【Spring Security系列】Spring Security,进阶学习

于 2024-04-08 23:36:37 发布
阅读量794 收藏 24
点赞数 12
分类专栏: 2024年程序员学习 文章标签: spring 学习 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60707660/article/details/137528166
版权

1. Spring Security 介绍

1.1. 什么是身份认证

1.2. 什么是用户授权

2. 开发环境搭建

2.1. 所用工具版本

2.2. pom依赖

3. 核心代码编写

3.1. 编写Security授权配置主文件

3.2. 重写UsernamePasswordAuthenticationFilter过滤器

3.3. 编写拦截器拦截请求token

3.4. 重写AuthenticationSuccessHandler处理用户登录成功操作

3.5. 重写AuthenticationFailureHandler处理用户登录失败操作

3.6. 身份校验失败处理器

3.7. 编写权限校验处理器

3.8. 重写LogoutHandler处理用户退出操作

3.9. 重写LogoutSuccessHandler处理用户退出成功操作

3.10 编写JWT工具类

4. 代码测试

4.1. 登录测试

4.2. 退出测试

1. Spring Security 介绍

Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等

1.1. 什么是身份认证

身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。 常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

1.2. 什么是用户授权

当身份认证通过后,去访问系统的资源,系统会判断用户是否拥有访问该资源的权限,只允许访问有权限的系统资源,没有权限的资源将无法访问,这个过程叫用户授权。 比如 会员管理模块有增删改查功能,有的用户只能进行查询,而有的用户可以进行修改、删除。一般来说, 系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

2. 开发环境搭建

2.1. 所用工具版本
依赖版本
Spring Boot2.6.14
java1.8
redis6.2
2.2. pom依赖
  1. 引入SpringBoot依赖
org.springframework.boot spring-boot-starter-parent 2.6.14
  1. 引入Spring Security依赖
org.springframework.boot spring-boot-starter-security
  1. 引入redis依赖
org.springframework.boot spring-boot-starter-data-redis 2.6.14
  1. 引入JWT依赖
io.jsonwebtoken jjwt 0.9.0

3. 核心代码编写

3.1. 编写Security授权配置主文件

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {

@Autowired
@Qualifier(“authUserDetailsServiceImpl”)
private UserDetailsService userDetailsService;

@Autowired
private SecurOncePerRequestFilter securOncePerRequestFilter;
@Autowired
private SecurAuthenticationEntryPoint securAuthenticationEntryPoint;
@Autowired
private SecurAccessDeniedHandler securAccessDeniedHandler;

//登录成功处理器
@Autowired
private SecurAuthenticationSuccessHandler securAuthenticationSuccessHandler;
@Autowired
private SecurAuthenticationFailureHandler securAuthenticationFailureHandler;

//退出处理器
@Autowired
private SecurLogoutHandler securLogoutHandler;
@Autowired
private SecurLogoutSuccessHandler securLogoutSuccessHandler;

@Autowired
BCryptPasswordEncoderUtil bCryptPasswordEncoderUtil;

/**

  • 从容器中取出 AuthenticationManagerBuilder,执行方法里面的逻辑之后,放回容器
  • @param authenticationManagerBuilder
  • @throws Exception
    */
    @Autowired
    public void configureAuthentication(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception {
    authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoderUtil);
    }

@Override
protected void configure(HttpSecurity http) throws Exception {

//第1步:解决跨域问题。cors 预检请求放行,让Spring security 放行所有preflight request(cors 预检请求)
http.authorizeRequests().requestMatchers(CorsUtils::isPreFlightRequest).permitAll();

//第2步:让Security永远不会创建HttpSession,它不会使用HttpSession来获取SecurityContext
http.csrf().disable().sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
.and().headers().cacheControl();

//第3步:请求权限配置
//放行注册API请求,其它任何请求都必须经过身份验证.
http.authorizeRequests()
.antMatchers(HttpMethod.POST,“/sys-user/register”).permitAll()
.antMatchers(“/v2/api-docs”, “/v2/feign-docs”,
“/swagger-resources/configuration/ui”,
“/swagger-resources”,“/swagger-resources/configuration/security”,
“/swagger-ui.html”, “/webjars/**”).permitAll()
.anyRequest().authenticated();

//第4步:拦截账号、密码。覆盖 UsernamePasswordAuthenticationFilter过滤器
http.addFilterAt(securUsernamePasswordAuthenticationFilter() , UsernamePasswordAuthenticationFilter.class);

//第5步:拦截token,并检测。在 UsernamePasswordAuthenticationFilter 之前添加 JwtAuthenticationTokenFilter
http.addFilterBefore(securOncePerRequestFilter, UsernamePasswordAuthenticationFilter.class);

//第6步:处理异常情况:认证失败和权限不足
http.exceptionHandling().authenticationEntryPoint(securAuthenticationEntryPoint).accessDeniedHandler(securAccessDeniedHandler);

