.println(matches1);

    }

运行结果:

那么我们只需要修改数据库的密码为加密之后的密码

再进行登录就可以了,这块在注册时就需要使用BcryptPasswordEncoder对密码加密存储到数据库中

6.前后端分离

6.1分析

登录:

1.需要自定义登录接口  -- 调用ProviderManager的方法进行认证 如果认证通过生成jwt -- 把用户信息存入redis中

2.自定义UserDetailsService -- 在这个实现类中查询数据库

校验:

1.定义jwt认证过滤器 -- 获取token -- 解析token获取其中的userid -- 从redis中获取用户信息 -- 存入SecurityContextHolder

6.2准备工作:

依赖:在之前依赖中新增


        <!--redis依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>

        <!--jwt依赖-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>

redis配置:

g474928663
关注
springsecurity6配置二
程序猿的傻白甜
11-24 783
一、springsecurity6自定义认证异常处理器。二、JWT认证过滤器配置。
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
快速学习安全框架 Springsecurity最新版(6.2)--用户授权模块
qq_55272229的博客
02-22 1966
上一节Springsecurity 用户认证Springsecurity 拥有强大的认证和授权功能并且非常灵活,,一来说我们都i有以下需求可以帮助应用程序实现以下两种常见的授权需求:用户-权限-资源:例如张三的权限是添加用户、查看用户列表,李四的权限是查看用户列表用户-角色-权限-资源:例如 张三是角色是管理员、李四的角色是普通用户,管理员能做所有操作,普通用户只能查看信息“Auth” 表示 “授权” Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示。
SpringSecurity6.x整合手机短信登录授权
最新发布
m0_64787068的博客
09-18 930
SpringSecurity6.2.4整合手机登录授权1.UsernamePasswordAuthenticationToken UsernamePasswordAuthenticationToken首先我们需要了解这哥们是干嘛用的,我们看下官网是怎么解释的上图中我们发现循环了AuthenticationProvider provider,说明我们可能出现多个provider,那么AuthenticationProvider是个接口所以主要用于认证的是ProviderManager 子类,如果我们有多种认证
快速学习springsecurity最新版 (版本6.2)---用户认证
qq_55272229的博客
02-21 3054
​是 Spring 家族中的一个安全管理框架。目前比较主流的是另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富,但是shiro并不简便,这里轻量级安全框架更推荐国产安全框架satokensatoken官网​ 一般大型的项目都是使用来做安全框架。这些安全框架主要的内容包含以下功能模块​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户比如:购买东西前需要登录 ,预约前需要登录认证个人信息​。
新版Spring Security6.2架构 (一)
喝醉的鱼博客
12-09 4086
新版Springsecurity6.2架构介绍
新版Spring Security6.2 - Digest Authentication
喝醉的鱼博客
12-15 728
新版Spring Security6.2 - Digest Authentication官网文档翻译
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
新版Spring Security6.2案例 - Basic HTTP Authentication
喝醉的鱼博客
12-13 2370
新版Sprint security 6.2,翻译官网basic http authentication以及小案例
新版Spring Security6.2架构 (三) - Authorization
喝醉的鱼博客
12-11 2604
新版Spring security 6.2,官网文档Authorization翻译和一点点个人修改
新版Spring Security6.2架构 (二) - Authentication
喝醉的鱼博客
12-10 2001
Spring Security 6.2新版本架构,翻译官网文档和个人理解
新版Spring Security6.2案例 - Authentication用户名密码
喝醉的鱼博客
12-12 5717
新版Spring Security6.2案例 - Authentication用户名密码表单登录
一文秒懂 springsecurity6.2实现自定义登录页
只为成功找方法 不为失败找借口
12-06 2591
springsecurity原理和基础这里暂时不讲,网上资料太多了,这个大家可以自行查找学习,基本上没什么太大区别,看几篇文章就了解了,这篇文章主要是针对自定义登录页做一个demo,通过这个小 demo,大家可以直接理解springsecurity 处理登录的流程。这里只是简单的创建了一个 user,实际情况下可以在这里查询 db 里的user,为了简单化流程,这里就略过查询 db 的逻辑了,大家可以自行根据 mybatis 处理这一块内容。
认证 (authentication) 和授权 (authorization) 的区别
全栈空间
09-14 3041
  以前一直傻傻分不清各种网际应用中 authentication 和 authorization, 其实很简单:   这两个术语通常在安全性方面相互结合使用,尤其是在获得对系统的访问权限时。两者都是非常重要的主题,通常与网络相关联,作为其服务基础架构的关键部分。然而,这两个术语在完全不同的概念上是非常不同的。虽然它们通常使用相同的工具在相同的上下文中使用,但它们彼此完全不同。 身份验...
牛客网项目---6.2.使用Spring Security实现登录功能
gouhanchi的博客
07-14 608
1.导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.废弃原来的登录拦截器 import com.nowcoder.community.
Security6.2 中的SpEL 表达式应用(权限注解使用)
慢慢来的博客
02-20 966
最近学习若依框架,里面的权限注解涉及到了SpEL表达式 @PreAuthorize("@ss.hasPermi('system:user:list')"),若依项目中用的是自己写的方法进行权限处理, 也可以只用security 来实现权限逻辑代码,下面写如何用security 实现。1、securityConfig文件上加入注解@EnableMethodSecurity,且引入自定义评估器:CustomPermissionEvaluator。2、编写CustomPermissionEvaluator文件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值