spring实战笔记——spring security

最新推荐文章于 2021-08-24 21:23:33 发布
最新推荐文章于 2021-08-24 21:23:33 发布
阅读量262 收藏
点赞数
分类专栏: 四、spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lovesman/article/details/105902765
版权

Spring Security是一种基于Spring AOP和Servlet规范中Filter实现的安全框架,它能够在Web请求级别和方法调用级别处理身份认证和授权。Spring Security充分利用了依赖注入和面向切面的技术。

过滤Web请求

Spring Security借助一系列Servlet Filter来提供各种安全性功能。
DelegatingFilterProxy是一个特殊的Servlet Filter,它本身所做的工作并不多。只是将工作委托给一个javax.servlet.Filter实现类,这个类作为一个注册在Spring应用的上下文中。
在这里插入图片描述

编写简单的安全性配置

@Configuration
@EnableWebSecurity
public  class SecurityCOnfig extends WebSecurityConfigurerAdapter{}

@EnableWebSecurity注解将会启动Web安全功能。Spring Security必须配置在一个实现了WebSecurityConfigurerAdapter。
@EnableWebSecurity可以启用任意Web应用的安全性功能,不过,如果你的应用碰巧是使用Spring MVC开发的,那么久应该考虑使用@EnableWebMvcSecurity替代它。
@EnableWebMvcSecurity注解还配置了一个Spring MVC参数解析器,这样的话处理器方法通过带有@AuthenticationPrincipal注解的参数获得认证用户的principal,它同时还配置了一个bean,这个bean会自动添加一个隐藏的跨站请求伪造(CSRF)token输入域。

防止跨站请求伪造

简单来讲,如果一个站点欺骗用户提交请求到其他服务器的话,就会发生CSRF攻击,这可能会带来消极的后果。
Spring Security通过一个同步token的方式来实现CSRF防护的功能。它将会拦截状态变化的请求并检查CSRF token。如果请求中不包含CSRF token的话,或者token不能与服务器端的token相匹配,请求将会失败,并抛出CsrfException。

