Spring Security在java中怎么用

最新推荐文章于 2024-10-12 17:12:17 发布
最新推荐文章于 2024-10-12 17:12:17 发布
阅读量471 收藏 5
点赞数 15
分类专栏: java 文章标签: java spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57836225/article/details/142111598
版权

Spring Security 是一个功能强大的安全框架,用于保护 Spring 应用程序的安全。以下是对 Spring Security 知识点的进一步扩展:

  1. 认证方式:

    • 表单认证:用户通过表单提交用户名和密码进行认证。
    • HTTP 基本认证:使用 HTTP 协议的基本认证方式,客户端在请求中包含用户名和密码。
    • OAuth2 认证:支持 OAuth2 协议,实现第三方认证和授权。
    • JWT 认证:使用 JSON Web Token 进行认证,令牌包含用户信息和签名。

  2. 授权策略:

    • 基于角色的授权:根据用户的角色来确定其访问权限。
    • 基于权限的授权:根据用户拥有的具体权限来进行授权。
    • 访问控制列表(ACL):可以为特定的资源设置详细的访问控制规则。

  3. 加密和解密:

    • 密码加密:对用户密码进行加密存储,确保密码的安全性。
    • 数据加密:可以对敏感数据进行加密和解密,保护数据的机密性。

  4. 会话管理:

    • 会话超时:设置会话的超时时间,避免会话被滥用。
    • 会话固定攻击防范:防止会话固定攻击,确保会话的安全性。
    • 单点登录(SSO):支持单点登录功能,用户只需登录一次即可访问多个相关应用。

  5. 安全注解:

    • @Secured:用于指定方法或类需要的角色权限。
    • @PreAuthorize:在方法执行前进行授权检查。
    • @PostAuthorize:在方法执行后进行授权检查。

  6. 异常处理:

    • 自定义异常处理:可以处理 Spring Security 抛出的异常,并进行相应的处理。

  7. 集成其他安全组件:

    • 与第三方身份提供商集成,如 LDAP、Active Directory 等。
    • 与防火墙、IDS/IPS 等安全设备集成,增强整体安全性。

以下是一个更完整的 Spring Security 配置示例代码:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public UserDetailsService userDetailsService() {
        UserDetails user = User.builder()
              .username("user")
              .password("{noop}password")
              .roles("USER")
              .build();
        UserDetails admin = User.builder()
              .username("admin")
              .password("{noop}adminpassword")
              .roles("USER", "ADMIN")
              .build();
        return new InMemoryUserDetailsManager(user, admin);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
              .withUser(userDetailsService().loadUserByUsername("user"))
              .password("{noop}password")
              .roles("USER")
              .and()
              .withUser(userDetailsService().loadUserByUsername("admin"))
              .password("{noop}adminpassword")
              .roles("USER", "ADMIN");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
              .antMatchers("/admin").hasRole("ADMIN")
              .antMatchers("/user").hasAnyRole("USER", "ADMIN")
              .anyRequest().authenticated()
              .and()
              .formLogin()
              .defaultSuccessUrl("/home", true)
              .permitAll()
              .and()
              .logout()
              .permitAll();
    }
}

