Spring Security(Springboot-v2.5.5)

最新推荐文章于 2024-06-25 03:00:11 发布
最新推荐文章于 2024-06-25 03:00:11 发布
阅读量706 收藏 3
点赞数
分类专栏: 笔记 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48468380/article/details/120526925
版权

概述

SpringSecurity是基于Spring的安全框架,作用和shiro一样,用于认证授权

SpringSecurity和shiro对比

  1. SpringSecurity

和Spring无缝结合
全面的权限控制
专门为Web开发而设计(旧版本不能脱离Web环境,新版本对整个框架进行了分层抽取,分成了核心模块和Web模块,单独引入核心模块就可以脱离Web环境)
重量级

  1. shiro

轻量级,shiro主张的理念是把复杂的事情变简单。针对性能又更高要求的互联网应用又更好表现
通用性(不局限于Web环境)
在Web环境下特定的需求(如特定的认证方式),需要手动编写代码定制,代码量大

  1. 在SSM中整合SpringSecurity相对于shiro来说更加麻烦,shiro虽然功能没有spring强大但在许多场景也够用了,而springboot提供的自动化配置方案省去了spring security的大量配置;所以一般常见的安全管理技术栈是SSM+Shiro;SpringBoot+SpringSecurity

入门案例

  1. 引入依赖spring-boot-starter-security
<dependency>
	<groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
  1. 编写controller进行测试
@RestController
@RequestMapping("security")
public class HelloWorld {

    @GetMapping("test1")
    public String test1(){
        return "hello security!!";
    }
}

运行起来后,在控制台会有密码的输出,访问该controller会跳转到login页面,账号默认为user
在这里插入图片描述

基本原理

SpringSecurity本质是一个过滤器链,每个过滤器都实现对应的功能,3个重要过滤器:

  1. FilterSecurityInterceptor:一个方法级的权限过滤器,基本位于过滤器链的最底层
  2. ExceptionTranslationFilter:异常过滤器,用于处理在认证授权过程中抛出的异常
  3. UsernamePasswordAuthenticationFilter:对/login的POST请求进行拦截,校验表单中的用户名和密码

过滤器的加载流程

  1. 用户通过SpringSecurity配置过滤器DelegatingFilterProxy(SpringBoot自动配置了),该过滤器的doFilter方法调用了自身的initDelegating方法,在initDelegating方法中加载了FilterChainProxy的bean
  2. FilterChainProxydoFilter方法调用了自身的doFilterInternal方法,通过迭代器将所有需要加载的过滤器加载到过滤器链中

自定义开发的两个重要接口

UserDetailsService

当什么也没有配置的时候,账号和密码都是由SringSecurity自动生成的。而在实际项目中账号和密码都是从数据库查来的,所以要自定义认证逻辑;查询数据库得到用户名和密码就由UserDetailsService接口来实现,类似Shiro中的Realm

实现流程

  1. 创建类集成UsernamePasswordAuthenticationFilter,重写三个方法
  2. 创建类实现UserDetailsService编写查询数据过程,返回User(UserDetails接口的实现)对象,这个User对象是Security提供的对象(包含用户名、密码、权限,以及用户状态)

PasswordEncoder

存储在数据库的密码不会是用户注册时输入的原始密码,而是加密过的;在认证的时候就需要对用户登录时输入的原始密码进行加密,该操作就由PasswordEncoder实现;security在对加密的密码进行认证时会去找用户配置的PasswordEncoder的实现
这个接口用于密码存储的加密,有三个方法:

  1. String encode(CharSequence rawPassword);:用于对前端接收到的密码进行编码
  2. boolean matches(CharSequence rawPassword, String encodedPassword);:将经过编码的密码和数据库查到的密码进行匹配
  3. default boolean upgradeEncoding(String encodedPassword) {return false;}:为了安全,如果需要重复编码提高安全性则返回true,默认实现返回false

SpringSecurity认证

设置登录的用户名和密码

  1. 通过配置文件
spring:
  security:
    user:
      name: laowa
      password: 123456
  1. 通过配置类,继承自WebSercurityConfigurerAdapter方法,重写它的configure方法
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //对密码进行加密
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        String password = encoder.encode("123456");
        auth.inMemoryAuthentication().withUser("laowa").password(password);
    }

