springboot整合spring security

最新推荐文章于 2024-08-23 21:00:21 发布
最新推荐文章于 2024-08-23 21:00:21 发布
阅读量232 收藏
点赞数
分类专栏: springboot 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52307083/article/details/130163283
版权

springboot整合spring security


Spring Security 是基于 Spring 框架的一个安全认证和授权框架,可以对 Web 应用的安全进行管理和控制。

1.Spring Boot 整合 Spring Security 的具体步骤

在 pom.xml 文件中添加 Spring Security 的依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

创建一个继承自 WebSecurityConfigurerAdapter 的配置类,并重写 configure() 方法来配置安全规则,例如设置哪些请求需要进行身份认证,哪些请求需要拥有某个角色才能访问等。
java

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .defaultSuccessUrl("/dashboard")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("admin").password("{noop}admin").roles("ADMIN");
    }
}

上述代码定义了访问 /admin/** 的请求需要拥有 ADMIN 角色才能访问,其他请求需要进行身份认证,同时通过 inMemoryAuthentication() 方法进行内存级别的用户认证,用户名为 admin,密码为 admin,拥有 ADMIN 角色。

如果需要使用自定义的用户服务来进行认证,可以在 configure(AuthenticationManagerBuilder auth) 方法中设置用户服务。

@Autowired
private UserService userService;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
}

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

使用自定义的用户服务 userService,对密码进行了BCrypt 加密处理。

2.完整步骤

添加依赖
在 pom.xml 文件中添加 Spring Boot 和 Spring Security 的依赖:

xml

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    
    <dependency>
        <groupId>org.thymeleaf</groupId>
        <artifactId>thymeleaf-spring5</artifactId>
    </dependency>
    
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-test</artifactId>
        <scope>test</scope>
    </dependency>
</dependencies>

创建实体类和数据访问层
创建 User 实体类和 UserRepository 数据访问层:

java

@Entity
@Table(name = "users")
public class User implements Serializable {
    @Id
    @GeneratedValue(strategy= GenerationType.IDENTITY)
    private Long id;

    @Column(unique = true)
    private String username;
    private String password;
    private String email;
    private boolean enabled;
    private LocalDateTime created_at;

    // getters and setters
}

@Repository
public interface UserRepository extends JpaRepository<User, Long> {
    User findByUsername(String username);
}

创建用户服务
创建 UserDetailsService 实现类 CustomUserDetailsService,实现 loadUserByUsername() 方法来获取用户信息。

java

@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("Username " + username + " not found");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),
                user.isEnabled(), true, true, true,
                getAuthorities(Arrays.asList(new Role("ROLE_USER"))));
    }

    private Collection<? extends GrantedAuthority> getAuthorities(Collection<Role> roles) {
        return getGrantedAuthorities(getPrivileges(roles));
    }

    private List<String> getPrivileges(Collection<Role> roles) {
        List<String> privileges = new ArrayList<>();
        List<Privilege> collection = new ArrayList<>();
        for (Role role : roles) {
            collection.addAll(role.getPrivileges());
        }
        for (Privilege item : collection) {
            privileges.add(item.getName());
        }
        return privileges;
    }

    private List<GrantedAuthority> getGrantedAuthorities(List<String> privileges) {
        List<GrantedAuthority> authorities = new ArrayList<>();
        for (String privilege : privileges) {
            authorities.add(new SimpleGrantedAuthority(privilege));
        }
        return authorities;
    }
}

从 UserRepository 中获取到的 User 对象转换成 Spring Security 的 UserDetails 对象,并为其授权。

创建安全配置类
创建 SecurityConfig 配置类,继承自 WebSecurityConfigurerAdapter,实现 configure() 方法来配置安全规则和自定义用户服务。

java

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService customUserDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .defaultSuccessUrl("/dashboard")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }

    @Autowired
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(customUserDetailsService).passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

上述代码定义了访问 /admin/** 的请求需要拥有 ADMIN 角色才能访问,其他请求需要进行身份认证,同时通过自定义的用户服务 CustomUserDetailsService 来进行身份认证,并对密码进行了 BCrypt 加密处理。

