spring security 超详细使用教程(接入springboot、前后端分离)

最新推荐文章于 2025-04-08 20:11:46 发布
最新推荐文章于 2025-04-08 20:11:46 发布
阅读量1.6k 收藏 18
点赞数 14
文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74823658/article/details/144774115
版权

Spring Security 是一个强大且可扩展的框架,用于保护 Java 应用程序,尤其是基于 Spring 的应用。它提供了身份验证(验证用户身份)、授权(管理用户权限)和防护机制(如 CSRF 保护和防止会话劫持)等功能。

Spring Security 允许开发者通过灵活的配置实现安全控制,确保应用程序的数据和资源安全。通过与其他 Spring 生态系统的无缝集成,Spring Security 成为构建安全应用的理想选择。

核心概念

  • 身份验证 (Authentication): 验证用户的身份(例如,用户名/密码)。
  • 授权 (Authorization): 确定用户是否有权限访问特定资源。
  • 安全上下文 (Security Context): 存储已认证用户的详细信息,应用程序中可以访问。

1、准备工作

1.1 引入依赖

当我们引入 security 依赖后,访问需要授权的 url 时,会重定向到 login 页面(security 自己创建的),login 页面需要账号密码,账号默认是 user, 密码是随机的字符串,在spring项目的输出信息中

  • spring-boot-starter-security
    在这里插入图片描述

    <!-- https://mvnrepository.com/artifact/org.springframework.boot/spring-boot-starter-security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
    <version>3.3.4</version>
</dependency>

  • jjwt-api
    在这里插入图片描述

    <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-api -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-api</artifactId>
    <version>0.12.6</version>
</dependency>

  • jjwt-impl
    在这里插入图片描述

    <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-impl -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-impl</artifactId>
    <version>0.12.6</version>
    <scope>runtime</scope>
</dependency>

  • jjwt-jackson
    在这里插入图片描述

    <!-- https://mvnrepository.com/artifact/io.jsonwebtoken/jjwt-jackson -->
<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt-jackson</artifactId>
    <version>0.12.6</version>
    <scope>runtime</scope>
</dependency>

一般我们会创建一个 SecurityConfig 类,来管理我们所有与 security 相关的配置。(我们讲的是 security 5.7 版本之后的配置方法,之前的方法跟现在不太一样)

@Configuration
@EnableWebSecurity		// 该注解启用 Spring Security 的 web 安全功能。
public class SecurityConfig {

}

下面的都要写到 SecurityConfig 类中

1.2 用户认证的配置

基于内存的用户认证

通过 createUser , manager 把用户配置的账号密码添加到spring的内存中, InMemoryUserDetailsManager 类中有一个 loadUserByUsername 的方法通过账号(username)从内存中获取我们配置的账号密码,之后调用其他方法来判断前端用户输入的密码和内存中的密码是否匹配。

@Bean
public UserDetailsService userDetailsService() {
	// 创建基于内存的用户信息管理器
    InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();

	
    manager.createUser(
	    // 创建UserDetails对象,用于管理用户名、用户密码、用户角色、用户权限等内容
	    User.withDefaultPasswordEncoder().username("user").password("user123").roles("USER").build()
    ); 		
    // 如果自己配置的有账号密码, 那么上面讲的 user 和 随机字符串 的默认密码就不能用了
    return manager;
}

当我们点进 InMemoryUserDetailsManager 中 可以发现它实现了 UserDetailsManagerUserDetailsPasswordService 接口,其中 UserDetailsManager 接口继承的 UserDetailsService 接口中就有 loadUserByUsername 方法

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

基于数据库的用户认证

上面讲到,spring security 是通过 loadUserByUsername 方法来获取 User 并用这个 User 来判断用户输入的密码是否正确。所以我们只需要继承 UserDetailsService 接口并重写 loadUserByUsername 方法即可

