SpringSecurityFoundation

置顶 已于 2024-05-17 06:54:22 修改
阅读量731 收藏
点赞数
文章标签: spring
于 2023-05-25 00:38:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59883382/article/details/130852684
版权

SpringSecurityFoundation

一. 关于Spring Security

  • Spring Security框架主要解决了认证与授权相关的问题。
  • 认证信息(Authentication):表示用户的身份信息
  • 认证(Authenticate):识别用户的身份信息的行为,例如:登录
  • 授权(Authorize):授予用户权限,使之可以进行某些访问,反之,如果用户没有得到必要的授权,将无法进行访问

1.1 添加依赖

  • 依赖
            <!-- Spring Boot支持Spring Security的依赖项,用于处理认证与授权 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>${spring-boot.version}</version>
        </dependency>

1.2 Spring Security框架的典型特征

当添加了spring-boot-starter-security依赖后,在启动项目时执行一些自动配置,具体表现有

1.2.1 所有请求必须登录

  • 所有请求(包括根本不存在的)都是必须要登录才允许访问的,如果未登录,会自动跳转到框架自带的登录页面

1.2.2 当尝试登录时

  • 当尝试登录时,如果在打开登录页面后重启过服务器端,则第1次的输入是无效的
  • 具体原因参见后续的CSRF相关内容

1.2.3 默认的用户名是user

  • 默认的用户名是user,密码是在启动项目是控制台提示的一段UUID值,每次启动项目时都不同
  • UUID是通过128位算法(运算结果是128个bit)运算得到的,是一个随机数,在同一时空是唯一的,通常使用32个十六进制数来表示,每种平台生成UUID的API和表现可能不同,UUID值的种类有2的128次方个,即:3.4028237e+38,也就是340282366920938463463374607431768211456

1.2.4 当登录成功后,会自动跳转到此前尝试访问的URL

1.2.5 当登录成功后,可以通过 /logout 退出登录

1.2.6 默认不接受普通POST请求

  • 默认不接受普通POST请求 如果提交POST请求,将响应403(Forbidden)
  • 具体原因参见后续的CSRF相关内容

二. 关于Spring Security的配置

2.1 关闭所有配置

  • 关闭所有配置
    @Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
     
    @Override
    protected void configure(HttpSecurity http) throws Exception {
     
        // super.configure(http); // 不保留配置
    }
}

2.2 默认登录页控制 formLogin()

  • 若有此配置则需要权限时弹出默认登录页面而不是403
    @Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
     
    @Override
    protected void configure(HttpSecurity http) throws Exception {
     
        // 如果调用以下方法,当Security认为需要通过认证,但实际未通过认证时,就会跳转到登录页面
        // 如果未调用以下方法,将会响应403错误
        http.formLogin();
    }
}

2.3 请求的授权访问(访问控制)

  • 举例
    @Override
protected void configure(HttpSecurity http) throws Exception {
     
    // 白名单
    // 使用1个星号,可以通配此层级的任何资源,例如:/admin/*,可以匹配:/admin/add-new、/admin/list,但不可以匹配:/admin/password/change
    // 使用2个连续的星可以,可以通配若干层级的资源,例如:/admin/**,可以匹配:/admin/add-new、/admin/password/change
    String[] urls = {
     
            "/doc.html",
            "/**/*.css",
            "/**/*.js",
            "/swagger-resources",
            "/v2/api-docs",
    };
    // 配置授权访问
    // 注意:以下授权访问的配置,是遵循“第一匹配原则”的,即“以最先匹配到的规则为准”
    // 例如:anyRequest()是匹配任何请求,通常,应该配置在最后,表示“除了以上配置过的以外的所有请求”
    // 所以,在开发实践中,应该将更具体的请求配置在靠前的位置,将更笼统的请求配置在靠后的位置
    http.authorizeRequests() // 开始对请求进行授权
            .mvcMatchers(urls) // 匹配某些请求
            .permitAll() // 许可,即不需要通过认证就可以访问
            .anyRequest() // 任何请求
            .authenticated() // 要求已经完成认证的
    ;
}

2.4 使用自定义账号登录

2.4.1 指定明文密码登录

  • 举例
    @Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
     
    /***
     * 指定密码不需要经过加密处理
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
     
        return NoOpPasswordEncoder.getInstance();
    }
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
     
        log.debug("用户名:{}", s);
        // 假设正确的用户名是root,匹配的密码是1234
        if (!"root".equals(s)) {
     
            log.debug("此用户名没有匹配的用户数据,将返回null");
            return null;
        }
        log.debug("用户名匹配成功!准备返回此用户名匹配的UserDetails类型的对象");
        UserDetails userDetails = User.builder()
                .username(s)
                .password("1234")
                .disabled(false) // 账号状态是否禁用
                .accountLocked(false) // 账号状态是否锁定
                .accountExpired(false) // 账号状态是否过期
                .credentialsExpired(false) // 账号的凭证是否过期
                .authorities("这是一个临时使用的山寨的权限!!!") // 权限
                .build();
        log.debug("即将向Spring Security返回UserDetails类型的对象:{}", userDetails);
        return userDetails;
    }
}

