SpringBoot 学习笔记(十)Spring Security 安全框架_springboot之security学习

最新推荐文章于 2024-06-11 17:37:07 发布
最新推荐文章于 2024-06-11 17:37:07 发布
阅读量660 收藏 27
点赞数 27
分类专栏: 2024年程序员学习 文章标签: 网络安全 web安全 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_54903333/article/details/138989338
版权

先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7

深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!

需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)

由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新

需要这份系统化资料的朋友,可以点击这里获取

public class UserController {
@RequestMapping(“/user/hello”)
public String hello() {
return “user,Hello !”;
}
}


AdminController类

package com.example.demo3springsecurity.controller;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class AdminController {
@RequestMapping(“/admin/hello”)
public String hello() {
return “admin,Hello !”;
}
}


2. 配置两个角色  
 本来用户和角色是保存在数据库中的,这里只是单纯地创建了两个存放于内存的用户和角色  
 创建config目录,并创建SecurityConfig类

package com.example.demo3springsecurity.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/*不对密码进行加密*/
@Bean
PasswordEncoder passwordEncoder(){
return NoOpPasswordEncoder.getInstance();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
/*管理员用户 具备ADMIN和USER角色*/
.withUser(“admin”).password(“admin”).roles(“ADMIN”, “USER”)
.and()
/*普通用户*/
.withUser(“aoxiu”).password(“aoxiu”).roles(“USER”);
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
/*普通用户访问的url*/
.antMatchers(“/user/**”).hasRole(“USER”)
/*管理员用户访问的url*/
.antMatchers(“/admin/**”).hasRole(“ADMIN”)
.anyRequest().authenticated() //其他多有路径都必须认证
.and()
.formLogin()
.loginProcessingUrl(“/login”)
.permitAll() //访问“/login”接口不需要进行身份认证了,防止重定向死循环
.and()
.csrf().disable(); //关闭csrf
}
}


然后就可以发现,若要访问admin/hello,用户名和密码必须是admin才可以  
 若使用aoxiu这种用户的身份就会报错


### 三、基于数据库的认证


#### 1、SpringSecurity基于数据库认证


1. 创建项目,添加如下依赖  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/7ec50386b596485b949e2fe9de929df0.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5aWl5aaZ5peg56m5,size_12,color_FFFFFF,t_70,g_se,x_16)  
 lombok用于使用注解替代getter、setter等方法  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/547e093d08cf4cb7a92173434b6cbafd.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5aWl5aaZ5peg56m5,size_14,color_FFFFFF,t_70,g_se,x_16)
2. 在application.yml文件中配置

spring:
datasource:
url: jdbc:mysql://localhost:3306/test?useUnicode=true&characterEncoding=UTF-8&serverTimezone=UTC
username: root
password: root
driver-class-name: com.mysql.jdbc.Driver
logging:
level:
com.example.bdatabaserole.mapper: debug #打印SQL语句
mybatis:
mapper-locations: classpath:mappers/*.xml
type-aliases-package: com.example.securitydatebase.mapper
server:
port: 8082


3. 创建实体类  
 UserInfo

package com.beixi.entity;

import lombok.Data;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.io.Serializable;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Data //lombok注解省略get/set等方法
public class UserInfo implements Serializable,UserDetails {
private int id;

private String username;
private String password;
private List<Role> roleList;

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    Collection<GrantedAuthority> authorities = new ArrayList<>();
    for (Role role : roleList) {
        //数据库role表字段中是以ROLE\_开头的,所以此处不必再加ROLE\_
        authorities.add(new SimpleGrantedAuthority(role.getName()));
    }
    return authorities;
}

/\*\*

* 指示用户的账户是否已过期。无法验证过期的账户。
* 如果用户的账户有效(即未过期),则返回true,如果不在有效就返回false
*/
@Override
public boolean isAccountNonExpired() {
return true;
}

/\*\*

* 指示用户是锁定还是解锁。无法对锁定的用户进行身份验证。
* 如果用户未被锁定,则返回true,否则返回false
*/
@Override
public boolean isAccountNonLocked() {
return true;
}

