SpringSecurity

最新推荐文章于 2024-07-22 22:58:19 发布
最新推荐文章于 2024-07-22 22:58:19 发布
阅读量931 收藏 8
点赞数 23
文章标签: java spring boot 安全架构
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73631543/article/details/139813961
版权

SpringSecurity 安全框架

是基于Spring的安全管理框架 ,为系统提供声明式安全访问框架功能

安全管理框架两个重要概念 分别是Authentication(认证) 和Authorization(授权)

核心功能:

用户认证

用户授权

攻击防护

创建第一个SpringSecurity项目:

导入依赖

    <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

导入依赖后0配置已经有安全框架作用

Using generated security password: 2145465d-8915-4275-835b-1b5f56378bbf

控制台会有密码 账号为user 登录后才能访问资源

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

2.退出

/loginout

3.自定义密码和账户

spring:
  security:
    user:
      name: ry
      password: 123456

自定义用户认证:

1.基于数据库编写数据访问层代码

2.配置密码解析器组件(passwordEncoder)

基础PasswordEncoder


/**
 * @author 冉毓
 */
@Configuration
public class MyPasswordEncoder implements PasswordEncoder {
    /**
     * 对密码进行加密
     * @param rawPassword
     * @return 返回加密的密码
     */
    @Override
    public String encode(CharSequence rawPassword) {
        return rawPassword.toString();
    }

    /**
     *  对密码进行校验
     * @param rawPassword 原始密码
     * @param encodedPassword 数据库已加密的密码
     * @return 校验结果
     */

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return encode(rawPassword).equals(encodedPassword);
    }
}

3.配置用户登录服务组件(UserDetil)

package com.example.springsecurityleanpart1.service.impl;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.example.springsecurityleanpart1.entity.User;
import com.example.springsecurityleanpart1.mapper.UserMapper;
import jakarta.annotation.Resource;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

/**
 * @author 冉毓
 */

@Service
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserMapper userMapper;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名查询用户信息

        LambdaQueryWrapper<User> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(User::getUsername,username);
        User user = userMapper.selectOne(wrapper);

        System.out.println("查询-------------------------");
        //如果用户为null 抛出异常
        if (user == null){
            throw new UsernameNotFoundException("用户不存在");
        }
        //如果用户不为null 返回用户信息
        //返回的是子类 User 
        org.springframework.security.core.userdetails.User userDetails =
                new org.springframework.security.core.userdetails.User
                        (user.getUsername(),
                            user.getPassword(),
                                //不需要验证 工具类
                                AuthorityUtils.NO_AUTHORITIES);


        return userDetails;
    }
}

4.自定义用户认证测试

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

认证安全强化:

1.用户表密码加密

2.密码加密器:

BCryptPasswordEncoder 是实现了PasswordEncoder接口

采用了哈希算法SHA-256 + 随机盐 +密钥

package com.example.springsecurityleanpart1.config;

import com.example.springsecurityleanpart1.service.impl.MyUserDetailsService;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author 冉毓
 */
@Configuration
public class SecurityConfig {

    /**
     *使用子类加密方式
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public MyUserDetailsService myUserDetailsService(){
        return new MyUserDetailsService();
    }

}

自定义登录页面:

1.配置SecurityFilterChain 过滤链 放入容器中
2.具体配置
1.登录验证
        //用户认证
        http.formLogin(config->{
            //自定义登录页面
            config.loginPage("/user/login")
                   //登录处理器的映射地址
                   .loginProcessingUrl("/user/login")
                   //登录成功后跳转
                   .defaultSuccessUrl("/main")
                   .failureUrl("/loginFail");
                   //自定义用户名密码参数
                   // .usernameParameter("uname")
                   // .passwordParameter("pwd");
        });
2.退出验证
//退出 登录配置
        http.logout(config->{
            config.logoutUrl("/user/logout");
                    // .logoutSuccessUrl("/user/login");
        });
3.配置CSRF防御(不使用token)
http.csrf(configuration->{
            configuration.disable();
        });

完整代码:

@Configuration
public class SecurityConfig {

    /**
     *使用子类加密方式
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public UserDetailsService myUserDetailsService(){
        return new MyUserDetailsService();
    }


    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        //用户认证
        http.formLogin(config->{
            //自定义登录页面
            config.loginPage("/user/login")
                   //登录处理器的映射地址
                   .loginProcessingUrl("/user/login")
                   //登录成功后跳转
                   .defaultSuccessUrl("/main")
                   .failureUrl("/loginFail");
                   //自定义用户名密码参数
                   // .usernameParameter("uname")
                   // .passwordParameter("pwd");
        });



        //退出 登录配置
        http.logout(config->{
            config.logoutUrl("/user/logout");
                    // .logoutSuccessUrl("/user/login");
        });



        //参数配置用户认证和授权

        http.authorizeHttpRequests(registry->{
            //配置放行路径
            registry
                    .requestMatchers("/login","/user/login","/css/**","/img/**","/loginFail").permitAll()

                //对于系统中其他资源 需要认证
                    .anyRequest().authenticated();
        });



        http.csrf(configuration->{
            configuration.disable();
        });
        return http.build();

    }



}

注意!!!!

