一文带你搞懂 Spring Security

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量2k 收藏 9
点赞数
分类专栏: java 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71777195/article/details/128452235
版权

今天来一篇 Spring Security 精讲,相信你看过之后能彻底搞懂 Spring Security。

Spring Security简介

Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,「减少了为系统安全而编写大量重复代码的工作」 。

「核心功能:认证和授权」

Spring Security 认证流程

SpringSecurity认证执行流程

Spring Security 项目搭建

导入依赖

Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

访问页面

导入spring-boot-starter-security启动器后,Spring Security已经生效,默认拦截全部请求,如果用户没有登录,跳转到内置登录页面。

在浏览器输入:http://localhost:8080/ 进入Spring Security内置登录页面

用户名:user。

密码:项目启动,打印在控制台中。

自定义用户名和密码

修改「application.yml」 文件

# 静态用户,一般只在内部网络认证中使用,如:内部服务器1,访问服务器2
spring:
  security:
    user:
      name: test  # 通过配置文件,设置静态用户名
      password: test # 配置文件,设置静态登录密码

UserDetailsService详解

什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过「自定义逻辑控制认证逻辑」 。如果需要自定义逻辑时,只需要实现UserDetailsService接口

@Component
public class UserSecurity implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {

        User user = userService.login(userName);
        System.out.println(user);
        if (null==user){
            throw new UsernameNotFoundException("用户名错误");
        }
        org.springframework.security.core.userdetails.User result =
                new org.springframework.security.core.userdetails.User(
                        userName,user.getPassword(), AuthorityUtils.createAuthorityList()
                );
        return result;
    }

}

PasswordEncoder密码解析器详解

PasswordEncoder

「PasswordEncoder」 是SpringSecurity 的密码解析器,用户密码校验、加密 。自定义登录逻辑时要求必须给容器注入PaswordEncoder的bean对象

SpringSecurity 定义了很多实现接口「PasswordEncoder」 满足我们密码加密、密码校验 使用需求。

PasswordEncoder密码解析器详解

自定义密码解析器

  1. 编写类,实现PasswordEncoder 接口

/**
 * 凭证匹配器,用于做认证流程的凭证校验使用的类型
 * 其中有2个核心方法
 * 1. encode - 把明文密码,加密成密文密码
 * 2. matches - 校验明文和密文是否匹配
 * */
public class MyMD5PasswordEncoder implements PasswordEncoder {

    /**
     * 加密
     * @param charSequence  明文字符串
     * @return
     */
    @Override
    public String encode(CharSequence charSequence) {
        try {
            MessageDigest digest = MessageDigest.getInstance("MD5");
            return toHexString(digest.digest(charSequence.toString().getBytes()));
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return "";
        }
    }

