Spring Security 文档

最新推荐文章于 2024-07-26 00:55:46 发布
最新推荐文章于 2024-07-26 00:55:46 发布
阅读量1.7k 收藏 1
点赞数
文章标签: spring

        Spring Security OAuth 已经不推荐使用了,最新的OAuth 2.0 的支持由Spring Security提供,官方给出了迁移指南 http://OAuth 2.0 Migration Guide。文档还是摆在一起的, Spring Security 大类里面也有 Spring Security OAuth 的文档。

        Spring Security是一套可定制的授权和访问控制框架,容易扩展适应需要。

架构

        应用安全问题大体可归为两个,认证(Authentication)和授权(authorization )

认证(Authentication)

        AuthenticationManager 是认证的主要策略接口,只有一个方法,authenticate()方法可能返回值有三种:

        1.输入有效,验证通过,返回Authentication 对象                                                                            2.输入无效,验证不通过,抛出异常AuthenticationException ,此异常不需要捕获处理                3.不能确定,返回null

public interface AuthenticationManager {

  Authentication authenticate(Authentication authentication)
    throws AuthenticationException;
}

ProviderManager是最常用的AuthenticationManager的实现,其内部委托AuthenticationProvider 链进行处理。

受保护的资源通常逻辑上可以分组(路径匹配同一个模式,如 /api/** 的资源),每组可以拥有自己专门的AuthenticationManager,通常是ProviderManager,这些ProviderManager共享同一个parent,parent是一种全局的资源,作为所有provider的后备。

定制认证管理

        Spring Security提供了一些帮助工具用于构建AuthenticationManager, AuthenticationManagerBuilder是最常用的帮助工具

配置全局AuthenticationManager的方式

@Configuration
public class ApplicationSecurity extends WebSecurityConfigurerAdapter {

   ... // web stuff here

  @Autowired
  public void initialize(AuthenticationManagerBuilder builder, DataSource dataSource) {
    builder.jdbcAuthentication().dataSource(dataSource).withUser("dave")
      .password("secret").roles("USER");
  }

}

相比之下,使用@Override的将构建一个本地的AuthenticationManager

@Configuration
public class ApplicationSecurity extends WebSecurityConfigurerAdapter {

  @Autowired
  DataSource dataSource;

   ... // web stuff here

  @Override
  public void configure(AuthenticationManagerBuilder builder) {
    builder.jdbcAuthentication().dataSource(dataSource).withUser("dave")
      .password("secret").roles("USER");
  }

}

Spring Boot提供了默认的全局AuthenticationManager ,默认的也是足够安全的,除非你需要自己定制AuthenticationManager 。

访问控制

        一旦认证成功,便可授权访问了,访问控制的核心策略接口AccessDecisionManager,它有三个实现,最后都是委托给AccessDecisionVoter 实例,有点像ProviderManager 委托给AuthenticationProviders。

public interface AccessDecisionVoter<S> {

	int ACCESS_GRANTED = 1;
	int ACCESS_ABSTAIN = 0;
	int ACCESS_DENIED = -1;


	boolean supports(ConfigAttribute attribute);

	boolean supports(Class<?> clazz);

	int vote(Authentication authentication, S object,
			Collection<ConfigAttribute> attributes);
}

object代表用户想访问的资源,attributes是对object的修饰。大部分情况使用默认的AccessDecisionManager,即AffirmativeBased(任意一个vote返回肯定,便可访问资源)。

Web Security

        在web中Spring Security是基于Servlet Filters。客户端发送请求,容器根据uri决定应用哪个Filter和Servlet。最多只有一个Servlet处理请求,但Filter是一个有序链条,可以终止向下,可以修改请求和响应,所以Filter顺序至关重要。

        v3.1开始FilterChainProxy配置SecurityFilterChain链条,用来匹配请求。 

        自定义过滤器链

@Configuration
@Order(SecurityProperties.BASIC_AUTH_ORDER - 10)
public class ApplicationConfigurerAdapter extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.antMatcher("/match1/**")
     ...;
  }
}

请求匹配和授权

@Configuration
@Order(SecurityProperties.BASIC_AUTH_ORDER - 10)
public class ApplicationConfigurerAdapter extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.antMatcher("/match1/**")
      .authorizeRequests()
        .antMatchers("/match1/user").hasRole("USER")
        .antMatchers("/match1/spam").hasRole("SPAM")
        .anyRequest().isAuthenticated();
  }
}

参考:

Securing a Web Application

Spring Security Architecture

OAuth 2.0 Resource Server

小二哥的汤圆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security 官方文档 中文版
10-12
spring security官方文档 中文版 看了下翻译 还是可以的 比其他查到的专业点 希望可以帮助到大家
Spring Security文档
大强博客
01-30 2676
1、项目 https://spring.io/projects/spring-security 2、文档 https://docs.spring.io/spring-security/site/docs/4.2.11.RELEASE/reference/htmlsingle/ 3、中文文档 https://springcloud.cc/spring-security-zhcn.html ...
SpringSecurity中文文档(Project+Modules-Simple)
znjy111的博客
06-19 1018
即使你不用 Maven,我们建议您查阅 pom.xml 文件以了解第三方依赖关系和版本。另一个好主意是检查示例应用程序中包含的库。本节提供了 Spring Security 中模块的参考,以及它们在运行的应用程序中运行所需的附加依赖项。我们不包括仅在构建或测试 SpringSecurity 本身时使用的依赖项。我们也不包括外部依赖项所需的传递依赖项。需要的 Spring 版本在项目网站上列出,因此示例中的 Spring 依赖项省略了特定的版本。
三更草堂 springsecurity 学习文档
songt1122的博客
07-07 7463
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户​ 授权:经过认证后判断当前用户是否有权限进行某个操作​ 而认证
spring-security官方文档地址
johnhuster的专栏
04-27 723
spring-security各个版本官方文档地址
Spring Security Authorization 官方文档分析
qq_37813031的博客
03-06 970
Spring Security Authorization 官方文档分析
SpringSecurity中文文档(Servlet Authentication Architecture)
znjy111的博客
06-26 869
AbstractAuthenticationProcessingFilter 被用作基于用户凭据进行认证的基础 Filter。在凭据可以被认证之前,Spring Security 通常通过使用 AuthenticationEntryPoint 来请求凭据。接下来,AbstractAuthenticationProcessingFilter 可以认证提交给它的任何认证请求。
Spring Security中文文档
程序员小明1024
11-26 5960
Spring Security中文文档 来源:https://www.springcloud.cc/spring-security.html#overall-architecture 作者 Ben Alex , Luke Taylor , Rob Winch , Gunnar Hillert , Joe Grandja , Jay Bryant 5.1.2.RELE...
Spring Security 官网文档学习
热门推荐
young-youth的博客
02-18 1万+
spring 官网的入门指南的学习笔记;
springsecurity教程
二十多岁想退休
03-23 1697
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
spring security 官方文档
10-08
Spring Security官方文档中,包含了详细的配置指南、API参考、示例代码和最佳实践,帮助开发者深入理解并有效使用这个框架。例如,5.1版本的新特性包括对Servlet和WebFlux的支持增强,以及与其他第三方库的集成...
SpringSecurity课程文档下载 pdf 教学
05-05
SpringSecurity课程文档下载 pdf 教学
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 355
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
【过滤器 vs 拦截器】SpringBoot中过滤器与拦截器:明智选择的艺术(如何在项目中做出明智选择)
weixin_68020300的博客
07-25 1066
本文深入剖析了SpringBoot框架下过滤器与拦截器的核心差异及应用场景,指导开发者在面对请求-响应周期中的不同需求时,如何做出最佳技术选择。无论是实现安全性、日志记录,还是权限控制与数据预处理,本文都将帮助你理解何时何地使用过滤器或拦截器,以构建更加高效、可维护的Web应用程序。通过对比二者的特性与优劣,本文旨在赋能开发者,使其在实际项目中灵活运用这两种强大工具,达成项目目标。
Spring Framework】使用完全注解方式开发
最新发布
u013675821的博客
07-26 1013
本文介绍了如何使用 Spring 完全注解化的方式来进行开发。通过使用注解,我们可以减少 XML 配置文件的使用,使项目的配置更加直观和简洁。配置类:使用@Bean等注解定义配置类。数据库配置:使用DataSource以及@Autowired自动装配数据源。服务层和控制器层:使用@Service和注解定义业务逻辑和控制器,并使用@Autowired注入依赖。AOP 和事务管理:通过@Aspect和注解实现日志记录和事务管理。
Spring Security
09-13
Spring SecuritySpring家族中的一个安全管理框架。与另外一个安全框架Shiro相比,Spring Security提供了更丰富的功能,并且拥有更丰富的社区资源。一般来说,中大型的项目更倾向于使用Spring Security作为安全框架,而小项目则更多地选择Shiro,因为Shiro相对于Spring Security来说更容易上手。 在Spring Boot项目中使用Spring Security非常简单,我们只需要引入相应的依赖即可实现入门案例。具体来说,我们可以在项目的pom.xml文件中添加以下依赖: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 引入这个依赖后,Spring Boot会自动配置Spring Security,我们可以在项目中通过配置文件或代码来进行进一步的安全配置。Spring Security提供了一系列的功能和特性,包括身份认证、授权、表单登录、基于角色的访问控制等,可以帮助我们保护应用程序的安全。 总结起来,Spring Security是一个功能丰富且广泛使用的安全管理框架,适用于中大型项目。在Spring Boot项目中使用Spring Security非常简单,只需引入相应的依赖即可实现入门案例。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值