SpringSecurity学习

最新推荐文章于 2023-08-12 06:00:00 发布
最新推荐文章于 2023-08-12 06:00:00 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: 2020年前
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_38313789/article/details/80849436
版权

1 RBAC

Role-Based Access Control(给予角色的权限控制访问)

2 认证管理


Basic认证:

    一个请求到来时,浏览器弹出对话框,让用户输入用户名和密码,并用base64进行编码,实际是username:password进行base64编码。浏览器会在http报文头部加上base64编码的内容,服务器通过解析出这些信息,并进行认证通过才可以访问。

两个明显缺点:

    1.无状态的,每次都必须带上认证信息

    2.传输安全性不足,用的base64编码,基本上就属于铭文传输

Digest认证:

    主要用来解决Basic认证带来的安全问题,采用了challenge-response的认证模式。当访问特定的资源时,浏览器依旧弹出对话框,让用户输入用户名密码。浏览器会对 用户名、密码、http请求方法、被请求资源的URI等组合后,进行MD5运算,之后把计算得到的摘要信息发送给服务器。服务器web容器获取到http报文头部相关的认证信息后,从中获取username,根据username获取数据库中对应的密码,同样对 用户名、密码、http请求方法、被请求资源的URI等组合进行MD5运算,将运算结果与报文头部中获取的比较,相同则认证通过

     缺点:

        认证的报文被攻击者拦截到,攻击者也可以获取到资源

X.509证书认证:

    包含以下信息,X.509的版本号、证书持有人的公钥、证书的序列号(是由CA给与的)、主体信息、证书有效期、证书认证机构、发布的数字签名、签名的算法等等。已经被广泛应用在对电子邮件进行签名,对程序代码进行认证,以及对其他类型的数据进行认证等等。

LDAP认证:

    轻量级的目录访问协议(Lightweight Directory Access Protocol

Form认证

3 权限拦截


SecurityContextPersistenceFilter

LogoutFilter

AbstractAuthenticationProcessingFilter

DefaultLoginPageGeneratingFilter

BasicAuthenticationFilter

SecurityContextHolderAwareRequestFilter

RememberMeAuthenticationFilter

AnonymousAuthenticationFilter

ExceptionTranslationFilter

SessionManagementFilter

FilterSecurityInterceptor

FilterChainProxy

4 数据库管理


5 权限缓存

CachingUserDetailsService

EhCacheBasedUserCache

我们不仅会缓存userCache,还会缓存用户权限相关的一些信息。

我们也不仅会使用内存级别的cache和Ehcache,还会使用Redis,Memcache....

6 自定义决策

AbstractAccessDecisionManager

AccessDecisionVoter

RoleVoter

AffirmativeBased 一票通过

ConsensusBased 一半以上资源投票通过

UnanimousBased 全票通过

7 基于SpringBoot的SpringSecurity环境快速搭建与验证

start.spring.io


@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter{

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .anyRequest().authenticated()
                .and()
                .logout().permitAll()
                .and()
                .formLogin();
        http.csrf().disable();
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/js/**","/css/**","/images/**");
    }
}
@SpringBootApplication // 用来替代@Configuration @EnableAutoConfiguration @ConmponentScan这三个注解
@RestController // 是@Controller和@ResponseBody的合体
@EnableAutoConfiguration  // @EnableAutoConfiguration(exclude = {DataSourceAutoConfiguration.class})
public class DemoApplication {

    public static void main(String[] args) {
        SpringApplication.run(DemoApplication.class, args);
    }

    @RequestMapping("/")
    public String home() {
		return "hello spring boot";
    }

    @RequestMapping("/hello")
    public String hello() {
        return "hello world";
    }

}
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>

	<groupId>com.gzw</groupId>
	<artifactId>demo</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<packaging>war</packaging>

	<name>demo</name>
	<description>Demo project for Spring Security</description>

	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.0.3.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>

	<properties>
		<project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
		<project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<!--<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-tomcat</artifactId>
			<scope>provided</scope>
		</dependency>-->
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>


</project>



心灵泽尘
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security详解
wumingdu1234的博客
07-15 7005
1.概要 Spring是非常流行和成功的Java应用开发框架,SpringSecurity正是Spring家族中的成员。SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统
SpringSecurity学习笔记
HRX98的博客
01-14 472
SpringSecurity
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1239
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Security学习之路
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
spring security学习笔记
最新发布
08-02
spring security学习笔记
spring security (史上最全)
架构师尼恩
04-21 5955
一般意义来说的应用访问安全性,都是围绕认证(Authentication)和授权(Authorization)这两个核心概念来展开的。即:认证这块的解决方案很多,主流的有、、等(不巧这几个都用过-_-),我们常说的单点登录方案(SSO)说的就是这块,授权的话主流的就是spring security和shiro。shiro比较轻量级,相比较而言spring security确实架构比较复杂。但是shiro与 ss,掌握一个即可。这里尼恩给大家做一下系统化、体系化的梳理,供后面的小伙伴参考,提升大家的 3高 架
SpringSecurity
iiiis的博客
08-31 1107
::: tip SpringSecurity是什么Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。Spring Security致力于为Java应用程序提供身份验证和授权的能力。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。::: 2.创建接口 3.访问接口 ​ 2.通过创建配置类实现设置 3.编写自定义实现类(常用) 第一步:编写UserDetailsService实现类,可以从数据库中获取用户
SpringSecurity详解
m0_71012114的博客
10-19 5021
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
SpringSecurity 总结
qq_45525848的博客
06-10 4803
Spring Security 总结
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 2088
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
SpringSecurity超详细入门介绍
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍下SpringSecurity的使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
springSecurity 学习
05-05
Spring Security 是一款基于 Spring 框架的安全框架,提供了一系列的安全解决方案,例如身份验证、授权、攻击防护等。在使用 Spring Security 时,可以很方便地集成到 Spring 应用程序中,提供安全保护。 下面是 Spring Security 的一些学习资源: 1. 官方文档:Spring Security 官方文档提供了详细的使用说明和示例代码,是学习 Spring Security 的不二之选。 2. Spring Security 中文文档:中文翻译的 Spring Security 官方文档,对于英文不好的同学来说是个不错的选择。 3. Spring Security 实战:这是一本由 Spring Security 的核心开发人员编写的书籍,详细介绍了 Spring Security 的使用和实践。 4. Spring Security 视频教程:这是一套由尚硅谷提供的 Spring Security 视频教程,包含了 Spring Security 的基础和高级应用。 5. Spring Security 源码解析:这是一篇由阿里巴巴技术专家写的 Spring Security 源码解析文章,对 Spring Security 的实现原理进行了深入分析。 除了以上资源之外,还可以通过实践来学习 Spring Security,例如通过搭建一个简单的 Spring Security 应用程序,逐步深入了解 Spring Security 的使用和原理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值