创建控制器和模板
创建 HomeController 控制器和 index.html 登录页模板:

java

@Controller
public class HomeController {
    @GetMapping("/")
    public String home() {
        return "index";
    }

    @GetMapping("/dashboard")
    public String dashboard() {
        return "dashboard";
    }

    @GetMapping("/admin")
    public String admin() {
        return "admin";
    }
}

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>Login Page</title>
</head>
<body>
    <div th:if="${param.error}">
        Invalid username and password.
    </div>
    <div th:if="${param.logout}">
        You have logged out successfully.
    </div>
    <form th:action="@{/login}" method="post">
        <div>
            <label>Username:</label>
            <input type="text" name="username" />
        </div>
        <div>
            <label>Password:</label>
            <input type="password" name="password" />
        </div>
        <div>
            <button type="submit">Log in</button>
        </div>
    </form>
</body>
</html>

运行和测试
启动应用,访问 http://localhost:8080/,会跳转到登录页,输入用户名 admin 和密码 admin,会跳转到 dashboard 页面;访问 http://localhost:8080/admin,需要登录并需要拥有 ADMIN 角色才能访问。

源城编程哥
关注
专栏目录
初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
fudaihb的博客
05-18 1429
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
Springboot - 13.spring-boot-starter-security集成
yueerba126的博客
09-04 851
使用方法,你可以定义哪些 URL 需要被保护、哪些不需要被保护、需要哪种角色等。@Overridehttp.antMatchers("/public/**").permitAll() // 公共路径,任何人都可以访问.antMatchers("/admin/**").hasRole("ADMIN") // 只有ADMIN角色的用户可以访问/admin/路径下的所有资源.anyRequest().authenticated() // 任何请求都需要经过身份验证.and()
进阶SpringBootSpringSecurity(2)用户认证和授权
最新发布
m0_58838332的博客
08-23 471
WebSecurityConfigurerAdapter:自定义 Security 策略(从 5.7.0-M2 起已被弃用)编写过程中,antMatchers 发现没有,搜索后发现新版本已被移除(看老版本教学视频好痛苦)@EnableWebSecurity:开启 WebSecurity 模式。也是 Spring Boot 底层安全模块默认的技术选型。pom.xml 文件导入 security 依赖。模块,进行少量配置,即可实现强大的安全管理。Spring Security 的主要目标是。
spring-boot-starter-security与应用安全
热门推荐
吴声子夜歌的博客
11-21 1万+
应用安全属于安全防护体系中的重要一环,但也是最薄弱的一环,究其原因,或许是应用的核心职责是完成业务和产品的功能需求,而安全确实非功能性需求,在资源有限的情况下,企业一定是更加注重将有限的资源投入到“开疆扩土”上去,否则,穷家破瓦的,也真没有什么值得安全防护的。 大部分应用开发者对应用安全知之甚少,而且安全一般属于一个企业或者业界秘而不宣的信息,所以,在没有一个专职的安全团队负责推动整个安全防护体系...
spring-boot-starter-security
xq_adress的博客
01-06 642
若需要添加基于HTTP的basic认证 1.在pom.xml中添加 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactI...
Spring boot整合Security
weixin_44603464的博客
02-23 1139
Spring Securityspring项目之中的一个安全模块WebSecurityConfigurerAdapter: 自定义Security策略AuthenticationManagerBuilder: 自定义认证策略@EnableWebSecurity: 开启WebSecurity模式Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
4. **整合Spring Security与OAuth2**:在Spring Boot中,我们可以使用`spring-security-oauth2-autoconfigure`库来简化OAuth2的配置。通过设置`@EnableAuthorizationServer`和`@EnableResourceServer`注解,分别启动...
springboot整合springSecurity
04-19
以上是SpringBoot整合SpringSecurity的基础知识要点,实际应用中可能还需要结合具体的业务需求进行更细致的配置和定制。在项目开发中,确保理解并熟练运用这些知识点,能够有效提高应用的安全性和健壮性。
