SpringSecurity总结

已于 2022-03-16 19:38:11 修改
阅读量716 收藏
点赞数
分类专栏: Java高级 文章标签: java
于 2022-03-16 19:27:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47612445/article/details/123533379
版权

SpringSecurity

Spring Security简介

解决的两个核心问题:认证和授权
默认存在IOC AOP
基于配置(配置类中配置权限基本操作)

SpringSecurity自定义登录

1.API对象

UserDetailsService:loadUserByUserName
UserDetails(登录用户信息):用户名、密码、权限
PasswordEncoder:encode、matches

2.自定义登录前后端

  • 后端:

1.实现UserDetailsService接口:需要自定义逻辑时,需要实现 UserDetailsService 接口
2.PasswordEncoder 密码解析器,其中BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器
自定义表单配置。

  • 自定义表单配置:

1.SecurityConfig 配置类 继承 WebSecurityConfigureAdaptor 重写configure(http)
2.configure 方法中加入自定义表单配置

  • 其他配置

1.自定义登录表单参数:usernameParameters()、passwordParameter()【form表单name 与自定义表单参数名一致】
2.error.html

3.访问URL匹配

配置类中http.authorizeRequests() 主要是对url进行控制,也就是我们所说的授权(访问控制)。http.authorizeRequests() 也支持连缀写法

anyRequest():表示匹配所有的请求
antMatcher():参数是不定向参数,每个参数是一个 ant 表达式,用于匹配URL规则。
regexMatchers():使用正则表达式进行匹配。
mvcMatchers():适用于配置了 servletPath 的情况

4.内置访问控制方法

Spring Security 匹配了 URL 后调用了 permitAll() 表示不需要认证,随意访问。在 Spring
Security 中提供了多种内置控制。

.antMatchers("/yjxxt/demo").permitAll()

这里是引用permitAll()表示所匹配的 URL 任何人都允许访问。
authenticated()表示所匹配的 URL 都需要被认证才能访问。
anonymous()表示可以匿名访问匹配的URL。和permitAll()效果类似,只是设置为anonymous()的 url 会执行 filter 链中
denyAll()表示所匹配的 URL 都不允许被访问。
被“remember me”的用户允许访问
如果用户不是被 remember me 的,才可以访问

5.角色权限判断

其他的权限控制

.antMatchers("/main1.html").hasAuthority("admin")

hasAuthority(String)判断用户是否具有特定的权限
hasAnyAuthority(String …)如果用户具备给定权限中某一个,就允许访问。
hasRole(String)如果用户具备给定角色就允许访问。否则出现 403。
hasAnyRole(String …)如果用户具备给定角色的任意一个,就允许被访问
hasIpAddress(String)如果请求是指定的 IP 就运行访问。

6.403 没有权限处理(实现AccessDenyHandler 接口)

其他SpringSecurity知识

1.基于表达式的访问控制

access()方法使用:可以通过 access() 实现和之前学习的权限控制完成相同的功能。可以使用自定义方法。

2.基于注解的访问控制

在 Spring Security 中提供了一些访问控制的注解。这些注解都是默认是都不可用的,需要通过
@EnableGlobalMethodSecurity 进行开启后使用。

  • @Secured 是专门用于判断是否具有角色的。能写在方法或类上。参数要以 ROLE_开头。
  • @PreAuthorize/@PostAuthorize:在执行前后判断权限

3.RememberMe功能实现

Spring Security 中 Remember Me 为“记住我”功能,用户只需要在登录时添加 rememberme复选框,取值为true。Spring Security 会自动把用户信息存储到数据源中,以后就可以不登录进行访问

4.Thymeleaf中SpringSecurity的使用(视图技术)

5.退出登录

6.SpringSecurity中的CSRF

CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。

从 Spring Security4开始CSRF防护默认开启。默认会拦截请求。进行CSRF处理。CSRF为了保
证不是其他第三方网站访问,要求访问时携带参数名为 _csrf 值为token(token 在服务端产生)
的内容,如果token和服务端的token匹配成功,则正常访问。

