SpringBoot整合Spring Security【超详细教程】

最新推荐文章于 2024-07-21 22:18:30 发布
最新推荐文章于 2024-07-21 22:18:30 发布
阅读量525 收藏 2
点赞数
分类专栏: 面试 学习路线 阿里巴巴 文章标签: android 前端 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67402914/article/details/126115013
版权
本文介绍了如何将Spring Security整合到SpringBoot中,通过案例展示了认证服务器用户登录和资源服务器权限校验的实现过程,包括JWT、RSA加密、自定义过滤器等关键点。文章还提供了相关代码和配置的概述,帮助读者理解Spring Security的整合步骤。
摘要由CSDN通过智能技术生成

好好学习,天天向上

本文已收录至我的Github仓库DayDayUP:github.com/Lee/DayDayUP,欢迎Star,更多文章请前往:目录导航

前言

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。

基本概念

  • 单点登录

什么叫做单点登录呢。就是在一个多应用系统中,只要在其中一个系统上登录之后,不需要在其它系统上登录也可以访问其内容。举个例子,京东那么复杂的系统肯定不会是单体结构,必然是微服务架构,比如订单功能是一个系统,交易是一个系统…那么我在下订单的时候登录了,付钱难道还需要再登录一次吗,如果是这样,用户体验也太差了吧。实现的流程就是我在下单的时候系统发现我没登录就让我登录,登录完了之后系统返回给我一个Token,就类似于身份证的东西;然后我想去付钱的时候就把Token再传到交易系统中,然后交易系统验证一下Token就知道是谁了,就不需要再让我登录一次。

  • JWT

上面提到的Token就是JWT(JSON Web Token),是一种用于通信双方之间传递安全信息的简洁的、URL安全的表述性声明规范。一个JWT实际上就是一个字符串,它由三部分组成,头部、载荷与签名。为了能够直观的看到JWT的结构,我画了一张思维导图:

最终生成的JWT令牌就是下面这样,有三部分,用 . 分隔。

base64UrlEncode(JWT 头)+“.”+base64UrlEncode(载荷)+“.”+HMACSHA256(base64UrlEncode(JWT 头) + “.” + base64UrlEncode(有效载荷),密钥)

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

  • RSA

从上面的例子中可以看出,JWT在加密解密的时候都用到了同一个密钥 “ robod666 ”,这将会带来一个弊端,如果被黑客知道了密钥的内容,那么他就可以去伪造Token了。所以为了安全,我们可以使用非对称加密算法RSA

RSA的基本原理有两点:

  • 私钥加密,持有私钥或公钥才可以解密
  • 公钥加密,持有私钥才可解密

认证服务器用户登录功能

前期准备

介绍完了基本概念之后就可以开始整合了,受限于篇幅,只贴最核心的代码,其它内容请小伙伴们去源码中找,地址在文末。 首先需要准备好数据库:

-- ----------------------------
-- Table structure for sys_role
-- ----------------------------
DROP TABLE IF EXISTS `sys_role`;
CREATE TABLE `sys_role`  (
  `ID` int(11) NOT NULL AUTO_INCREMENT COMMENT '编号',
  `ROLE_NAME` varchar(30) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色名称',
  `ROLE_DESC` varchar(60) CHARACTER SET utf8 COLLATE utf8_general_ci NULL DEFAULT NULL COMMENT '角色描述',
  PRIMARY KEY (`ID`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 6 CHARACTER SET = utf8 COLLATE = utf8_general_ci ROW_FORMAT = Compact;

-- ----------------------------
-- Records of sys_role
-- ----------------------------
INSERT INTO `sys_role` VALUES (1, 'ROLE_USER', '基本角色');
INSERT INTO `sys_role` VALUES (2, 'ROLE_ADMIN', '超级管理员');
INSERT INTO `sys_role` VALUES (3, 'ROLE_PRODUCT', '管理产品');
INSERT INTO `sys_role` VALUES (4, 'ROLE_ORDER', '管理订单');