2.4.2 使用数据库中的账号登录

2.4.2.1 配置数据库账号的密码加密方式为BCryptPasswordEncoder()
  • 举例
    root $2a$10$VgJZ/AsasCll6SE7WGXsWONCGdpBT8Z2dBSXiNVGOHiJS7GETW6nm
2.4.2.2 编写sql 推算出是要的VO类型
  • 举例
    select username, password, enable from ams_admin where username=?
2.4.2.3 编写VO类
  • pojo.vo.AdminLoginInfoVO
    @Data
@Accessors(chain = true)
public class AdminLoginInfoVO implements Serializable {
     
    private String username;
    private String password;
    private Integer enable;
}
2.4.2.4 编写mapper层
  • 举例
    @Mapper
public interface AdminLoginInfoMapper {
     
    //@Select(" select username, password, enable from ams_admin where username = #{username}")
    AdminLoginInfoVO getLoginInfoByUsername(String username);
}
2.4.2.5 编写mapper映射文件
  • 举例
    <!-- AdminLoginInfoVO getLoginInfoByUsername(String username); -->
<select id="getLoginInfoByUsername" resultType="cn.tedu.csmall.passport.pojo.vo.AdminLoginInfoVO">
    SELECT 
        username, password, enable 
    FROM 
         ams_admin 
    WHERE 
        username=#{
     username}
</select>
2.4.2.6 使用BCryptPasswordEncoder()密码编码器
  • 举例
    /***
 * 指定BCryptPasswordEncoder密码编码器
 * @return
 */
@Bean
public PasswordEncoder passwordEncoder() {
     
    return new BCryptPasswordEncoder();
}
2.4.2.7 登录逻辑完整
  • 举例
    @Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
     
    @Resource(name = "adminLoginInfoMapper")
    private AdminLoginInfoMapper mapper;

    /***
     * 指定密码不需要经过加密处理
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
     
        return new BCryptPasswordEncoder();
    }
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
     
        AdminLoginInfoVO adminLoginInfoVO = mapper.getLoginInfoByUsername(s);
        log.debug("用户名:{}", adminLoginInfoVO.getUsername());
        // 假设正确的用户名是root,匹配的密码是1234
        if (adminLoginInfoVO==null) {
     
            log.debug("此用户名没有匹配的用户数据,将返回null");
            return null;
        }
        log.debug("用户名匹配成功!准备返回此用户名匹配的UserDetails类型的对象");
        UserDetails userDetails = User.builder()
                .username(adminLoginInfoVO.getUsername())
                .password(adminLoginInfoVO.getPassword())
                .disabled(false) // 账号状态是否禁用
                .accountLocked(false) // 账号状态是否锁定
                .accountExpired(false) // 账号状态是否过期
                .credentialsExpired(false) // 账号的凭证是否过期
                .authorities("这是一个临时使用的山寨的权限!!!") // 权限
                .build();
        log.debug("即将向Spring Security返回UserDetails类型的对象:{}", userDetails);
        return userDetails;
    }
}

2.5 配置post可用

Spring Security框架设计了“防止伪造的跨域攻击”的防御机制,所以,默认情况下,自定义的POST请求是不可用的,简单的解决方案就是在Spring Security的配置类中禁用这个防御机制即可,例:

  • 举例
    @Slf4j
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
     
    @Override
    protected void configure(HttpSecurity http) throws Exception {
     
    //关闭防止伪造的跨域攻击
        http.cors().disable();
    }
}

2.6 使用前后端分离的登录

2.6.1 关闭自带的登录页面

  • 配置类不再调用
    http.formLogin()

2.6.2 使用控制器接收客户端登录请求

  • 举例
    @PostMapping("/login")
public AdminLoginInfoVO login(AdminLoginInfoVO adminLoginInfoVO) {
     
    
    return adminLoginInfoVO;
}

2.6.3 给登录控制器添加白名单

  • 举例
        String[] urls = {
     
            "/doc.html",
            "/**/*.css",
            "/**/*.js",
            "/swagger-resources",
            "/v2/api-docs",
            "/login" //添加白名单
    };