lovesman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
Spring高级篇—Spring Security入门原理及实战
xx2014301318的博客
12-25 634
Spring高级篇—Spring Security入门原理及实战 在web应用开发中,安全无疑是十分重要的,选择Spring Security来保护web应用是一个非常好的选择。Spring Securityspring项目之中的一个安全模块,可以非常方便与spring项目无缝集成。特别是在spring boot项目中加入spring security更是十分简单。本篇我们介绍spring s...
java servlet3.1规范解读系列六: web安全之spring secret 处理
王安的专栏
05-31 1128
Spring Security是通过自定义的Filter对相关的URL进行权限控制,这些个filter组合起来通过两个过程对权限进行了控制,认证(authentication)和授权(authorization)。认证是来识别当前用户是谁的过程,授权是判断当前用户是否有权限进行相关操作的过程。 认证(authentication) 认证的过程相对简单,基本都是判断当前正在操作的用户(Princ...
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
spring实战-Spring-security实现用户权限认证登录
乔布斯基的博客
08-19 6121
第八篇:Spring-security实现用户权限认证登录 spring-security原本是Acegi Security组件,该组件是一个强大的安全框架,但是使用方式很繁琐,要配置几百行XML。集成进Spring后,就可以通过xml或者JavaConfig的方式,很容易的就实现了系统的集成。下面示例展示了通过JavaConfig的方式集成spring-security安全框架
Spring实战17——Spring Security
?_#的博客
05-20 222
Spring Security 是一种基于Spring AOP 和Servlet 规范中的Filter 实现的安全框架 Spring Security 充分利用了依赖注入DI 和面向切面技术 Spring Securty 使用Servlet 规范中的Filter 保护web 请求并限制url 级别的访问。它还使用了Spring AOP 保护方法的调用——借助于对象代理和使用通知。 引入core...
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
JavaEE精讲之Spring框架实战 ——学习笔记.zip
09-18
在本学习笔记中,我们将深入探讨JavaEE中的Spring框架,这是一个强大的、全面的企业级应用程序开发框架,它简化了Java...持续学习和实践是掌握Spring的关键,希望这份学习笔记能帮助你在Spring框架的实战中取得进步。
spring security笔记
05-15
spring security笔记
Spring实战(第四版)概括—保护Web应用(Spring Security
永远不会懂
08-01 423
一、前言 Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。 二、Spring Securit...
Spring Security 实战笔记
有刁民想害朕的博客
02-08 913
久闻Spring Security 很强大,一直没有机会再实际项目中用到。这次有幸独自负责一个项目的登录,权限,根据权限显示页面目录等功能的开发,再此将开发的核心代码记录一下,方便以后参考。 参考demo项目下载地址:https://github.com/xiaoyao880609/security_demo/ 首先说明项目是spring boot 所以讲maven依赖jar包引入。 <...
Spring学习——新建module模块
lovesman的博客
04-02 3048
第一步 第二步,点击“+”,选择new module; 第三步,选择next之后,出现下图,parent选择spring模块,填好之后,点击finish即可。 第四步:在新的模块中添加依赖 第五步:在spring-study模块中编写程序测试 创建Test类 创建Hello bean 添加xml配置文件 运行Test.main方法,输出结果,至此,spring源码环境搭建完成,可以愉...
Spring中单例bean注入多例bean的解决方法
lovesman的博客
08-24 2369
1、问题描述 在项目代码的使用过程,单例对象A中需要注入对象B。B对象要求是多例的。我们在对象B上添加注解“@Scope(“prototype”)”,代码运行过程中,发现A中注入的B对象始终是同一个,并没有实现多例的效果。 下面展示一些 内联代码片。 @Componment public class A { @Autowired private B b } 下面展示一些 内联代码片。 @Componment @Scope("prototype") public class B { .... } 2、
spring源码环境搭建——macOS环境下搭建spring5源码环境
lovesman的博客
04-01 1716
macbook 2019 jdk 1.8 spring5 1、下载spring源码 网址:https://github.com/spring-projects/spring-framework 2、下载安装Gradle https://gradle.org/ gradle -version 出现下图,表示安装成功。 Gradle安装详细的教程可以看这里:https://www.jianshu...
Spring使用——通过配置类注入Bean
lovesman的博客
06-10 1609
配置类 @Configuration //告诉spring这是一个配置类 @ComponentScan value指定要扫描的包 Filter[] excludeFilters() default {}; 扫描的时候按照规则排除哪些 @ComponentScan(value = "com.ysy",excludeFilters = @ComponentScan.Filter(type = FilterType.ANNOTATION,classes = {Controller.class,Service
Spring配置问题导入bean被初始化两次
lovesman的博客
03-10 1527
关键的配置如上图 1、问题就出在ContextLoaderListener和DispatcherServlet,他们都可以引入spring,而且每个引入都会实例化一次bean。如果把两个引入方式配置到同一个文件,那么就会导致一个bean被实例化两次。但是,当我们使用Spring Bean的时候,只会用到DispatcherServlet下的Bean,而不会用到ContextLoaderListener下的Bean,这就会导致ContextLoaderListener的bean不会被用到。 使用Cont...
spring问题——@Autowired无法注入问题
lovesman的博客
05-04 1332
@Component public class A{ @Autowired private B b; } 1、配置原因 <context:component-scan base-package="xxx" /> 需要注入的类不在配置扫描的包里面,导致spring没有将该类注入到容器中 2、依赖注入的两个类都要被spring管理 你想通过@Autowired注入一个对象,那么前提...
spring源码环境搭建——环境搭建问题解决
lovesman的博客
04-01 975
一、找不到符号:AnnotationTransactionAspect 解决方法: 1、首先下载aspect的jar包并解压; https://www.eclipse.org/aspectj/downloads.php 2、将Idea的编译器设置为Ajc: 打开:IDEA–Preferences–Build,Execution,Deployment–Compiler–JavaCompiler,...
Spring Security笔记
最新发布
08-14
以下是一些常见的Spring Security笔记: 1. Spring Security的核心概念:Spring Security基于一些核心概念,如认证(Authentication)、授权(Authorization)、用户(User)、角色(Role)等。了解这些概念对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值