Spring Security

最新推荐文章于 2023-11-01 14:38:10 发布
最新推荐文章于 2023-11-01 14:38:10 发布
阅读量100 收藏
点赞数
分类专栏: 知识点及原理分析 用法 问题解决 文章标签: Spring Security shiro 权限认证 spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hukehukehukehuke/article/details/112959077
版权

什么是Spring Security

Spring Security 是基于Spring AOP和Servlet过滤器的安全框架,它提供全面的安全解决方案,同时在Web请求级别和方法调用级别处理身份确认和授权

Spring Security 核心功能

1、认证(你是谁,用户/设备/系统)

2、验证(你能干什么,也叫权限控制/授权,允许执行的操作)

3、攻击防护(防止伪造身份)

Spring Security原理技术

Filter、Servlet、Spring DI、Spring AOP

常用的安全框架

目前常用的安全框架主要是Spring Security 和Apache Shiro

相同点
1、认证功能
2、授权功能
3、会话功能
4、加密功能
5、缓存支持
6、remeberMe功能

不同点
优点
1、Spring Security基于Spring开发,项目中如果使用Spring 作为基础,配合Spring Security做权限更加方便。而Shiro需要和Spring进行整合

2、Spring Securiy功能闭Shiro更加丰富,例安全防护方面

3、Spring Security 社区资源相比Shiro更加丰富

4、如何使用SpringBoot、SpringCloud的话,三者无缝对接

缺点

1、Shiro的配置和使用比较简单,Spring Security 上手更复杂写

2、Shiro依赖性低,不需要任何框架和容器,可以独立运行,而Spring Security依赖Spring 容器

编码思路

我们要在内存中初始化我们的认证信息的话,那么需要重写WebSecurityConfigurationAdapter类中的configure方法:

configue(AuthenticationManagerBuilder auth)然后通过auth对象的inMemoryAuthentication()方法指定认证信息:
auth.inMemoryAuthentication().withUser(“admin”).password(“123456”)

密码加密

protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /**
         * 基于内存的方式,构建两个用户账号:admin/admin,user/user
         */
        auth.inMemoryAuthentication().
                passwordEncoder(new BCryptPasswordEncoder()).
                withUser("admin").
                password(new BCryptPasswordEncoder().encode("admin")).
                roles();
        
        auth.inMemoryAuthentication().
                passwordEncoder(new BCryptPasswordEncoder()).
                withUser("user").
                password(new BCryptPasswordEncoder().encode("user")).
                roles();
    }

