Spring Security在Spring Boot中的讲解与实战(附源码)

已于 2022-10-28 19:53:10 修改
阅读量1k 收藏 5
点赞数 5
分类专栏: Spring Boot 文章标签: spring java 前端 spring boot mybatis
于 2022-10-28 19:38:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiebaoshayebuhui/article/details/127577354
版权

觉得有帮助请点赞关注收藏~~~

一、什么是Spring Security

Spring Security是一个专门针对Spring应用系统的安全框架,充分利用了Spring框架的依赖注入和AOP功能,为Spring应用系统提供安全访问控制解决方案。

在Spring Security安全框架中,有两个重要概念。一个是授权(authorization),另一个是认证(ahtuentication)。授权即确定用户在当前应用系统下所拥有的功能权限。认证即确认用户访问当前系统的身份

二、Spring Security的基本使用

1:适配器

Spring Security为Web应用提供了一个适配器类WebSecurityConfigurerAdapter 该类实现了WebSecurityConfigurer<WebSecurity>接口,并提供了两个configure方法用于认证和授权操作

2:用户认证

使用AuthenticationManagerBuilder的inMemoryAuthentication()方法可以添加在内存中的用户,并给用户 指定角色权限

3:请求授权

常用方法如下

 三、Spring Boot对Spring Security的支持

在Spring Boot应用中 只需引入spring-boot-starter-security依赖即可使用Spring Security安全框架,这是因为Spring Boot对Spring Security提供了自动配置功能。

接下来通过使用基于Spring Data JPA的Spring Security安全框架来进行实战

1:修改pom.xml文件 添加以下内容

<dependency>

<groupId>mysql</groupId>

<artifactId>mysql-connector-java</artifactId>

<version>5.1.45</version>

</dependency>

2:配置application.properties文件

server.servlet.context-path=/ch7_1
###
##数据源信息配置
###
#数据库地址
spring.datasource.url=jdbc:mysql://localhost:3306/springbootjpa?characterEncoding=utf8
#数据库用户名
spring.datasource.username=root
#数据库密码
spring.datasource.password=root
#数据库驱动
spring.datasource.driver-class-name=com.mysql.jdbc.Driver
####
#JPA持久化配置
####
#指定数据库类型
spring.jpa.database=MYSQL
#指定是否在日志中显示SQL语句
spring.jpa.show-sql=true
#指定自动创建、更新数据库表等配置,update表示如果数据库中存在持久化类对应的表就不创建,不存在就创建对应的表
spring.jpa.hibernate.ddl-auto=update
#让控制器输出的JSON字符串格式更美观
spring.jackson.serialization.indent-output=true 
spring.thymeleaf.cache=false
logging.level.org.springframework.security=trace

3:创建用户和权限 持久化的实体类

用户代码如下

package com.ch.ch7_1.entity;
import java.io.Serializable;
import java.util.List;
import javax.persistence.CascadeType;
import javax.persistence.Entity;
import javax.persistence.FetchType;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
import javax.persistence.JoinColumn;
import javax.persistence.JoinTable;
import javax.persistence.ManyToMany;
import javax.persistence.Table;
import javax.persistence.Transient;
import com.fasterxml.jackson.annotation.JsonIgnoreProperties;
@Entity
@Table(name = "user")
@JsonIgnoreProperties(value = { "hibernateLazyInitializer"})
public class MyUser implements Serializable{
	private static final long serialVersionUID = 1L;
  	@Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private int id;
    private String username;
    private String password; 
    //这里不能是懒加载lazy,否则在MyUserSecurityService的loadUserByUsername方法中获得不到权限
    @ManyToMany(cascade = {CascadeType.REFRESH}, fetch = FetchType.EAGER)
    @JoinTable(name = "user_authority",joinColumns = @JoinColumn(name = "user_id"),
    inverseJoinColumns = @JoinColumn(name = "authority_id"))
    private List<Authority> authorityList;
    