    // 配置授权访问
    // 注意:以下授权访问的配置,是遵循“第一匹配原则”的,即“以最先匹配到的规则为准”
    // 例如:anyRequest()是匹配任何请求,通常,应该配置在最后,表示“除了以上配置过的以外的所有请求”
    // 所以,在开发实践中,应该将更具体的请求配置在靠前的位置,将更笼统的请求配置在靠后的位置
    http.authorizeRequests() // 开始对请求进行授权
            .mvcMatchers(urls) // 匹配某些请求
            .permitAll() // 许可,即不需要通过认证就可以访问
            .anyRequest
最低0.47元/天 解锁文章
挖挖挖-9527
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java springboot 集成 阿里通义千问
qq_25987725的博客
07-25 231
一、在阿里云https://www.aliyun.com官网直接搜索“通义千问”,点击“开通DashScope”进行服务激活。四、在config目录添加配置 TongYiAiConfiguration.java。三、在yml中配置中配置key。二、加入Maven依赖。
【过滤器 vs 拦截器】SpringBoot中过滤器与拦截器:明智选择的艺术(如何在项目中做出明智选择)
weixin_68020300的博客
07-25 1003
本文深入剖析了SpringBoot框架下过滤器与拦截器的核心差异及应用场景,指导开发者在面对请求-响应周期中的不同需求时,如何做出最佳技术选择。无论是实现安全性、日志记录,还是权限控制与数据预处理,本文都将帮助你理解何时何地使用过滤器或拦截器,以构建更加高效、可维护的Web应用程序。通过对比二者的特性与优劣,本文旨在赋能开发者,使其在实际项目中灵活运用这两种强大工具,达成项目目标。
Spring Framework】使用完全注解方式开发
u013675821的博客
07-26 990
本文介绍了如何使用 Spring 完全注解化的方式来进行开发。通过使用注解,我们可以减少 XML 配置文件的使用,使项目的配置更加直观和简洁。配置类:使用@Bean等注解定义配置类。数据库配置:使用DataSource以及@Autowired自动装配数据源。服务层和控制器层:使用@Service和注解定义业务逻辑和控制器,并使用@Autowired注入依赖。AOP 和事务管理:通过@Aspect和注解实现日志记录和事务管理。
SpringBoot的启动流程
qq_43302441的博客
07-25 591
对于 Springboot 的配置文件application.yml或者application.properties文件的加载实际上是通过发布环境准备事件完成的,完成这项功能的就是 EnvironmentPostProcessorApplicationListener。EnvironmentPostProcessorApplicationListener 的 onApplicationEvent()方法。application.yml或者application.properties文件。
spring —— 使用 JDBCTemplate 对数据库操作
firstgrass的博客
07-25 643
在传统方法中,我们一般建立 Connection 链接,然后通过来获取,最后用操作数据库。在 spring 中,则是通过的配置数据源工具,来配置要连接的数据库,然后将作为属性传入当中,最后用JDBCTemplate 对象操作数据库。
Spring Framework】使用 XML 配置文件的使用方法
u013675821的博客
07-25 304
Spring Framework 的 XML 配置提供了强大的灵活性和控制能力,尽管现代开发中更多使用注解和 Java 配置,但了解 XML 配置仍然对维护旧项目和理解 Spring 的核心机制非常有帮助。通过 XML 配置,你可以定义和管理 Spring 容器中的 bean、配置依赖注入、设置 AOP、事务管理等。
Spring Framework】 用XML配置文件配置FactoryBean
u013675821的博客
07-25 687
Spring 框架提供的一个特殊的 Bean 接口,它允许在 Bean 实例化过程中插入自定义的逻辑。通过实现接口,你可以控制如何创建某个对象的实例,并将其提供给 Spring 容器。创建复杂对象的实例动态代理对象的创建延迟实例化对象条件实例化对象:返回由创建的 Bean 实例。Class<?:返回由创建的 Bean 类型。:指示由创建的 Bean 是否为单例。首先,定义一个简单的Car// 构造函数// Getter 和 Setter 方法。
1.Spring Boot 简介(Spring MVC+Mybatis-plus)
m0_61086522的博客
07-23 1056
SpringBoot是Spring的子工程(或是spring的脚手架),快速搭建spring项目,自动配置了Spring 应用程序和第三方库(spring+mybaties+web(servlet)+ reids+ 消息中间件),而且使用很少xml配文件,提高开发效率。一款基于mvc模式、请求驱动、轻量级web框架(封装了Servlet)给予MVC模式请求驱动轻量级web框架封装了Servlet程序。
