Spring Security入门

最新推荐文章于 2024-04-20 16:32:09 发布
最新推荐文章于 2024-04-20 16:32:09 发布
阅读量188 收藏 1
点赞数
分类专栏: 传值健康 文章标签: spring java eureka
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64702880/article/details/124596499
版权

1:导依赖 它本身的依赖

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>5.0.5.RELEASE</version>
</dependency>
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-config</artifactId>
  <version>5.0.5.RELEASE</version>
</dependency>

2:配置

web.xml

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
  <display-name>Archetype Created Web Application</display-name>
  <filter>
    <!--
      DelegatingFilterProxy用于整合第三方框架
      整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
	  否则会抛出NoSuchBeanDefinitionException异常
    -->
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <servlet>
    <servlet-name>springmvc</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载 -->
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-security.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>springmvc</servlet-name>
    <url-pattern>*.do</url-pattern>
  </servlet-mapping>

</web-app>

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                          http://www.springframework.org/schema/security
                          http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />


    <!--
        http:用于定义相关权限控制
        auto-config:是否自动配置
                        设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
                        设置为false时需要显示提供登录表单配置,否则会报错
        use-expressions:用于指定intercept-url中的access属性是否使用表达式
    -->
    <!--直接放行的数据-->
    <!--<security:http security="none" pattern="/pages/a.html"/>-->
    <security:http security="none" pattern="/login.html"/>

    <security:http auto-config="true" use-expressions="true">
        <!--
            intercept-url:定义一个拦截规则
            pattern:对哪些url进行权限控制
            access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
				  请求的用户只需拥有其中的一个角色就能成功访问对应的URL
        -->
        <security:intercept-url pattern="/index.html"  access="hasRole('ROLE_ADMIN')" />
        <security:intercept-url pattern="/pages/b.html" access="hasRole('add')"/>
        <!--
            form-login:定义表单登录信息

               login-page 跳转的页面
             username-parameter="username" 表单的名字数据声明
               password-parameter="password" 表单的密码数据声明
               login-processing-url="/login.do"  登录页面处理的登录请求
               default-target-url="/index.html"   登录成功的页面
               authentication-failure-url="/login.html"  登录失败的页面           -->
        <security:form-login login-page="/login.html"
                             username-parameter="username"
                             password-parameter="password"
                             login-processing-url="/login.do"
                             default-target-url="/index.html"
                             authentication-failure-url="/login.html"></security:form-login>
        <!--
          csrf:对应CsrfFilter过滤器
          disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
        -->
        <security:csrf disabled="true"></security:csrf>

        <!--
        logout:退出登录
        logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
-->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>
    </security:http>

    <!--
        authentication-manager:认证管理器,用于处理认证操作
    -->
    <security:authentication-manager>
        <!--
            authentication-provider:认证提供者,执行具体的认证逻辑
        -->
        <security:authentication-provider user-service-ref="userservice">
            <!--
                user-service:用于获取用户信息,提供给authentication-provider进行认证
            -->
            <!--     user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息
                 {noop}:表示当前使用的密码为明文-->
           <!-- <security:user-service>

           <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN"/>

            </security:user-service>-->
            <!--指定密码加密策略-->
            <security:password-encoder ref="passwordEncoder"/>

        </security:authentication-provider>
    </security:authentication-manager>


    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />


    <!--注册为Beam让 security进行用户匹配 走入这个路线-->
<bean id="userservice" class="com.itheima.service.UserService"/>
    <!--开启spring注解使用-->
    <context:annotation-config></context:annotation-config>
<!--开启mvc注解-->
<mvc:annotation-driven></mvc:annotation-driven>
<!--开启配置扫描-->
<context:component-scan base-package="com.itheima.controller"></context:component-scan>

</beans>

service

package com.itheima.service;

import com.itheima.pojo.User;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/*
* sercurity 前面登录验证表单填写或数据 提交信息 后 进入该类 执行 loadUserByUsername方法 传参用户名
* 需要根据用户名 查询出用户的密码 和 权限用户 然后进行用户返回
* */
public class UserService implements UserDetailsService {
    //密码加密类
    @Autowired
    private BCryptPasswordEncoder cryptPasswordEncoder;