如何给指定的用户指定角色
在这里插入图片描述
如何开启方法级别的安全控制

在这里插入图片描述

如何配置方法级别的权限控制

使用注解@PreAuthorize("hasAnyRole(‘admin’))即可指定访问级别的角色
持续更新

IT--Fly
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
SpringSecurity
Tt5802的博客
01-20 2236
springSecurityFilterChain 找不到异常 1、SpringSecurity 框架简介 ​用户登录系统时我们协助 SpringSecurity把用户对应的角色、权限组装好,同时把各个 ​ 资源所要求的权限信息设定好,剩下的“登录验证”、“权限验证”等等工作都交给SpringSecurity 2、在项目中加入SpringSecurity权限控制 2.1、加入依赖 2.1.1、建议在父工程的pom.xml文件中对子工程的jar包版本统一管理 <!-- 统一管理j
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
最新发布
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
springSecurity
10-14
springSecurity
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
springsecurity
07-23
springsecurity
JSON中toJSONString、ParseObject、parseArray的作用以及用 com.alibaba.fast.JSONArray解析字符串或者List集合
hukehukehukehuke的博客
05-18 5807
(1)parseArray的作用 import com.alibaba.fastjson.JSON; import lombok.Data; import org.junit.Test; import java.util.List; public class JSONTest { @Test public void JSONTest() { //从Redis中查出来的字符串 String str = "[{\"ct_pt\":\"xxx\",\"data_
HTTP协议
hukehukehukehuke的博客
01-18 1738
什么是URI、什么是HTML、什么是HTTP? 1、URI:即统一资源标识符,作为互联网上资源的唯一身份; 2、HTML(HyperText Transfer Protocol):即超文本标记语言,描述超文本文档; 3、HTTP:即超文本传输协议,用来传输超文本。 HTTP各版本之间的差异(0.9、1.0、1.1、2.0、3.0) HTTP/1.0 版本在 1996 年正式发布。它在多方面增强了 0.9 版,形式上已经和我们现在的 HTTP 差别不大了,例如: 1、增加了 HEAD、POST 等新方法; 2
assert是什么以及什么时候用assert
hukehukehukehuke的博客
05-12 1678
断言在软件开发中是一种常用的调试方式,很多开发语言中都支持这种机制。一般来说,断言用于保证程序最基本、关键的正确性。断言检查通常在开发和测试时开启。为了保证程序的执行效率,在软件发布后断言检查通常是关闭的。断言是一个包含布尔表达式的语句,在执行这个语句时假定该表达式为true;如果表达式的值为false,那么系统会报告一个AssertionError。断言的使用如下面的代码所示: 1 assert(a > 0); // throws an AssertionError if a <= 0 断言可
java基础之throws、throw、try、catch、finally用法总结:   1、不管有没有异常,finally中的代码都会执行   2、当try、catch中有return关键字作用
hukehukehukehuke的博客
05-11 1661
JAVA语言是如何进行异常处理的,关键字:throws、throw、try 、catch、finally分别代表什么意义? 在try块中可以抛出异常吗? (1)程序在运行过程中发生错误或异常情况是不可避免的,如果每一个运行时错误都由程序员手动控制和处理,其工作量是不可想象的。 Java语言中的异常处理机制就解决的上述问题,把错误与异常的管理带到了面向对象的世界 (2)java异常分类 Java语言按照错误严重性,从throwale根类衍生出Error和Exception两大派系 Error(错误):程序在
Java基础---abstract class、interface 、extends、implements
hukehukehukehuke的博客
05-13 1648
Java语言中,abstract class 和interface 是支持抽象类定义的两种机制。 正是由于这两种机制的存在,才赋予了Java强大的面向对象能力。 abstract class和interface之间在对于抽象类定义的支持方面具有很大的相似性,甚至可以相互替换, 因此很多开发者在进行抽象类定义时对于abstract class和interface的选择显得比较随意。 abstract class 和 interface 在Java语言中都是用来进行抽象类定义的 1.abstract clas
Linux基础知识及相关命令
hukehukehukehuke的博客
06-12 1234
一、Linux简介 1、LinuxOS体系结构 ----LinuxOS类似UNIX OS ----内核 : 模块化管理 ----Shell: 用户与内核之间交互的一个接口 ----应用工具:编辑器、过滤器 2、软件模式 开源软件(Open Source):软件发布,并公布源代码 闭源软件(Close Source):仅推出可执行的二进制程序 免费软件(Freeware): 共享软件(Shareware): 商业软件(Commercial Software):由开发者出售拷贝并提供软件技术服务,用户只有使用权
认证中心(单点登陆)之SpringSecurity+OAuth2
hukehukehukehuke的博客
08-25 765
认证中心(单点登陆)之SpringSecurity+OAuth2
SpringCloud之Hystrix、Resilience4j、GateWay、Sentinel、Config、Bus、Stream
hukehukehukehuke的博客
08-24 638
SpringCloud之Hystrix、Resilience4j、GateWay、Sentinel、Config、Bus、Stream
Collection、List、Set、Map集合及泛型
hukehukehukehuke的博客
06-13 498
一、Collection集合 集合 : 集合是java中提供的一种容器,可以用来存储多个数据。 数组和集合都是容器,它们的区别 (1)数组长度是固定的,集合长度是可变的 (2)数组中存储的都是同一类型元素,可以存储基本数据类型值。集合存储的都是对象,而且对象的类型可以不一致,在开发中一般当对象多的时候,使用集合进行存储 集合框架 集合按照其存储结构可以分为两大类,分别是单列集合java.util.Collection和双列集合java.util.Map Collection:单列集合的根接口,用于存储一系列

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值