SpringBoot 集成 Spring Security

最新推荐文章于 2024-08-02 23:54:15 发布
最新推荐文章于 2024-08-02 23:54:15 发布
阅读量145 收藏
点赞数
分类专栏: spring java 文章标签: spring boot java spring 安全
原文链接:https://www.jianshu.com/p/6a7dcef02bd5
版权
java 同时被 2 个专栏收录
16 篇文章 0 订阅
订阅专栏
spring
7 篇文章 0 订阅
订阅专栏

spring security介绍

Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实上的标准。

Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要求。

特征

  • 对身份验证和授权的全面和可扩展的支持
  • 防止会话固定,点击劫持,跨站点请求伪造等攻击
  • Servlet API集成
  • 可选与Spring Web MVC集成
  • Much more…

自定义User实例

思路流程 用户来访问接口时,根据用户携带的Authorization去查询此用户的角色,再根据设置好的角色所具有的权限进行判断,如果访问的接口是该角色下的接口,则进行接口放行。

 

项目结构

1、maven依赖

 

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>1.5.8.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <project.reporting.outputEncoding>UTF-8</project.reporting.outputEncoding>
        <java.version>1.8</java.version>
    </properties>

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-actuator</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-devtools</artifactId>
        </dependency>

        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.7.0</version>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
    </dependencies>

2、继承WebSecurityConfigurerAdapter配置角色权限

 

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {


    @Autowired
    private UserDetailsService userDetailsService;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }


    @Override
    public void configure(WebSecurity web) throws Exception {
        super.configure(web);
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());//passwoldEncoder是对密码的加密处理,如果user中密码没有加密,则可以不加此方法。注意加密请使用security自带的加密方式。
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()//禁用了 csrf 功能
                .authorizeRequests()//限定签名成功的请求
                .antMatchers("/decision/**","/govern/**","/employee/*").hasAnyRole("EMPLOYEE","ADMIN")//对decision和govern 下的接口 需要 USER 或者 ADMIN 权限
                .antMatchers("/employee/login").permitAll()///employee/login 不限定
                .antMatchers("/admin/**").hasRole("ADMIN")//对admin下的接口 需要ADMIN权限
                .antMatchers("/oauth/**").permitAll()//不拦截 oauth 开放的资源
                .anyRequest().permitAll()//其他没有限定的请求,允许访问
                .and().anonymous()//对于没有配置权限的其他请求允许匿名访问
                .and().formLogin()//使用 spring security 默认登录页面
                .and().httpBasic();//启用http 基础验证

    }

}

此处设置了两个角色:admin,employee;admin可以访问"/decision/**","/govern/**","/employee/*","/admin/**"employee可以访问:"/decision/**","/govern/**","/employee/*";从配置上看admin权限大于employee

3、创建用户继承UserDetailsService

 

@Service
public class UserDetailServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        List<GrantedAuthority> grantedAuthorities = new ArrayList<>();

        //生成环境是查询数据库获取username的角色用于后续权限判断(如:张三 admin)
        //这里不做数据库操作,给定假数据,有兴趣的人可以使内存模式。
        if (username.equals("employee")) {
            Employee employee = new Employee();
            employee.setUsername("employee");
            employee.setPassword("123456");
            GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_EMPLOYEE");
            grantedAuthorities.add(grantedAuthority);
            //创建一个用户,用于判断权限,请注意此用户名和方法参数中的username一致;BCryptPasswordEncoder是用来演示加密使用。
            return new User(employee.getUsername(), new BCryptPasswordEncoder().encode(employee.getPassword()), grantedAuthorities);
        }
        if (username.equals("admin")) {
            Admin admin = new Admin();
            admin.setUsername("admin");
            admin.setPassword("123456");
            GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_ADMIN");
            grantedAuthorities.add(grantedAuthority);
            return new User(admin.getUsername(), new BCryptPasswordEncoder().encode(admin.getPassword()), grantedAuthorities);
        }
        else {
            return null;
        }


    }
}

此处为了方便,不连接数据库,使用假数据进行模拟,生成环境使用数据替代即可。

4、employeeadmin实体创建

 

public class Admin {

    private String username;

    private String password;

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
}

public class Employee {
    private String id;
    private String username;
    private String password;


    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

}

5、测试controller层的代码编写

 

@RestController
@RequestMapping("/admin")
public class AdminController {


    @GetMapping("/greeting")
    public String greeting() {
        return "Hello,World!";
    }

    @GetMapping("/login")
    public String login() {

        return "login sucess";
    }
}

@RestController
@RequestMapping("/employee")
public class EmployeeController {


    @GetMapping("/greeting")
    public String greeting() {
        return "Hello,World!";
    }