    //模拟数据库中的用户数据
     private Map<String, User> map = new HashMap<String, User>();
    public void init() {
        com.itheima.pojo.User user1 = new com.itheima.pojo.User();
        user1.setUsername("admin");
        user1.setPassword(cryptPasswordEncoder.encode("admin"));

        com.itheima.pojo.User user2 = new com.itheima.pojo.User();
        user2.setUsername("xiaoming");
        user2.setPassword(cryptPasswordEncoder.encode("1234"));

        map.put(user1.getUsername(),user1);
        map.put(user2.getUsername(),user2);
    }
        @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //初始化些数据
        init();
        System.out.println("前端传来的=========》"+username);

        com.itheima.pojo.User userInDb = map.get(username);//模拟根据用户名查询数据库
        if(userInDb == null){
            //根据用户名没有查询到用户
            return null;
        }

        //模拟数据库中的密码,后期需要查询数据库
        String passwordInDb = userInDb.getPassword();

        List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();
        //授权,后期需要改为查询数据库动态获得用户拥有的权限和角色
        list.add(new SimpleGrantedAuthority("add"));
        list.add(new SimpleGrantedAuthority("delete"));
        if ("admin".equals(username)) {
            list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        }else {
            list.add(new SimpleGrantedAuthority("ROLE_add"));

        }
          //返回它的实现类 封装了 用户名 和取出来的密码 还有权限信息 权限信息
        UserDetails user = new org.springframework.security.core.userdetails.User(username,passwordInDb,list);
        return user;
    }
}

controller

package com.itheima.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/users")
public class UserController {
    @RequestMapping("/delete.do")
    @PreAuthorize("hasRole('add')")//表示用户必须拥有add权限才能调用当前方法
    public String delete(){
        System.out.println("delete");
        return "delete";
    }

    @RequestMapping("/update.do")
    @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
    public String update(){
        System.out.println("update...");
        return "update";
    }
}

 

1: 对入门案例改进

前面我们已经完成了Spring Security的入门案例,通过入门案例我们可以看到,Spring Security将我们项目中的所有资源都保护了起来,要访问这些资源必须要完成认证而且需要具有ROLE_ADMIN角色。

但是入门案例中的使用方法离我们真实生产环境还差很远,还存在如下一些问题:

1、项目中我们将所有的资源(所有请求URL)都保护起来,实际环境下往往有一些资源不需要认证也可以访问,也就是可以匿名访问。

2、登录页面是由框架生成的,而我们的项目往往会使用自己的登录页面。

3、直接将用户名和密码配置在了配置文件中,而真实生产环境下的用户名和密码往往保存在数据库中。

4、在配置文件中配置的密码使用明文,这非常不安全,而真实生产环境下密码需要进行加密。

本章节需要对这些问题进行改进。

3.5.1 配置可匿名访问的资源

第一步:在项目中创建pages目录,在pages目录中创建a.html和b.html

第二步:在spring-security.xml文件中配置,指定哪些资源可以匿名访问

 <!--
   http:用于定义相关权限控制
   指定哪些资源不需要进行权限校验,可以使用通配符
 -->
 <security:http security="none" pattern="/pages/a.html" />
 <security:http security="none" pattern="/paegs/b.html" />
 <security:http security="none" pattern="/pages/**"></security:http>

通过上面的配置可以发现,pages目录下的文件可以在没有认证的情况下任意访问。

3.5.2 使用指定的登录页面

第一步:提供login.html作为项目的登录页面

 <html>
 <head>
     <title>登录</title>
 </head>
 <body>
     <form action="/login.do" method="post">
         username:<input type="text" name="username"><br>
         password:<input type="password" name="password"><br>
         <input type="submit" value="submit">
     </form>
 </body>
 </html>

第二步:修改spring-security.xml文件,指定login.html页面可以匿名访问

 <security:http security="none" pattern="/login.html" />

第三步:修改spring-security.xml文件,加入表单登录信息的配置

 <!--
   form-login:定义表单登录信息
 -->
 <security:form-login login-page="/login.html"
                      username-parameter="username"
                      password-parameter="password"
                      login-processing-url="/login.do"
                      default-target-url="/index.html"
                      authentication-failure-url="/login.html"
                      />

