安全认证:Spring Security使用

最新推荐文章于 2022-08-03 11:53:35 发布
最新推荐文章于 2022-08-03 11:53:35 发布
阅读量213 收藏
点赞数
分类专栏: JAVA
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lameraaa/article/details/104212789
版权

概念

Spring Security是 Spring 项目组中用来提供安全认证服务的框架。
包括两个操作:

  • 认证
  • 授权

配置使用

第一步:在pom.xml中导入依赖

		<dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

第二步:在web.xml中添加filter
注意:springSecurityFilterChain不可更改

	<context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>
 	<filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

第三步:创建spring-security.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:security="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans          
    http://www.springframework.org/schema/beans/spring-beans.xsd          
    http://www.springframework.org/schema/security          
    http://www.springframework.org/schema/security/spring-security.xsd">
    
    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    
    <!-- 
    	配置具体的规则 
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="false">
    	<!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
    	<security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
    	
    	<!-- 自定义登陆页面,login-page 自定义登陆页面 authentication-failure-url 用户权限校验失败之 后才会跳转到这个页面,如果数据库中没有这个用户则不会跳转到这个页面。 default-target-url 登陆成功后跳转的页面。 注:登陆页面用户名固定 username,密码 password,action:login -->
    	<security:form-login  
    		login-page="/login.jsp"
            username-parameter="username"
            password-parameter="password"
            login-processing-url="/login.do"
            default-target-url="/index.jsp"
            authentication-failure-url="/failer.jsp"
    	/>
    	
    	<!-- 关闭跨域请求 -->
    	<security:csrf disabled="true"/>
    	
    	<!-- 退出 -->
    	<security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />
    	
    </security:http>
    
    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
    	<security:authentication-provider user-service-ref="userService">
    		<!-- 配置加密的方式 -->
    		<security:password-encoder ref="passwordEncoder"/>
    	</security:authentication-provider>
    </security:authentication-manager>
    
    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    
    <!-- 提供了入门的方式,在内存中存入用户名和密码 
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->
    
 </beans>

Spring Security使用数据库认证

使用UserDetails、UserDetailsService来完成认证操作。

  • UserDetails:一个接口,用于封装当前进行认证的用户信息
public interface UserDetails extends Serializable { 
	Collection<? extends GrantedAuthority> getAuthorities(); 
	String getPassword(); 
	String getUsername();
	boolean isAccountNonExpired(); 
	boolean isAccountNonLocked(); 
	boolean isCredentialsNonExpired(); 
	boolean isEnabled(); 
}

由于其是一个接口,所以我们可以对其进行实现,也可以使用Spring Security提供的一个UserDetails的实现类User来完成操作。
以下是User类的部分代码:

public class User implements UserDetails, CredentialsContainer { 
	private String password; 
	private final String username; 
	private final Set<GrantedAuthority> authorities; 
	private final boolean accountNonExpired; //帐户是否过期 
	private final boolean accountNonLocked; //帐户是否锁定 
	private final boolean credentialsNonExpired; //认证是否过期 
	private final boolean enabled; //帐户是否可用
  • UserDetailsService
    源码:
public interface UserDetailsService { 
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException; 
}

具体操作

在这里插入图片描述
service层:
接口


public interface IUserService extends UserDetailsService{
    
}

实现类:

@Service("userService")
@Transactional
public class UserServiceImpl implements IUserService {

    private IUserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = userDao.findByUsername(username);


        User user = new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),userInfo.getStatus()==0?false:true,true,true,true,getAuthority(userInfo.getRoles()));
        return null;
    }