    /**
     * 配置对应加密方式的编码对象
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}
  1. 自定义编写实现类实现UserDetailsService接口
@Service
public class MyUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		//开发中这里进行数据库的访问
        return new User("laowa3",new BCryptPasswordEncoder().encode("123456"),
                AuthorityUtils.commaSeparatedStringToAuthorityList("role"));
    }
}

自定义登录页面

  1. 在配置类中重写cofigure(HttpSecurity http)方法
@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                //自定义登录页面
                .loginPage("/static/login.html")
                //定义登录请求的路径
                .loginProcessingUrl("/user/login")
                //定义默认登陆成功后跳转的路径(在用户登录时有效,如果用户访问请求被拦截到登录页面则会跳转到用户访问的请求),permitAll表示任何用户都有权限
                .defaultSuccessUrl("security/test1").permitAll()
                //不需要认证就能访问的页面
                .and().authorizeRequests().antMatchers("/","/security/test2","user/login").permitAll()
                //所有请求都可以访问
                .anyRequest().authenticated()
                //关闭csrf防护
                .and().csrf().disable();
    }

用户注销

//设置注销路径和注销成功后跳转的路径
http.logout().logoutUrl("/logout")
                .logoutSuccessUrl("/security/test2").permitAll();

自动登录功能

实现原理

在这里插入图片描述

操作步骤

  1. 创建数据库表,也可以让框架来创建,建表语句在JdbcTokenRepositoryImpl类中
create table persistent_logins (
username varchar(64) not null, 
series varchar(64) primary key,
token varchar(64) not null, 
last_used timestamp not null);
  1. 配置类中注入数据源,配置数据库操作对象
	@Autowired
    private DataSource dataSource;

    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //是否在启动时自动创建表
        //jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }
  1. 开启自动登录
//添加自动登录的处理
http.and().rememberMe().tokenRepository(persistentTokenRepository())
    //设置token有效时间
    .tokenValiditySeconds(60)
    //设置登录的业务逻辑类
    .userDetailsService(userDetailsService)
  1. 前端页面登录表单添加复选框,name为remember-me

SpringSecurity授权

控制访问

  1. hasAuthority:如果当前主体具有**参数指定的权限(一个参数)**则返回true,否则返回false
  2. hasAnyAuthority:如果当前主体有任何提供的权限(多个权限参数,满足一个即可),给定的作为一个逗号分隔的字符串列表的化,返回true
  3. hasRole:如果当前主体具有参数指定的一个角色(为主体添加角色需要加前缀ROLE_)
  4. hasAnyRole:如果当前主体具有参数列表中的任意一个角色

自定义403

  1. 页面
//没有权限跳转到该页面
http.exceptionHandling().accessDeniedPage("403.html");
  1. 处理器
//实现接口AccessDeniedHandler,处理ajax请求
http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);

常用注解

  1. @EnableGlobalMethodSecurity(securedEnabled=true):用于启动类或配置类上,表示启用security的其他注解
  2. @Secured:用于controller的处理器方法上,参数value为角色集(注意需要加ROLE_前缀);表示这个资源只有拥有设置的角色的用户才能访问
  3. @PreAuthorize在用户进入方法前进行权限的校验,参数可以为http判断权限和角色的四个方法的字符串hasRole、hasAnyRole、hasAuthor、hasAnyAuthor
  4. @PostAuthorize在方法执行之后进行权限的校验,与@PreAuthorize类似
  5. @PostFilter:对处理器方法的返回值及逆行过滤
  6. @PreFilter:对处理器方法的传入参数进行过滤

底层原理

认证流程

  1. UsernameAuthentationFilter调用父类AbstractAuthenticationProcessingFilter的doFilter方法
    在这里插入图片描述

  2. 父类调用子类方法attemptAuthentication进行认证的过程
    在这里插入图片描述

  3. 用户名和密码构建UsernamePasswordAuthenticationToken对象的过程
    在这里插入图片描述

  4. this.getAuthenticationManager().authenticate(authRequest);认证过程(父接口AuthenticationManager调用子类ProviderManager实现的authenticate方法)
    在这里插入图片描述

