SpringSecurity学习1-入门详解

已于 2022-08-30 15:39:37 修改
阅读量912 收藏 1
点赞数 1
分类专栏: SpringSecurity学习之路 文章标签: spring spring boot java
于 2022-08-26 22:13:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_52931616/article/details/126527155
版权

SpringSecurity入门详解

1.安全框架概述

什么是安全框架?解决系统安全问题的框架,如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问控制

2.SpringSecurity:Spring家族的一员,是一个能够基于Spring的企业应用系统提供声明式的安全访问控制解决方案、高度自定义的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IOC(控制反转Inversion of Control ),DI(Dependency Injecion 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明示的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。它的核心功能是“认证”和“授权”。

2.入门demo

1.导入依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.3.0.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example</groupId>
    <artifactId>spingsecurity-demo</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>spingsecurity-demo</name>
    <description>spingsecurity-demo</description>
    <properties>
        <java.version>15</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可。

 <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
 </dependency>

2.访问页面
导入spring-boot-starter-security启动器后,Spring Security已经生效,默认拦截全部请求,如果用户没有登录,跳转到内置登录页面。
在浏览器中输入http://localhost:8080/login
在这里插入图片描述
默认的username是user,默认的随机密码password会打印在控制台(每次项目启动后的密码都不同)
在这里插入图片描述
3.可以自己自定义当前页面的用户名和密码
通过修改application.properties(application.yml)配置文件

spring.security.user.name=yiailuo
spring.security.user.password=yiailuo

4.UserDetailsService详解
在这里插入图片描述
如果需要自定义登录逻辑需要实现UserDetailsService接口,它的返回值是UserDetails
也是一个接口
在这里插入图片描述
13~25行分别对应获取权限,获取密码,获取用户名,账号是否过期,账号是否被锁定,密码是否过期,是否可用

5.PasswordEncoder详解
在这里插入图片描述

encode() :把参数按照特定的解析规则进行解析。
matches() :验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码
匹配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二
个参数表示存储的密码。
upgradeEncoding() :如果解析的密码能够再次进行解析且达到更安全的结果则返回
true,否则返回 false。默认返回 false。

6.自定义登录逻辑

  1. 自定义逻辑
package com.example.demo.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

@Service
public class UserDetailServiceImpl implements UserDetailsService {
    //自定义登录逻辑
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("执行自定义登陆逻辑");
        //1.根据用户名去数据库查询,如果不存在抛出UserNameNotFound异常(正常情况下是去数据库查)
        //这里只是一个简单demo
        if(!"yiailuo".equals(username)){
            throw new UsernameNotFoundException("用户名不存在");
        }
        //2.比较密码(注册时已经加密过的,如果匹配成功返回UserDetails)
        String password = passwordEncoder.encode("yiailuo");
        return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_abc"));//权限列表
    }

}

这里UserDetails实现User类的实例
导包时注意!!!
User类属于import org.springframework.security.core.userdetails.User;并不是自己创建的User类。
有两个构造方法任选其一即可
在这里插入图片描述

  1. 自定义登录页面

登录页面login.html等静态资源放在resource/static文件夹里
login.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
<form action="/login" method="post">
  用户名:<input type="text" name="username"/><br/>
    密码:<input type="password" name="password"/><br/>
    <input type="submit" value="登录"/>
</form>
</body>
</html>

登录成功的页面main.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆成功</title>
</head>
<body>
登陆成功!!!<a href="main1.html">跳转</a>
</body>
</html>

登录失败的页面error.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
操作失败,请重新登录<a href="/login.html">跳转</a>
</body>
</html>

编写配置类
WebSecurityConfigurerAdapter在SpringSecurity5.7版本弃用了

package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;