    //登录成功后跳转 但默认跳转之前访问的地址?contine
                   // .defaultSuccessUrl("/main")
                    //强制定向所登录页面
                    .successForwardUrl("/main")

资源权限认证

基于配置类
1.配置类中对资源加权限

        http.authorizeHttpRequests(registry->{
            //配置放行路径
            registry
                    .requestMatchers("/login","/user/login","/css/**","/img/**","/loginFail").permitAll()
                //对于系统中其他资源 需要认证
                    .anyRequest().authenticated()
                    .requestMatchers("/order/manage").hasAuthority("订单管理")
                    .requestMatchers("/user/manage").hasAuthority("用户管理")
                    .requestMatchers("/shop/manage").hasAuthority("商品管理")
                    .requestMatchers("").hasAnyAuthority("订单管理","用户管理","商品管理");
        });

hasAnyAuthority可以指定多个权限

2.给用户赋权
UserDetailsService 组件中加权

    //模拟加权
        List<String> authorities = new ArrayList<>();
        authorities.add("订单管理");
        authorities.add("商品管理");
        //如果用户不为null 返回用户信息
        //返回的是子类 User
        org.springframework.security.core.userdetails.User userDetails =
                new org.springframework.security.core.userdetails.User
                        (user.getUsername(),
                            user.getPassword(),
                                //加权
                                AuthorityUtils.createAuthorityList(authorities));
3.基于角色
  http.authorizeHttpRequests(registry->{
            //配置放行路径
            registry
                    .requestMatchers("/login","/user/login","/css/**","/img/**","/loginFail").permitAll()
                //对于系统中其他资源 需要认证

               
                    .requestMatchers("/order/manage").hasRole("manage")
                    .anyRequest().authenticated()
                   ;
        });

hasRole 加角色

 //模拟加权
 // List<String> authorities = new ArrayList<>();
 // authorities.add("订单管理");
 // authorities.add("商品管理");
 //从数据库查询权限
 List<String> authorities = permissionMapper.selectListByUid(user.getUid());

// 从数据库查角色
 List<String> strings = roleMapper.selectListByUid(user.getUid());
 for(String roles : strings){
     authorities.add("ROLE_"+roles);
 }
 //如果用户不为null 返回用户信息
 //返回的是子类 User
 org.springframework.security.core.userdetails.User userDetails =
         new org.springframework.security.core.userdetails.User
                 (user.getUsername(),
                     user.getPassword(),
                         //加权
                         AuthorityUtils.createAuthorityList(authorities));


 return userDetails;

注:!!!这里 需要加 authorities.add(“ROLE_”+roles);才是加角色

否则只是加权限

基于注解:

@EnableMethodSecurity 注解 开启基于注解方式

 @RequestMapping("/order/manage")
        @ResponseBody
        @PreAuthorize("hasAnyRole('vip')")
        public String orderManage(){
            return "商城订单管理功能";
        }

在 @PreAuthorize注解中使用同配置类加权 在接口上

扩展:

无权限跳转页面:

配置类中

//权限认证失败 跳转页面
http.exceptionHandling(config->{
    config.accessDeniedPage("/user/noAuth");
});

网页记录功能:

1.开启springsecurity中 记住我功能

      //开启记住我功能
        http.rememberMe(config->{
            // 有效时间
            config.tokenValiditySeconds(360000)
                    .rememberMeParameter("remember");

        });

2.在复选框中的name设置为remember

 <div class="checkbox mb-3">
        <label>
            <input type="checkbox" name="remember"> 记住我
        </label>
    </div>

Security整合Thymeleaf

<dependency>
      <groupId>org.thymeleaf.extras</groupId>
      <artifactId>thymeleaf-extras-springsecurity6</artifactId>
</dependency>

命名空间:

<html xmlns="http://www.w3.org/1999/xhtml"
	  xmlns:th="http://www.thymeleaf.org"
	  xmlns:sec="http://www.thymeleaf.org/extras/spring-security">