    //repassword不映射到数据表
    @Transient
    private String repassword;
	public int getId() {
		return id;
	}
	public void setId(int id) {
		this.id = id;
	}
	public String getUsername() {
		return username;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	public List<Authority> getAuthorityList() {
		return authorityList;
	}
	public void setAuthorityList(List<Authority> authorityList) {
		this.authorityList = authorityList;
	}
	public String getRepassword() {
		return repassword;
	}
	public void setRepassword(String repassword) {
		this.repassword = repassword;
	}
}

权限代码如下

package com.ch.ch7_1.entity;
import java.io.Serializable;
import java.util.List;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
import javax.persistence.ManyToMany;
import javax.persistence.Table;
import com.fasterxml.jackson.annotation.JsonIgnore;
import com.fasterxml.jackson.annotation.JsonIgnoreProperties;
@Entity
@Table(name = "authority")
@JsonIgnoreProperties(value = { "hibernateLazyInitializer"})
public class Authority implements Serializable{
	private static final long serialVersionUID = 1L;
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private int id;
    @Column(nullable = false)
    private String name;
    @ManyToMany(mappedBy = "authorityList")
    @JsonIgnore
    private List<MyUser> userList;
	public int getId() {
		return id;
	}
	public void setId(int id) {
		this.id = id;
	}
	public String getName() {
		return name;
	}
	public void setName(String name) {
		this.name = name;
	}
	public List<MyUser> getUserList() {
		return userList;
	}
	public void setUserList(List<MyUser> userList) {
		this.userList = userList;
	}
}

4:创建数据访问层接口

package com.ch.ch7_1.repository;
import org.springframework.data.jpa.repository.JpaRepository;
import com.ch.ch7_1.entity.MyUser;
public interface MyUserRepository extends JpaRepository<MyUser, Integer>{
	//根据用户名查询用户,方法名命名符合Spring Data JPA规范
	MyUser findByUsername(String username);
}

5:创建业务层

接口代码如下

package com.ch.ch7_1.service;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.ui.Model;
import com.ch.ch7_1.entity.MyUser;
public interface UserService {
	public String register(MyUser userDomain);
	public String loginSuccess(Model model);
	public String main(Model model);
	public String deniedAccess(Model model);
	public String logout(HttpServletRequest request, HttpServletResponse response);
}

实现类代码如下

package com.ch.ch7_1.service;
import java.util.ArrayList;
import java.util.List;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler;
import org.springframework.stereotype.Service;
import org.springframework.ui.Model;
import com.ch.ch7_1.entity.Authority;
import com.ch.ch7_1.entity.MyUser;
import com.ch.ch7_1.repository.MyUserRepository;
@Service
public class UserServiceImpl implements UserService{
	@Autowired
	private MyUserRepository myUserRepository;
	/**
	 * 实现注册
	 */
	@Override
	public String register(MyUser userDomain) {
		String username = userDomain.getUsername();
		List<Authority> authorityList = new ArrayList<Authority>();
		//管理员权限
		if("admin".equals(username)) {
			Authority a1 = new Authority();
			Authority a2 = new Authority();
			a1.setId(1);
			a1.setName("ROLE_ADMIN");
			a2.setId(2);
			a2.setName("ROLE_DBA");
			authorityList.add(a1);
			authorityList.add(a2);
		}else {//用户权限
			Authority a1 = new Authority();
			a1.setId(3);
			a1.setName("ROLE_USER");
			authorityList.add(a1);
		}
		userDomain.setAuthorityList(authorityList);
		//加密密码
		String secret  = new BCryptPasswordEncoder().encode(userDomain.getPassword());
		userDomain.setPassword(secret);
		MyUser mu = myUserRepository.save(userDomain);
		if(mu != null)//注册成功
			return "/login";
		return "/register";//注册失败
	}
	/**
	 * 用户登录成功
	 */
	@Override
	public String loginSuccess(Model model) {
		model.addAttribute("user", getUname());
		model.addAttribute("role", getAuthorities());
		return "/user/loginSuccess";
	}
	/**
	 * 管理员登录成功
	 */
	@Override
	public String main(Model model) {
		model.addAttribute("user", getUname());
		model.addAttribute("role", getAuthorities());
		return "/admin/main";
	}
	/**
	 * 注销用户
	 */
	@Override
	public String logout(HttpServletRequest request, HttpServletResponse response) {
		//获得用户认证信息
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if(authentication != null) {
			//注销
			new SecurityContextLogoutHandler().logout(request, response, authentication);
		}
		return "redirect:/login?logout";
	}
	/**
	 * 没有权限拒绝访问
	 */
	@Override
	public String deniedAccess(Model model) {
		model.addAttribute("user", getUname());
		model.addAttribute("role", getAuthorities());
		return "deniedAccess";
	}
	/**
	 * 获得当前用户名称
	 */
	private String getUname() {
		return SecurityContextHolder.getContext().getAuthentication().getName();
	}
	/**
	 * 获得当前用户权限
	 */
	private String getAuthorities() {
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		List<String> roles = new ArrayList<String>();
		for (GrantedAuthority ga : authentication.getAuthorities()) {
			roles.add(ga.getAuthority());
		}
		return roles.toString();
	}
}