第四步:修改spring-security.xml文件,关闭CsrfFilter过滤器

 <!--
   csrf:对应CsrfFilter过滤器
   disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
 -->
 <security:csrf disabled="true"></security:csrf>

3.5.3 从数据库查询用户信息

如果我们要从数据库动态查询用户信息,就必须按照spring security框架的要求提供一个实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可。框架会自动调用实现类中的方法并自动进行密码校验。

实现类代码:

 package com.itheima.security;
 ​
 import org.springframework.security.core.GrantedAuthority;
 import org.springframework.security.core.authority.SimpleGrantedAuthority;
 import org.springframework.security.core.userdetails.User;
 import org.springframework.security.core.userdetails.UserDetails;
 import org.springframework.security.core.userdetails.UserDetailsService;
 import org.springframework.security.core.userdetails.UsernameNotFoundException;
 import java.util.ArrayList;
 import java.util.HashMap;
 import java.util.List;
 import java.util.Map;
 ​
 public class UserService implements UserDetailsService {
     //模拟数据库中的用户数据
     public  static  Map<String, com.itheima.pojo.User> map = new HashMap<>();
     static {
         com.itheima.pojo.User user1 = new com.itheima.pojo.User();
         user1.setUsername("admin");
         user1.setPassword("admin");
 ​
         com.itheima.pojo.User user2 = new com.itheima.pojo.User();
         user2.setUsername("xiaoming");
         user2.setPassword("1234");
 ​
         map.put(user1.getUsername(),user1);
         map.put(user2.getUsername(),user2);
     }
     /**
      * 根据用户名加载用户信息
      * @param username
      * @return
      * @throws UsernameNotFoundException
      */
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
         System.out.println("username:" + username);
         com.itheima.pojo.User userInDb = map.get(username);//模拟根据用户名查询数据库
         if(userInDb == null){
             //根据用户名没有查询到用户
             return null;
         }
 ​
         //模拟数据库中的密码,后期需要查询数据库
         String passwordInDb = "{noop}" + userInDb.getPassword();
 ​
         List<GrantedAuthority> list = new ArrayList<>();
         //授权,后期需要改为查询数据库动态获得用户拥有的权限和角色
         list.add(new SimpleGrantedAuthority("add"));
         list.add(new SimpleGrantedAuthority("delete"));
         list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
         
         UserDetails user = new User(username,passwordInDb,list);
         return user;
     }
 }

spring-security.xml:

 <!--
   authentication-manager:认证管理器,用于处理认证操作
 -->
 <security:authentication-manager>
   <!--
     authentication-provider:认证提供者,执行具体的认证逻辑
   -->
   <security:authentication-provider user-service-ref="userService">
   </security:authentication-provider>
 </security:authentication-manager>
 ​
 <bean id="userService" class="com.itheima.security.UserService"></bean>

本章节我们提供了UserService实现类,并且按照框架的要求实现了UserDetailsService接口。在spring配置文件中注册UserService,指定其作为认证过程中根据用户名查询用户信息的处理类。当我们进行登录操作时,spring security框架会调用UserService的loadUserByUsername方法查询用户信息,并根据此方法中提供的密码和用户页面输入的密码进行比对来实现认证操作。

3.5.4 对密码进行加密

前面我们使用的密码都是明文的,这是非常不安全的。一般情况下用户的密码需要进行加密后再保存到数据库中。

常见的密码加密方式有:

3DES、AES、DES:使用对称加密算法,可以通过解密来还原出原始密码

MD5、SHA1:使用单向HASH算法,无法通过计算还原出原始密码,但是可以建立彩虹表进行查表破解

bcrypt:将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题

加密后的格式一般为:

 $2a$10$/bTVvqqlH9UiE0ZJZ7N2Me3RIgUCdgMheyTgV0B4cMCSokPa.6oCa

加密后字符串的长度为固定的60位。其中:$是分割符,无意义;2a是bcrypt加密版本号;10是cost的值;而后的前22位是salt值;再然后的字符串就是密码的密文了。

实现步骤:

第一步:在spring-security.xml文件中指定密码加密对象

 <!--配置密码加密对象-->
 <bean id="passwordEncoder" 
       class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
 ​
 <!--认证管理器,用于处理认证操作-->
 <security:authentication-manager>
   <!--认证提供者,执行具体的认证逻辑-->
   <security:authentication-provider user-service-ref="userService">
     <!--指定密码加密策略-->
     <security:password-encoder ref="passwordEncoder" />
   </security:authentication-provider>
 </security:authentication-manager>
 <!--开启spring注解使用-->
 <context:annotation-config></context:annotation-config>

第二步:修改UserService实现类

 package com.itheima.security;
 ​
 import org.springframework.beans.factory.annotation.Autowired;
 import org.springframework.security.core.GrantedAuthority;
 import org.springframework.security.core.authority.SimpleGrantedAuthority;
 import org.springframework.security.core.userdetails.User;
 import org.springframework.security.core.userdetails.UserDetails;
 import org.springframework.security.core.userdetails.UserDetailsService;
 import org.springframework.security.core.userdetails.UsernameNotFoundException;
 import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
 import java.util.ArrayList;
 import java.util.HashMap;
 import java.util.List;
 import java.util.Map;
 ​
 public class UserService implements UserDetailsService {
     @Autowired
     private BCryptPasswordEncoder passwordEncoder;
 ​
     public  Map<String, com.itheima.pojo.User> map = new HashMap<>();//模拟数据库中的用户数据
 ​
     public void initData(){
         com.itheima.pojo.User user1 = new com.itheima.pojo.User();
         user1.setUsername("admin");
         user1.setPassword(passwordEncoder.encode("admin"));
 ​
         com.itheima.pojo.User user2 = new com.itheima.pojo.User();
         user2.setUsername("xiaoming");
         user2.setPassword(passwordEncoder.encode("1234"));
 ​
         map.put(user1.getUsername(),user1);
         map.put(user2.getUsername(),user2);
     }
     /**
      * 根据用户名加载用户信息
      * @param username
      * @return
      * @throws UsernameNotFoundException
      */
     public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
         initData();
         System.out.println("username:" + username);
         com.itheima.pojo.User userInDb = map.get(username);//模拟根据用户名查询数据库
         if(userInDb == null){
             //根据用户名没有查询到用户
             return null;
         }
 ​
         String passwordInDb = userInDb.getPassword();//模拟数据库中的密码,后期需要查询数据库
 ​
         List<GrantedAuthority> list = new ArrayList<>();
         //授权,后期需要改为查询数据库动态获得用户拥有的权限和角色
         list.add(new SimpleGrantedAuthority("add"));
         list.add(new SimpleGrantedAuthority("delete"));
         list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
         UserDetails user = new User(username,passwordInDb,list);
         return user;
     }
 }

3.5.5 配置多种校验规则

为了测试方便,首先在项目中创建a.html、b.html、c.html、d.html几个页面

修改spring-security.xml文件:

 <!--只要认证通过就可以访问-->
 <security:intercept-url pattern="/index.jsp"  access="isAuthenticated()" />
 <security:intercept-url pattern="/a.html"  access="isAuthenticated()" />
 ​
 <!--拥有add权限就可以访问b.html页面-->
 <security:intercept-url pattern="/b.html"  access="hasAuthority('add')" />
 ​
 <!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
 <security:intercept-url pattern="/c.html"  access="hasRole('ROLE_ADMIN')" />
 ​
 <!--拥有ROLE_ADMIN角色就可以访问d.html页面,
     注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_-->
 <security:intercept-url pattern="/d.html"  access="hasRole('ADMIN')" />

3.5.6 注解方式权限控制

Spring Security除了可以在配置文件中配置权限校验规则,还可以使用注解方式控制类中方法的调用。例如Controller中的某个方法要求必须具有某个权限才可以访问,此时就可以使用Spring Security框架提供的注解方式进行控制。

实现步骤:

第一步:在spring-security.xml文件中配置组件扫描,用于扫描Controller

 <mvc:annotation-driven></mvc:annotation-driven>
 <context:component-scan base-package="com.itheima.controller"></context:component-scan>

第二步:在spring-security.xml文件中开启权限注解支持

 <!--开启注解方式权限控制-->
 <security:global-method-security pre-post-annotations="enabled" />