Spring Framework】使用XML配置文件配置Bean的实例化方式
u013675821的博客
07-25 619
无参构造函数: 最简单的方法,适用于基本的 bean 实例化。有参构造函数: 适合需要依赖注入的 bean。静态工厂方法: 用于复杂的实例化逻辑。实例工厂方法: 通过实例化工厂类来创建 bean。自定义构造函数参数: 支持复杂的 bean 配置。@Bean注解: 在 Java 配置类中使用,用于创建 bean 实例。选择合适的实例化方式可以帮助更好地管理 bean 的生命周期和依赖关系。
Spring Framework】使用XML配置文件定义Bean及其依赖注入方式
u013675821的博客
07-25 377
Spring XML 配置文件主要用于描述应用程序的组件、组件间的关系以及配置组件的属性。在早期的 Spring 开发中,XML 配置文件是定义 Spring 应用程序上下文的主要方式。Bean 定义:声明应用程序中使用的 Java 对象。依赖注入:配置 Bean 之间的依赖关系。作用域设置:定义 Bean 的生命周期和范围。生命周期回调:定义 Bean 初始化和销毁时的回调方法。属性配置:加载外部属性文件并配置 Bean 属性。
基于SpringBoot实现验证码功能
m0_63624484的博客
07-24 1202
现在的登录都需要输入验证码用来检测是否是真人登录,所以验证码功能在现在是非常普遍的,那么接下来我们就基于springboot来实现验证码功能。
Spring MVC的高级功能——文件上传和下载(三)文件上传和下载
PAP
07-24 1204
Spring MVC的高级功能——文件上传和下载(三)文件上传和下载
SpringBoot整合SSE技术详解
shyの个人笔记
07-23 1002
本文详细介绍了如何在SpringBoot中整合Server-Sent Events (SSE)技术。文章阐述了SSE的基本概念、特点及其在SpringBoot中的实现方法,包括代码示例。同时,对比了SSE和WebSocket的区别,探讨了它们各自的优势和适用场景。文章强调SSE在单向实时通信中的简单性和效率,为开发者在选择实时通信技术时提供了valuable指导。
Spring Bean 循环依赖
WYZFJHH的博客
07-23 751
循环依赖指的是两个或多个Bean之间通过构造函数、Setter方法或字段注入相互依赖,形成一个闭环。例如,Bean A依赖于Bean B,同时Bean B又依赖于Bean A,这就构成了一个典型的循环依赖。
Spring知识点
YIYIYI
07-24 1131
Spring知识点
Spring Framework】MySQL 数据库连接配置
u013675821的博客
07-26 983
XML 配置:适用于传统项目,使用 XML 文件配置数据源和 JdbcTemplate。Java 注解配置:更现代化的方法,使用 Java 配置类来定义数据源和 JdbcTemplate。Spring Boot 自动配置:最简便的方式,利用 Spring Boot 的自动配置功能,通过配置文件定义数据库连接。每种方式都有其适用的场景,选择合适的配置方式可以提高开发效率和代码可维护性。通常,现代应用程序会倾向于使用 Spring Boot 的自动配置以简化开发流程。
Spring Boot集成Spring Batch快速入门Demo
HBLOG
07-20 1411
Spring Batch 是一个轻量级的开源框架,它提供了一种简单的方式来处理大量的数据。它基于Spring框架,提供了一套批处理框架,可以处理各种类型的批处理任务,如ETL、数据导入/导出、报表生成等。Spring Batch提供了一些重要的概念,如Job、Step、ItemReader、ItemProcessor、ItemWriter等,这些概念可以帮助我们构建可重用的批处理应用程序。
springSecurity学习之springSecurity过滤器
Lxn2zh的博客
07-25 407
匿名身份过滤器,这个过滤器个人认为很重要,需要将它与UsernamePasswordAuthenticationFilter 放在一起比较理解,spring security为了兼容未登录的访问,也走了一套认证流程,只不过是一个匿名的身份。表单提交了username和password,被封装成token进行一系列的认证,便是主要通过这个过滤器完成的,在表单认证的方法中,这是最最关键的过滤器。这个过滤器决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限?
开题报告电影票订票APP的设计与实现 已通过开题答辩的.doc
最新发布
07-30
近些年的电影在人们文娱活动中占据重要地位,另外,由于人们的生活越来越富有,越来越多的人们不再选择在家里看电影,而是选择去电影院看电影。但是,以往的售票方式是需要工作人员一张张的录入到账户薄中的,这一模式已不再适应现在的实际情况,因为手动的操作不仅繁琐还容易存在差错。随着电子商务的发展,网络购票已经成为一种趋势,电子影票也已经慢慢走入人们的生活。目前,网票网作为国内首家全国性的网上选座购买电影票平台完全实现网上/手机查看影讯、自助选座、网银支付、自助验票全自助化营运模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值