此处代码太多 需要源码请点赞关注收藏后评论区留言或私信博主

6:创建控制器类

7:创建应用的安全控制相关实现

8:创建用于测试的视图页面

页面效果如下

登录首页

拒绝访问页面 

 用户登录界面

 用户注册界面

showswoller
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
SpringBoot篇——SpringSecurity安全控制深入讲解
我热爱学习,也乐于分享。无论是科技前沿的洞见,还是生活中的小技巧,我都会在这里与你分享。我相信,知识就是力量,而分享则能让这份力量得到更好的传递。
11-28 582
他的底层原理就是当我们成功登录,点击注销,下次登陆的时候rememberMe会向浏览器发送一个Cookie,里面存有登录信息的value。为了我们在写th:标签的时候,可以给我们展示出提示信息,但是我们需要知道的是,不加这个命名空间也不影响代码正常运行。至此,关于安全控制的技术点你已经掌握,这个地方比较难懂,希望你可以认真反复的学习,后续还会持续更新,敬请期待!死代码,主要是通过链式编程,给不同的页面增加一些请求授权的规则,如果符合条件才能访问某个页面。四、配置认证,需要给密码加密,调用如下的方法。
Spring Security系列教程11--Spring Security核心API讲解
一一哥
09-24 2623
前言 经过前面几个章节的学习,一一哥 带大家实现了基于内存和数据库模型的认证与授权,尤其是基于自定义的数据库模型更是可以帮助我们进行灵活开发。但是前面章节的内容,属于让我们达到了 "会用" 的层级,但是 "为什么这么用",很多小伙伴就会一脸懵逼了。对于技术学习来说,我们追求的不仅要 "知其然",更要 "知其所以然"! 本篇文章,壹哥 就跟各位小伙伴一起来了解剖析Spring Security源码内部,实现认证授权的具体过程及底层原理。接下来请各位做好心理准备,以下的学习过程可能会让你心理 “稍有不适”
Spring Security详细介绍及使用含完整代码(值得珍藏)(1)
最新发布
2401_83739284的博客
04-12 555
【代码】Spring Security详细介绍及使用含完整代码(值得珍藏)(1)
SpringSecurity源码分析(一) SpringBoot集成SpringSecuritySpring安全框架的加载过程
xl649138628的专栏
02-19 1364
SpringSecurity源码学习,本文主要讲述Spring安全框架的加载过程
SpringBootSecurity简单入门实现
jingjiaohuan的博客
11-01 1584
以上是10月31日对29日的Security学习进行日常总结。
Spring Boot Spring Security 是什么,如何使用
程序员徐师兄的博客
07-06 1327
如果默认的认证和授权方式无法满足我们的需求,我们可以自定义认证和授权。例如,我们可以创建一个实现了} }} }} }} }} }} }在上面的服务类,我们使用来查询用户信息,并将用户信息转换为对象返回。在返回对象时,我们可以使用方法将用户角色转换为授权列表。类似地,我们也可以创建一个实现了return;return;> clazz) {} }在上面的服务类,我们使用接口的decide方法来判断用户是否有访问资源的权限。
Spring Boot实战派(源码
05-31
Spring Boot实战派》源码提供了丰富的学习材料,旨在帮助开发者深入理解并...通过分析《Spring Boot实战派》源码,读者不仅可以了解上述技术点,还能学习到如何在实际项目应用这些技术,提升开发效率和代码质量。
Java EE 开发的颠覆者 Spring Boot 实战源码
11-16
实战源码,你可能会学习到以下关键知识点: 1. **Spring Initializr**:这是一个在线工具,可以帮助快速初始化 Spring Boot 项目,设置项目的基本信息,如依赖、语言、打包方式等。 2. **Maven 或 Gradle 配置*...
Spring Boot使用 Spring Security 构建权限系统的示例代码
08-29
在本篇文章,我们将主要介绍如何使用Spring Security框架在Spring Boot项目构建权限系统。权限控制是非常常见的功能,在各种后台管理系统权限控制更是重之重。在Spring Boot使用Spring Security构建权限...