    private List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> authorities = new ArrayList<>();
        for (Role role:roles) {
            authorities.add(new SimpleGrantedAuthority("ROLE_" +role.getRoleName()));
        }
        return authorities;
    }
}
Nine_xu
关注
专栏目录
Java Spring Security 安全框架:(八)访问控制 url 匹配
地球村
10-12 1580
访问控制 url 匹配1.anyRequest()2.antMatcher()3.regexMatchers()4.mvcMatchers() 在前面讲解了认证中所有常用配置,主要是对 http.formLogin() 进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests() 也支持连缀写法,总体公式为: url 匹配规则.权限控制方法 通过上面的公式可以有很多 url 匹配规则和
Springboot 跟 Springsecurity 权限验证,和用户登录
m0_46937429的博客
12-23 562
准备工作,导入依赖 <!--引入thymeleaf依赖--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-thymeleaf</artifactId> </dependency> <!-
Spring Security认证
HaiYun
07-01 460
Spring Security认证Spring Security认证基本原理与两种认证方式过滤器链认证方式1、HttpBasic认证2、fromLogin登录认证模式表单认证自定义表单登录基于数据库实现认证功能密码加密认证获取当前登录用户Remmber me 记住我退出登录Session管理会话超时并发控制集群sessioncsrf防护机制CSRF原理CSRF防御策略跨域与CORS跨域解决跨域基于SpringSecurity的CORS支持 Spring Security认证基本原理与两种认证方式 首先在工程
SpringCloud Security 安全认证
hanjiaqian的博客
12-01 451
1、加入jar <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、resource下yml文件添加 # 安全认证的配置 security: basic: enabled: false #是否生成随
如何在项目中使用权限框架Spring-Security
Gary_lyy的博客
03-13 688
一、认识Spring-Security 1.概念: 概述: Spring-Security Spring中提供安全认证服务的框架 认证:验证用户密码是否正确的过程 授权:对用户能访问的资源进行控制 https://mvnrepository.com/ SpringSecuritySpring提供的一个安全框架,提供认证和授权功能,最主要的是它提供了简单的使用方式,同时又有很高的灵活性,简单,...
springsecurity-collection:springsecurity安全框架的一些使用
04-28
安全框架SpringSecurity的基本应用 test-ss-11 集成spring security 自定义认证成功和认证失败的handler 自定义访问拒绝的handler(权限不足) 自定义退出登录成功的handler MockUserList是模拟用户列表 authorize...
玩转SpringBoot安全管理:SpringSecurity介绍及入门、自定义用户认证及授权管理、MVC Security安全配置介绍(内存和JDBC身份认证实现)
Xmumu_的博客
08-02 2491
进来玩转spring安全管理
spring-security-digest:spring-security 与摘要认证示例
06-21
在这个特定的示例 "spring-security-digest" 中,我们关注的是摘要认证(Digest Authentication),这是一种比基本认证安全的身份验证机制,因为它不直接在请求中传递明文密码。 摘要认证的基本原理是,服务器向...
玩转SpringBoot安全管理:SpringSecurity之UserDetailService身份认证
Xmumu_的博客
08-03 3747
SpringSecurity身份认证之UserDetailsService
spring-security:Spring安全测试项目
06-20
通过深入研究这个“Spring Security”测试项目,开发者不仅能了解Spring Security的基本用法,还能学习到如何在实际项目中应用和扩展这个框架,以满足复杂的安全需求。无论是初学者还是经验丰富的开发者,都能从中...
Spring Security】增加RSA密文传输登录
Wilson的博客
09-30 4327
背景 由于原来登录表单和oauth/token使用时,是走明文传输的。为了保证传输中不容易被窃取,采用RSA加密明文密码后再进行传输,后台仍然是BCrypt的方式存入数据库。但通过查阅资料,有些写法是通过继承PasswordEncoder的方式实现,但在5.x版本中,自定义的加密器会缺少id,所以需要换个方式实现。 版本 Spring Security:5.x 预定方案 或许...
spring-security的权限验证
qq_42588782的博客
07-28 403
导入jar包 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <dependency> &l...
spring-security框架引入依赖
weixin_30797199的博客
09-03 2409
<!--引入security依赖--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <...
Springboot&security基于前后端分离的RSA密码加密登录流程
AbsolutelyNT的博客
09-13 7016
一、RSA加密简介   RSA加密是一种非对称加密。可以在不直接传递密钥的情况下,完成解密。这能够确保信息的安全性,避免了直接传递密钥所造成的被破解的风险。是由一对密钥来进行加解密的过程,分别称为公钥和私钥。两者之间有数学相关,该加密算法的原理就是对一极大整数做因数分解的困难性来保证安全性。通常个人保存私钥,公钥是公开的(可能同时多人持有)。    二、RSA加密   加密是为...
Spring Security的快速入门
qq_43299794的博客
10-16 198
Spring Security的快速入门欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导...
spring security如何添加无需鉴权的接口?
热门推荐
开发者导航
05-12 1万+
1、在项目中找到spring security的配置文件2、修改配置文件找到configure()方法,添加不需要鉴权的接口请求:.antMatchers("/demo/**").anonymous()packagecom.ryi.rpcs.framework.config; importcom.ryi.rpcs.framework.security.filt...
SpringBoot集成SpringSecurity
学不死就往死里学
08-14 764
SpringSecurity 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应
Spring Security 安全认证简单入门
03-27 1792
废话不说了,直接上代码   看注释应该丢会吧  到时候改下用户名  和密码即可第一步:导包  pom.xml&lt;!--安全认证  --&gt;                    &lt;dependency&gt;                    &lt;groupId&gt;org.springframework.security&lt;/groupId&gt;          ...
Spring Security认证授权-权限验证使用教程(一)
Jokers_lin的博客
05-12 6253
spring security核心组件有: SecurityContext、SecurityContextHolder、Authentication、Userdetails 和 AuthenticationManager等
SpringBoot安全实践:SpringSecurity入门与权限管理
"SpringSecuritySpring Boot中用于安全管理的框架,能有效地实现用户权限控制和访问控制,常用于大型项目的身份验证和授权。本资源提供了一篇SpringSecurity的入门代码示例,适合初学者理解并实践。配合参考博客,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值