在上述代码中,我们添加了更多的用户和授权规则,并配置了表单登录的默认成功页面和注销功能。

阿贾克斯的黎明
关注
专栏目录
详解springSecurityjava配置篇
08-18
在本文,我们将详细介绍 Spring SecurityJava 配置篇,包括如何使用 Java 配置 Spring Security,如何自定义登陆页面,如何使用多用户等。 一、 Java 配置 Spring Security 要使用 Java 配置 Spring ...
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
JavaSpring Security
04-03
1. **配置依赖**:首先,你需要在项目的pom.xml文件添加Spring Security的依赖,这样可以在项目使用其提供的类和接口。 2. **安全配置**:创建一个实现了`WebSecurityConfigurerAdapter`的配置类。在这个类,...
JavaSpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了JavaSpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
基于SpringSecurityJava用户登录权限验证设计源码
10-06
该项目为基于SpringSecurity框架的Java用户登录权限验证设计,源码包含28个文件,涵盖24个Java源文件、1个Git忽略文件、1个Markdown文件、1个XML配置文件和1个YAML配置文件,旨在实现用户认证和权限管理功能。
JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
杨荧的CSDN博客
10-10 1388
教师功能有个人心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
C语言 | 第十章 | 函数 作用域
ZJC744575的博客
10-05 1299
为完成某一功能的程序指令(语句)的集合,称为函数。在C语言,函数分为:自定义函数、系统函数(查看C语言函数手册)函数还有其它叫法,比如方法等,在本视频课程,我们统一称为 函数。返回类型 函数名(形参列表){执行语句...;// 函数体return 返回值;// 可选形参列表:表示函数的输入函数的语句:表示为了实现某一功能代码块函数可以有返回值,也可以没有, 如果没有返回值,返回类型 声明为 void。
JDK1.0主要特性
FoolRabbit的专栏
10-06 757
JDK1.0主要特性。
2024.10月12日--- SpringMVC异常处理
最新发布
whisper_Java 的博客
10-12 515
*** 用户【】 IP[]* 在【时间】* 操作【Controller.find】 发生如下异常*/@OverrideSystem.out.println("---------执行了自定义异常处理器------------");// 根据不同的异常类型,设置不同的响应状态码// 可以添加更多的自定义处理逻辑//}else {// 记录日志或其他处理逻辑// 可以将异常信息放入模型供视图展示。
Backend - Java 基础
是萝卜干呀的博客
10-11 439
知识量决定了未来能走多远
2024Java最新面试题总结(针对于一些小厂、厂)
weixin_62375676的博客
10-07 1540
2024最新Java面试题,针对一些小厂,
Apache Flink Dashboard
qq_41081716的博客
10-09 494
并行度,可以运行一个任务实例。已完成、取消和失败的作业数量。
Spring Boot 整合 Minio
cmh1008611的博客
10-09 895
5‌‌.Optional‌是Java 8引入的一个新的容器对象,它提供了非常丰富的API,主要是为了解决空指针异常的问题。Optional类允许你创建一个可能为null的值的容器,从而避免了直接使用null值可能导致的空指针异常。自动处理异常:在使用 @SneakyThrows 注解的方法,如果抛出任何类型的检查性异常(即编译器要求显式捕获或声明的异常),Lombok 会自动将其包装成运行时异常(RuntimeException),从而避免了需要显式捕获或声明这些异常的麻烦。可以用于自动装配和依赖注入。
已解决-Sentinel控制台明明正常启动,扫描不到客户端应用
qq_46248151的博客
10-08 841
经排查才发现,我在启动了Sentinel控制台之后,对SpringBoot应用做了配置的更新,于是重启了SpringBoot服务,这时SpringBoot是没有任何访问的。今天启动Sentinel控制台的时候,明明启动成功,无报错,浏览器能正常访问,但就是无论如何都刷新不出来应用。
【含开题报告+文档+PPT+源码】基于SSM框架的线上交易商城的设计与实现
码蜂窝编程-全网唯一毕设在线答疑,项目包运行成功,全套教学视频一站式辅导机构。
10-07 737
本课程演示的是一款校园二手交易系统,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的 Java 学习者。包含:项目源码、项目文档、数据库脚本、软件工具等所有资料带你从零开始部署运行本套系统该项目附带的源码资料可作为毕设使用系统主要功能有:登录注册、公告管理、用户管理、商品管理、商品搜索、购物车、订单管理、用户私聊等模块。
springboot 用request.setAttribute 传值到控制层
qq56477643的博客
10-09 568
【代码】springboot 用request.setAttribute 传值到控制层。
JavaScript前端开发技术
Chujun123528的博客
10-12 715
JavaScript前端开发是一个充满挑战和机遇的领域。随着技术的不断进步和用户需求的变化,前端开发者需要不断学习新知识、掌握新技能,以应对日益复杂和多样化的开发需求。同时,注重性能优化和安全实践也是前端开发不可或缺的一部分。通过不断探索和创新,我们可以为用户创造更加优质、高效和安全的Web体验。在JavaScript前端开发的学习过程,建议从基础语法入手,逐步掌握DOM操作、事件处理、Ajax通信等核心技能。同时,关注最新的前端框架和库的发展动态,尝试将它们应用到实际项目
【微服务】服务调用 - OpenFeign(day6)
weixin_73060900的博客
10-06 1350
对远程调用组件OpenFeign进行了简单介绍.
Linux线程(十二)线程互斥锁-自旋锁与读写锁详解
Dola的博客
10-10 910
自旋锁与互斥锁很相似,从本质上说也是一把锁,在访问共享资源之前对自旋锁进行上锁,在访问完成后释放自旋锁(解锁);事实上,从实现方式上来说,互斥锁是基于自旋锁来实现的,所以自旋锁相较于互斥锁更加底层。如果在获取自旋锁时,自旋锁处于未锁定状态,那么将立即获得锁(对自旋锁上锁);如果在获取自旋锁时,自旋锁已经处于锁定状态了,那么获取锁操作将会在原地“自旋”,直到该自旋锁的持有者释放了锁。由此介绍可知,自旋锁与互斥锁相似,但是互斥锁在无法获取到锁时会让线程陷入阻塞等待状态;
Spring-SecurityJava实现AOP安全事务管理
Spring Security可以使用JWT来实现无状态的认证机制,即认证信息不存储在服务器会话,而是在客户端和服务器之间传输。 11. 方法级安全:除了支持HTTP请求级的安全控制外,Spring Security还支持对Java方法调用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值