//第7步:登录,因为使用前端发送JSON方式进行登录,所以登录模式不设置也是可以的。
http.formLogin();

//第8步:退出
http.logout().addLogoutHandler(securLogoutHandler).logoutSuccessHandler(securLogoutSuccessHandler);

}
/**

  • 手动注册账号、密码拦截器
  • @return
  • @throws Exception
    */
    @Bean
    SecurUsernamePasswordAuthenticationFilter securUsernamePasswordAuthenticationFilter() throws Exception {
    SecurUsernamePasswordAuthenticationFilter filter = new SecurUsernamePasswordAuthenticationFilter();
    //成功后处理
    filter.setAuthenticationSuccessHandler(securAuthenticationSuccessHandler);
    //失败后处理
    filter.setAuthenticationFailureHandler(securAuthenticationFailureHandler);

filter.setAuthenticationManager(authenticationManagerBean());
return filter;
}
}

3.2. 重写UsernamePasswordAuthenticationFilter过滤器

public class SecurUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

@Autowired
ISysUserService userService;

@Override
public Authentication attemptAuthentication(HttpServletRequest request,
HttpServletResponse response) throws AuthenticationException {

if (request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE)
|| request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)) {

ObjectMapper mapper = new ObjectMapper();
UsernamePasswordAuthenticationToken authRequest = null;
//取authenticationBean

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
img
img
img
img
img
img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
img

2590582504)]
[外链图片转存中…(img-EwdJNNbj-1712590582505)]

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点,真正体系化!

由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新

如果你觉得这些内容对你有帮助,可以添加VX:vip204888 (备注网络安全获取)
[外链图片转存中…(img-7ruVEucn-1712590582505)]