授权流程

权限访问的流程主要由ExceptionTranslationFilterFilterSecurityInterceptor两个过滤器完成

  1. ExceptionTranslationFilter
    在这里插入图片描述
  2. FilterSecurityInterceptor
    在这里插入图片描述
    在这里插入图片描述

认证信息与session的绑定

在这里插入图片描述

老蛙@
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
7. Spring Boot2.5 安全机制与 REST API 身份验证实战
天空鸟的博客
11-04 1189
1)Spring Boot 2020 年 9 月份修复漏洞;2)Spring Boot Actuator 未授权访问远程代码执行漏洞;3)紧急修复 Spring Framework 版本包含一个安全漏洞(CVE-2020-5421)的修复程序。此漏洞可以通过 sessionId 绕过 RFD (反射型文件下载)保护;4)Spring Boot 2018 年修复了一些安全漏洞;5)建议使用最新的 Spring 5.0+版本;6)Spring 框架升级 5.0.0 - 5.0.2;
spring2.5security 权限验证
04-11
NULL 博文链接:https://a52071453.iteye.com/blog/1673900
SpringBoot 学习笔记(十)Spring Security 安全框架_springbootsecurity学习
最新发布
2401_84240129的博客
06-25 808
需新建配置类注册一个指定的加密方式Bean,或在下一步Security配置类中注册指定。* 如果用户的账户有效(即未过期),则返回true,如果不在有效就返回false。* 指示用户的凭证(密码)是否已过期。无法对锁定的用户进行身份验证。* 如果用户未被锁定,则返回true,否则返回false。* 如果启用了用户,则返回true,否则返回false。* 指示用户的账户是否已过期。无法验证过期的账户。* 如果用户的凭证有效(即未过期),则返回true。* 如果不在有效(即过期),则返回false。
spring spring security2.5 jar
01-08
spring security2.5 jar 和spring security2.5 整合必须的jar包
Spring Security
qq_45429856的博客
11-22 3782
Spring Security简介 Spring Security是一个高度自定义的安全框架。利用Spring IOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作 spring security 的核心功能主要包括: 认证 (系统认证用户是否登录) 授权 (系统判断用户是否有权限去做某些事情) 攻击防护 (防止伪造身份) Spring Security项目搭建 一:导入依赖 <!--导入spring security依赖-->
layui-v2.5.5_layui前端模板_substanceb4u_layui-v2.5.5_wplayui-v2.5.5_
10-01
本次我们关注的是layui的v2.5.5版本,结合"substanceb4u"和"wplayui-v2.5.5"两个主题模板,它们为开发者提供了丰富的前端插件实例和应用模板,极大地提升了开发效率。 layui的核心理念是“模块化”,它将前端组件...
layui-v2.5.5.zip
10-17
Layui 是一款采用自身模块规范编写的情怀型前端UI框架,遵循原生HTML/CSS/JS的书写与组织形式,门槛极低,拿来即用。其外在极简,却又不失饱满的内在,体积轻盈,组件丰盈,从核心代码到API的每一处细节都经过精心...
layui-v2.5.5.rar
01-02
layui v2.5.5是该框架的一个版本,以其简洁、优雅的设计风格和强大的功能集受到开发者的青睐。这个版本的layui提供了丰富的组件和模块,旨在帮助开发者快速构建高质量的Web应用界面。 layui的核心特性包括响应式...
spring-data-redis-2.5.5-API文档-中英对照版.zip
05-10
赠送原API文档:spring-data-redis-2.5.5-javadoc.jar; 赠送源代码:spring-data-redis-2.5.5-sources.jar; 赠送Maven依赖信息文件:spring-data-redis-2.5.5.pom; 包含翻译后的API文档:spring-data-redis-2.5.5...
spring-data-commons-2.5.5-API文档-中文版.zip
06-04
赠送原API文档:spring-data-commons-2.5.5-javadoc.jar; 赠送源代码:spring-data-commons-2.5.5-sources.jar; 赠送Maven依赖信息文件:spring-data-commons-2.5.5.pom; 包含翻译后的API文档:spring-data-...
泡泡SpringSecurity2.5【认证状态】
yubaby
08-17 148