樱桃小丸犊子_q
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity:Spring安全学习总结
01-29
spring security 学习总结暑假的时候在学习了Spring安全并成功运用到了项目中。在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 ...
SpringSecurity(十二)----基于表达式的访问控制
Apple_Andy的博客
10-10 272
1.access()方法使用 1)使用理由 之前学习的登录用户权限判断实际上底层实现都是调用access(表达式),我们可以通过access()实现和hasAuthority,hasRole等的权限控制完成相同的功能。 public ExpressionUrlAuthorizationConfigurer<H>.ExpressionInterceptUrlRegistry hasAuthority(String authority) { return this.acce
Spring Security 表达式(Expressions) - hasRole示例
weixin_30772105的博客
05-19 924
1.概述 Spring Security使用强大的Spring Expression Language(SpEL)提供各种各样的表达式。大多数这些Security表达式是针对上下文对象(当前经过身份验证的主体)进行工作的. 这些表达式的评估由SecurityExpressionRoot执行 - 它提供了Web安全性和方法级安全性的基础。 Spring Security 3.0中引入了使用SpEL表...
SpringSecurity详细介绍RememberMe功能
最新发布
erghtt的博客
03-31 869
针对最近很多人都在面试,我这边也整理了相当多的面试专题资料,也有其他大厂的面经。希望可以帮助到大家。最新整理面试题上述的面试题答案都整理成文档笔记。也还整理了一些面试资料&最新2021收集的一些大厂的面试真题最新整理电子书最新整理大厂面试文档以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》点击传送门即可获取!以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持。
SpringSecurity授权(访问控制)
wyy的博客
10-30 5499
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
Spring Cloud(十二):Spring Cloud Security
Men-DD
11-23 3738
设置用户名密码(内存、UserDetailsService、WebSecurityConfigurerAdapter、基于DB) 自定义登录页面 登录认证流程 自定义成功失败 会话管理 会话控制 会话超时 会话并发控制 集群session 安全会话cookie RememberMe 退出登录 CSRF 用户授权 web授权 访问控制的url匹配 内置的访问控制 自定义403处理 基于表达式的访问控制 方法授权 JSR-250注解 @Secured注解 支持表达式的注解 授权原理 授权流程 实现原理 主线源码
springSecurity基于表达式鉴权
jamesluozhiwei的博客
07-11 1626
文章目录前言常见的表达式URL安全表达式在Web 安全表达式中引用Bean自定义鉴权Method安全表达式使用method注解开启方法级别的注解配置在方法上使用注解PreAuthorizePostAuthorizePreAuthorize针对参数进行过滤源码 前言 在上一篇文章已经介绍了springSecurity的使用了,本篇文章主要介绍一下使用spring EL表达式来控制授权,允许在表达式中...
springSecurity总结及示例代码
03-28
springSecurity总结,另有示例代码。
Spring Security学习总结
06-06
Spring Security学习总结
Spring Security学习总结
06-10
Spring Security学习总结与教程
SpringSecurity学习总结源代码
09-19
SpringSecurity学习总结源代码
spring security 用户授权/访问控制
swadian2008的博客
09-12 1704
授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
Spring Security基于表达式的访问控制
koflance的博客
03-30 2847
概述相比较以前使用配置属性(configuration attributes)或access-decision voters,Spring Security 3.0提供了基于EL表达式的访问控制(authorization mechanism)。该表达式可以用于web和method访问控制(access control)。Security提供的EL表达式root object是SecurityExp
Spring Security-基于表达式的访问控制和基于注解的访问控制
Q54665642ljf的博客
08-04 319
Spring Security-基于表达式的访问控制和基于注解的访问控制
Spring Security权限控制
m0_56409614的博客
03-20 2298
该文章为学习Spring Security(权限控制)的一点基础知识
SpringSecurity—[Day07]内置访问控制方法
风归去.
03-22 269
对于其他所有路径,都是允许所有用户访问的。基于角色的访问控制(Role-Based Access Control,RBAC):这种方法允许你在应用程序中定义不同的角色,并授予用户相应的角色,以控制他们对资源的访问权限。基于HTTP方法的访问控制:这种方法允许你定义针对HTTP请求方法(GET、POST、PUT等)的访问控制规则,以控制用户对不同类型的请求的访问权限。方法级别的访问控制:这种方法允许你使用@Secured注解来保护应用程序中的特定方法,确保只有授权的用户可以调用这些方法。
Spring Security 动态url权限控制
程序员小明1024
12-19 2468
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一)blog....
13.Spring security权限管理
热门推荐
EdSheeran的博客
04-14 1万+
文章目录*权限管理**13.1什么是权限管理**13.2Spring security权限管理策略**13.3核心概念**13.3.1角色与权限**13.3.2角色继承**13.3.3两种处理器**13.3.4前置处理器**投票器**决策器**13.3.5后置处理器**13.3.6权限元数据**`ConfigAttribute`**`SecurityMetadataSource`**13.3.7权限表达式**`SecurityExpressionRoot`**`WebSecurityExpressionRo
Spring Security 权限控制
程序员小明1024
12-23 359
@charset "UTF-8"; .markdown-body { line-height: 1.75; font-weight: 400; font-size: 15px; overflow-x: hidden; color: rgba(43, 43, 43, 1); font-family: -apple-system, system-ui, BlinkMacSystemFont, Hel...
Spring Security
09-13
Spring Security是Spring家族中的一...总结起来,Spring Security是一个功能丰富且广泛使用的安全管理框架,适用于中大型项目。在Spring Boot项目中使用Spring Security非常简单,只需引入相应的依赖即可实现入门案例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值