SpringSecurity(一)

最新推荐文章于 2024-02-16 09:05:51 发布
最新推荐文章于 2024-02-16 09:05:51 发布
阅读量8.5k 收藏 23
点赞数 9
分类专栏: 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hangkhang/article/details/119679179
版权

在我们的业务处理中,对于安全的管理是必不可少的,也就是认证以及权限,在Spring横行的今天,学习如何使用SpringSecurity是必不可少的,所以最近想深入学习一下SpringSecurity并分享一下自己的学习历程,此次的学习主要以实践+部分源码为主,完成认证+权限+Oauth2+JWT+oos等,最后会做一个demo,来完成此次的SpringSecurity之旅。

简介

Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的 Bean,充分利用了 Spring IoC ,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。主要实现了认证(用户登录)和授权(资源调用)。

具体实现与部分源码分析

不进行任何处理

1、添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-web</artifactId>
</dependency>

2、写一个登录的controller

@Controller
public class LoginController {
   

    @RequestMapping("/login")
    public String login(){
   
        System.out.println("进行登录中");
        return "redirect:main.html";
    }
}

3、创建登录页和主页

<!--login.html-->
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    <form action="/login" method="post">
        用户:<input type="text" name="username">
        密码:<input type="password" name="password">
        <input type="submit" value="提交">
    </form>
</body>
</html>

<!--main.html-->
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
    登录成功
</body>
</html>

4、启动项目测试,访问http://localhost:8080/login.html

启动后访问一个官方提供的页面,用户名默认为user,密码为启动时控制台打印的Using generated security password。

Using generated security password: 90e4c13a-3e17-435a-9835-9a5c6088117f

输入可以正常访问。

认证的进阶(一)

上面这样的处理,很显然是不满足我们在业务中的处理的,我们需要自己的登录页面,也需要有自己的验证逻辑。接下来先从验证逻辑方面说起。

首先我们需要认识一个接口UserDetailsService

public interface UserDetailsService {
   
	//通过username加载一个User,此处的var1即为前端传过来的username.
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}

可以看出该方法返回了一个UserDetails,让我们继续看一下这个东东是啥

public interface UserDetails extends Serializable {
   
    //获取该用户的所有权限
    Collection<? extends GrantedAuthority> getAuthorities();
	//获取密码
    String getPassword();
	//获取用户名
    String getUsername();
	//判断账户是否过期
    boolean isAccountNonExpired();
	//判断账户是否锁定
    boolean isAccountNonLocked();
	//判断凭证(密码)是否过期
    boolean isCredentialsNonExpired();
	//判断账户是否可用
    boolean isEnabled();
}

可以看出它是一个用来存储,账户信息的一个类(它存储的是用户的正确的信息,比如从数据库里查出的),我们继续看一下它的实现类User

public class User implements UserDetails, CredentialsContainer {
   
    private static final long serialVersionUID = 550L;
    private static final Log logger = LogFactory.getLog(User.class);
    private String password;//密码
    private final String username;//用户名
    private final Set<GrantedAuthority> authorities;//权限
    private final boolean accountNonExpired;
    private final boolean accountNonLocked;
    private final boolean credentialsNonExpired;
    private final boolean enabled;

    public User(String username, String password, Collection<? extends GrantedAuthority> authorities) {
   
        this(username, password, true, true, true, true, authorities);
    }
	//此处为构造方法,进行一个参数的填充,在业务中可以将从数据库查询到的数据放入User对象中。
    public User(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {
   
        //如果username和password为空,则抛出Cannot pass null or empty values to constructor
        Assert.isTrue(username != null && !"".equals(username) && password != null, "Cannot pass null or empty values to constructor");
        this.username = username;
        this.password = password;
        this.enabled = enabled;
        this.accountNonExpired = accountNonExpired;
        this.credentialsNonExpired = credentialsNonExpired;
        this.accountNonLocked = accountNonLocked;
        this.authorities = Collections.unmodifiableSet(sortAuthorities(authorities));
    }
	.....
   }

这里还需要说一个PasswordEncoder接口,它是用于对密码进行一个加密,对比。

public interface PasswordEncoder {
   
    //对var1进行加密,使用的是
    String encode(CharSequence var1);
	//对密码进行比对,var1为原生密码,var2为加密后的密码
    boolean matches(CharSequence var1, String var2);
	
