十年架构师分享:基于SpringSecurity实现的基本认证及OAuth2

最新推荐文章于 2024-07-24 17:12:13 发布
最新推荐文章于 2024-07-24 17:12:13 发布
阅读量494 收藏
点赞数
分类专栏: 程序员 Java 编程 文章标签: spring boot java intellij-idea
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63437643/article/details/123276160
版权

实现安全机制

本节将介绍基于Spring Security实现的基本认证及OAuth2。

实现基本认证

如果Spring Security位于类路径上,则所有HTTP端点上默认使用基本认证,这样就能使Web应用程序得到一定的安全保障。最为快捷的方式是在依赖中添加Spring Boot Security Starter。

//依赖关系
dependencies {
//该依赖用于编译阶段
compile('org.springf ramework . boot : spring-boot-starter-security')

如果要向Web应用程序添加方法级别的安全保障,还可以在Spring Boot应用里面添加@
Ena-bleGlobalMethodSecurity注解来实现,如下面的例子所示。

@EnableGlobalMe thodsecurity
@SpringBootApplication
public class Application {
public static void main (String[] args) {
SpringApplication. run (Application.class, args) ;

需要注意的是,@
EnableGlobalMethodSecurity 可以配置多个参数:

prePostEnabled:决定Spring Security的前注解是否可用@PreAuthorize、@PostAuthorize 等;

secureEnabled:决定Spring Security的保障注解@Secured是否可用;

jsr250Enabled :决定JSR-250注解@RolesAllowed等是否可用。

配置方式分别如下。

@EnableGlobalMethodSecurity (securedEnabled = true)
public class MethodSecuri tyConfig {
// ...
@EnableGlobalMethodSecurity (jsr250Enabled = true)
public class MethodSecurityConfig {
//...
@EnableGlobalMe thodsecurity (prePostEnabled = true)
public class MethodSecurityConfig {
/...
}

在同一个应用程序中,可以启用多个类型的注解,但是对于行为类的接口或类只应该设置一个注解。如果将2个注解同时应用于某- -特定方法, 则只有其中-一个被应用。

1. @Secured

此注解是用来定义业务方法的安全配置属性的列表。您可以在需要安全角色1权限等的方法上指定@Secured,并且只有那些角色1权限的用户才可以调用该方法。如果有人不具备要求的角色1权限但试图调用此方法,将会抛出AccessDenied 异常。