/\*\*

* 指示用户的凭证(密码)是否已过期。过期的凭证阻止身份验证
* 如果用户的凭证有效(即未过期),则返回true
* 如果不在有效(即过期),则返回false
*/
@Override
public boolean isCredentialsNonExpired() {
return true;
}

/\*\*

* 指示用户是启用还是禁用。无法对禁用的用户进行身份验证
* 如果启用了用户,则返回true,否则返回false
*/
@Override
public boolean isEnabled() {
return true;
}
}


4. 创建Mapper接口和Service层  
 UserMapper

package com.example.securitydatebase.mapper;

import com.example.securitydatebase.entity.UserInfo;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;

@Mapper
@Repository
public interface UserMapper {
@Select(“select * from user where username = #{username}”)
UserInfo getUserByUsername(String username);

}


UserInfoService

package com.example.securitydatebase.service;

import com.example.securitydatebase.entity.UserInfo;
import com.example.securitydatebase.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class UserInfoService {
@Autowired
private UserMapper userMapper;

public UserInfo getUserInfo(String username){
    return userMapper.getUserByUsername(username);
}

}


5. 创建Controller层

package com.example.securitydatebase.controller;

import com.example.securitydatebase.entity.UserInfo;
import com.example.securitydatebase.service.UserInfoService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.web.bind.annotation.*;

@RestController
public class UserController {
@Autowired
private UserInfoService userInfoService;

@GetMapping("/getUser")
public UserInfo getUser(@RequestParam String username){
    return userInfoService.getUserInfo(username);
}

}


6. 身份认证  
 CustomUserDetailsService

package com.example.securitydatebase.service;

import com.example.securitydatebase.entity.UserInfo;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;

@Component
public class CustomUserDetailsService implements UserDetailsService {
@Autowired
private UserInfoService userInfoService;

/\*\*

* 需新建配置类注册一个指定的加密方式Bean,或在下一步Security配置类中注册指定
*/
@Autowired
private PasswordEncoder passwordEncoder;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    // 通过用户名从数据库获取用户信息
    UserInfo userInfo = userInfoService.getUserInfo(username);
    if (userInfo == null) {
        throw new UsernameNotFoundException("用户不存在");
    }
    //得到用户角色
    String role=userInfo.getRole();
    //角色集合
    List<GrantedAuthority> authorities=new ArrayList<>();
    //角色必须以“ROLE\_”开头,如果数据中没有,则在这里添加
    authorities.add(new SimpleGrantedAuthority("ROLE\_"+role));
    return new User(
        userInfo.getUsername(),
        //因为数据库是明文,所以这里需要加密密码
        passwordEncoder.encode(userInfo.getPassword()),
        authorities
    );
}

}


7. SpringSecurity配置  
 WebSecurityConfig

package com.example.securitydatebase.config;

import com.example.securitydatebase.service.CustomUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Lazy;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@EnableWebSecurity //是Spring Security用于启用Web安全的注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
@Lazy
private CustomUserDetailsService userDatailService;

/\*\*

* 指定加密方式
*/
@Bean
public PasswordEncoder passwordEncoder(){
// 使用BCrypt加密密码
return new BCryptPasswordEncoder();
}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
        // 从数据库读取的用户进行身份认证
        .userDetailsService(userDatailService)
        .passwordEncoder(passwordEncoder());
}

}


8. 建立test数据库,建立user表  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/72fbd98785d24189af639ba7b5ff4955.png)
9. 测试  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/4e1aab3421ab4c049ef205bd53984c5e.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBA5aWl5aaZ5peg56m5,size_20,color_FFFFFF,t_70,g_se,x_16)  
 注意这一段只是用于认证,但是还没有限制角色的访问


#### 2、角色访问控制


1. 开启访问权限,在WebSecurityConfig中添加@EnableGlobalMethodSecurity  
 ![在这里插入图片描述](https://img-blog.csdnimg.cn/08c66b3797554aa1ae1e2513e47f7587.png)  
 prePostEnabled=true会解锁@PreAuthorize和@PostAuthorize两个注解,@preAuthorize注解会在方法执行前进行验证,而@PostAuthorize注解在方法执行后进行验证  
 是不是有点懵,没关系,看后面就懂了
2. 在控制层添加访问接口  
 UserController类增加方法的访问权限