    @GetMapping("/login")
    public String login() {

        return "login sucess";
    }
}

最终效果

  • 员工访问员工接口

  • 员工访问管理员接口

  • 管理员访问管理员接口

     

  • 管理员访问员工接口

基于内存的实例

基于内存,表示用户来源于内存;则放弃User使用auth.inMemoryAuthentication()
在上述代码中进行更改即可

 

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
//        auth.userDetailsService(userDetailsService)
//                .passwordEncoder(passwordEncoder());//passwoldEncoder是对密码的加密处理,如果user中密码没有加密,则可以不加此方法。注意加密请使用security自带的加密方式。
        auth.inMemoryAuthentication()
                .withUser("admin").password("123456").roles("ADMIN")
                .and()
                .withUser("employee").password("123456").roles("EMPLOYEE");
    }

效果还是和上述相同,一般用来编写demo使用内存模式,生成环境不常使用

基于数据库模式

原理:让spring security注入datasouce,再编写sql语句,让spring security内部执行sql进行权限判断,这里不做demo演示。


 

hjy930226173
关注
专栏目录
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
Spring Boot集成Spring Security
如何心安理得的在老板眼皮下摸鱼
05-05 1706
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 简言之,Spring Security底层实现为一条过滤器链,用.
Spring Boot】配置 Spring Security
最新发布
书山有路,学海无涯。记录成长,追逐梦想
08-02 1760
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
微服务整合Spring Security实现用户的认证和授权
u014496893的博客
01-31 5447
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
SpringBoot集成SpringSecurity(入门级)
Myth的博客
12-30 1041
目录 Springboot集成SpringSecurity Demo 快速上手-初步入门: 创建单用户单角色的安全控制 多用户多角色的实现思路 每个身份都使用一个登录实体类 另一种思路: 实现细节 关于注解的几种使用方式 @Secured @RolesAllowed SpringSecurity3.0 开始提供了 SpEL表达式 保护方法应用 目录创建于2017-12-18Springb
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
SpringBoot集成Spring Security登录管理 添加 session 共享【完整源码+数据库】
02-16
以上就是关于"SpringBoot集成Spring Security登录管理 添加 session 共享"的详细讲解。通过这个过程,我们可以创建一个安全且具有session共享功能的SpringBoot应用,为用户提供一致的登录体验。实际操作时,应根据...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
1. **SpringBoot集成Spring Security**: 在SpringBoot项目中集成Spring Security,我们通常需要以下几个步骤: - 添加Spring Security依赖到`pom.xml`文件。 - 配置Spring Security,创建一个`...
SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
02-16
Spring Security 默认是账号和密码登录,现在是对 Spring Security 进行扩展,来实现短信验证码方式登录。 SpringBoot 集成 Spring Security短信验证码登录【完整源码+数据库】
springboot集成SpringSecurity
fjd7474的博客
01-12 153
简介 市面上存在比较有名的:Shiro,Spring Security ! 一般来说,常见的安全管理技术栈的组合是这样的: SSM + Shiro Spring Boot/Spring Cloud + Spring Security spring Security官网 项目创建 1. 新建springboot项目,增加web和thymeleay模块 2. 导入相关静态资源 3. controller跳转 @Controller public class RouterController { @
SpringBoot集成SpringSecurity
大宇的博客,欢迎访问
02-03 2593
(1) 直接配置登录 spring: security: user: name: admin password: admin (2) 内存登录 import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation
Spring Boot:整合Spring Security
2401_83384536的博客
05-09 932
Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。
SpringBoot集成Spring Security
Mr.xing的博客
08-29 750
登录
springboot集成springsecurity
Rockandrollman的博客
11-27 226
通过上面的示例,我们看到Spring Security自动给所有访问请求做了登录保护,实现了页面权限控制。
SpringBoot集成spring security
wszhm123的博客
09-12 131
请参考https://blog.csdn.net/qq_34912469/article/details/75666506
springboot集成spring-security
qq_20161461的博客
04-11 99
一、添加依赖: <dependency> <groupId>org.springframework.boot <artifactId>spring-boot-starter-security </dependency> 二、定义三个实体:用户类、角色类、权限类 @Data public class User implements U...
springboot集成springSecurity
05-10
Spring Boot 基于 Spring,自然也集成Spring Security。下面是 Spring Boot 集成 Spring Security 的步骤: 1. 在 pom.xml 中添加 Spring Security 的依赖: ```xml <groupId>org.springframework.boot ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值