@Configuration
//自定义登录页
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   @Override
   protected void configure(HttpSecurity http)throws Exception{
       //登录
       http.formLogin()
               //自定义登录页面
               .loginPage("/login.html")
               //必须和表单提交的接口一致
               .loginProcessingUrl("/login")
               //登录成功跳转的页面,POST请求
               .successForwardUrl("/toMain")
               //登录失败后跳转的页面,post请求
               .failureForwardUrl("/toError")
       //授权
       http.authorizeRequests()
               //放行login.html,无需验证
               .antMatchers("/login.html").permitAll()
               //放行error.html,无需验证
                .antMatchers("/error.html").permitAll()
               //所有请求都必须通过认证才能访问,(必须登录)
               .anyRequest().authenticated();//拦截所有请求,有先后顺序,anyRequest()放在最后
       //关闭csrf防护
       http.csrf().disable();
   }
    @Bean
    public PasswordEncoder getPw(){
        return new BCryptPasswordEncoder();
    }
}

编写控制器

package com.example.demo.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class LoginController {
    @RequestMapping("/toMain")
    public String main(){
        return "redirect:main.html";
    }
    @RequestMapping("/toError")
    public String error(){
        return "redirect:error.html";
    }
}

启动项目后的登录页面
在这里插入图片描述
输入设置好的用户名和密码,点击登录即可跳转到main.html,输入错误的用户名和密码即可跳转到error.html
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