-- ----------------------------
-- Table structure for sys_user
-- ----------------------------
DROP TABLE IF EXISTS `sys_user`;
CREATE TABLE `sys_user`  (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(32) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '用户名称',
  `password` varchar(120) CHARACTER SET utf8 COLLATE utf8_general_ci NOT NULL COMMENT '密码',
  `status` int(1) NULL DEFAULT 1 COMMENT '1开启0关闭',
  PRIMARY KEY (`id`) USING BTREE
) ENGINE = InnoDB AUTO_INCREMENT = 4 CHARACTER SET = utf8 COLLATE = utf8_general
最低0.47元/天 解锁文章
用户昵称23
关注
专栏目录
SpringBoot整合SpringSecurity详细入门教程
2401_83977357的博客
04-30 671
JVM,JAVA集合,JAVA多线程并发,JAVA基础,Spring原理,微服务,Netty与RPC,网络,日志,Zookeeper,Kafka,RabbitMQ,Hbase,MongoDB,Cassandra,设计模式,负载均衡,数据库,一致性哈希,JAVA算法,数据结构,加密算法,分布式缓存,Hadoop,Spark,Storm,YARN,机器学习,云计算…跨站请求伪造。
springboot整合springsecurity小demo
07-19
关于springboot整合springsecurity的小demo,如需要连接数据库,可以去网上自己稍微看一下
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 3103
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
SpringBoot3.3.0 整合 SpringSecurity详细步骤
最新发布
冬山兄的博客
07-21 1517
本片文章基于JDK17+springboot3.3.0与 SpringSecurity整合能够极大简化安全配置和管理的复杂性。
Spring Boot整合Spring Security
weixin_34250434的博客
12-18 135
前言:安全框架目前有两大主流,一个是apache的Shiro,一个是SpringSecurity, 曾经用过Shiro,又想看一下security和Shiro的不同,又加上Spring Boot可以无缝对接Security,所以在此使用Security作为安全组件。 安全框架主要功能为:身份认证,权限控制,预防漏洞攻击 所以接下来我们围绕如果配置身份认证,权限控制去整合Security。 环...
Springboot整合SpringSecurity
weixin_44044929的博客
07-23 659
springboot整合springSecurity实现RBAC模型权限控制,动态使用数据库来配置权限
SpringBoot 整合 SpringSecurity(一) 自定义用户名密码认证及原理
Lyndon的专栏
10-23 5021
SpringBoot整合Spring Security实现ajax登录
SpringBoot整合Spring Security详细教程
08-18
SpringBoot 整合 Spring Security详细教程 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,提供了完善的认证机制和方法级的授权功能。下面是 SpringBoot 整合 Spring Security详细...
Spring Boot整合Spring Security
m0_68850571的博客
05-07 507
综合概述 Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。 Spring Security 应用级别的安全主要包含两个主要部
Spring Boot中开启Spring Security
Yestar123456的博客
12-27 228
Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。 这里我们使...
SpringBoot整合Spring Security
sout-lanys
09-23 6175
Spring SecuritySpring 家族中安全管理框架,相比于 Shiro ,它提供了更丰富的功能,社区资源比 Shiro 丰富。 一般大部分中大型项目都是使用 Security ,小项目使用 Shiro 比较多。因为相对于 Security,Shiro 上手更简单。 一般Web应用的需要进行认证和授权。 认证:验证是否是本系统用户。 授权:经过登录,判断当前用户拥有的权限。 controller 启动 测试 账号:user 密码:项目启动时随机生成 二、 初探原理 登陆校验流程
springboot整合springsecurity
weixin_48524739的博客
08-02 1040
springsecurity
SpringBoot 整合 SpringSecurity
sn5diphone6的博客
01-04 457
SpringSecurity
SpringBoot整合SpringSecurity
LT19990304的博客
03-01 982
Spring SecuritySpring提供的一套web的应用安全性的完整解决方案。SpringSecurity采用责任式链的设计模式,它的核心是一组过滤器链。认证(Authentication):什么是认证?简单的说就是检验某个用户是否为系统合法用户,需要用户提供用户名和密码进行校验当前用户能否访问系统。授权(Authorization):就是当前用户?是否具有某种权限来进行某种操作。
springboot整合springsecurity教程
05-18
Spring Security是一个基于Spring框架的安全性框架,可以帮助我们完成身份验证、授权、攻击防护等功能。Spring Boot是一种基于Spring框架的快速开发Web项目的工具,可以让我们快速构建和部署应用程序。 下面是将Spring BootSpring Security整合的简单步骤: 1. 添加Spring Security依赖 在Maven或Gradle配置文件中添加Spring Security的依赖。例如,使用Maven,可以在pom.xml文件中添加以下依赖项: ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.2.2.RELEASE</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.2.2.RELEASE</version> </dependency> ``` 2. 创建Spring Security配置类 创建一个配置类,该类扩展了WebSecurityConfigurerAdapter。在该类中,您可以定义一些安全配置,例如用户身份验证和授权规则。 例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER") .and() .withUser("admin").password("{noop}password").roles("USER", "ADMIN"); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/**").permitAll() .and() .formLogin(); } } ``` 上面的代码定义了两个用户,一个是普通用户,另一个是管理员用户。普通用户只能访问所有页面,而管理员用户只能访问以“/admin”开头的页面。 3. 配置Spring Boot应用程序 在Spring Boot应用程序中,您需要配置一些额外的配置。您可以使用@EnableWebSecurity注释来启用Spring Security,并使用@Order注释来指定该配置的顺序。 例如: ```java @SpringBootApplication @EnableWebSecurity @Order(SecurityProperties.BASIC_AUTH_ORDER) public class DemoApplication extends WebSecurityConfigurerAdapter { // ... public static void main(String[] args) { SpringApplication.run(DemoApplication.class, args); } } ``` 在上面的示例中,我们使用了@Order注释,并将其设置为SecurityProperties.BASIC_AUTH_ORDER。这将确保Spring Security的基本身份验证将在其他可用的身份验证机制之前应用。 这就是整合Spring BootSpring Security的基本步骤。您可以根据需要进行更改和扩展,以满足您的应用程序的安全需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值