Spring Security

最新推荐文章于 2024-10-14 20:53:59 发布
最新推荐文章于 2024-10-14 20:53:59 发布
阅读量974 收藏 29
点赞数 29
文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73500209/article/details/136467770
版权
本文介绍了如何将SpringSecurity从传统的前后端混合模式改造为前后端分离架构,通过替换默认的实现,使得所有交互均通过JSON返回,包括登录、登出、错误处理等,并详细展示了关键扩展点的重写过程。
摘要由CSDN通过智能技术生成

Spring Security 现状
我们在 SpringSecurity入门篇,快速搭建一个安全Web服务 已经搭建了一个基本的示例。其中的关键的流程如下:

当未登录用户访问项目时,会重定向到登录页(/login)。
登录成功后,会重定向到首页(也就是 / 路径)。
登录失败的话,会重定向到登录页。
登出后,会重定向到登录页。
登录后,鉴权失败(访问权限不足)时,会返回403响应。
可以看出来,这妥妥的很不’前后端分离’,后端还会返回html页面并且各种重定向。好在 Spring Security 扩展性足够好,支持替换默认的实现,下文便来掰扯掰扯。

Spring Security 前后端分离改造
前后端分离的要点就是,后端的响应统一通过 JSON 格式返回,而不是html或者重定向。 基于这个出发点,我们将替换原有的实现类。

定义统一的响应格式
改造的第一点,则是定义一个统一的响应格式:

统一的响应格式
@Data
@Accessors(chain = true)
public class RestResult<T> {

    private int code;
    private T data;
    private String msg;

    private RestResult() {
    }

    public static RestResult success() {
        return new RestResult().setCode(200);
    }

    public static RestResult success(Object data) {
        return success().setData(data);
    }

    public static RestResult error() {
        return new RestResult().setCode(500);
    }

    public static RestResult error(String errMsg) {
        return error().setMsg(errMsg);
    }

    public static RestResult error(int code, String errMsg) {
        return new RestResult().setCode(code).setMsg(errMsg);
    }

    public static RestResult error(Exception ex) {
        return error(ex.getMessage());
    }

    public String toJsonString() {
        return JsonUtils.toJsonString(this);
    }

}


重写默认实现,并替换(重点)
涉及到的扩展点:

登录成功处理:AuthenticationSuccessHandler
登录失败处理:AuthenticationFailureHandler
登出成功处理:LogoutSuccessHandler
未登录处理:AuthenticationEntryPoint
鉴权失败处理:AccessDeniedHandler
注意看代码中的注释,改造点对应上文中提到的原有流程的序号!

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()

                // 表单登录
                .formLogin()
                // 登录成功处理(对应流程2)
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.setContentType("application/json;charset=utf-8");
                        response.getWriter().write(RestResult.success().toJsonString());
                    }
                })
                // 登录失败处理(对应流程3)
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
                        response.setContentType("application/json;charset=utf-8");
                        response.getWriter().write(RestResult.error(exception).toJsonString());
                    }
                })
                .and()

                //登出
                .logout()
                //登出成功处理(对应流程4)
                .logoutSuccessHandler(new LogoutSuccessHandler() {
                    @Override
                    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                        response.setContentType("application/json;charset=utf-8");
                        response.getWriter().write(RestResult.success().toJsonString());
                    }
                })
                .and()

                //异常处理
                .exceptionHandling()
                //未登录处理(对应流程1)
                .authenticationEntryPoint(new AuthenticationEntryPoint() {
                    @Override
                    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
                        response.setContentType("application/json;charset=utf-8");
                        response.getWriter().write(RestResult.error(HttpServletResponse.SC_UNAUTHORIZED, "未登录").toJsonString());
                    }
                })
                //没有权限处理(对应流程5)
                .accessDeniedHandler(new AccessDeniedHandler() {
                    @Override
                    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
                        response.setContentType("application/json;charset=utf-8");
                        response.getWriter().write(RestResult.error(HttpServletResponse.SC_FORBIDDEN, "没有权限").toJsonString());
                    }
                })
                .and()
                .csrf().disable();
    }

}


测试
直接测试原有流程,看看效果如何:

未登录时访问接口

很好,达到我们目的了,改造后,它并不是重定向到登录页,而是通过json响应回来401。ok

登录失败

同样的以json格式响应。nice

登录成功

输入正确的帐号密码,登录成功,json响应200。perfect

登出

over over

另外
项目还是利用 cookie-session 机制维持会话状态。
统一响应格式利用code判断请求是否成功。(还有一种方式是利用 HTTP状态码)

以下是关于Spring Security的一些知识点:

1. 身份验证(Authentication):Spring Security提供了多种身份验证方式,包括基于用户名和密码的身份验证、LDAP身份验证、OAuth身份验证等。

2. 授权(Authorization):Spring Security支持基于角色和权限的授权机制。通过配置角色和权限,可以限制用户对资源的访问。

3. 访问控制(Access Control):Spring Security提供了多种访问控制的方式,包括基于URL的访问控制、基于方法级别的访问控制以及基于表达式的访问控制。

4. Remember Me功能:Spring Security支持"Remember Me"功能,允许用户在多个会话之间保持登录状态。

5. Session管理:Spring Security处理会话管理,包括会话固定保护、无效会话管理和并发会话控制。

6. CSRF保护:Spring Security内置了对跨站请求伪造(CSRF)进行保护的机制,防止利用网站与用户之间的信任来进行攻击。

7. 集成其他框架:Spring Security与其他Spring项目(如Spring MVC和Spring Boot)无缝集成,方便在应用程序中添加安全功能。

8. 定制化:Spring Security提供丰富的定制化选项,可以根据具体需求进行配置和扩展。

总之,Spring Security是一个功能强大且高度可定制的安全框架,适用于Java应用程序。它简化了在应用程序中实施强大安全措施的过程,为保护敏感数据和防止未经授权的访问提供了坚实的基础。

哆啦 V 梦
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
springcloud集成Spring Security
youxmm的博客
07-21 2608
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
SpringSecurity认证
小钟不想敲代码
05-28 5297
SpringSecurity认证
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6788
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
SpringBoot整合SpringSecurity(通俗易懂)
BookSea的博客
10-24 4万+
先看后赞,养成习惯。 点赞收藏,人生辉煌 基于数据库的身份认证 一、创建项目 创建一个 SpringBoot 模块项目,选择相关依赖: 先搭建项目正常访问,在pom.xml中,先把Spring Security依赖注释 <!--<dependency>--> <!--<groupId>org.springframework.boot</groupId>--> <!--<artifactId>spring-bo.
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
JAVA开源】基于Vue和SpringBoot的高校学科竞赛平台
杨荧的CSDN博客
10-10 1427
教师功能有个人中心,题目类型管理,竞赛题库管理,竞赛类型管理,竞赛信息管理,报名信息管理,竞赛评分管理,参赛名单管理,晋级名单管理,获奖名单管理,竞赛总结管理,报销清单管理,成绩申诉管理,参赛信息管理,参赛信息管理,往年成绩管理,获奖情况管理。
初学java练习题【1】
lxt135744的博客
10-10 306
【代码】初学java练习题【1】
确保Spring Boot定时任务只执行一次方案
最新发布
2301_76419561的博客
10-14 154
确保Spring Boot定时任务只执行一次有多种方法,你可以根据实际需求选择最适合的方法。如果你需要更复杂的任务调度或周期性执行,@Scheduled注解和接口是更合适的选择。而对于一次性的初始化任务或应用程序启动任务,注解和实现接口则更为简洁明了。
Netty 相比原生IO模型的优势
lssffy的博客
10-09 645
Java提供了多种I/O模型,每种模型都有其适用的场景和特点,随着网络应用需求的变化,I/O模型也在不断发展。阻塞I/O(BIO,Blocking I/O)传统的I/O模型,使用简单,但每次I/O操作都会阻塞线程。每个请求需要独立的线程来处理,这在并发请求较少时问题不大,但在高并发情况下,线程资源将成为瓶颈。非阻塞I/O(NIO,Non-Blocking I/O)引入了多路复用技术,一个线程可以处理多个连接,避免了BIO中每个连接占用一个线程的问题。通过Selector。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值