下面的样例我用的 mybatis-plus 来查询数据库中的 user, 然后通过当前查询到的 user 返回特定的 UserDetails 对象

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        QueryWrapper<User> queryWrapper = new QueryWrapper<User>();
        queryWrapper.eq("username", username);	// 这里不止可以用username,你可以自定义,主要根据你自己写的查询逻辑
        User user = userMapper.selectOne(queryWrapper);
        if (user == null) {
            throw new UsernameNotFoundException(username);
        }
        return new UserDetailsImpl(user);	// UserDetailsImpl 是我们实现的类
    }
}

UserDetailsImpl 是实现了 UserDetails 接口的类。UserDetails 接口是 Spring Security 身份验证机制的基础,通过实现该接口,开发者可以定义自己的用户模型,并提供用户相关的信息,以便进行身份验证和权限检查。

@Data
@AllArgsConstructor
@NoArgsConstructor	// 这三个注解可以帮我们自动生成 get、set、有参、无参构造函数
public class UserDetailsImpl implements UserDetails {

    private User user;	// 通过有参构造函数填充赋值的

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return List.of();
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {  // 检查账户是否 没过期。
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {   // 检查账户是否 没有被锁定。
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {  //检查凭据(密码)是否 没过期。
        return true;
    }

    @Override
    public boolean isEnabled() {    // 检查账户是否启用。
        return true;
    }
    
    // 这个方法是 @Data注解 会自动帮我们生成,用来获取 loadUserByUsername 中最后我们返回的创建UserDetailsImpl对象时传入的User。
    // 如果你的字段包含 username和password 的话可以用强制类型转换, 把 UserDetailsImpl 转换成 User。如果不能强制类型转换的话就需要用到这个方法了
	public User getUser() {	
	        return user;	
	    }
	}
1.3 基本的配置

