关于SpringBoot整合Security认证授权的使用和介绍;

于 2024-07-27 17:13:32 发布
阅读量684 收藏 10
点赞数 18
文章标签: java 前端 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gzx233/article/details/140738253
版权

认证授权/过滤器:

使用选择:

使用前后端分离后台使用了集群---一定采用token模式。

传统的项目前后端都在一个工程下---基于session模式。

认证授权简介:
认证:

输入账号和密码登录的过程就是认证

认证是为了保护系统的隐私数据与资源,用户的身份合法,方可访问该系统的资源。

认证︰用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法 方可继续访问,不合法则拒绝访问。

常见的用户身份认证方式有:用户名密码登录二维码登录手机短信登录指纹认证等方式

授权:

认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的,控制不同的用户能够访问不同的资源

授权:授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。

用户认证通过后:

为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式基于token方式等。

基于session的认证 :

它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的sesssion_id存放到 cookie中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id 也就无效了。

基于Token的认证:

它的交互流程是,用户认证成功后,服务端生成一个token【令牌】[唯一字符串]【uuid,jwt】发给客户端,客户端可以放到 cookie 或sessionStorage等存储中,每次请求时带上token,服务端收到token通过验证后即可确认用户身份。

token【令牌】

基于session的认证方式由servlet规范定制,服务端要存储session信息需要占用内存资源,客户端需要支持cookie;基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。如今移动互联网时代更多类型的客户端[pC ,android,IOS,]需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token的方式更适合。

认证授权的框架:

  1. shiro 轻量级的认证授权 它可以整合任意框架 它支持javase和javaee

  2. springsecurity 重量级的认证授权框架。它只能和spring整合,只支持javaee web框架。(springboot整合)

springsecurity:
什么是spring security

基于内存的数据。

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Sprirg应用上下文中配置的Bean,充分利用了Spring IOC DI(控制反转Inversion of Control ,DI:Dependency Injection依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 以上解释来源于百度白科。可以一句话来概括,SpringSecurity 是一个安全框架。可以帮我们完成认证,密码加密,授权,rememberme的功能

3.3版本基本使用
@Configuration
@EnableWebSecurity
public class NewMySecurityConfig {
    //定义密码加密器类--------------------------------------
    @Bean
    public PasswordEncoder passwordEncoder(){
        PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
        return passwordEncoder;
    }
    
    //定义多个用户--------------------------------------
    @Bean
    public UserDetailsService myconfigure() throws Exception {
        return new InMemoryUserDetailsManager(
            //定义用户1,用户名
                User.withUsername("qqq")
            //定义用户密码
                        .password(passwordEncoder().encode("123456"))
            //定义用户类型
                        .roles("admin")
            //定义用户权限
                        .authorities("user:list")
            //完成用户1建立
                        .build(),
            //定义用户2
                User.withUsername("www")
                        .password(passwordEncoder().encode("123456"))
                        .roles("admin")
                        .authorities("user:list")
                        .build()
        );
    }
​
    //重新定义登录页;--------------------------------------
    @Bean
    public SecurityFilterChain myconfigure2(HttpSecurity http)throws Exception{
        //定义登录页文件;
        http.formLogin(form->form.loginPage("/login.html")
                       //登录的处理路径;
                       .loginProcessingUrl("/login")
                       //定义登录成功处理路径;
                       .successForwardUrl("/success")
                       //登录失败转发的路径;
                       .failureForwardUrl("/fail")
                       //上面的请求路径无须认证;
                       .permitAll());
        //禁用跨域伪造请求的过滤器;
        http.csrf(item->item.disable());
        //除了上面的请求,其他请求都需要认证;
        http.authorizeHttpRequests(item->item.anyRequest()
                                   .authenticated());
        return http.build();
    }
}

2.7版本基本使用:
  1. 引入依赖
    <!--引入springsecurity的依赖-->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
  2. 创建接口资源
    @RestController
public class HelloController {
​
 @GetMapping("/hello")
 public String hello(){
     return "Hello~~~~~~~~~~~~~~~";
 }
}
    启动项目并访问资源

    发现 自动跳转到登录页面。 因为springsecurity包含了很多过滤器,认证过滤器发现你没有登录就访问资源。默认调整到它内置的登录页面

    image-20240727143203610

    账号为: user

    密码:

    image-20240727143153860

    image-20240727143051965

自定义账号和密码:
#定义账号和密码 一旦自定义了账号和密码 原来自带的就不存在了 这里只能定义一个账号和密码
spring.security.user.name=admin
spring.security.user.password=123456
定义多用户-基于内存:
@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Bean//定义密码加密器(必要!!!)
    public PasswordEncoder passwordEncoder(){
        PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        return passwordEncoder;
    }
​
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            //定义用户名
                .withUser("hhh")
            //定义密码并使用加密器
                .password(passwordEncoder().encode("123456"))
            //当前用户具有的角色
                .roles("admin")
            //当前用户的权限
                .authorities(
            "user:select","user:insert","user:delete","user:update")
            //定义另一个用户
                .and()
            //定义另一个用户名...
                .withUser("www")
                .password(passwordEncoder().encode("123456"))
                .roles("admins")
                .authorities(
            "user:select","user:update");
    }
}
密码加密器:
public class Test {
    public static void main(String[] args) {
        PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
        //用于加密
        String encode = passwordEncoder.encode("123456");
        String encode2 = passwordEncoder.encode("123456");
        System.out.println(encode);
        System.out.println(encode2);
        //安全
        boolean matches = passwordEncoder.matches("123456", encode2);
        System.out.println("是否密码正确:"+matches);//true
    }
}
获取当前用户的信息
 // springsecurity默认把当前用户的信息保存SecurityContext上下文中.
@GetMapping("info")
public Authentication info(){
        //获取SecurityContext对象
        SecurityContext context = SecurityContextHolder.getContext();
        //把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态[]
        Authentication authentication = context.getAuthentication();
        //通过authentication.getPrincipal();方法获取登录对象UserDetails
        UserDetails principal = (UserDetails) authentication.getPrincipal();
        //输出登录对象名;
        System.out.println(principal.getUsername());
        return authentication;
}
修改登录页
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
            //登录页面;
            .loginPage("/login.html")
            //登录的处理路径 默认 /login
            .loginProcessingUrl("/login")
            //登录成功转发的路径 必须为post请求
            .successForwardUrl("/success")
            //登录失败转发的路径 必须为post请求
            .failureForwardUrl("/fail") 
            //上面的请求路径无需认证
            .permitAll();
    //禁用跨域伪造请求的过滤器
    http.csrf().disable();
    //除了上的请求,其他请求都需要认证
    http.authorizeRequests().anyRequest().authenticated();
​
}
秋嶋渔
关注
spring security详解
wumingdu1234的博客
07-15 7030
1.概要 Spring是非常流行和成功的Java应用开发框架,SpringSecurity正是Spring家族中的成员。SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统
Springboot 整合 spring security,简单实现认证授权
weixin_40991408的博客
05-18 900
Springboot 整合 spring security,简单实现认证授权
springboot+springSecurity+jwt实现登录认证后令牌授权
最新发布
09-12
springboot+springSecurity+jwt+mybatisplus实现登录认证后令牌授权
Spring Security 详解
阿水的博客
03-28 1357
Spring Security 是 Spring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。
Spring security详解
r_12xq的博客
01-05 477
一、什么是Spring security Spring Security 是一个安全框架,前身是 Acegi Security , 能够为 Spring企业应用系统提供声明式的安全访问控制。 Spring Security 基于 Servlet 过滤器、 IoC和AOP , 为 Web 请求和方法调用提供身份确认和授权处理,避免了代码耦合,减少了大量重复代码工作。 Spring Security ...
Spring Security 简介
热门推荐
xlecho的博客
04-21 6万+
xl_echo编辑整理,欢迎转载,转载请声明文章来源。更多IT、编程案例、资料请联系QQ:1280023003 百战不败,依不自称常胜,百败不颓,依能奋力前行。——这才是真正的堪称强大!! 本文转载自:https://blog.csdn.net/u012517198/article/details/51648074 在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证授权
04-22
1. **Spring Security认证**:Spring Security的核心在于认证过程,即验证用户的身份。通常,我们可以定义一个`UserDetailsService`来加载用户的详细信息,然后通过`AuthenticationManager`进行认证。一旦用户被认证...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 2535
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
Spring Security详解
每天進步一點點
05-09 1396
在Web开发中,我们在设计之初就需要考虑系统安全的方面,而不是把功能全部实现完成后,再去考虑。那样的话就会造成两难的境地:一方面,应用会存在严重的漏洞,无法满足用户需求,并可能造成用户信息被攻击者窃取;另一方面,应用的基本架构已经确定,想要修复安全漏洞,可能需要对系统做出较大的调整,因此,耗费大量的人力和物力,因此,我们应该从系统开始做的第一天就应该把安全策略考虑进去,并贯穿在整个应用开发过程中。
SpringSecurity详解
csdn_xsong的博客
01-17 299
SpringSecurity详解 登录实现: import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.u
Spring Security介绍
松篁
02-09 98
Spring Security介绍 Spring Security是一种为基于Spring的应用程序提供说明性安全保护的安全框架。它提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。在Spring Framework基础上,Spring Security充分利用了依赖注入(DI,Dependency Injection)和面向切面技术。 1 Spring Sec...
SpringSecurity简介
justlpf的专栏
04-10 1457
SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLocal实现的(),这样就保证了本线程内所有的方法都可以获得SecurityContext对象。
spring security详细介绍
c1951489724的博客
06-22 378
https://www.cnblogs.com/demingblog/p/10874753.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值