StringSrcurity的基本概念

最新推荐文章于 2024-05-31 13:53:22 发布
最新推荐文章于 2024-05-31 13:53:22 发布
阅读量396 收藏
点赞数 1
分类专栏: spring-security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liming0025/article/details/121890156
版权

一、基本概念 

1、认证:确定使用者是否有权限,判断身份是否合法,基于用户名密码、二维码、短信验证码等

2、会话:为了避免用户每次操作都认证,让用户在登录一次后创建一个会话,在特定时间内,就不需要认证了,基于session、token等

3、授权:使用者是否对资源拥有权限,控制不同用户访问不同资源

授权的数据模型

简单理解为Who对What进行How操作。Who:主题、What:资源、How:权限(数据、功能)。

RBAC 

  • 基于角色的访问:判断主体是否有某些角色,当角色改变,可能要修改
  • 基于资源的访问:判断主体是否有访问资源的权限

二、基于Session的认证方式

1、认证流程:采用servlet规范,认证成功后,服务端给客户端返回sessionId,客户端存放到cookie中。

2、认证方式就是简单的流程登陆、采用过滤器进行权限方式拦截

三、基于String Security

1、spring security 提供了拦截器,用于权限校验,需要在配置文件或者配置类中进行配置

2、spring security 提供了登陆(login)、退出登陆(logout)页面,都是可以自定义的

3、spring security 提供了用户校验的功能,但是需要开发者提供一个UserDetailsService,主要作用就是给spring security返回用户信息,让其进行校验,同时定义密码编译器 4、初始化spring security 环境

5、spring security 授权,无权限返回都是403

四、spring boot 集成 spring security

只要引入,即可:

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

简单的配置类:

package com.example.demo.conf;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

/**
 * spring security configuration
 */
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    @Override
    public UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        //在内存中创建几个用户,正常应该自己些
        manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
        manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
        return manager;
    }

    /**
     * 密码的编码方式
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }

    /**
     * 一些简单权限配置
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //访问 /r/r1 的用户必须有p1 权限
                .antMatchers("/r/r1").hasAnyAuthority("p1")
                //访问 /r/r2 的用户必须有p2 权限
                .antMatchers("/r/r2").hasAnyAuthority("p2")
                //所有的 /r开头的请求都进行权限验证
                .antMatchers("/r/**").authenticated()
                //都放行
                .anyRequest().permitAll()
                .and()
                //登陆可以使用表单提交
                .formLogin()
                //成功后跳转的地址
                .successForwardUrl("/login-success");
    }
}