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
	  xmlns:th="http://www.thymeleaf.org"
	  xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>好货商城</title>
</head>
<body>
<h1 align="center">欢迎进入好货商城管理后台<span style="padding-left: 50px;font-size: 20px">
	<label sec:authentication="principal.username"></label>&nbsp;&nbsp;<a href="/user/logout">退出登录</a>
</span></h1>
<hr>
<div sec:authorize="hasRole('common')">
	<h3>普通用户</h3>
	<ul>
		<li><a href="/order/manage">订单管理</a></li>
	</ul>
</div>
<div sec:authorize="hasRole('vip')">
	<h3>VIP用户</h3>
	<ul>
		<li><a href="/order/manage">订单管理</a></li>
		<li><a href="/shop/manage">店铺管理</a></li>
	</ul>
</div>
<div sec:authorize="hasRole('manager')">
	<h3>管理员</h3>
	<ul>
		<li><a href="/order/manage">订单管理</a></li>
		<li><a href="/shop/manage">店铺管理</a></li>
		<li><a href="/user/manage">系统用户管理</a></li>
	</ul>
</div>
</body>
</html>

sec:authentication可以的到用户的信息和权限

sec:authorize可以根据用户权限判断

获取认证用户信息:

1.通过控制器HttpSession

   @RequestMapping(value = "/user")
    public String userManage(HttpSession session)
    {
        //获取security上下文
        SecurityContext springSecurityContext = (SecurityContext) session.getAttribute("SPRING_SECURITY_CONTEXT");
        UserDetails userDetails = (UserDetails) springSecurityContext.getAuthentication().getPrincipal();
            userDetails.getUsername();
        return "userManage";
    }

2.通过SecurityContextHolder

   @RequestMapping(value = "/user")
    public String userManage(Authentication authentication)
    {
        SecurityContext context = SecurityContextHolder.getContext();
        Authentication contextAuthentication = context.getAuthentication();
        UserDetails userDetails = (UserDetails) contextAuthentication.getPrincipal();

        System.out.println(userDetails.getUsername());
        return "userManage";
    }

3.Authentication 对象

    @RequestMapping(value = "/user")
    public String userManage(Authentication authentication)
    {
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
        System.out.println(userDetails.getUsername());
        return "userManage";
    }

CSRF

Cross-site request forgery:跨域请求伪造

1.HTTP Referer记录了该HTTP请求的来源地址。

2.验证码

3.CSRF Token令牌(Spring Security)

(1)用户登录后生成Token,放在用户的Session中

(2)在页面表单中附上Token参数

(3)用户发送请求都需要携带这个Token参数

Security中CSRF防护:

默认开启CSRF项目中所有POST PUT DELETE都会被拦截 需要携带Token参数

//注意修改之前的代码 注释掉以下
        // http.csrf(configuration->{
        //     configuration.disable();
        // });

方法一

表单加隐藏域

<input type="hidden" th:name="${_csrf.parameterName}" 	th:value="${_csrf.token}"/>

表单中使用th:action

<form class="form-signin" method="post" th:action="@{/user/login}">

但是!!!!! 退出登录需要改为Post请求
:跨域请求伪造

1.HTTP Referer记录了该HTTP请求的来源地址。

2.验证码

3.CSRF Token令牌(Spring Security)

(1)用户登录后生成Token,放在用户的Session中

(2)在页面表单中附上Token参数

(3)用户发送请求都需要携带这个Token参数

Security中CSRF防护:

默认开启CSRF项目中所有POST PUT DELETE都会被拦截 需要携带Token参数

//注意修改之前的代码 注释掉以下
        // http.csrf(configuration->{
        //     configuration.disable();
        // });

方法一

表单加隐藏域

<input type="hidden" th:name="${_csrf.parameterName}" 	th:value="${_csrf.token}"/>

表单中使用th:action

<form class="form-signin" method="post" th:action="@{/user/login}">

但是!!!!! 退出登录需要改为Post请求

库里库里库里
关注
  • 23
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
热门推荐
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security
qq_45429856的博客
11-22 3766
Spring Security简介 Spring Security是一个高度自定义的安全框架。利用Spring IOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作 spring security 的核心功能主要包括: 认证 (系统认证用户是否登录) 授权 (系统判断用户是否有权限去做某些事情) 攻击防护 (防止伪造身份) Spring Security项目搭建 一:导入依赖 <!--导入spring security依赖-->
SpringSecurity认证
小钟不想敲代码
05-28 5204
SpringSecurity认证
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springSecurity
10-14
springSecurity
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 586
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP中有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目中,Hibernate仅仅只是完成项目中的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架中就提供的有Hibernate模板对象。一个常规的、频繁的操作代码中,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Java内存模型
weixin_44267758的博客
07-19 707
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 683
Promise 是一种异步编程的解决方案。在异步操作中,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1221
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发中,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1233
JVM-垃圾回收与内存分配
Java算法】前缀和 下
2302_79806056的博客
07-18 1104
这段代码实现了一个寻找数组中具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
淘客返利系统中的服务发现与注册机制详解
技术研究中心
07-22 1071
通过服务注册中心,服务提供者可以将自己注册到注册中心,服务消费者可以从注册中心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统中服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统中各个服务之间的通信。在本文中,我们将深入探讨淘客返利系统中的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统中,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统中,首先需要配置Eureka服务器。
Java实现拼图小游戏
最新发布
Aishangyuwen的博客
07-22 818
Java实现拼图小游戏
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 751
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值