在Spring Boot框架中集成 Spring Security

最新推荐文章于 2024-05-29 14:15:00 发布
最新推荐文章于 2024-05-29 14:15:00 发布
阅读量618 收藏 1
点赞数 1
分类专栏: sping boot 文章标签: spring spring boot 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60496161/article/details/132053452
版权

在Spring Boot框架中集成 Spring Security

目录

技术介绍

Spring Security是一个基于Spring框架的安全性框架,它提供了一系列的安全性服务,包括认证、授权、攻击防护等等。Spring Boot是一个快速开发应用程序的框架,它提供了很多开箱即用的功能和约定,使得构建一个Spring应用程序变得更加简单。将Spring Security集成进Spring Boot应用程序中,可以为应用程序提供基于角色的访问控制、用户身份验证等安全性的功能。

SpringSecurity的核心功能:

  1. 用户认证(Authentication):系统判断用户是否能登录
  2. 用户授权(Authorization):系统判断用户是否有权限去做某些事情

SpringSecurity特点:

  1. Spring 技术栈的组成部分,与Spring 无缝整合。
  2. 全面的权限控制,能提供完整可扩展的认证和授权支持保护
  3. 专门为 Web 开发而设计。
  4. 重量级,需要引入各种家族组件与依赖

具体实现

1、集成依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>2.7.1</version>
        </dependency>

2、修改spring security

为了实现与数据库对接,让用户能正常登录授权,我们需要实现一些配置类

实现service.impl.UserDetailsServiceImpl

继承自UserDetailsService接口,用来接入数据库信息

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<User> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("username", username);
        User user = userMapper.selectOne(queryWrapper);
        if (user == null) {
            throw new RuntimeException("用户不存在");
        }

        return new UserDetailsImpl(user);
    }
}

代码1具体解释

这段代码是一个实现了Spring Security中UserDetailsService接口的服务类,用于从数据库中获取用户信息并返回一个UserDetails对象。具体解释如下:

  1. @Service注解表示这是一个Spring的服务类,用于处理业务逻辑。
  2. 实现UserDetailsService接口,并覆盖其中的loadUserByUsername()方法。该方法的参数是用户的用户名,方法的返回值是一个UserDetails对象。在这个方法中,我们可以根据用户名查找数据库中的用户信息,然后将其封装成一个UserDetailsImpl对象返回。
  3. 在该类中注入了一个UserMapper对象,用于访问数据库。UserMapper是一个MyBatis的Mapper接口,它定义了一些操作数据库的方法。
  4. 在loadUserByUsername()方法中,我们使用了MyBatis-Plus提供的QueryWrapper对象来构造查询条件,查询指定用户名的用户信息。
  5. 如果查询结果为null,说明该用户不存在,我们抛出一个RuntimeException异常。
  6. 如果查询结果不为null,则将查询到的用户信息封装成一个UserDetailsImpl对象返回。UserDetailsImpl是一个实现了UserDetails接口的类,它将数据库中的用户信息封装起来,以便于Spring Security进行认证和授权。
@Data
@NoArgsConstructor
@AllArgsConstructor
public class UserDetailsImpl implements UserDetails {

    private User user;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

代码2具体解释

这段代码是一个实现了UserDetails接口的类,用于封装用户的详细信息。具体解释如下:

  1. @Data、@NoArgsConstructor和@AllArgsConstructor注解是Lombok注解,用于自动生成getter和setter方法,以及无参构造函数和全参构造函数。
  2. UserDetailsImpl类实现了UserDetails接口,并实现了其中的方法。UserDetails是Spring Security中的一个接口,用于封装用户的详细信息,如用户名、密码、角色等信息。
  3. 在该类中定义了一个User类型的成员变量user,用于保存从数据库中查询到的用户信息。
  4. 覆盖了getAuthorities()方法,该方法返回用户的权限信息。在这里,我们暂时返回null,表示用户没有任何权限。
  5. 覆盖了getPassword()方法,该方法返回用户的密码。
  6. 覆盖了getUsername()方法,该方法返回用户的用户名。
  7. 覆盖了isAccountNonExpired()方法,该方法返回一个boolean值,表示用户的账号是否过期。在这里,我们返回true,表示账号没有过期。
  8. 覆盖了isAccountNonLocked()方法,该方法返回一个boolean值,表示用户的账号是否被锁定。在这里,我们返回true,表示账号没有被锁定。
  9. 覆盖了isCredentialsNonExpired()方法,该方法返回一个boolean值,表示用户的凭证(如密码)是否过期。在这里,我们返回true,表示凭证没有过期。
  10. 覆盖了isEnabled()方法,该方法返回一个boolean值,表示用户是否可用。在这里,我们返回true,表示用户可用。

