项目实践——整合Spring Security权限框架

最新推荐文章于 2024-04-18 11:37:23 发布
最新推荐文章于 2024-04-18 11:37:23 发布
阅读量383 收藏
点赞数 2
分类专栏: 计划与总结 文章标签: java Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52435951/article/details/122794682
版权
本文详细介绍了Spring Security框架的认证与授权机制,包括用户认证和授权的概念,以及如何在项目中整合Spring Security。文章重点讲解了基于token的认证流程,通过创建核心配置类、工具类、实体类和filter实现安全控制。最后,阐述了代码结构调整的过程。
摘要由CSDN通过智能技术生成

文章目录

一、Spring Security介绍

1、框架介绍

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套
Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用
户授权(Authorization)两个部分。

(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认
证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是
不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会
为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

Spring Security其实就是用filter,多请求的路径进行过滤。

(1)如果是基于Session,那么Spring-security会对cookie里的sessionid进行解析,找到服务器存储
的sesion信息,然后判断当前用户是否符合请求的要求。
(2)如果是token,则是解析出token,然后将当前请求加入到Spring-security管理的权限信息中去

2、认证与授权实现思路

在这里插入图片描述

如果系统的模块众多,每个模块都需要就行授权与认证,所以我们选择基于token的形式进行授权与认
证,用户根据用户名密码认证成功,然后获取当前用户角色的一系列权限值,并以用户名为key,权限列
表为value的形式存入redis缓存中,根据用户名相关信息生成token返回,浏览器将token记录到cookie中,
每次调用api接口都默认将token携带到header请求头中,Spring-security解析header头获取token信息,解
析token获取当前用户名,根据用户名就可以从redis中获取权限列表,这样Spring-security就能够判断当前
请求是否有权限访问

二、整合Spring Security(固定代码)

1、在common下创建spring_security模块

在这里插入图片描述

2、在spring_security引入相关依赖

 <dependencies>
        <dependency>
            <groupId>com.xush</groupId>
            <artifactId>common_utils</artifactId>
            <version>0.0.1-SNAPSHOT</version>
        </dependency>
        <!-- Spring Security依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <!--jwt-->
        <dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.tomcat.embed</groupId>
            <artifactId>tomcat-embed-core</artifactId>
        </dependency>
    </dependencies>

3、在service_acl引入spring_security依赖

 <dependency>
            <groupId>com.xush</groupId>
            <artifactId>spring_security</artifactId>
            <version>0.0.1-SNAPSHOT</version>
        </dependency>

代码结构说明:
在这里插入图片描述

4、创建spring security核心配置类

在这里插入图片描述
Spring Security的核心配置就是继承WebSecurityConfigurerAdapter并注解@EnableWebSecurity的配置。
这个配置指明了用户名密码的处理方式、请求路径的开合、登录登出控制等和安全相关的配置

import com.xusheng.serurity.filter.TokenAuthenticationFilter;
import com.xusheng.serurity.security.TokenManager;
import com.xusheng.serurity.filter.TokenLoginFilter;
import com.xusheng.serurity.security.DefaultPasswordEncoder;
import com.xusheng.serurity.security.TokenLogoutHandler;
import com.xusheng.serurity.security.UnauthorizedEntryPoint;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

/**
 * <p>
 * Security配置类
 * </p>
 *
 * @author qy
 * @since 2019-11-18
 */
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class TokenWebSecurityConfig extends WebSecurityConfigurerAdapter {
   

    private UserDetailsService userDetailsService;
    private TokenManager tokenManager;
    private DefaultPasswordEncoder defaultPasswordEncoder;
    private RedisTemplate redisTemplate;

    @Autowired
    public TokenWebSecurityConfig(UserDetailsService userDetailsService, DefaultPasswordEncoder defaultPasswordEncoder,
                                  TokenManager tokenManager, RedisTemplate redisTemplate) {
   
        this.userDetailsService = userDetailsService;
        this.defaultPasswordEncoder = defaultPasswordEncoder;
        this.tokenManager = tokenManager;
        this.redisTemplate = redisTemplate;
    }