@PreAuthorize("hasAnyRole('user')") // 只能user角色才能访问该方法
@GetMapping("/user")
public String user(){
    return "hello,user";
}

@PreAuthorize("hasAnyRole('admin')") // 只能admin角色才能访问该方法
@GetMapping("/admin")
public String admin(){
    return "hello,admin";
}


PreAuthorize在执行前会首先验证是否user角色


3. 测试


使用user登录时无法访问/admin,  
 使用admin界面时,无法访问/user


#### 3、密码加密保护


1. 修改Mapper接口

package com.example.securitydatebase.mapper;

import com.example.securitydatebase.entity.UserInfo;
import org.apache.ibatis.annotations.Insert;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;

@Mapper
@Repository
public interface UserMapper {
@Select(“select * from user where username = #{username}”)
UserInfo getUserByUsername(String username);

// 添加用户
@Insert("insert into user(username, password) value(#{username}, #{password})")
int insertUserInfo(UserInfo userInfo);

}


2. 修改service类

package com.example.securitydatebase.service;

import com.example.securitydatebase.entity.UserInfo;
import com.example.securitydatebase.mapper.UserMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

@Service
public class UserInfoService {
@Autowired
private UserMapper userMapper;
@Autowired
private PasswordEncoder passwordEncoder;
public int insertUser(UserInfo userInfo){
// 加密密码
userInfo.setPassword(passwordEncoder.encode(userInfo.getPassword()));
return userMapper.insertUserInfo(userInfo);
}

public UserInfo getUserInfo(String username){
    return userMapper.getUserByUsername(username);
}

}


3. 修改controller




### 给大家的福利


**零基础入门**


对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


![](https://img-blog.csdnimg.cn/img_convert/95608e9062782d28f4f04f821405d99a.png)


同时每个成长路线对应的板块都有配套的视频提供:


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)

因篇幅有限,仅展示部分资料

**需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)**

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**

个大的方向学习准没问题。


![](https://img-blog.csdnimg.cn/img_convert/95608e9062782d28f4f04f821405d99a.png)


同时每个成长路线对应的板块都有配套的视频提供:


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)