总的来说,这个类的作用是将数据库中的用户信息封装成一个UserDetails对象,以便于Spring Security进行身份认证和权限控制。在实际的应用中,我们需要在getAuthorities()方法中返回用户的权限信息,并在其他方法中根据需要返回相应的值。

实现config.SecurityConfig

用来实现用户密码的加密存储

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

代码具体解释

这段代码是一个Spring Security配置类,用于配置密码加密器。

具体解释如下:

  1. @Configuration注解表示这是一个Spring配置类。
  2. @EnableWebSecurity注解表示启用Spring Security的Web安全功能。
  3. 在该类中定义了一个名为passwordEncoder()的Bean,并返回一个BCryptPasswordEncoder对象。这个Bean用于对密码进行加密和解密操作。
  4. BCryptPasswordEncoder是一种密码加密器,它使用bcrypt算法对密码进行哈希加密。哈希加密是一种单向加密方式,它将原始的密码字符串转换成一个不可逆的哈希值,从而保证密码的安全性。

在实际的应用程序中,我们通常会在用户注册或修改密码时使用密码加密器对用户的密码进行加密操作,并将加密后的密码存储在数据库中。在用户登录时,我们需要对用户输入的密码进行加密,并与数据库中存储的密码进行比对。如果两者一致,则说明用户输入的密码正确,允许用户登录。而如果不一致,则说明密码错误,拒绝用户登录。

因此,密码加密器是Spring Security中非常重要的一部分,它可以提高应用程序的安全性,保护用户的隐私信息。

总结

在Web应用程序中,安全是一个非常重要的问题,Spring Security是一个强大的安全框架,可以帮助我们实现Web应用程序的安全性。在使用Spring Security时,我们需要进行以下几个步骤:

  1. 配置用户认证

    用户认证是Spring Security的核心功能之一。在认证过程中,Spring Security会使用用户提供的凭证(如用户名和密码)与应用程序中存储的凭证进行比对,以确定用户的身份是否合法。在认证过程中,我们需要配置用户信息存储方式、密码加密方式等信息。

  2. 配置授权

    在Web应用程序中,不同的用户可能需要访问不同的资源和功能。因此,我们需要配置授权,以确定哪些用户可以访问哪些资源和功能。在Spring Security中,可以使用角色或权限来进行授权管理。

  3. 配置安全策略

    在Web应用程序中,除了用户认证和授权之外,我们还需要考虑其他方面的安全问题,例如防止跨站点脚本攻击(XSS)、防止跨站点请求伪造(CSRF)等。在Spring Security中,可以使用安全策略来解决这些问题。

  4. 配置密码加密器

    在Web应用程序中,密码是一项非常重要的信息。为了保护用户的密码,我们需要使用密码加密器对密码进行加密操作。在Spring Security中,可以使用各种密码加密器来对密码进行加密和解密。

总的来说,Spring Security是一个非常强大的安全框架,可以帮助我们实现Web应用程序的安全性。在使用Spring Security时,我们需要考虑到应用程序的实际需求,进行相应的配置和调整。同时,我们也需要保持对最新的安全问题和解决方案的关注,及时更新应用程序的安全策略。

