SpringSecurity

已于 2022-02-09 18:31:06 修改
阅读量304 收藏
点赞数
分类专栏: SpringSecurity SpringBoot 微服务 文章标签: 服务器 java-ee 运维 spring spring boot
于 2022-02-09 11:29:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiangtagong/article/details/122838464
版权

在web开发中,安全第一位!常见的有过滤器,拦截器等。使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。使用Spring Security 解决了这些问题,也为你提供许多其他有用的、可定制的安全功能。

一、背景

关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制)。这两点也是Spring Security重要核心功能。“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。“授权”指确定一个主体是否允许在你的应用程序执行一个动作的过程。通俗点讲就是系统判断用户是否有权限去做某些事情。

做网站:安全应该什么时候考虑?设计之初!

  • 漏洞,隐私泄露
  • 架构一旦确定

1)认证

  • 确认用户的身份

2)鉴权(授权)

  • 功能权限
  • 访问权限
  • 菜单权限

二、SpringSecurity简介

2.1 SpringSecurity介绍

SpringSecurity是针对Spring项目的安全框架,也是springboot底层安全模块默认的技术选型,可以实现强大的Web安全控制。对于安全控制,仅需在pom.xml配置文件引入spring-boot-starter-security模块,即可实现强大的安全管理!

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

2.2 SpringSecurity作用

SpringSecurity的两个主要目标是“认证”和“授权”(访问控制)。

  • “认证”(Authentication)
  • “授权”(Authorization)

1)pom.xml配置

        <!-- SpringSecurity -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

2)测试代码

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问,功能页只有对应权限的人才能访问
        //请求授权的规则
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
        //没有权限默认会跳转到登录页面
        //开启登录页面
        http.formLogin();

        //注销
        http.logout();
    }

    //认证
    //最新版本springboot
    //密码编码: PasswordEncoder
    @Override
    protected void configure(AuthenticationManagerBuilder auth) 
                    throws Exception {
        //这些数据正常应该从数据库中获取
        auth.inMemoryAuthentication()
                .passwordEncoder(new BCryptPasswordEncoder())
                .withUser("XiaoChen")
                .password(new BCryptPasswordEncoder()
                .encode("123456")).roles("vip2","vip3")
                .and()
                .withUser("root")
                .password(new BCryptPasswordEncoder()
                .encode("123456")).roles("vip1","vip2");
    }
}

路上的追梦人
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
springSecurity
10-14
springSecurity
Spring Security
qq_45429856的博客
11-22 3713
Spring Security简介 Spring Security是一个高度自定义的安全框架。利用Spring IOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作 spring security 的核心功能主要包括: 认证 (系统认证用户是否登录) 授权 (系统判断用户是否有权限去做某些事情) 攻击防护 (防止伪造身份) Spring Security项目搭建 一:导入依赖 <!--导入spring security依赖-->
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity
07-23
springsecurity
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
服务器数据恢复—ESXi虚拟机中MySQL数据库数据恢复案例
beiya123的博客
05-06 161
服务器数据恢复环境: 某品牌EVA某型号存储中部署VMware ESXi虚拟化平台,数据盘(精简模式)+快照数据盘,虚拟机中有mysql数据库。 服务器故障: 机房意外断电导致该存储中的一台VMware虚拟机无法启动,管理员清空cache并尝试重新启动该虚拟机 ,问题依旧,无法成功启动虚拟机。用户方联系到我们数据恢复中心要求恢复该无法启动的虚拟机中的数据。
【操作指南】银河麒麟高级服务器操作系统内核升级——基于4.19.90-17升级
银河麒麟操作系统的博客
05-06 503
【操作指南】银河麒麟高级服务器操作系统内核升级——基于4.19.90-17升级
Grafana 添加一台管理服务器
jekc2008的专栏
04-30 521
1、修改prometheus.yml。3、导入node文件。
【Linux】进程间通信IPC机制
Atcxr的博客
04-29 1585
梳理了进程间通信IPC常用的代码框架
服务器端口怎么开,服务器端口的开放通常涉及的五个关键步骤
day3ZY的博客
05-06 255
在开放端口之前,您需要确保服务器的防火墙允许通过所选端口的数据传输。如果命令行显示一个成功的连接,那么端口就是开放的。一、您需要确定需要开放的端口。常见的服务器应用程序端口包括HTTP(80端口)、HTTPS(443端口)、FTP(21端口)、SSH(22端口)等。选择适当的端口是确保服务器安全性的重要步骤。三、您需要配置服务器软件以监听您想要开放的端口。服务器端口的开放通常涉及五个关键步骤,包括修改防火墙规则、配置服务器软件以及验证端口是否开放。四、您需要保存更改并重启服务器软件,以使新的端口设置生效。
基于飞腾D2000全国产化高速公路一体化收费站解决方案:站数据服务器、站AI服务器、收费系统、监控系统
YEYUANGEN的专栏
04-29 335
高速公路收费站借鉴国内外经验和先进的软件、硬件、系统构建经验,灵活运用技术标准和指标,充分考虑到了飞腾核 心处理器的功能和性能特点,在技术可行性、保障性、经济性和扩展性等诸多方面进行了设计,根据《公路工程技术标 准》,本项目监控设施等级为A级,全线设置国产监控、收费、通信、照明、配电、管理养护设施,实时收集交通信息并 及时发布,迅速采取相应对策疏导交通、保障行车安全,使交通工程设施总体组成最优化。高速公路一体化收费站解决方案。
Linux下网络编程-简易Epll服务器和客户端
weixin_45256307的博客
05-06 191
Linux下网络编程-简易Epll服务器和客户端
websevere服务器从零搭建到上线(三)|IO多路复用小总结和服务器的基础框架
糖炒栗子
05-06 731
然后通过⼀个叫 Acceptor 的模块,将具体的连接分配给到⼀些叫做 SubReactor 的 模块,在 SubReactor 中对具体的连接进⾏读、编码、计算、解码和写操作(即对 client 请求的响应)。因此,基于select模型的 服务器程序,要达到100万级别的并发访问,是一个很难完成的任务。同时,epoll_wait的效率也非常高,因为调用epoll_wait时,并没有 向操作系统复制这100万个连接的句柄数据,内核也不需要去遍历全部的连接。之后我们主要关注这四个组件的通信即可。
【华为】路由策略小实验
最新发布
2301_77161465的博客
05-06 120
这个是软考中级网络工程师的下午实验题型,可以拿出来敲敲,配置一下,命令记得熟悉点

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路上的追梦人

您的鼓励就是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值