    //是否进行了二次加密
    default boolean upgradeEncoding(String encodedPassword) {
   
        return false;
    }
}

官方推荐使用的实现类为BCryptPasswordEncoder,对其加密方式感兴趣的话,可以看看其源码。

如果对以上的俩种类不清楚的话,看一下接下来的实现逻辑就知道他的作用了。

承接上面的代码。

1、进行配置

@Configurat
最低0.47元/天 解锁文章
一只努力成为大佬的行
关注
专栏目录
spring boot security 基本配置
Zllvincent的博客
11-06 3746
一、简介 java 领域常见安全框架有Shiro 和 Spring Security。Shiro 是一个轻量级的安全管理框架,提供认证、授权、会话管理、密码管理、缓存管理。Spring Security 是一个相对复杂的安全管理框架,对Oauth2 支持更友好。 二、流程 1.新建Spring boot Web 项目,pom.xml 添加spring-boot-starter-security 依...
centos7+xampp+testlink环境搭建详细教程
zeyu01的博客
09-11 475
1.下载xampp集成包 下载至:/usr/local/src/ 赋权:chmod -R 777 xampp-linux-x64-7.1.7-0-installer.run 2.安装xampp安装包 安装:./xampp-linux-x64-7.1.7-0-installer.run 有提示时一直输入Y即可,直到安装完成; 3.配置xampp 配置:/opt/lampp/lampp security 根据提示:设置xampp密码(用户名xampp)、phpmyadmin密码(用户名pma)、
Spring web应用中使用Spring Security
最新发布
听海边涛声
02-16 1676
Spring web应用中使用Spring Security
JAVA学习篇——Spring Boot Security
zhang19971014的博客
04-20 8442
1. 关于Spring Boot Security Spring Boot Security是在Spring Boot中使用的,基于Spring Security的依赖项,其本质就是Spring Security框架加上了应用于Spring Boot工程的自动配置。 Spring Security是一款主要解决了认证和授权相关处理的安全框架。 认证:验证用户的身份,例如在登录过程中验证用户名与密码是否匹配。 授权:使得用户允许访问服务器端的某些资源,或禁止访问某些资源,例如管理员可以执行一些数据删除
Spring Security-概述和安全认证
weixin_43404791的博客
04-25 1139
在Java Web中一般使用Servlet过滤器(Filter)对请求进行拦截,然后在过滤器中通过自己的验证逻辑来决定是否放行请求.同样的,Spring Security也是基于这个原理,在进入到DispatcherServlet之前就可以对Spring MVC的请求进行拦截,然后通过一定的验证,从而决定是否放行请求访问系统. 为了对请求进行拦截,Spring Security提供了过滤器Dele...
Spring Cloud Config 系列】- 安全 / Security
代码有毒的博客
06-23 826
安全 / Security 您可以以任何对您有意义的方式保护配置服务器(从物理网络安全到 OAuth2 bearer token), 因为 Spring securitySpring Boot 提供了对许多安全安排的支持。 要使用 spring boot 基于 HTTP Basic security 默认的安全配置, 可以添加依赖 implementation 'org.springfram...
SpringBoot集成Spring Security
码到成功
07-05 1331
1、Spring Security介绍 Spring security,是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准 ——来自官方参考手册 Spring security 和 shiro 一样,具有认证、授权、加密等用于权限管理的功能。和 shiro 不同的是,Spring security拥有比shiro更丰富的功能,并且,对于Springboot而言,Spring Security比Shiro更合适一些,因为都是Spring家族成员。今天,我们来为
利用spring security控制同一个用户只能一次登陆
04-21
标题中的“利用Spring Security控制同一个用户只能一次登录”是指在基于Spring Security的Web应用程序中实现单点登录(Single Sign-On, SSO)的功能,确保同一时间只有一个设备或浏览器会话可以登录同一用户的账户。...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security关闭
云墨知秋的博客
02-11 1010
原因,是因为打开或添加了Spring Security。新年第二个趴,请求无消息,postman请求是空白?输入到浏览器发现要登录?
Spring Boot 整合 Spring Security(详细学习笔记)
yxc852814721的博客
01-30 2442
Spring Boot 整合 Spring Security(详细学习笔记) 目录Spring Boot 整合 Spring Security(详细学习笔记)一级目录二级目录三级目录一、什么是 Spring Security ?二、简单的入门案例1、引入 Spring Security 依赖2、创建 HelloController 类3、运行三、3个重要的过滤器1、FilterSecurityInterceptor 过滤器2、ExceptionTranslationFilter 过滤器3、UsernameP
2020-09-11
weixin_43386594的博客
09-11 520
spring-boot 项目启动时浏览器中弹出需要用户名和密码: 解决1: 假如项目中没有用到安全依赖,直接删掉,重启项目 解决2: 我就是不想删了他的情况下:看控制台:在启动项目时候会显示密码 Using generated security password: fde26b73-8823-4b84-99cb-527a4861eb4f 其用户名就是你电脑登录名,密码就是后面的字母横线数字组合(直接粘贴就行) ...
Spring Security 安全框架 (一) 基础操作
yuanchun的知识整理
11-15 475
Spring Security 安全框架 (一) 基础操作
Spring Security基础使用
我的技术博客
12-09 1124
官方文档:https://docs.spring.io/spring-security/reference/index.htmlsecurity结合servelt:https://docs.spring.io/spring-security/reference/5.6/servlet/getting-started.htmlSecurity 官方示例项目:https://github.com/spring-projects/spring-security-samples/tree/5.6.xSpring S
一篇文章带你入门 SpringSecurity实现密码加密和解码
热门推荐
南淮北安的博客
09-26 1万+
文章目录一、加密和解密1. 为什么要加密2. 加密方案3. PasswordEncoder二、前期准备二、用户配置1. 配置文件2. 配置类 一、加密和解密 1. 为什么要加密 2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个 CSDN 用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后 CSDN 在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。在接下来的十多天里,金山
Spring Security入门:从Acegi到Spring Security的转变
"Spring Security学习总结一" Spring SecuritySpring生态系统中的一个强大且全面的安全框架,源自Acegi Security,自2007年底被纳入Spring Portfolio并更名。它旨在为基于Spring的应用提供声明式安全访问控制,...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值