@Secured源于Spring 之前的版本,它有一个局限就是不支持Spring EL表达式。可以看看下面的例子。

如果你想指定AND (和)这个条件,即deleteUser方法只能被同时拥有ADMIN & DBA,但是仅仅通过使用@Secured注解是无法实现的。

但是你可以使用Spring新的注解@PreAuthorize/@PostAuthorize (支持Spring EL),使实现上面的功能成为可能,而且无限制。

@PreAuthori ze/@PostAuthorize

Spring的@PreAuthorize/@PostAuthorize 注解更适合方法级的安全,也支持Spring EL表达式

语言,提供了基于表达式的访问控制。

●@PreAuthorize 注解:适合进入方法前的权限验证,@PreAuthorize 可以将登录用户的角色1权

限参数传到方法中。

●@PostAuthorize注解:使用并不多,在方法执行后再进行权限验证。

以下是-一个使用了@PreAuthorize 注解的例子。

@PreAuthorize ("hasAuthority('ROLE ADMIN')") // 指定角色权限才能操作方法
@GetMapping(value = "delete/ {id}")
public ModelAndView delete (@PathVariable ("id") Long i
最低0.47元/天 解锁文章
写代码的珏秒秒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
架构师:搭建Spring SecurityOAuth2和JWT 的安全认证框架
木头
05-06 252
搭建Spring SecurityOAuth2和JWT 的安全认证框架
Spring Securityoauth2的关系
geejkse_seff的博客
08-02 3995
网上有很多SpringSecurityoauth2的介绍,但是对于初学者来说,上手比较复杂,本篇从原理上梳理一下两者之间的联系和区别参见【SpringSecurity基本功能介绍springsecurity的核心功能主要包括认证(你是谁)通过注解开启简单来说,就是需要登录,你需要输入用户名和密码,才能访问某个url。授权(你能干什么)不需要通过指定的开关开启,而是通过配置来增加授权规则来生效,不增加授权规则就不生效一种是同步session不需要再次输入用户名和密码。...
spring security oauth2_十年架构师爆肝分享:基于SpringSecurity实现基本认证OAuth2
weixin_39889329的博客
11-26 246
实现安全机制本节将介绍基于Spring Security实现基本认证OAuth2。实现基本认证如果Spring Security位于类路径上,则所有HTTP端点上默认使用基本认证,这样就能使Web应用程序得到一定的安全保障。最为快捷的方式是在依赖中添加Spring Boot Security Starter。//依赖关系dependencies {//该依赖用于编译阶段compile('org...
springsecurity整合oauth2
limpiditysky的博客
06-02 1340
springsecurity整合oauth2
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
Innocence_0的博客
07-24 1285
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5786
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
@PerAuthorize用作授权的使用方法
热门推荐
qq_42507357的博客
08-14 1万+
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。 使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。 @PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。 /** * 获取部门列表 */ @PreAuthorize("@ac.hasPermi('dept:list')"
Sentinel 使用详解
chenzao的博客
12-03 1766
随着微服务的流行,服务和服务之间的稳定性变得越来越重要。Sentinel 以流量为切入点,从流量控制、熔断降级、系统负载保护等多个维度保护服务的稳定性。 Sentinel 具有以下特征: 丰富的应用场景:Sentinel 承接了阿里巴巴近 10 年的双十一大促流量的核心场景,例如秒杀(即突发流量控制在系统容量可以承受的范围)、消息削峰填谷、集群流量控制、实时熔断下游不可用应用等。 完备的实时...
Spring Gateway+Security+OAuth2+RBAC 实现SSO统一认证平台
08-10
内容:完整集成了Spring Gateway, Spring Security, Nacos, OAuth2, RBAC, 手机验证码登录等SSO统一认证平台,全平台唯一,全平台最全,全面细致,已经帮你踩了很多坑,一看就会,可以本地运行,或者直接作为认证...
又来了!昙花一现的Java全能进阶笔记终开源,等了太久了!
互联网架构小马的博客
10-23 1127
前言 据有关数据统计,无论是游戏行业还是互联网行业,无论是软件开发公司还是大型网站,都对高并发技术人才有着巨大的需求。因此,无论为了是面试还是为了工作,学习高并发技术刻不容缓。 当然,高并发相关岗位的薪资待遇也一直处于业内的高水平,熟练掌捏或精通高并发的专业人员更是难求。据一些资深HR朋友介绍,有高并发工作经验的求职简历一旦挂到各大招聘或求职网站上。很快就会被高薪抢走。 为了更加清晰地认识高并发的技术需求,我在查阅了大量的高级Java岗位的招聘需求后,归纳了以下招聘中需求的热点技术。 岗位要求
Spring Security 自定义授权服务器实践
Java_ttcd的博客
08-20 938
还需要多多完善,Spring Security也不例外,不久前我还提了一个PR,把一个持续数个版本的bug给修复了藍(过了,只是文档中的错误罢了,被标记为文档中的bug),看多了外国人的产品,其实也没有太比国内的开源项目好,坑也很多,而我们某些大厂的开源项目其实很好,却被网友门各种喷。另外授权服务器如果发生异常,是不会打印堆栈的,而是把错误信息放入到response中,是打算要在页面上显示,然而demo的默认错误页并不会显示错误详情,只有错误编号400,如图。
SpringBoot使用security实现OAuth2
Cwh_971111的博客
06-25 7093
SpringBoot使用security实现OAuth2 OAuth2 OAuth是一个开放标准,允许用户授权地方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或者分享他们数据的所有内容。 我们从一个常见的例子来看: 我们打王者,第一次登录的时候要求我们选择微信登录还是QQ登录,这时假设我们点击QQ登录,那么就会跳转到一个认证界面,询问我们是否同意王者使用QQ的数据,例如好友列表等等。当我们点击同意之后就会跳转回王者,之后进入王者我们可以发现好友列表内容就是我们的QQ中的
`@EnableOAuth2Sso`注解详情
weixin_39515823的博客
03-03 2435
@EnableOAuth2Sso注解详情 @Target({ElementType.TYPE}) @Retention(RetentionPolicy.RUNTIME) @Documented @EnableOAuth2Client @EnableConfigurationProperties({OAuth2SsoProperties.class}) // [1] @Import({OAuth2SsoDefaultConfiguration.class, OAuth2SsoCustomConfigurati
SpringSecurity安全框架学习——@PreAuthorize实现原理
笔落墨成&博客
11-23 3956
Spring Security 预处理实现原理
Spring Security#OAuth2
来啊 快活啊
06-20 4889
Congiurer ClientDetailsServiceConfigurer AuthorizationServerSecurityConfigure AuthorizationServerEndpointsConfigurer ResourceServerSecurityConfigurer HttpSecurity Authorization Server ClientDetailsServ
Spring security 中使用 @Secured() 注解报 Access is denied错
xjh101010的专栏
06-05 2230
Spring security 中使用 @Secured(“role_admin”) 注解时,总是报org.springframework.security.AccessDeniedException: Access is denied的错 及时我用的是admin的角色去访问。 这里debug后发现,我的项目在登录时,会查询数据库中的用户角色关系表,给Authentication(注:
Spring Security(十八)--OAuth2:实现授权服务器(上)--环境准备以及骨架代码搭建
学习不止境的博客
11-28 1332
本节大家如果一直从一开始看过来的话,就会巧妙发现我们将之前的实践代码全部连接起来,本节将会使用到之前的短信/验证码登录相关的逻辑代码,如果大家没有看的感兴趣可以回到https://editor.csdn.net/md/?articleId=127617691先将这部分逻辑代码看一看,尝试自己完成。然后本节仍然以实践为主,大家要完全吸收前几节关于OAuth2内容再来学习本节会更好点,然后当时再讲解搭建单点应用程序时,我们讲到过ClientRegistrationRepository这个类,讲到可以通过数据库去
Spring Security实现Oauth2授权详解
"基于Spring SecurityOauth2授权实现方法,通过示例代码详细解析,适合学习和工作中参考,包括授权码模式、认证服务和资源服务等核心概念" 在本文中,我们将深入探讨如何使用Spring Security实现Oauth2授权。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值