易霭珞
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring boot 实践学习案例,与其它组件整合
09-18
spring boot 实践学习案例,与其它组件结合如 mybatis、jpa、dubbo、redis、mongodb、memcached、kafka、rabbitmq、activemq、elasticsearch、security、shiro等 #### Spring Boot 版本 - 2.0.3.RELEASE #### 模块说明 - springboot-basic - Spring Boot 基础知识,包括SpringBoot起步、配置详解、aop、filter、拦截器、监听、启动器、全局异常处理、外部Tomcat启动、HTTPS、监控 等。 - springboot-data - Spring Boot 数据库操作,包括SpringJDBC、JPA、Mybatis注解版 & XML版、MongoDB。其中,每个版本都有其对应的多数据源解决方案。 - springboot-caches - Spring Boot 缓存,包括redis、ehcache、spring-cache、memcached、使用redis实现session共享 等。 - springboot-templates - Spring Boot 模板,包括thymeleaf、freemarker、jsp、表单校验 等。 - springboot-docs - Spring Boot 文档生成工具,包括 Swagger、Spring RestDocs - springboot-bussiness - Spring Boot 业务应用,包括 定时任务、上传文件、发送邮件、Doc文档操作 等。 - springboot-ajax - Spring Boot AJAX 跨域,包括 JSONP、Node.js与SpringBoot集成使用反向代理 等。 - springboot-websockets - Spring Boot 使用 Websocket - springboot-webflux - Spring Boot 集成 WebFlux 开发反应式 Web 应用 - springboot-dubbo - Spring Boot 集成 Dubbo 的三种方式 - springboot-search - Spring Boot 集成 搜索引擎,包括 elasticsearch、solr - springboot-mq - Spring Boot 集成 消息队列,包括 kafka、rabbitmq、activemq、rocketmq、redismq - springboot-auth - Spring Boot 权限认证,包括 Apache Shiro、Spring Security - springboot-cloud - Spring Cloud 入门,包括 Eureka(服务注册与发现)、Config(配置中心)、Hystrix(断路器)、Bus(消息总线) 等
spring-security3 入门
03-27
NULL 博文链接:https://gaojiewyh.iteye.com/blog/1152242
Spring Security详细学习第一篇
最新发布
weixin_62513677的博客
04-18 1201
本文是作者学习三更老师的Spring Security课程所记录的学习心得和笔记知识,希望能帮助到大家。
SpringBootSpringSecurity 快速入门
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-17 449
文章目录一、简介二、使用SpringSecurity1、导入依赖2、基础环境搭建3、编写SecurityConfig配置类①、重写configure(HttpSecurity http)方法②、重写configure(AuthenticationManagerBuilder auth)方法 一、简介 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。 Spring Security 是一个专注于为 Java 应用程序
Spring-security 简单入门
qq_42102911的博客
04-01 620
一、 Spring-security 介绍 Spring-security核心功能: 认证 (你是谁) 授权 (可以干什么) 攻击防护 (防止伪造身份) Spring Security 是一个提供身份验证、授权和防止常见攻击的框架。凭借对保护命令式和反应式应用程序的一流支持,它是保护基于 Spring 的应用程序的事实标准。 二、结合springboot 项目使用 1.导入依赖 <!-- spring security--> <dependency&
Spring Security:从入门到精通,全方位指南
weixin_44831330的博客
12-21 520
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
手把手教你spring security入门
yangfenggh的博客
11-24 1988
spring Security权限控制
SpringSecurity入门
凉茶铺的博客
07-15 826
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
Spring Security——入门介绍
代码星辰的博客
10-05 2419
Spring Security——入门介绍
Spring Security (基本入门) (一)
959
05-09 1052
Spring Secuity 基本入门
Spring Security 接口认证鉴权入门实践指南
互联网从业者/大数据架构师/全栈开发者
01-11 3002
Web API 接口服务场景里,用户的认证和鉴权是很常见的需求,Spring Security 据说是这个领域里事实上的标准,实践下来整体设计上确实有不少可圈可点之处,也在一定程度上印证了小伙们经常提到的 “太复杂了” 的说法也是很有道理的。 本文以一个简单的 SpringBoot Web 应用为例,重点介绍以下内容: 演示 Spring Security 接口认证和鉴权的配置方法; 以内存和数据库为例,介绍认证和鉴权数据的存储和读取机制; 若干模块的自定义实现,包括:认证过滤器、认证或鉴权失败处理器等
基于 SpringBoot 2.3.4 版本的入门 Demo 教程
11-20
Spring Boot 配置文件详解 Spring Boot RESTful API 架构 Spring Boot 过滤器和拦截器 Spring Boot 全局异常处理 Spring Boot 参数校验 Spring Boot OpenAPI 文档集成 Spring Boot 集成 Mybatis Spring Boot 集成 ...
springboot学习
01-29
chapter4-3-1:使用Spring Security chapter4-3-2:[使用Spring Session(未完成)] 缓存支持 chapter4-4-1:注解配置与EhCache使用 chapter4-4-2:使用Redis做集中式缓存 邮件发送 chapter4-5-1:实现邮件发送:...
springboot入门
06-13
包含springboot框架介绍、配置文件详解、数据库访问集成、多数据源配置与使用、事务管理、日志管理、AOP、定时器、使用spring security
SpringSecurity十分钟入门教程
pp_hu的博客
11-06 257
文章目录简介环境搭建授权和认证注销账户根据权限显示页面 源码地址:https://github.com/hpp3501/springboot.git 教程视频资源:https://www.bilibili.com/video/BV1PE411i7CV?p=34 简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 环境搭建 1. 准备好页面 2. 创建路由控制层
SpringSecurity入门(超级无敌认真好用,万字收藏篇!!!!)
IT搬砖工
03-22 1503
内容包括 [SpringSecurity概述,SpringSecurity的基本使用,SpringSecurity基于内置账户的实现,SpringSecurity基于数据库的实现...]> 在西安加中实训学习期间作的笔记用于后边记忆和留存
SpringSecurity基础入门详解
小小默:进无止境
06-27 997
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1135
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
品优购第四天
编程之心的博客
11-22 468
品优购 第4天 学习目标 目标1:实现SpringSecurity入门小Demo 目标2:完成运营商登陆与安全控制功能 目标3:完成商家入驻 目标4:完成商家审核 目标5:完成商家系统登陆与安全控制功能 目标6:完成商家异步登录 第1章 Spring Security框架入门 1.1 Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声...
spring security 整合mybatis-plus
10-23
<artifactId>spring-boot-starter-security <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter <version>latest version ``` 2. 接下来,在项目的配置文件 application....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

易霭珞

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值