阐述Spring Security概念及其运用于实战

最新推荐文章于 2024-06-30 20:34:05 发布
最新推荐文章于 2024-06-30 20:34:05 发布
阅读量1.3k 收藏 16
点赞数 53
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65013257/article/details/138972430
版权

Spring Security(安全校验)

1. 概述

Spring Security是Spring项目组提供的安全服务框架,核心功能包括认证授权.为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作.
在如今开发模式中,Spring Security已经成为Java程序员必备的一项技术,简化认证和授权开发的首选项,
其核心为认证和授权,我们先来了解一下何为认证和授权,理解其概念.

2. 认证

认证是指系统判断用户的身份是否合法,合法可继续访问,不合法则会拒绝访问.在生活中我们很常见认证的方式,例如人脸识别认证,指纹认证,用户名密码的登录,手机短信的登录等方式
认证的目的是保护系统的隐私数据和资源,用户的身份合法 才能访问资源.
注: SpringSecurity的依赖为(基于Spring Boot)

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.1 内存认证

内存认证的概念,及用户的数据存放在内存当中,数据在代码中写死,项目启动便加载到内存当中.代码如下

@Configuration
public class SpringSecurityConfig{

		@Bean
    public UserDetailsService userDetailsService(){
    //1.创建内存管理对象
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
	//2.创建权限对象
        UserDetails user1 = User.withUsername("zhangsan").password("123").authorities("admin").build();
        UserDetails user2 = User.withUsername("lisi").password("123").authorities("admin").build();
	//3.封装到manager当中
        manager.createUser(user1);
        manager.createUser(user2);
        return manager;
    }
}

这种认证方式很明显,不灵活,代码写死,用户信息仅有代码所包含部分.这不符合我们的业务开发,应该连接于数据库.所以Spring Security提供了另一套配置.我们需要创建一个配置类去实现UsersDetailsService接口.(这里我使用的是Mybatis-Plus去操作数据库)
代码如下:

@Service
public class MyUserDetailService implements UserDetailsService {

    @Autowired
    private UsersMapper usersMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查询数据库,是否存在对象
        Users users = usersMapper
        .selectOne(new QueryWrapper<Users>().lambda()
                .eq(Users::getUsername, username));
     
        //2.判断用户是否为空
        if(users == null){
            //2.1.1 为空直接返回
            return null;
        }
        //3.封装成userDetails对象
        UserDetails userDetails = User.withUsername(users.getUsername())
                .password(users.getPassword())
                .authorities("admin")
                .build();
        //5.返回
        return userDetails;
    }
}

2.2 密码编码

为了数据的安全性,通常我们存储到数据库的密码是经过转码的,即密文存储,所以我们需要配置转码的配置类,校验时才能检查对应的密码是否一致
Spring Security提供了BCryptPasswordEncoder编码配置类,我们注入一下即可.

/**
     * 密码解码配置
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

2.3 认证成功与失败的处理

当认证成功之后,我们可能要对用户做一些信息上的配置或者其他的调整,需要介入java代码,同理失败也得控制用户的信息,防止用户恶意破坏信息.
我们需要配置SecurityFilterChain,由名字也可知道这是经过SpringSecurity框架的执行链.我们可以在这配置我们的业务需求.代码如下(包含前端路径的可自行配置,这里我使用的是thymeleaf,在resource下创建templates目录,编写对应页面就可)
注: 别忘了配置第二步允许静态资源的访问

@Configuration
@EnableWebSecurity
public class SpringSecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        //1.配置登录表单
        httpSecurity.formLogin(form ->{
            form.loginPage("/login.html") //自定义登录页面
                    .loginProcessingUrl("/login")   //登录路径,表单向该路径提交,提交后自动执行MyUserDetailService的方法
                    .usernameParameter("username")  //表单中用户名项
                    .passwordParameter("password")  //表单中的密码项
                    .successHandler(new MyLoginSuccessHandler())    //登录成功跳转页面
                    .failureHandler(new MyLoginFailHandler());   //登录失败跳转页面
        });
        //2.配置需要认证和不需要认证的资源
        httpSecurity.authorizeHttpRequests(resp->{
            resp.requestMatchers("/login.html","/fail.html").permitAll(); //不需要认证的资源
            resp.requestMatchers("/css/*.css","/js/*.js","/img/**").permitAll();    //静态资源
            resp.anyRequest().authenticated();  //其余所有请求都需要认证
        });
        //3.关闭csrf防护(若不关闭资源无法访问)
        httpSecurity.csrf(csrf->{
            csrf.disable();
        });
}