不会喷火的小火龙
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity快速集成实战教学
淮宁湾的博客
08-20 508
SpringBoot项目集成SpringSecurity 为了防止没有接触过的朋友看了半天不知道我讲了啥的情况出现 先给大家简单的介绍一下SpringSecurity 一,SpringSecurity简介 1,什么是SpringSecurity SpringSecurity框架作为Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文配置的Bean,充分利用了 Spring IoC , DI(IoC:Inve
详解Spring Boot 使用Spring security 集成CAS
08-30
在本篇文章,我们将介绍如何使用 Spring Boot 集成 Spring Security 和 CAS,以实现安全的身份验证和授权。 Spring Boot 集成 Spring Security 首先,我们需要在 Spring Boot 项目添加 Spring Security 依赖...
SpringBoot 优雅集成Spring Security
qq_38259780的博客
12-25 126
至于什么是Spring security ,主要两个作用,用户认证和授权。即我们常说的,用户只有登录了才能进行其他操作,没有登录的话就重定向到登录界面。有的用户有权限执行某一操作,而有的用户不能执行则是授权。算是一个项目安全框架。和shiro 框架一样。二者的不同大家可以百度小。Spring securitySpring家族的一员,所以Springboot算是对Spring security ...
Spring Boot 3】的安全防线:整合 【Spring Security 6】
最新发布
qq_44005305的博客
05-29 664
Spring SecuritySpring家族的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
Spring Security 保护 Web 应用的安全
王卫东 博客
12-19 769
本文介绍Spring Security保护Web应用的安全。 在 Web 应用开发,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全...
SpringSecurity及JWT实现登录认证
jq1223的博客
03-27 415
在pom.xml添加项目依赖 <!--SpringSecurity依赖配置--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency&
集成spring security
weixin_45386898的博客
02-08 2628
依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 配置类 package com.ljh.config; import com.fasterxml.jackson
SpringBoot 整合 SpringSecurity
Lyndon的专栏
10-23 4425
SpringBoot整合Spring Security实现ajax登录
集成Spring Security
你的指尖有改变世界的力量
10-20 281
简单说了下怎么集成spring security
Spring Boot 3 文文档
08-08
Spring Boot 作为Java界当之无愧的王者级框架,但遗憾的是一直官方没有提供文的文档。目前文互联网上的所有文文档几乎都是“谷歌一键翻译”,内容晦涩难懂,充满了“春天,弹簧,豆子”这种令人啼笑皆非的翻译...
Spring Boot使用Spring Security实现权限控制
04-15
Spring Security,我们可以在`UserDetailsService`的实现类使用`BCryptPasswordEncoder`对用户密码进行加密存储。 - 当用户尝试登录时,Spring Security会自动使用相同的编码器来解码密码并进行比较,确保...
详解如何在spring boot使用spring security防止CSRF攻击
08-27
Spring Boot 项目,可以通过引入 Spring Security 的相关依赖项来实现 CSRF 防护。 首先,在 pom 文件添加 Spring Security 的依赖项: ```xml <groupId>org.springframework.security <artifactId>...
spring boot jpa security
05-08
Spring Boot项目集成Spring Security,首先需要在`pom.xml`或`build.gradle`文件添加依赖,然后通过Spring Boot的自动配置,Spring Security会自动启动并应用默认的安全策略。当然,开发者可以根据需求自定义...
Spring Security简单集成
19:30的博客
01-05 221
写在前面 在本人刚工作时,如果需要写用户登录模块,我都是使用 session 来完成的。到后面,学习了JWT,然后每次请求携带token字符串,后端解析token字符串,获取用户的一些登录信息。现在,开始学习spring security! 下面的内容,都是根据黑马程序员网站的免费视频进行学习,衷心感谢黑马程序员,哈哈,不多说自己去看视频 2天快速入门Spring Security OAuth2.0认证授权 使用SpringBoot 集成 Spring Security Flyway 简单了解可以看之前
SpringSecurity简单集成
m0_50959444的博客
11-23 220
1、引入SpringSecurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、编写配置类 package com.yoohoo.framework.config; import com.yooho
SpringBoot2.3集成Spring Security(一)
我是你妹她哥的博客
06-14 1272
附上一段官网的解释:翻译:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求自定义一个类实现/*** 自定义认证方式。
SecuritySpringBoot集成Security
m0_71171865的博客
03-26 252
Spring Security是一个安全框架,底层是通过一系列的过滤器链(filter)实现的。使用时通过一些配置即可实现用户的身份认证及资源的安全访问。框架提供了一系列的接口可以实现自定义的安全控制和访问拦截。
spring-security设计及集成
john dong
08-31 606
类设计 集成 理清Spring Security的定制点后,就可以在系统内部集成Spring Security了。 使用预认证的方式,以适配第三方认证系统。AbstractPreAuthenticatedProcessingFilter提供了预认证的扩展点,基于该抽象类实现一个自定义认证过滤器。 public class MyPreAuthFilter extends AbstractPreAuthenticatedProcessingFilter { @Override protec
如何在Spring Boot集成Spring Security
12-14
Spring Boot项目集成Spring Security非常简单,只需要在项目增加Spring Boot Security的依赖即可。下面是一个基础的Spring Boot Security登录验证的示例: 1.在pom.xml文件添加Spring Boot Security依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2.创建一个WebSecurityConfig类,用于配置Spring Security: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("password").roles("USER"); } } ``` 3.在上面的代码,我们配置了一个基本的登录验证,只有经过身份验证的用户才能访问应用程序的其他部分。我们还定义了一个用户“user”,密码为“password”,并将其分配给“USER”角色。 4.在应用程序,我们还需要一个登录页面。在templates文件夹创建一个名为“login.html”的文件,添加以下内容: ```html <!DOCTYPE html> <html xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8" /> <title>Login</title> </head> <body> <h1>Login</h1> <form th:action="@{/login}" method="post"> <div><label>Username: <input type="text" name="username" /></label></div> <div><label>Password: <input type="password" name="password" /></label></div> <<div><input type="submit" value="Sign In" /></div> </form> </body> </html> ``` 5.最后,在应用程序的控制器添加一个映射到登录页面的请求处理程序: ```java @Controller public class HomeController { @RequestMapping(value = {"/", "/home"}) public String home() { return "home"; } @RequestMapping(value = "/login") public String login() { return "login"; } } ``` 这样,我们就完成了一个基本的Spring Boot Security登录验证的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

不会喷火的小火龙

你的鼓励是我最大的创作动力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值