    /**
     * 配置设置
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        http.exceptionHandling()
最低0.47元/天 解锁文章
虚神公子
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security权限框架
荒的博客
04-15 346
Spring Security的身份验证支持多种模型 一、Basic认证 Basic 验证是在HTTP1.0提出的认证方法,它是一种基于challenge/response的认证模式,针对特定的资源需要提供用户名和密码认证后才可访问,其中密码使用明文传输。 Basic 认证是HTTP 中非常简单的认证方式,因为简单,所以不是很安全,不过仍然非常常用。 Basic模式认证过程如下: ①浏览器发送http报文请求一个受保护的资源。 ②服务端的web容器将http响应报文的响应码设为401,响应头部加
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 649
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
springsecurity项目集成
qq_15076569的博客
10-24 2602
springSecurity集成的项目必须是集成了spring项目 1.引入jar &lt;!--安全框架security--&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.security&lt;/groupId&gt; &lt;artifactId&gt;spring-security-web&lt;/arti...
SpringBoot整合SpringSecurity
追寻心的步伐
07-27 950
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;​ Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;​ Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。​ 在 Java
我和我的项目整合Security
梁同学Coding博客
04-23 118
写在前面开辟了一个专门板块。把项目中遇到过的技术点了一个整理,形成自己的技术栈。在码云上也建了一个仓库,存放这些代码。码云地址https://gitee.com/lth1024/SbMu...
springboot整合spring security + MybatisPlus入门
SampsonKong的博客
02-03 1077
springboot整合spring security + MybatisPlus入门
Java架构师方案——模拟Spring Security,我徒手写了一个简单的安全框架(附完整项目代码)
jack_wang001的专栏
11-17 536
1. 导读 2. 核心的组件和逻辑 3. 运行测试 4. Spring Security分析总结 1. 导读 阅读这篇文章,跟着笔者一起从0到1开始写一个模拟Spring Security框架的工具。 读完文章,你将了解Spring Security核心原理。 本文demo是在Java架构师方案宝典系列中的jackdking-login-redis-token项目基础上衍生出来的。 2. 核心的组件和逻辑 在导读中,笔者说这篇文章demo是在jackdking..
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3661
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要这一步。
SpringBoot整合Spring Security【超详细教程】
m0_54883970的博客
07-28 452
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将SpringSecurity整合SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。SpringBoot整合SpringSecurity到这里就结束了。https如果我的文章对你有些帮助,不要忘了,,转发,。...
spring security(权限框架)
02-26
通过spring 来管理系统权限,能让你的权限的更好更完美
spring security 5.x实现兼容多种密码的加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种是通过数据库或其它持久化存储机制来保存生成的 token。这篇文章主要给大家介绍了关于spring security 5.x实现兼容多种密码的加密方式,需要的朋友可以参考下。
SpringSecurity权限管理框架系列(一)-SpringBoot项目整合SpringSecurity入门
最爱嫣夜来
03-19 639
1、什么是Spring Security Spring Security 是一个提供身份验证、授权和防止常见攻击的框架。无论是对命令式,还是响应式web应用程序都完美支持,现在主要用作保护基于 Spring 框架的应用程序的事实标准。 2、Springboot项目如何整合Spring Security springboot项目整合Spring Security框架非常简单,因为官方已经为我们提供了Spring Security的starter, 只需要在你的springboot的项目中引入依赖即可。 pom
SpringSecurity权限框架(入门篇)
每日小新
11-04 3115
SpringSecurity权限管理框架 ✧ 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 ✧ 常用的权限管理框架:        ✧Spring Security:Spring系列的权限管理框架,内部带有AOP,DI,IOC的功能,约定大于配置的特点,大大的提高了对权限的代码效率,主要是**认证**,和**授权**两个模块。  
Spring Security权限管理框架
佐月儿
12-14 586
认证和授权概念 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。 RBAC权限模块数据模型 前面已经分析了认证和授权的概念,要实现最终的权限控制,需要有一套表结构支撑: 用户表t_user、 角色表t_role、权限表t_permission、菜...
SpringSecurity安全权限框架及其原理
weixin_45710998的博客
05-12 890
首先创建最基本的SpringBoot项目,默认都会。主要是引入依赖和创建Controller进行测试。上述代码为依赖的引入。然后随便写一个controller,写上一个对应的接口,然后直接去浏览器访问。就会发现跳转到了这个登录页面,这个页面也就是Spring Security的默认登陆页面。如果访问很慢,就bootstrap.min.css这个静态资源加载不出来,换个网络即可。
springboot项目整合springSecurity框架流程
最新发布
weixin_67909064的博客
04-18 866
addFilter(new TokenVerifyFilter(super.authenticationManager())) // 绑定校验的接口(将步骤四定义的token校验过滤器扔进来).addFilter(new TokenLoginFilter(super.authenticationManager())) // 绑定认证的接口(将步骤三定义的登录过滤器扔进来)auth.userDetailsService(mySecurityService) // 绑定自定义的认证Service。
谷粒学院(二十二)spring security | 权限管理 | 权限整合springsecurity
星海IT学习之路
11-06 4071
一、权限管理需求描述 不同角色的用户登录后台管理系统拥有不同的菜单权限与功能权限权限管理包含三个功能模块:菜单管理、角色管理和用户管理 1、菜单管理 (1)菜单列表:使用树形结构显示菜单列表 (2)添加菜单:点击添加菜单,弹框进行添加 (3)修改菜单 (4)删除菜单 2、角色管理 (1)角色列表:实现角色的条件查询带分页功能 (2)角色添加 (3)角色修改 (4)角色删除 普通删除 批量删除 (5)角色分配菜单 3、用户管理 (1)用户列表 (2)用户添加 (3)用户修改 (4)用户删除 (5)用户
Spring Security权限框架简介
weixin_48016395的博客
04-27 2236
一、框架介绍 Spring是一个非常流行和成功的Java应用开发框架Spring Security 是基于Spring框架,提供了一套Web应用安全性的完整解决方案。一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。
"深入了解Spring Security权限框架及使用方法
Spring Security是一个功能强大的权限框架,可以帮助开发人员实现各种权限控制和安全管理。本教程将从介绍Spring Security的基本原理和分类使用开始,逐步深入到实际应用的演示和示例,旨在帮助读者全面了解和掌握...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚神公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值