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
这是一个基于最新技术栈,包括Spring Cloud 2021、Spring Boot 2.7和OAuth2的RBAC(Role-Based Access Control)权限管理系统的源码项目。该项目旨在提供一套高效、安全的后端服务框架,用于实现用户权限的精细化...
youlai-boot: Spring Boot 3 + Spring Security + Vue3 权限管理系统
05-04
youlai-boot 是【有来开源组织】基于Spring Boot 3 + Spring Security 6 + JWT + Mybatis-Plus + Redis + XXL-Job + Vue3 等主流技术栈搭建的前后端分离权限管理系统。 在线预览地址:http://vue3.youlai.tech 后端...
SpringBoot之整合Spring Security代码
05-08
SpringBoot之整合Spring Security,SpringBoot之整合Spring SecuritySpringBoot之整合Spring SecuritySpringBoot之整合Spring Security
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码
04-22
基于Springboot集成security、oauth2实现认证鉴权、资源管理源码,具体相关博文我发表在https://www.cnblogs.com/xiaofengxzzf/p/10733955.html
SpringSecurity入门01(含源码
栋幺栋幺-的博客
04-10 668
SpringSecurity源码浅析,环境:SpringBoot 2.1 + Mybatis + Spring Security 5.0
Spring Security源码剖析从入门到精通.跟学尚硅谷
星哲最开心
05-29 1479
Spring Security源码剖析从入门到精通.跟学尚硅谷
Spring Security 6.x 系列【50】授权服务器篇之Spring Boot 3.1自动配置
记录知识、锤炼自我
06-02 1012
Spring Boot 3.1添加了Oauth2授权服务器Spring Authorization Server支持。
SpringBoot — 安全框架 Spring Security 详解一
small_love的专栏
12-09 752
一、基本用法 1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot提供的自动化配置方案,可以让Spring Security的使用更加便捷。 2,安装配置 我们只需要编辑pom.xml,添加spring-boot...
Spring Boot:整合Spring Security
11-20 574
综合概述 Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,SpringSecurity和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部.
springboot 集成 spring security 详细 代码
justlpf的专栏
05-19 700
参考文章:springboot 集成 spring security 详细 代码
springsecurity 源码
09-13
Spring Boot 启动时,会加载 spring.factories 文件,该文件包含了对 Spring Security 过滤器链的配置信息。Spring Security 的过滤器链是配置在 Spring MVC 的核心组件 DispatcherServlet 运行之前。这意味着...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

showswoller

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值