认证成功的处理器

public class MyLoginSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        //拿到登录用户的信息
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();

        System.out.println("用户名:"+userDetails.getUsername());
        System.out.println("登录之后的其余操作");
        //重定向到主页
        response.sendRedirect("/main");
    }
}

认证失败的处理器

public class MyLoginFailHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        System.err.println(exception.getMessage());
        System.out.println("登录失败");
        response.sendRedirect("/fail.html");
    }
}

2.4 退出登录

用户需要退出登录时,我们需要清除他的会话信息及授权信息.配置如下(依旧配置在上述配置类SpringSecurityConfig的方法当中)

//配置退出登录功能
        httpSecurity.logout(out->{
//                out.logoutUrl("/logout")
            out.logoutSuccessHandler(new MyLoginLogOutSuccessHandler())
                    .invalidateHttpSession(true)    //清除session记录,默认为true
                    .clearAuthentication(true);    //清除授权记录,默认为true
        });

2.5 记住我

在许多登录场景当中,往往会有记住我这个选项.可以在一段时间内记住用户的登录信息,用户下次访问时便可以不再需要登录.我们可以思考一下怎么去做到这个事情.大家应该都接触过JWT令牌,对token字段我们并不陌生.我们可以在用户使用记住我这个功能时,生成一个Token令牌,保存到数据库当中,下次用户再来访问我们去数据库查询是否有这样一个Token即可.
SpringSecurity帮我们实现了这样一个功能,需要我们配置一下即可.其功能演示大概为:

首先我们得有这样一个存放token的表,利用SpringSecurity配置生成表(别忘了在配置文件中配置DataSource哦)

@Configuration
public class RememberMeConfig {
    @Autowired
    private DataSource dataSource;
    //生成令牌
    @Bean
    public PersistentTokenRepository getPersistentTokenRepository(){
        // 为Spring Security 自带的令牌控制器设置数据源
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        // 开启自动建表,第一次启动时需要,第二次就注释掉
//        jdbcTokenRepository.setCreateTableOnStartup(true);
        //返回
        return jdbcTokenRepository;
    }
}

注: 第一次启动运行时可以直接这样写,第二次启动记得把jdbcTokenRepository.setCreateTableOnStartup(true);给注释掉,若忘记啦也没有关系,控制台会报错(表已经存在),根据原因我们再来处理也可

