Spring Security

最新推荐文章于 2024-06-14 10:17:52 发布
最新推荐文章于 2024-06-14 10:17:52 发布
阅读量111 收藏
点赞数
分类专栏: notes of spring 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jhlyh/article/details/129522194
版权

启用Spring Security

保护Spring应用的第一步就是将Spring Boot security starter依赖添加到构建文件中。

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

只要添加了该依赖,当应用启动的时候,自动配置功能会探测到Spring Security出现在了类路径中,因此它就会初始化一些安全配置。这时,你可以尝试启动应用访问主页,应用会展示一个登录页面并提示你进行认证。用户名为user,密码会被写出应用的日志文件中。日志条目大致如下所示:

Using generated security password: 893043b6-a647-4f21-8787-70d25c6151a1

假设输入了正确的用户名和密码,你就有权限访问应用了。

通过将security 起步依赖添加到项目的构建文件中,我们得到了以下安全特性:

  • 所有的HTTP请求路径都需要认证
  • 不需要特定的角色和权限
  • 系统只有一个用户,用户名为user

我们需要:

  • 提供多个用户,并提供一个注册页面
    -对不同的请求路径,执行不同的安全规则

配置Spring Security

基础安全配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{

}

配置用户储存

Spring Security为配置用户储存提供了多个可选方案:

  • 基于内存的用户存储
  • 基于JDBC的用户存储
  • 以LDAP作为后端的用户存储
  • 自定义用户详情服务

不管使用那种用户存储,都可以通过覆盖WebSecurityConfigureAdapter基础配置类中定义的configure()方法进行配置。首先,我们可以将如下的方法添加到SecurityConfig类中:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        ...
    }
}

现在,我们需要使用指定的AuthenticationManagerBuilder替换上面的省略号。以此来定义在认证过程中如何查找用户。

基于用户内存的用户存储

用户信息可以存储在内存之中。假设我们只有数量有限的几个用户,而且这些用户几乎不会发生改变,将这些用户定义成安全配置的一部分是非常简单的。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter{


     /*基于内存的用户存储*/

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("buzz")
                .password(passwordEncoder().encode("123"))
                .authorities("ROLE_USER");
    }

}

AuthenticationManagerBuilder使用构造者(builder)风格的接口来构建认证环节。我们调用inMemoryAuthentication方法来指定用户信息。通过withUser()方法来配置用户而密码就是password,用户权限就是authorities方法。

需要注意的是,我们需要定义一个密码编码器,能够用正确方式解析密码。

基于JDBC的用户存储

用户信息通常会在关系型数据库中进行维护,基于JDBC的用户存储方案会更加合理一些。

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.jdbcAuthentication()
                .dataSource(dataSource)
                .usersByUsernameQuery(
                        "select username,password,enabled from Users "
                        + "where username = ?"
                )
                .passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

    DataSource dataSource;

    @Autowired(required = false)
    public SecurityConfig(DataSource dataSource) {
        this.dataSource = dataSource;
    }

在这里的configure实现中,调用了AuthenticationManagerBuilder的jdbcAuthentication方法,我们还必须设置一个DataSource,这样它才能知道如何访问数据库。这里的DataSource是通过自动装配的技巧获得的。

Spring Security内部源码,展现了当查找用户时所执行的SQL查询语句:

public static final String DEF_USERS_BY_USERNAME_QUERY =
  "select username,password,enabled " +
  
最低0.47元/天 解锁文章
jhlyh
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
spring security笔记 默认登陆页面源码
路过君的博客
03-20 410
依赖 spring-security-web 源码 org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
Spring Boot Security - 启用 CSRF 保护
allway2的博客
02-04 2211
在上一篇文章中,我们实现了Spring Boot Security - Password Encoding Using Bcrypt。 但到目前为止,在我们所有的示例中,我们都禁用了 CSRFCSRF 代表跨站点请求伪造。这是一种强制最终用户在当前对其进行身份验证的 Web 应用程序上执行不需要的操作的攻击。CSRF 攻击专门针对状态更改请求,而不是窃取数据,因为攻击者无法查看对伪造请求的响应。 Spring Boot 安全性 - 目录 Spring Boot + 简单的安全配置 Spr...
Spring Security启用CSRF防护(REST版)
fxtxz2的专栏
03-13 819
REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。
Spring Boot中的CSRF攻击及预防
Java徐师兄的博客
07-06 1711
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
Spring Security学习记录-关于登录页面和登录接口设置
放牛娃的博客
03-13 5891
前言 首先在Spring Security中,如果我们不任何配置的话,默认的登录页面和登录地址都是/login,这是为什么呢?如果要把这两个地方设置为我们自定义的又该如何设置呢? 默认情况下-分析过程 在 Spring Security 中,如果我们不任何配置,默认的登录页面和登录接口的地址都是 /login,也就是说,默认会存在如下两个请求: GET http://localhost:8080/login POST http://localhost:8080/login 如果是 GET 请求表示你想
SpringSecurity
m0_74246237的博客
02-01 2037
spring security学习
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springSecurity
10-14
springSecurity
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
Spring Security默认登录页面
ttaannkkee的博客
06-29 7143
使用Spring Security作为权限管理模块的小伙伴们一定醉心于其极少的配置即可满足权限管理需求,以及比springMVC更简洁的filter配置。 在刚开始技术验证的demo阶段相信很多人试过在什么都不配置的时候,只写个接口然后访问是会自动跳转到默认的登录页面"/login"。 按常理,一般人会好奇,这个登录页面在哪儿?应该是个模板引擎提供的模板,并且应该有个ModeAndView绑定的页面。 但实际上并不是。这个默认登录页面其实极其暴力简单。是一个默认filter里面直接写入response
6、Spring之Bean生命周期~创建Bean(2)
sproutBoy的博客
06-10 687
【代码】6、Spring之Bean生命周期~创建Bean(2)
SpringBoot3 整合 Mybatis 完整版
最新发布
northcastle的博客
06-14 278
SpringBoot3 整合 MyBatis 的步骤详细记录
springboot与flowable(2):流程部署
游王子的博客
06-10 292
选择建模器应用程序选择要导出的建模点击导出按钮。将导出的文件复制到项目中。
Spring AI 第三讲Embeddings(嵌入式) Model API 第一讲OpenAI 嵌入
qq_25137131的博客
06-09 867
Spring AI 支持 OpenAI 的文本嵌入模型。OpenAI 的文本嵌入测量文本字符串的相关性。嵌入是一个浮点数向量(列表)。两个向量之间的距离可以衡量它们之间的相关性。距离小表示关联度高,距离大表示关联度低。
SpringBoot内置数据源
2303_79546217的博客
06-11 425
在我们之前学习在配置文件当中配置对应的数据源的时候, 我们设置的数据源其实都是Druid的数据源, 并且其配置有两种方式, 当然这两种方式都需要我们导入对应的有关 德鲁伊 的依赖才行代码如上, 我们已经将对应的数据库的信息都设置完成了, 但是并没有使用哪两种方式, 来设置其数据源具体是什么。
SpringCloud之Zuul源码解析
qq_36851469的博客
06-10 245
Zuul 是在云平台上提供动态路由,监控,弹性,安全等边缘服务的框架。Zuul 相当于是设备和 Netflix 流应用的 Web 网站后端所有请求的前门。Zuul 可以适当的对多个 Amazon Auto Scaling Groups 进行路由请求。其架构如下图所示:Zuul提供了一个框架,可以对过滤器进行动态的加载,编译,运行。过滤器之间没有直接的相互通信。他们是通过一个RequestContext的静态类来进行数据传递的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值