第三步:创建Controller类并在Controller的方法上加入注解进行权限控制

 package com.itheima.controller;
 ​
 import org.springframework.security.access.prepost.PreAuthorize;
 import org.springframework.web.bind.annotation.RestController;
 import org.springframework.web.bind.annotation.RequestMapping;
 ​
 @RestController
 @RequestMapping("/hello")
 public class HelloController {
     @RequestMapping("/add")
     @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
     public String add(){
         System.out.println("add...");
         return "success";
     }
 ​
     @RequestMapping("/delete")
     @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
     public String delete(){
         System.out.println("delete...");
         return "success";
     }
 }

3.5.7 退出登录

用户完成登录后Spring Security框架会记录当前用户认证状态为已认证状态,即表示用户登录成功了。那用户如何退出登录呢?我们可以在spring-security.xml文件中进行如下配置:

 <!--
   logout:退出登录
   logout-url:退出登录操作对应的请求路径
   logout-success-url:退出登录后的跳转页面
 -->
 <security:logout logout-url="/logout.do" 
                  logout-success-url="/login.html" invalidate-session="true"/>
       

通过上面的配置可以发现,如果用户要退出登录,只需要请求/logout.do这个URL地址就可以,同时会将当前session失效,最后页面会跳转到login.html页面。

 

无敌无敌就无敌
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
SpringSecurity在maven项目中的应用
mycsdnhh的博客
05-31 1707
1.导入坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <version>5.0.5.RELEASE</version> <dependency> <groupId>
Spring Security基本使用
weixin_56697114的博客
08-02 619
1、环境搭建 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <groupId>org.
SpringSecurity
最新发布
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1575
以上是10月31日对29日的Security学习进行日常总结。
SpringSecurity框架
Mr_Jin的博客
06-20 4872
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
权限管理-spring-security的使用
freestyle3210的博客
06-09 314
spring-security 依赖 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> &lt...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
spring security 入门demo
08-11
spring security 入门demo 非常不错 主要是完整
springboot+springsecurity入门
12-06
springboot+springsecurity入门,自定义表单登录
springboot + spring security + jwt + redis详细(一)
qq_38324424的博客
04-24 836
作为一个刚入门,没多久的新手小白,由于项目需要,所以学习了一下spring security,基本上此篇文章是根据各路大神撰写的博客结合而来,为了同样刚接触的新手小白少踩点坑,有什么问题还请大神们多多指点 创建用户表: CREATE TABLE `sys_user` ( `id` bigint(20) unsigned NOT NULL AUTO_INCREMENT, `...
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
beeworkshop的博客
03-16 1524
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种。 JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加...
Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全(带源码)
热门推荐
明明如月的技术博客
05-06 5万+
【相关已翻译的本系列其他文章,点击分类里面的spring security 4】 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-postaut
Spring Security用户认证和权限控制(默认实现)
jingke_1524的博客
09-25 1355
1 背景 实际应用系统中,为了安全起见,一般都必备用户认证(登录)和权限控制的功能,以识别用户是否合法,以及根据权限来控制用户是否能够执行某项操作。 Spring Security是一个安全相关的框架,能够与Spring项目无缝整合,本文主要是介绍Spring Security默认的用户认证和权限控制的使用方法和原理,但不涉及到自定义实现。 Spring Security用户认证和权限控制(自定义实现)这篇文章专门讲解用户认证和权限控制相关的自定义实现。 2 实战示例 2.1 创建工程 创建一个
安全框架Spring Security基本用法
ABestRookie的博客
08-12 843
一.入门案列 1.在pom.xml中导入maven坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEASE</version> </dependency> <dependency> <grou
Spring security配置
行云的博客
07-07 2202
SpringSecurity认证一、HttpBasic模式登录认证 SpringSecurity 自带一种基础认证模式实现方式:创建WebSecurityConfig配置类/** * Spring Securtiy配置类 */@Configuration //配置类public class WebSecurityConfig extends WebSecurit...
SpringSecurity入门
凉茶铺的博客
07-15 836
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
springsecurity入门
09-13
以下是你入门Spring Security的步骤: 1. 添加Spring Security依赖:在你的项目中,通过Maven或Gradle添加Spring Security的依赖。例如,在Maven中,你可以添加以下依赖: ```xml <groupId>org.springframework....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值