package com.haifei.service.impl; import com.haifei.mapper.UserMapper; import com.haifei.pojo.User; import com.haifei.service.UserService; import org.springframework.beans.factory.annotation....
springboot集成Security
super1223的博客
07-07 181
springboot集成Security 如果所示,我们的security的工作流程。我们只需要去定义我们自己的WebSecurityConfigurerAdapter并且重写两个核心的配置方法,就可以使用Secutiry进行我们的安全控制工作。 Security是通过拦截器的思想来完成我们的工作的,我们也可以通过拦截器来完成我们类似的工作。拦截所有的请求,进行用户校验和请求放行。 使用前置(导入依赖) <dependency> <groupId>org.springf
springboot 集成security
zhl_BeginLife的博客
08-17 209
版本 : 最好对应一下,如果自己版本不一致的话,可以去下面的地址找。因为版本不一样导致的坑实在是太多。 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.2</version> ...
Springboot:整合Spring Security
拒绝熬夜啊的博客
11-30 1585
文章目录Springboot:整合Spring Security一、spring security 简介二、入门程序2.1 导入依赖2.2 创建数据库2.3准备页面2.4 配置application.yml2.5 创建实体类,mapper,service和controller2.6 配置Spring Security2.7 测试2.8 final类httpSecurity三、自动登录3.1 修改login.html3.2 俩种实现方式Cookie存储数据库存储四、异常处理4.1 常见异常4.2 处理异常五、
SpringBoot中简单使用SpringSecurity
qq_33945802的博客
05-24 259
1.SpringSecurity简介 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是
springboot2.5.5配置mybatis
PacosonSWJTU的博客
10-17 1071
【README】 1.本文记录了 springboot2.5.5 配置 mybatis的步骤; 2.配置mybatis 分为注解和配置两种方式; 3.引入mybatis,包括了 创建springbt项目; druid数据源配置; 数据库表与javabean; mybatis配置与sql映射; 用户请求controller处理; 【1】springboot使用@注解引入mybatis 【1.1】创建springboot项目 步骤1, 新建springboot项目; 步骤2,选择依赖,
Springboot(run方法)2.5.5+spring5.3.10源码整体分析:(3)
一条菜菜鱼
07-26 106
springboot源码,spring源码
SpringBoot2.5.1整合thymeleaf以及springsecurity后sec:authorize无效的问题
冲出仁川,走出马德里,故事还会再继续
06-16 555
sec:authorize无效的问题1、问题描述2、解决方案: 1、问题描述 修改之前我的pom.xml文件如下,但是sec:authorize一直不生效。 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocat
layui-v2.5.5织梦后台管理自适应模板
07-28
layui-v2.5.5是一款基于layui框架开发的织梦后台管理自适应模板。织梦是一种使用PHP语言开发的内容管理系统,通过此模板可以方便地对织梦后台进行管理。 这个模板的主要特点是自适应布局设计,可以自动根据不同的设备屏幕大小进行调整,实现了在PC端、平板电脑和手机端的兼容性。不同设备上显示的页面布局会自动适应屏幕,使得用户可以在不同设备上方便地访问和操作织梦后台。 此模板还具备丰富的功能和界面设计,包括常用的用户管理、栏目管理、内容管理、扩展功能等。用户管理功能包括对用户的增删改查,可以方便地管理后台用户权限。栏目管理功能可以对网站的栏目进行设置和管理,包括栏目的增删改查等操作。内容管理功能可以对网站的内容进行管理,包括文章的发布、编辑和删除等操作。同时,模板还提供了强大的扩展功能,可以根据具体需求进行自定义功能的添加和开发。 此外,layui-v2.5.5织梦后台管理自适应模板还具备良好的用户体验,界面简洁美观,操作简单直观。用户可以通过点击、拖拽等方式进行操作,大大提高了用户的使用效率和便利性。 总的来说,layui-v2.5.5织梦后台管理自适应模板是一款功能全面、界面美观、易于使用的织梦后台管理模板,能够满足用户对织梦后台管理的各项需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值