MG-net
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security(一):springsecurity 功能
lyzchengxuyuan的博客
05-14 710
Spring Security 是一个非常流行和强大的框架,它提供了许多内置的安全功能,例如认证、授权、密码管理和会话。
String security安全框架
userNameSun的博客
07-16 499
String security安全框架第一步:导包&lt;!-- 身份验证 --&gt;        &lt;dependency&gt;            &lt;groupId&gt;org.springframework.security&lt;/groupId&gt;            &lt;artifactId&gt;spring-security-web&lt;/ar...
# String-security(配置异常处理器,封装JWT工具类)
m0_74795259的博客
12-10 563
为了在前后端分离项目中使用 JWT ,我们需要达到 2 个目标:在用户登录认证成功后,需要返回一个含有 JWT token 的 json 串。在用户发起的请求中,如果携带了正确合法的 JWT token ,后台需要放行,运行它对当前 URI 的访问在spring security项目中添加nimbus坐标即可。
Spring Security系列教程12--Spring Security认证授权流程
一一哥
09-24 5335
在上一章节中,一一哥 带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了 "知其所以然"! 本篇文章中,壹哥 带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧...... 一. Spring Security认证授权流程图概述 在上一章节中,壹哥就给各位贴出过Spring Security的认证授权流程图,该图展示了认证授权时经历的核心AP...
关于Spring Security框架详解!!!
m0_73051910的博客
10-18 527
Spring Security框架是开发中十分常用的框架,主要用于解决认证和登录等问题。很多项目中都需要基于Spring Security和JWT实现单点登录,这是开发中绕不开的问题。同时它也是很复杂的,这篇文章将帮你快速了解Spring Security框架和JWT。
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
securitystringstring的互相转换
orichisonic的专栏
06-14 5559
/// /// Demonstrate how to convert SecureString into String /// static String SecureStringToString(SecureString value) { IntPtr bstr = Marshal.Secu
JAVAEE之多线程进阶(2)_ CAS概念、实现原理、ABA问题及解决方案
2301_80653026的博客
05-29 1366
CAS全称Compare and swap,字面意思:”比较并交换“,它是一条 CPU 并发原语,用于判断内存中某个值是否为预期值,如果是则更改为新的值,这个过程是原子的。全称 Compare and swap, 即 “比较并交换”. 相当于通过一个原子的操作, 同时完成 “读取内存, 比较是否相等, 修改内存” 这三个步骤. 本质上需要 CPU 指令的支撑。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 878
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Spring6基础笔记
质胜文则野,文胜质则史。文质彬彬,然后君子。
05-21 1198
Spring 是一款主流的 Java EE 轻量级开源框架 ,Spring 由“Spring 之父”Rod Johnson 提出并创立,其目的是用于简化 Java 企业级应用的开发难度和开发周期。Spring的用途不仅限于服务器端的开发。从简单性、可测试性和松耦合的角度而言,任何Java应用都可以从Spring中受益。Spring 框架除了自己提供功能外,还提供整合其他技术和框架的能力。Spring 自诞生以来备受青睐,一直被广大开发人员作为 Java 企业级应用程序开发的首选。时至今日,Spring 俨然
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
Itmastergo的博客
05-31 486
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
java多线程创建方式
weixin_57763462的博客
05-28 1042
这种方式是通过创建一个实现了Runnable接口的类,并实现run()方法来创建线程。然后将这个类的对象作为参数传递给Thread类的构造器,并调用Thread对象的start()方法来启动线程。这种方式是通过创建一个实现了Callable接口的类,实现call()方法,并使用FutureTask或者ExecutorService来创建线程。这种方式的优点在于,由于Java不支持多重继承,如果你的类需要继承其他类,那么实现Runnable接口将是唯一的选择。// 在这里定义线程的执行逻辑。
Redis学习笔记【基础篇】
qq_42192253的博客
05-30 768
这样以来,我们就可以把不同类型的数据区分开了。从而避免了key的冲突问题。HSET key field value:添加或者修改hash类型key的field的值。获取sorted set 中的指定元素的排名:ZRANK key member。HGET key field:获取一个hash类型key的field的值。通过给key添加前缀加以区分,不过这个前缀不是随便加的,有一定的规范。HMSET:批量添加多个hash类型key的field的值。HMGET:批量获取多个hash类型key的field的值。
C语言基础——数组
2302_80177460的博客
05-27 1043
C语言基础——字符串与数组及部分操作符-CSDN博客),这里再简单说明一下吧。我们都知道,如果我们在C语言中想要创建很多个变量,如果是一个一个创建的话那效率太低下了,这个时候或许会有人想到用循环来搞定,但是我们再细想想,如果用循环来表示的话我们应该把这组数据储存在哪里呢,如果只是创建一个变量的话那么后一次循环会覆盖掉前一次循环,但是如果创建很多个变量的话又不好在循环之中插入,这个时候我们便可以使用我们心心念念的数组啦。我们这一章节就来具体看看数组到底是什么吧。
Java入门基础教程-字面量、变量、关键字与标识符
码客笔记
05-27 153
变量是存储数据值的容器,其值可以在程序执行过程中被修改。变量有一个名字(即标识符),并且总是与特定的数据类型相关联。在Java中,变量的声明和初始化是分开的,但也可以同时进行。大家不要被这个词搞晕了,它其实很简单,我们知道计算机是来处理数据的,字面量其实就是告诉程序员数据在程序中的书写格式。所谓标志符其实就是我们自己取的名字。像前面我们取的类名,变量名其实都是标志符。如何识别那些单词是关键字?
继承与无参构造器
2301_79842503的博客
05-30 185
Java中,当你创建一个子类的实例时,如果子类构造函数没有显式地调用父类的构造函数,那么编译器会自动插入一个对父类无参构造函数的调用(如果父类中存在这样的构造函数)。这是Java中构造函数链式调用的一个基本规则,确保父类在子类之前被正确初始化。这个过程是Java中对象初始化的一个重要部分,确保在子类访问或修改从父类继承的任何状态之前,父类已经完成了其自己的初始化。的构造函数内部,你输出了"Student()无参构造器后执行了",这是在。的构造函数执行之后发生的。的构造函数执行之前,编译器会自动先调用。
Servlet搭建博客系统
Smarmot的博客
05-31 262
现在我们可以使用Servlet来搭建一个动态(前后端可以交互)的博客系统.(使用Hexo只能实现一个纯静态的网页,即只能在后台自己上传博客)
Java EE】网络原理——HTTP请求
2301_79719531的博客
05-28 1398
Cookie存储了一个字符串,这个数据可能是客户端(网页)自行通过JS写入的,也可能来自于服务器(服务器在HTTP响应的header中通过Set-Cookie字段给浏览器返回数据)互联网上的每个文件都有一个唯一的URL,它包含的信息指出文件的位置以及浏览器应该怎么处理它呢?在登陆页面,输入用户名,密码,验证码之后,点击登录,就可以看到POST请求。另外,HTML中的LInk,img,script等标签,也会触发GET请求。协议名,IP地址/域名,端口号,带层次的文件路径,查询字符串,片段标识。
CobaltStrike基本渗透
最新发布
banliyaoguai的博客
05-31 577
CobaltStrike(简称CS)是一款专业的团队作战渗透测试工具,包含客户端和服务端两个部分。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值