Spring Security的基本概念和用法

最新推荐文章于 2025-03-07 17:34:44 发布
最新推荐文章于 2025-03-07 17:34:44 发布
阅读量1.4k 收藏 27
点赞数 25
分类专栏: Java 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51431003/article/details/136332619
版权
本文介绍了SpringSecurity在Java应用中的核心概念、基本配置,包括认证、授权、过滤器链和自定义用户存储。同时涵盖了Elasticsearch的使用,以及RESTfulAPI设计和RestHighLevelClient在Elasticsearch中的应用示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring Security的基本概念和用法

Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是为Java应用程序提供全面的安全解决方案,包括身份验证、授权、防止跨站请求伪造(CSRF)等。Spring Security基于Spring框架,可以轻松地与Spring Boot、Spring MVC等其他Spring项目集成。

一、核心概念

  1. 认证(Authentication):认证是确认用户身份的过程,通常通过用户名和密码进行验证。
  2. 授权(Authorization):授权是在用户成功认证后,确定用户可以访问哪些资源或执行哪些操作的过程。
  3. 安全性上下文(Security Context):在Spring Security中,安全性上下文是一个线程局部变量,用于存储当前用户的认证信息和授权信息。
  4. 过滤器链(Filter Chain):Spring Security使用一系列过滤器来处理HTTP请求,这些过滤器组成一个过滤器链。
  5. 安全配置(Security Configuration):Spring Security的配置是通过实现WebSecurityConfigurerAdapter接口或继承WebSecurityConfigurerAdapter类来完成的。

二、基本用法

  1. 引入依赖

在项目的pom.xml文件中添加Spring Security的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
  1. 配置安全

创建一个类,继承WebSecurityConfigurerAdapter,并重写configure方法来配置安全规则:

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
        // 配置内存中的用户存储
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}password").roles("USER")
            .and()
            .withUser("admin").password("{noop}password").roles("ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        // 配置安全规则
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout();
    }
}
  1. 使用注解

可以使用注解来简化安全配置,例如:

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org
最低0.47元/天 解锁文章
SpringSecurity-基本概念处理流程
CTPeng的博客
01-08 1845
SpringSecurity-基本概念处理流程分析 优秀文章推荐: 1、https://www.cnkirito.moe/spring-security-1/ 2、https://www.jianshu.com/p/e8e0e366184e 文章较长,望耐心阅读。 首先,需要明白SpringSecurity它解决什么问题? 1、认证:证明你是你的问题,通常就是用用户名密码来证明。 2、授权:...
Spring Security基本概念
weixin_34269583的博客
11-13 203
Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate Authoration 验证. 不得不说, Spring Security 是一个非常庞大的框架, 非常值得花时间好好学习. =========...
Spring Security详解
最新发布
m0_72945550的博客
03-07 1241
Spring Security简介,认证流程,自定义认证,授权管理,自定义授权,动态展示菜单,用户退出
spring security基本概念
痞子王的博客
07-23 234
1.基本概念 1.1什么是认证 认证:判断一个用户的身份是否合法的过程。二维码登录、刷脸、密码都算。 1.2什么是会话 为了避免用户的每次操作都需要进行认证,可以将用户的信息保存在会话中,常见的有基于session的方式,基于token的方式。 session方式: ①用户登录成功,服务器会创建一个session,并返回给客户端ssid,存储在客户端cookie中,用户访问会携带ssid,服务器进行比较。 token方式: ①用户认证成功后,服务端生成一个token发给客户端(服务端不存储token,通过生
Spring Security核心概念介绍
ywb201314的专栏
05-11 484
Spring Security是一个强大的java应用安全管理库,特别适合用作后台管理系统。这个库涉及的模块概念有一定的复杂度,而大家平时学习Spring的时候也不会涉及;这里基于官方的参考文档,把Spring Security的基本套路介绍一下。 参考的Spring Security文档地址:https://docs.spring.io/spring-security/site/docs/5.0.7.RELEASE/reference/html/preface.html Spring Securit
SpringBoot3】Spring Security 核心概念
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 1440
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC、DI(依赖注入)AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 此外,Spring Security是一个功能强大且高度可定制的身份验证访问控制框架,致力于为Java应用程序提供身份验证授权的能力。
SpringSecurity笔记,编程不良人笔记
10-28
在本笔记中,我们将深入探讨SpringSecurity的核心概念、配置以及如何与SpringBoot结合使用。 1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置全局安全配置。 - 如何自定义认证授权流程,比如实现自定义的AuthenticationProvider...
SpringSecurity.pdf
05-24
入门阶段主要是了解Spring Security基本概念配置方法。进阶阶段需要深入学习如何定制认证授权流程、如何集成各种认证方式以及如何在实际项目中进行应用。高级阶段则涉及框架的原理深入、性能优化、安全漏洞的...
springsecurity角色权限
12-13
让我们深入探讨Spring Security在处理角色权限方面的一些关键概念。 1. **角色与权限基础** 在Spring Security中,"角色"是赋予用户的标识,表示用户在系统中的职责或权限集合。例如,"管理员"、"用户"等。"权限...
SpringSecurity基本用法
学习学习学习学习
10-12 266
SpringSecurity 1. 部署项目 1.1 导包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.4.5</version> </dependency>
SpringSecurity:基本用法
洺润Star的博客
09-19 580
文章目录一:SpringSecurity基本用法 一:SpringSecurity基本用法 创建一个spring boot项目,倚赖如下: <dependencies> <dependency> <groupId>org.springframework.boot</groupId> ...
SpringSecurity的使用
zuochangping的博客
11-01 1876
SpringSecurity的使用,运行原理及源码的查看,还有在不同场景的应用
Spring Security 的使用
weixin_42679286的博客
12-01 1647
*** 提供给 security 的用户信息的 service,要复写 loadUserByUsername 方法返回数据库中的用户信息*/@Service@Autoware/*** 加载数据库中的认证的用户的信息:用户名、密码、用户的权限列表* 通过username查询用户的信息,(密码,权限列表等)封装成 UserDetails 返回,交给 security。*/@Overridethrow new UsernameNotFoundException("无效的用户名");
如何使用SpringSecurity
weixin_41553701的博客
08-17 4515
如何使用Spring Security
SpringSecurity使用教程
weixin_65019617的博客
12-15 1324
RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用 也是相对易用、通用权限模型。我们可以在自己定义expression包下,创建自己的权限校验方法,然后在@PreAuthorize注解中使用自己的方法。//获取当前用户的权限//判断用户权限集合中是否存在authority在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的 hasAuthority方法。
SpringSecurity使用
weixin_46359814的博客
11-11 266
两个重要的接口 1、UserDetailsService接口: 查询数据库用户名密码过程。 创建类继承UsernamePasswordAuthenticationFilter,重写三个方法 创建类实现UserDetailsService,编写查询数据过程,返回User对象,这个User对象是安全框架提供的对象 2、PasswordEncoder接口 :用于数据加密接口,返回User对象里面密码加密 web权限方案 (1)认证 (2)授权 设置登录的用户名密码 第一种方式:通过配置文件 第二种方式:通过配
SpringSecurity简单使用
你我皆是黑马
08-22 1272
SpringSecurity简单使用 前言 1、什么是spring security 一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制)。 应用的安全性包括用户认证(Authentication)用户授权(Authorization)两个部分。 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。 用户认证一般要求用户提供用户名密码。系统通过校验用户名密码来完成认证过程。 用户授权指的是验证某个用户是否有权限执行某
Spring Security基本概念用法
04-20
Spring Security 是一个基于 Spring 的安全框架,它为 Spring 应用程序提供了身份验证、授权其他安全功能。在使用 Spring Security 时,您可以配置不同类型的安全特性,例如基于表单的登录、基于 URL 的授权访问等。Spring Security 还提供了一些默认实现,例如用户名密码身份验证、基于角色的访问控制等,您也可以定制这些功能以满足您的特定应用程序需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路上阡陌

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值