m0_60707660
关注
  • 12
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security详解(1)
weixin_43816557的博客
08-08 600
之前介绍了Spring Security是主要解决认证(Authenticate)和授权(Authorization)的框架。详细见关于Spring Security下面主要介绍如何使用Security开发自定义的登录流程。
Spring Security系列教程30--系列文章总结
一一哥
11-08 799
一. 内容回顾 截止到本篇文章,一一哥 就带各位详细地学完了SpringSecurity中的各个核心内容,并结合源码带大家研读了SpringSecurity的底层设计。如果你认真地看完了我这个系列的每一篇文章,并跟着每篇教程中的代码编写了对应的案例,现在应该就可以达到从一开始对SpringSecurity的懵懂无知,到今天的熟练使用了。 最后 壹哥 再把整个系列的内容给各位梳理一下,方便各位复习掌握,我在这里做了一个SpringSecurity核心内容的思维导图,咱们一起看看吧。 1. Sprin
Spring Security系列(1)-Security5简介及入门案例
宝宝的博客
06-17 581
​ 本文基本上是引用大佬的文章:云烟成雨TD的博客-CSDN博客 只是加入一点点我自己的补充,没有大佬的专业,此文是我的笔记,方便我自己看,具体的还是可以去看大佬的.
SpringSecurity权限管理框架系列(六)-Spring Security框架自定义配置类详解(二)之authorizeRequests配置详解
最爱嫣夜来
03-24 9565
1、预置演示环境 这个演示环境继续沿用 SpringSecurit权限管理框架系列(五)-Spring Security框架自定义配置类详解(一)之formLogin配置详解的环境。 2、自定义配置类之请求授权详解
后端进阶之路——综述Spring Security认证,授权(一)
最新发布
Why_does_it_work的博客
08-02 3594
Spring Security是一个功能强大的Java框架,用于在应用程序中实现认证(Authentication)和授权(Authorization)功能。它提供了一套细粒度的安全性控制机制,帮助保护应用程序免受恶意攻击和未经授权的访问。 以下是Spring Security的基本概念和作用的简要总结:
SpringSecurity系列 - 09 SpringSecurity 自定义认证数据源实现用户认证
你今天真好看呀
09-14 1361
// 自定义AuthenticationManager:并没有在工厂中暴露出来 @Override protected void configure(AuthenticationManagerBuilder builder) throws Exception {} }① 创建数据库表② 插入数据BEGIN;COMMIT;BEGIN;INSERT INTO ` role ` VALUES(1 , 'ROLE_product' , '商品管理员');
spring -security进阶
weixin_44331613的博客
03-16 266
spring -security进阶 1、概括 ​ 这是一篇对于spring-security的总结,包含了自己在写spring-security-demo所有的问题。spring-security的底层其实是用了过滤器。对于请求的过滤。并且将认证好的信息存储session中。这一篇中只是简单的使用他的认证和授权。其中认证重写了AbstractAuthenticationProcessingFilter过滤器,而授权则使用了注解的方式开发。并没有对认证成功后的处理进行重写,也没有对没有权限的用户访问页面的
Spring Security 框架详解
兴趣是最好的老师,勤能补拙
05-11 1474
Spring Security是一个基于Spring框架的认证和授权框架,它提供了各种工具和框架来保护基于Spring的应用程序。用户认证和授权保护Web应用免受各种攻击,如跨站点脚本攻击(XSS)、跨站点请求伪造攻击(CSRF)和点击劫持攻击使用基于角色和权限的访问控制来保护应用程序资源带有单点登录(SSO)功能,可以将多个应用程序集成到一个中央身份验证系统与其他Spring框架,如Spring MVC和Spring Boot,提供可定制的集成。
Spring Security 手把手带你入门到精通
用针戳左手中指指头的博客
06-18 1982
本文作为第一篇,会用实例来说明SpringSecurity在生产中的用法,扩展它的功能,每个方案都会有一个完整的实例代码,代码仓库于文末贴出。该篇所涉及理论较少,以实例为主。这个版本在数据库版本上呢,升级了登录的自定义功能,可以根据项目设置自己的登录页、首页、登录处理的api,和登录成功与失败的回调处理;题外话:前后不分离的方式好处就是快速开发,方便部署,但其缺点也是显而易见的,随着迭代项目也会越来越大,主流还是分布式的,单体项目现在也很少见了。
Spring Security进阶学习
Herishwater的博客
12-14 681
本文带大家实操一个SpringBoot项目,实现认证与授权,接着从源码层面分析认证与授权的工作原理,当然,原理分析是枯燥的,后续还会结合实际项目进行学习的。
动吧旅游 生态系统项目 part 1
weixin_47562812的博客
11-25 537
产品功能的实现: 1.首先实现软件的功能; 2.学会控制; 3.运维(项目运行时日志的分析,项目的布署,项目的拓展) 1. 项目简介 1.1概述 动吧旅游生态系统,应市场高端用户需求,公司决定开发这样的一套旅游系统,此系统包含旅游电商系统(广告子系统,推荐子系统,评价子系统,商品子系统,订单子系统,…),旅游分销系统(分销商的管理),旅游业务系统(产品研发,计调服务,系统管理,… 1.2原型分析 基于用户需求,进行原型设计(基于html+css+js进行静态页面实现)。例如系统登录页面:(bootstrap
肝到头秃!阿里爆款的顶配版Spring Security笔记
AMSRY的博客
09-23 2116
Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入springsecurity更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 Spring Security OAuth2.0认证授权 进入移动互联网时代,大家每天都在刷手机.
Spring Security快速入门、进阶、高级
qq_45270898的博客
09-18 613
知识点-Spring Security简介 1.目标 知道什么是Spring Security 2.路径 Spring Security简介 Spring Security使用需要的坐标 3.讲解 3.1 Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来==简化认证和授权的过程。...
Spring Security系列教程12--Spring Security认证授权流程
一一哥
09-24 5403
在上一章节中,一一哥 带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了 "知其所以然"! 本篇文章中,壹哥 带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧...... 一. Spring Security认证授权流程图概述 在上一章节中,壹哥就给各位贴出过Spring Security的认证授权流程图,该图展示了认证授权时经历的核心AP...
Spring Security学习笔记之UsernamePasswordAuthenticationFilter, ConcurrentSessionFilter
热门推荐
py_xin的博客
09-23 1万+
UsernamePasswordAuthenticationFilter主要用来处理登录时的验证操作. 它的一般用法请参考Spring Security学习笔记之整体配置 这里主要介绍一下如何用它来防止用户重复登录的问题. UsernamePasswordAuthenticationFilter的父类AbstractAuthenticationProcessingFilter有一个属性
Spring Security资料一
呼吸的小鱼
03-20 140
Spring Security学习总结一   在认识Spring Security 之前,所有的权限验证逻辑都混杂在业务逻辑中,用户的每个操作以前可能都需要对用户是否有进行该项 操作的权限进行判断,来达到认证授权的目的。类似这样的权限验证逻辑代码被分散在系统的许多地方,难以维护。AOP(Aspect Oriented Programming) 和Spring Security为我们...
[Spring实战系列] - No.12 Java配置 SpringMVC + Spring Security + Hibernate 多用户登录
TJU YanMing
03-17 1496
之前我们使用XML文件写了一个简单的Spring Security登录的小例子,在这篇文章中,我们基于Hibernate连接数据库来持久化我们的用户信息,实现多用户角色登录。 1. 我们需要写些什么? a.配置一个Spring Servlet b.将Spring Security加载到上下文中,设置Security的启动器 c.配置Hibernate d.编写用户实体 e.编写我们用户
Spring Security视频资料
mytimelife的博客
12-29 297
点击上方Java老铁,并选择设为星标优质文章和资料会及时送达本公众号分享了大量的资料,领取的人比较多,时间一长,链接就会自动失效,所以大家可以选择把公众号设置为星标,这样你会在第一时...
学习Spring Security最好的资料就是官网PDF
总之,Spring Security官方文档是学习和掌握Spring Security框架最好的资料。通过阅读官方文档,开发人员可以全面了解Spring Security的功能和特性,掌握最佳实践和安全策略,提高应用程序的安全性和稳定性。因此,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值