    /**
     * 密码校验
     * @para
最低0.47元/天 解锁文章
肥肥技术宅
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
SpringSecurity详细解读与应用
CTZL123456的博客
06-19 606
执行完loadUserByUsername后会返回数据库的用户密码,此信息会经过PasswordEncode类,和用户输入的密码来进行校验,但是原生的PasswordEncode比较糟糕(略),所以我们在配置中修改一下PasswordEncode的校验方式,使用 BCrypt。通常,我们习惯于将原生的用户认证修改为基于数据库字段的(例如username和password)进行登录校验的业务逻辑,这就需要我们进入Secuirty的认证流程中,修改源代码来解决。二、代码实现-用户认证。
spring-security安全框架(超精细版附流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3451
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 686
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证和授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
Spring Security
热门推荐
qq_42953529的博客
07-18 2万+
Spring Security 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面 向切面...
SpringSecurity最全实战讲解
roykingw的专栏
09-28 3179
文章目录Spring Security 专题一、基本概念认证授权会话RBAC模型二、一个自己实现的权限模型 BasicAuth:三、SpringBoot Security 快速上手1、项目搭建步骤2、用SpringBoot Security重新实现我们上个应用的认证和授权逻辑。3、项目测试4、了解SpringBoot Security项目的扩展点四、SpringBoot Security工作原理1、 结构总览2、认证流程2.1 AuthenticationProvider接口:认证处理器2.2 Authen
Spring Security实战
m0_64702880的博客
05-08 745
配置环境: 第一步:在health_parent父工程的pom.xml中导入Spring Security的maven坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring.security.version}</ver
一文你读懂计算机视觉
01-27
最近,我已经阅读了很多与计算机视觉相关的资料并做了大量实验,这里介绍了在该领域学习和使用过程中有意思的内容。近年来,计算机视觉取得了很大进展。...选择什么,关键是GPU集成视觉的UI应用程序:ownphotos应用:...
一文搞懂Spring MVC和servlet(面试必备)
12-21
在IDEA中,可以使用Spring Initializr快速生成一个Spring MVC基础结构的新项目。 总的来说,Spring MVC通过提供更高级别的抽象和自动化,使得Web开发更加高效和简洁。了解Spring MVC与Servlet的区别,掌握其...
一文搞懂Java动态代理
01-21
在说动态代理之前,先来简单看下代理模式。代理是最基本的设计模式之一。它能够插入一个用来替代“实际”对象的“代理”对象,来提供额外的或不同的操作。这些操作通常涉及与“实际”对象的通信,因此“代理”对象...
一文你读懂Mysql和InnoDB存储引擎
02-24
作为一名开发人员,在日常的工作中会难以避免地接触到数据库,无论是基于文件的sqlite还是工程上使用非常广泛的MySQL、PostgreSQL,但是一直以来也没有对数据库有一个非常清晰并且成体系的认知,所以最近两个月的...
springsecurity实战(一)
qq_19126341的博客
04-16 303
前言 一个良好的认证服务应该同时支持以下几点: 同时支持多种认证方式 同时支持多种前端渠道 支持集群环境,跨应用工作,防护与身份认证相关的攻击 完成这样的工作不难,如何写出可重用可扩展的代码来,可能就需要多花一些心思。下面就给我一起实战起来吧。 项目搭建 工程结构 jy-security 该工程是一个聚合工程.在该工程中我们先引入spirng io platform和spring clo...
[Springsecurity]springsecurity 基础实战
green hand的博客
06-02 403
spring security入门实战,描述了基本组件。spring security基于spring Aop原理开发的一个认证鉴权组件。
Spring Security】 入门实战
m0_46638350的博客
04-17 400
这是因为,你在pom.xml中导入了依赖包,等于告诉maven要导入Spring Security依赖,但是不等于已经导入了Spring Securtiy,因为maven可能还没来得及导入,你就已经启动项目了。但是有时候导入依赖之后访问页面,也没有跳转到指定验证页面,这就是Spring Security没有生效。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。
Spring Security:保护Spring应用程序的最佳实践
qq_28245087的博客
06-27 666
Spring Security过滤器链是一系列过滤器的集合,用于在Web应用程序中执行安全性检查。每个过滤器都负责执行不同的安全性任务,例如身份验证、授权、注销等。过滤器链的顺序很重要,因为每个过滤器都依赖于前一个过滤器执行的结果。Spring Security的过滤器链是基于Servlet Filter的,它通过FilterChainProxy将多个过滤器链接在一起。FilterChainProxy是一个特殊的过滤器,它将请求传递给一系列过滤器,并在适当的时候停止传递请求。} }
Spring Security 实战 - 表单认证
blurooo的博客
09-01 574
在上一节中,我们初步引入了Spring Security,并使用了其默认生效的HTTP Basic认证形式保护url资源,本节我们将尝试使用表单认证来达到同样的目的。 说明 本章节摘自《Spring Security 实战》第二章 - 表单认证,更多内容请购书学习。 目前已经上线京东,首批仅需6.8折,猛搓购买:京东 -《Spring Security 实战》 默认表单认证 首先新建一个conf...
SpringSecurity实战使用
lakershero的博客
05-20 243
一、依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、创建Spring Security Java 配置类 @Configuration public cla
Spring Security 最佳实践,看了必懂!
m0_71777195的博客
09-07 386
编写类,实现PasswordEncoder 接口/*** 凭证匹配器,用于做认证流程的凭证校验使用的类型* 其中有2个核心方法* 1. encode - 把明文密码,加密成密文密码* 2. matches - 校验明文和密文是否匹配* *//*** 加密* @param charSequence 明文字符串* @return*/@Overridetry {return "";}}/*** 密码校验* @param charSequence 明文,页面收集密码。
一文读懂 spring bean 生命周期
10-08
Spring Bean 的生命周期是指在 Spring 容器中创建和管理一个 Bean 的整个过程。对于 singleton bean,它的生命周期可以分为以下几个阶段: 1. 实例化(Instantiation):在这个阶段,Spring 会根据配置信息实例化一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值