Spring Security的使用方法

于 2024-08-21 23:15:52 发布
阅读量142 收藏 7
点赞数 8
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63550220/article/details/141404833
版权 
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,广泛用于保护基于Spring的应用程序。以
下将详细介绍Spring Security的使用方法,主要基于Spring Boot环境:

一、添加依赖

在Spring Boot项目中,首先需要添加Spring Security的依赖。这可以通过在项目的pom.xml(Maven项目)或build.gradle(Gradle项目)文件中添加相应的依赖来实现。对于Maven项目,依赖通常如下所示:

<dependency>  
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-security</artifactId>  
</dependency>

添加依赖后,Spring Boot的自动配置将自动为项目添加Spring Security的功能。

二、配置安全规则

创建配置类:
创建一个配置类继承自WebSecurityConfigurerAdapter,并通过@EnableWebSecurity注解启用Spring Security的配置。

定义安全规则:
在配置类中,通过覆盖configure(HttpSecurity http)方法来定义安全规则。例如,可以指定哪些URL需要认证,哪些角色可以访问哪些资源等。

@Override  
protected void configure(HttpSecurity http) throws Exception {  
    http  
        .authorizeRequests()  
            .antMatchers("/", "/home").permitAll() // 允许所有人访问根目录和home页面  
            .antMatchers("/admin/**").hasRole("ADMIN") // 只有ADMIN角色可以访问/admin/下的资源  
            .anyRequest().authenticated() // 其他所有请求都需要认证  
        .and()  
        .formLogin() // 开启表单登录  
            .loginPage("/login") // 指定登录页面  
            .permitAll() // 允许所有人访问登录页面  
        .and()  
        .logout() // 配置注销  
            .permitAll(); // 允许所有人访问注销页面  
}

三、自定义用户认证

内存认证:
在开发初期,可以使用内存中的用户数据进行认证。通过覆盖configure(AuthenticationManagerBuilder auth)方法,并使用inMemoryAuthentication()来配置内存中的用户。

@Override  
protected void configure(AuthenticationManagerBuilder auth) throws Exception {  
    auth  
        .inMemoryAuthentication()  
        .withUser("user").password("{noop}password").roles("USER")  
        .and()  
        .withUser("admin").password("{noop}admin").roles("ADMIN");  
}

注意:{noop}前缀表示不对密码进行加密。在实际应用中,应该使用加密后的密码。

数据库认证:
对于生产环境,通常需要从数据库中加载用户信息。这可以通过实现UserDetailsService接口来完成。

创建一个实现UserDetailsService接口的类,并在其中加载用户信息。
在配置类中,通过userDetailsService()方法将自定义的UserDetailsService注入到Spring Security中。

四、处理登录和注销

登录:
当用户访问需要认证的URL时,Spring Security会自动将用户重定向到登录页面(如果配置了登录页面的话)。用户输入用户名和密码后,Spring Security会进行认证,并根据认证结果允许或拒绝访问。

注销:
在配置类中,通过logout()方法配置注销相关的设置。例如,可以指定注销后重定向的URL。

.logout()  
    .logoutSuccessUrl("/") // 注销成功后重定向到根目录  
    .permitAll(); // 允许所有人访问注销页面

五、其他高级特性

CSRF保护:Spring Security默认开启了CSRF保护。如果需要禁用或自定义CSRF保护,可以在配置类中通过csrf()方法进行配置。
HTTPS支持:虽然Spring Security本身不直接提供HTTPS支持,但可以通过配置Spring Boot的嵌入式服务器(如Tomcat)来启用HTTPS。
会话管理:Spring Security提供了会话创建、验证、过期等管理功能。可以通过配置类中的sessionManagement()方法进行会话管理的配置。

六、测试和调试

测试安全配置:通过访问不同的URL来测试安全配置是否按预期工作。
查看日志:开启Spring Boot的日志功能,以便在开发和调试过程中查看Spring Security的详细输出。

m0_63550220
关注
  • 8
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
SpringSecurity 简单使用
qq_43560701的博客
01-25 5049
SpringSecurity 简单使用 在 Web 开发中安全是不可忽视的问题(软件安全技术!),现在从 SpringSecurity 和 Shiro 两个框架来学习一下安全框架在 Web 应用中的使用Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
Spring Security的基础使用
m0_48972623的博客
03-10 8285
目录 一. 什么是spring security 二. Spring security使用 1.创建springboot项目 2.主启动类 2.配置controller层 3.配置config类 4.配置多用户登录以及注入权限及登录config注入 5.配置config层 6.登录成功处理类及无权限处理类 7.配置工具类 8.启动测试 三. 总结 一. 什么是spring security Spring Security是一个能够为基于Spring的企业应用系统提供声明.
SpringSecurity使用
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
02-15 3943
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模 块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要 引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的 安全管理! 使用步骤: 1:加入依赖 <dependency> <groupId>org.springframework.boot</groupId>
SpringSecurity授权
小钟不想敲代码
05-28 5514
SpringSecurity授权
Spring security 方法级权限控制
山鬼谣的专栏
07-07 2359
环境 springboot:1.5 Intellij IDEA:2021.1 序言 以前只是用到架构师搭好的环境,具体怎么配置,怎么用并不是很清楚; 最近因为项目的原因,研究了下,虽然最终没有用上,但是研究的成果,我得记录下来; 步骤 这里假设已经是springboot项目 依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-st
Spring Security使用token
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security的认证与授权是分开的:
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
Spring Security 四种使用方式
张普的专栏
06-29 1万+
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Aceg
Spring Security基本配置方法解析
08-25
Spring Security基本配置方法解析 Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的标准。Spring Security是一个专注于为Java应用程序提供身份验证...
spring security方法鉴权使用示范项目
03-01
在这个"spring security方法鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security进行方法级别的权限控制。 首先,Spring Security 提供了基于注解的方法安全特性,这允许我们在方法级别定义哪些用户或者...
SpringSecurity.pdf
05-24
使用Spring Security时,开发者需要熟悉它的相关Maven依赖,这些依赖是Spring Security框架与应用程序集成的基础。通过配置Maven坐标,开发者可以在项目中引入Spring Security,从而开始安全功能的配置与开发。...
使用Spring Security控制会话的方法
08-26
使用 Spring Security 控制会话的方法 Spring Security 是一个功能强大且灵活的身份验证和授权框架,它提供了多种方式来控制 HTTP 会话。本文将详细介绍如何使用 Spring Security 控制会话,包括会话的创建、管理和...
dubbo和springcloud有什么异同?
yszbrzdd的博客
08-15 517
Dubbo主要关注于高效的 RPC 调用和服务治理。提供了一个综合的微服务解决方案,涵盖了从服务注册到配置管理的广泛功能。它们可以根据具体需求和现有技术栈选择使用,也可以结合使用,例如在 Spring Cloud 环境中集成 Dubbo 作为 RPC 框架。
spring使用到的设计模式有哪些
weixin_47503016的博客
08-12 446
spring 使用到的设计模式
SpringBoot:将单体项目拆分成微服务项目
安晴晚风的博客
08-15 676
SpringBoot:将单体项目拆分成微服务项目
SpringBoot MySQL BinLog 监听数据变化(多库多表)
最新发布
掐指一算乀缺钱
08-19 473
SpringBoot MySQL BinLog 监听数据变化(多库多表) 库.表,库1.表1,库1.表2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值