springBoot整合springSecurity
01-10
springBoot整合springSecurity完整代码
SpringBoot整合SpringSecurity超详细入门教程
2401_83977357的博客
04-30 682
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
<artifactId>spring-boot-starter-security</artifactId>
BLOG域名:programb.blog.csdn.net
05-07 880
技术管理策略 微服务的架构理念中指出各微服务可以独立建设,可以使用不同的技术、语言、框架等,以便能更快速的使用新技术、新框架等响应特定客户需求,解决单体应用架构更新技术、更新框架时面临的困难或阻碍。 但这也同时带来了诸多问题,如下: 1、各服务是否可以任意使用自己的技术、自己的组件、框架呢?如果这样,势必带来更大的管理困难、维护困难、技术共享困难。 2、公共的方法如何实现共享?如格式化时间的一个简...
spring boot集成spring security(jwt+redis有完整源码)
fds技术枭牛
09-06 1174
一、Spring Security官方解释 Spring Security是一个强大的和高度可定制的身份验证和访问控制框架。它是保证基于spring的应用程序安全的实际标准。Spring Security是一个框架,着重于为Java应用程序提供身份验证和授权。春天像所有项目,Spring Security的真正力量是很容易找到的它可以扩展以满足定制需求。 本项目使用jwt当作token,使用redis存储token,登录信息不依赖于单个项目,集中存储到redis内存型数据库中。 二、spring boot
config-server/client 简单接入 spring-boot-starter-security
sijun1102的专栏
04-14 4204
由于配置中心内容比较敏感,所以结合spring security实现安全保护。 首先改造config-server,在pom文件里引入spring-boot-starter-security: <dependency> <groupId>org.springframework.boot</groupId> <artifactId&gt...
Spring Boot-搭建SpringSecurity(保姆级别)
2301_82242204的博客
04-09 3105
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
spring-cloud-eureka 集成spring-boot-starter-security
houkai的博客
01-16 618
此案例是以 eureka 单机版为基础进行扩展性介绍 服务端 1.引入maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ...
spring-boot-starter-security的简单使用
python15397的博客
04-03 1万+
spring-boot-starter-security的简单使用
securityjava springboot项目中使用springSecurity安全框架
m0_66998390的博客
08-23 1979
java springboot项目中使用springSecurity安全框架
springboot 整合Spring Security
07-05
Spring Boot整合Spring Security主要是为了提供安全控制功能,帮助开发者快速地在Spring Boot应用中添加身份验证、授权和会话管理等安全性措施。以下是基本步骤: 1. 添加依赖:首先,在Maven或Gradle项目中添加Spring Security的相关依赖到pom.xml或build.gradle文件中。 ```xml <!-- Maven --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- Gradle --> implementation 'org.springframework.boot:spring-boot-starter-security' ``` 2. 配置WebSecurityConfigurerAdapter:在`src/main/resources/application.properties`或application.yml中配置一些基础属性,如启用HTTPS、密码加密策略等。然后创建一个实现了`WebSecurityConfigurerAdapter`的类,进行具体的配置,如设置登录页面、认证器、过滤器等。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/css/**", "/js/**", "/images/**").permitAll() // 允许静态资源访问 .anyRequest().authenticated() // 所有其他请求需要认证 .and() .formLogin() // 设置基于表单的身份验证 .loginPage("/login") // 登录页URL .defaultSuccessUrl("/") // 登录成功后的默认跳转URL .usernameParameter("username") .passwordParameter("password") .and() .logout() // 注销功能 .logoutUrl("/logout") .logoutSuccessUrl("/") .deleteCookies("JSESSIONID"); } // ... 其他配置如自定义用户DetailsService、密码编码器等 } ``` 3. 用户服务(UserDetailsService):如果需要从数据库或其他数据源获取用户信息,需要实现`UserDetailsService`接口并提供用户查询逻辑。 4. 运行应用:启动Spring Boot应用后,Spring Security将自动处理HTTP请求的安全检查,例如身份验证和授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

源城编程哥

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值