再回到SpringSecurityConfig当中,将这个配置类生效

//注入这两个类
	@Autowired
    private PersistentTokenRepository persistentTokenRepository;
    @Autowired
    private MyUserDetailService myUserDetailService;
//配置记住我
        httpSecurity.rememberMe(remember->{
            remember.tokenRepository(persistentTokenRepository) //配置持久化token仓库
                    .userDetailsService(myUserDetailService)	//配置权限处理对象,即认证逻辑对象
                    .tokenValiditySeconds(30); //配置token的保持时间,即多久以后失效
        });
Czi橙
关注
  • 53
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity概念、原理和简单的应用
kejizhentan的博客
02-16 1422
一、SpringSecurity的介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的(可配置的)安全访问控制解决方案的安全框架(简单说是对访问权限进行控制 )。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IOC,DI和AOP功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 应用的安全性包括:会话管理、密码加密、用户认证(Authentication)和用户授(Authorizati
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 989
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security 的过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
使用 Spring Security 保护 Web 应用的安全
07-12 964
在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一
Spring Security核心概念介绍
weixin_30853329的博客
03-26 428
Spring Security是一个强大的java应用安全管理库,特别适合用作后台管理系统。这个库涉及的模块和概念有一定的复杂度,而大家平时学习Spring的时候也不会涉及;这里基于官方的参考文档,把Spring Security的基本套路介绍一下。 参考的Spring Security文档地址:https://docs.spring.io/spring-security/site/do...
SpringSecurity-基本概念
ginger_mr的博客
11-14 298
文章目录基本概念1.什么是认证2.什么是会话3.什么是授权4.授权的数据模型5.RBAC1. 基于角色的访问控制2.基于资源的访问控制 基本概念 1.什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证 相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一
精通Spring企业应用开发实战
06-06
书中会阐述AOP的基本概念,如切面、通知、切入点表达式等,并通过实例展示如何定义和使用切面。 在数据访问方面,Spring提供了强大的支持,包括JDBC抽象层、ORM集成(如Hibernate、MyBatis)以及Spring Data。这些...
精通Spring 4.x 企业开发实战及配套源码
03-15
Spring Security是企业级应用安全的重要组件,本书会详细阐述如何配置和使用Spring Security,实现用户认证和授权,包括基于角色的访问控制(Role-Based Access Control,RBAC)、CSRF防护和密码加密等。 另外,...
spring boot 实战
09-29
Spring Boot实战》是一本深度剖析Spring Boot框架的电子书,包含了中英文两个版本,为读者提供了全面且深入的学习资源。Spring Boot是Spring生态体系中的重要组成部分,它旨在简化Spring应用的初始搭建以及开发...
精通Spring 4.X:企业应用开发实战精通 (陈雄华) 完整版
03-13
《精通Spring 4.X:企业应用开发实战精通》是一本由陈雄华编著的书籍,专注于Spring 4.x框架的深度解析与实践应用。Spring作为Java领域最流行的应用框架,其4.x版本在功能、性能和易用性上都有显著提升。这本书详细...
spring学习.zip
11-01
书中将详细介绍MyBatis的配置、映射文件、动态SQL等核心概念,并通过实际案例指导读者如何在Spring项目中集成并运用MyBatis。 3. **《Spring+MYBatis企业应用实战.pdf》**:此书结合了Spring和MyBatis,讲解了在...
spring security概念及配置
微滑低的博客
11-20 200
spring security概念及配置 1.什么是spring securitySpring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 2.spring security的操作有哪些? “认证”:为用户建立一个他
SpringSecurity-基本概念和处理流程
CTPeng的博客
01-08 1753
SpringSecurity-基本概念和处理流程分析 优秀文章推荐: 1、https://www.cnkirito.moe/spring-security-1/ 2、https://www.jianshu.com/p/e8e0e366184e 文章较长,望耐心阅读。 首先,需要明白SpringSecurity它解决什么问题? 1、认证:证明你是你的问题,通常就是用用户名和密码来证明。 2、授权:...
Spring Security--概念概览
villare的博客
11-05 1112
文章内容 UserDetail && UserDetailService AuthenticationManager && AuthenticationProvider AccessDecisionManager && SecurityMetadataSource 总结 本文重要是对Security使用过程中相关概念的总结
springSecurity安全框架的学习和原理解读
执笔写童话的博客
04-25 1082
springSecurity安全框架的学习和原理解读 标签: java springsecurity 更多 最近在公司的项目中使用了spring security框架,所以有机会来学习一下,公司的项目是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3 (个人理解可能会有偏差,希望有不正确之处,大家能够指出来,共同探讨交流。) 目录...
Spring Security 之基本概念
weixin_34269583的博客
11-13 155
Spring Security 是一个安全框架, 可以简单地认为 Spring Security 是放在用户和 Spring 应用之间的一个安全屏障, 每一个 web 请求都先要经过 Spring Security 进行 Authenticate 和 Authoration 验证. 不得不说, Spring Security 是一个非常庞大的框架, 非常值得花时间好好学习. =========...
SpringSecurity基本概念入门
程序员劝退师的博客
10-06 1464
在这里插入代码片
SpringSecurity概念和知识点
wangxueqing52的博客
09-10 537
1.CSRF攻击(转自 stpeace)   CSRF概念:       CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解:        攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管...
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
【计算机毕业设计】基于Springboot的B2B平台医疗病历交互系统【源码+lw+部署文档】
最新发布
06-30 508
目录1.1 选题的依据及意义1.2 国内外现状研究1.3 研究目的 第2章 设计技术与开发环境2.1 相关技术介绍 2.1.1 B/S模式分析2.1.2 mysql简介2.1.3 Spring Boot 简介2.2 开发环境介绍 2.2.1 eclipse简介2.2.2 Tomcat简介第3章 需求分析与可行性分析3.1 需求分析3.1.1 应用需求分析3.1.2 运行需求分析3.1.3 其他需求分析3.2 数据流程分析3.2.1 系统操作流程3.2.2 数据增加流程3.2.3 数据修改流程3.2.4
全套Spring Security入门到项目实战课程
03-21
Spring Security框架介绍 Spring Security认证与授权机制 Spring Security安全性解决方案 Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 Spring SecuritySpring集成 Spring Security最佳实践 Spring Security安全漏洞与防范

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值