因篇幅有限,仅展示部分资料

**需要体系化学习资料的朋友,可以加我V获取:vip204888 (备注网络安全)**

**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**

**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
卿卿草原
关注
  • 27
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot 学习笔记Spring Security 安全框架
qq_44648936的博客
03-17 5096
一、什么是Spring SecuritySpring Security致力于为Java应用提供核心功能认证和授权管理,其核心就是一组过滤器链,项目启动后会自动配置。 简单来说,Spring Security就是通过过滤器来验证你是谁,你是什么身份,然后给予相应的授权,让你能够干某些事。 二、SpringSecurity使用 1、入门项目 创建项目,并添加websecurity的依赖 建议在创建项目时直接添加,而不是后面在pom.xml中添加 <dependency>
SpringBoot学习笔记四:Spring Security安全管理 )
三分恶的博客
04-23 1563
文章目录一、Spring Security简介二、整合Spring Security1、基本配置1.1、创建项目,添加依赖1.2、添加 hello 接口1.3. 启动项目测试 一、Spring Security简介 Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。 截止到目前(2020年4月16日)...
SpringBootSpringBoot——Spring Security安全框架
lht964249279的博客
01-31 2184
SpringBoot学习笔记
SpringBoot 学习笔记_安全管理 —— Spring Security 配置
新青年1号
07-20 419
SpringBoot 学习笔记_安全管理 —— Spring Security 配置 声明: 本次学习参考 《SpringBoot + Vue 开发实战》 · 王松(著) 一书。 本文的目的是记录我学习的过程和遇到的一些问题以及解决办法,其内容主要来源于原书。 如有侵权,请联系我删除 文章目录SpringBoot 学习笔记_安全管理 —— Spring Security 配置SpringBoot 安全管理 —— Spring Security 基本配置基本用法配置用户名和密码基于内存的认证HttpSec
SpringBoot集成Spring-Security(5.7.3)学习笔记
AG.『Feng』的博客
10-26 1943
SpringBoot集成Spring-Security(5.7.3)学习笔记
Spring Boot 框架学习笔记(五)( SpringSecurity安全框架 )
qq_47267252的博客
06-13 993
Spring Boot 框架学习笔记(五) SpringSecurity安全框架 新建项目
SpringBoot笔记SpringSecurity
JAVA开发区的博客
08-18 1043
Apache Shiro是一个强大且易用的Java安全框架可以完成身份验证、授权、密码和会话管理Shiro 不仅可以用在 JavaSE 环境中,也可以用在 JavaEE 环境中官网: http://shiro.apache.org/
SpringSecurity框架学习(尚硅谷的)
m0_59690068的博客
01-07 1808
*** * springboot项目启动类* * @SpringBootApplication 它的作用是将当前类标识为 Spring Boot 应用的入口点,并启用自动配置和组件扫描。* @Slf4j 在这里就是这个作用 log.info("项目启动成功。。。。。");* @Slf4j 用于自动为类生成一个名为 “log” 的日志对象。它是 Lombok 项目中提供的一个注解,通过在类上添加 @Slf4j 注解,* 可以方便地在代码中使用日志记录功能。**/
SpringBoot-狂神(16. SpringSecurity学习笔记
圆的博客
09-19 2864
上一篇 :15. 整合MyBatis 文章目录1. 概述2. SpringSecurity 1. 概述 做项目,系统的安全性是第一位 SpringSecurity 和 Shiro ,两者很像,除了一些类、名字不一样 可以做认证、授权 …… 权限 功能权限 访问权限 菜单权限 …… 2. SpringSecurity 官网 : https://spring.io/projects/spring-security/ ...
springsecurity6.x实战学习笔记,可完美的移植到生产环境
03-28
springboot3.x springsecurity6.x 实战教程,可用于生产项目工程 本地账号、手机号、邮箱多账号登录,账号与用户信息分离表结构设计,区别于常见表设计方法
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
springboot学习思维笔记.xmind
06-19
springboot学习笔记 spring基础 Spring概述 Spring的简史 xml配置 注解配置 java配置 Spring概述 Spring的模块 核心容器CoreContainer Spring-Core Spring-Beans ...
TiHom-Security:基于SpringBoot + SpringSecurity + SpringSocial + JWT等的第三方登录(微信QQ)和安全认证框架
01-29
这个项目是基于SpringBoot + SpringSecurity + SpringSocial + JWT方式的第三方登录和安全认证框架 包括APP +浏览器端的实现 学习笔记和引导都在我的csdn博客更新中,有任何问题都可以问博主。 CSDN地址: :
springsecurity学习笔记
12-13
三更springsecurity学习笔记
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8289
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
数字时代网络安全即服务的兴起
最新发布
网络研究观
06-11 601
网络安全即服务是一种通过基于云的服务来管理安全需求的综合方法。
网络安全(补充)
m0_62207482的博客
06-11 1184
同步包风暴(SYN Flood)攻击者假造源网址发送多个同步数据包(SYN Packet)给服务器,服务器因无法收到确认数据包(ACK Packet),使TCP/IP协议三次握手无法顺利完成,因而无法建立连接。其原理是发送大量半连接状态的服务请求,使服务主机无法处理正常的连接请求,因而影响正常运作 泪滴攻击暴露出IP数据包分解与重组的弱点,当IP数据包在网络中传输时,会被分解成许多不同的包传送,并借由偏移量字段作为重组的依据。泪滴攻击通过加入过多或不必要的偏移量字段,使计算机系统重组错乱,产生不可预期的后
SpringBoot学习笔记
05-11
下面是 Spring Boot 的学习笔记: ## 1. Spring Boot 简介 Spring Boot 是 Spring 家族的一个全新的框架,它的设计目的是为了快速开发基于 Spring 的应用程序。 Spring Boot 采用了约定大于配置的原则,通过自动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值