下面这个是 security 的默认配置。我们可以修改并把它加到spring容器中,完成我们特定的需求。

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
            // 开启授权保护
            .authorizeHttpRequests(authorize -> authorize
                    // 不需要认证的地址有哪些
                    .requestMatchers("/blog/**", "/public/**", "/about").permitAll()	// ** 通配符
                    // 对所有请求开启授权保护
                    .anyReque
最低0.47元/天 解锁文章
m0_74823658
关注
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
SpringSecurity前后端分离
热门推荐
X_lsod的博客
02-13 2万+
SpringSecurity前后端分离 一、认证流程讲解 1、原始认证流程 原始认证流程通常会配合Session一起使用,但前后端分离后就用不到Session了 SpringSecurity默认的认证流程如下图(该图是B站UP主“三更草堂”讲SpringSecurity课程的图) DaoAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider抽象类,而AbstractUserDetailsAuthenticationProvi
spring-security 权限控制教程
最新发布
weixin_65403042的博客
04-08 1244
springSecurity 中指定登陆和失败的页面;这里需要注意一点, 重写后,必须有自己的controller 来进行接受第一次的login 请求;否则会报重定向异常(和security 内部的跳转逻辑有关);但是如果不进行重写, 其内部会有自己的控制器来进行拦截。这里的路径要和下面配置的config的 访问和允许资源一致// 对应 templates/login.html (如果使用模板引擎)// 如果使用静态页面,则不需要此方法// 对应 templates/main.html。
Spring Security教程
qq_28248897的博客
08-31 4352
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
SpringBoot_整合SpringSecurity前后端分离版)
骑大马挎大刀
02-27 5066
SpringBoot-06-Security(前后端分离)
m0_74353020的博客
06-03 1911
当然我们每次都会先走一下我们的自己定义的过滤器,我们当时写的是如果都身份令牌没有问题,并且能在redis中查询到,就存放到Security上下文当中,但是我们只是存放了用户名密码,并没有存放身份,这里我们存放一下我们的身份信息//我们的token是存放在请求头中的if(!StringUtils.hasText(token)){//请求头没有就放行return;//解析tokentry{throw new RuntimeException("token非法");//从redis中获取。
springboot springsecurity接入cas单点登录,前后端分离
weixin_47914635的博客
02-25 5387
springsecurity接入cas单点登录并支持切换认证方式
Spring Security使用指南
专注于openwengo以及相关技术
07-24 291
Spring Security使用指南 原作者: Ben Alex, Luke Taylor 译者: Kingoal Lee (http://kingoal.iteye.com) 前言 Spring Security为基于J2EE的企业级软件应用程序提供全面的安全解决方案。通过本使用指南,我们将为你提供一个有用并且高度可配置的安全系统。 安全是一个不断变化的目标,因此追求一个全面的系统地...
Spring Security使用
weixin_42679286的博客
12-01 1670
*** 提供给 security 的用户信息的 service,要复写 loadUserByUsername 方法返回数据库中的用户信息*/@Service@Autoware/*** 加载数据库中的认证的用户的信息:用户名、密码、用户的权限列表* 通过username查询用户的信息,(密码,权限列表等)封装成 UserDetails 返回,交给 security。*/@Overridethrow new UsernameNotFoundException("无效的用户名");
基于SpringBoot实现SpringSecurity前后分离
小左的博客
01-10 1269
使用springSecurity已经有一段时间了,但是每次用还是感觉很茫然…这次我要把每个实现细节都记录一下。 **带着问题找答案,先把问题记录一下,如果这些问题你也和我一样茫然,那希望后续能帮助到你~ ** 前后端分离如何自定义自己的请求路径~ 如何返回JSON格式数据 如何配置权限码来实现权限控制 以上的这些问题想必你也遇到了吧。 ##自定义表单 SpringSecurity是基于一系列...
SpringSecurity基础教程
我有故人折剑去,斩尽春风不曾归
03-22 1301
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。​ 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
SpringSecurity使用
zuochangping的博客
11-01 1883
SpringSecurity使用,运行原理及源码的查看,还有在不同场景的应用
SpringSecurity使用
weixin_46359814的博客
11-11 272
两个重要的接口 1、UserDetailsService接口: 查询数据库用户名和密码过程。 创建类继承UsernamePasswordAuthenticationFilter,重写三个方法 创建类实现UserDetailsService,编写查询数据过程,返回User对象,这个User对象是安全框架提供的对象 2、PasswordEncoder接口 :用于数据加密接口,返回User对象里面密码加密 web权限方案 (1)认证 (2)授权 设置登录的用户名和密码 第一种方式:通过配置文件 第二种方式:通过配
Spring Security教程()
码猿同学
01-02 3832
在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项目对用户信息和权限信息管理的要求。那么接下来就讲解如何自定义数据库实现对用户信息和权限信息的管理。 一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改。这里只要新建三
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 1321
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
springboot security的配置 前后端分离类型
02-26
### 配置Spring Boot Security实现前后端分离 为了确保安全,在采用前后端分离架构的应用程序中,后端服务通常通过API接口提供数据给前端应用。在这种情况下,配置Spring Boot Security来保护这些API变得至关重要。 #### 启用HTTP基本认证 一种简单的方式是启用HTTP Basic Authentication,这可以通过自定义`SecurityConfig`类并重写其`configure(HttpSecurity http)`方法来完成: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() // 禁用CSRF防护因为这是RESTful API .authorizeRequests() .antMatchers("/api/public/**").permitAll() // 公开资源路径允许所有人访问 .anyRequest().authenticated(); // 所有其他请求都需要身份验证 http.httpBasic(); } } ``` 上述代码片段展示了如何禁用跨站请求伪造(CSRF)[^1],这是因为对于纯API服务器而言,默认的CSRF防御机制并不适用;同时也指定了哪些URL模式可以被公开访问而无需登录凭证验证[^2]。 #### 使用JWT令牌进行状态无会话管理 更推荐的做法是在前后端完全解耦的情况下利用JSON Web Token (JWT) 来代替传统的Session方式处理用户的身份验证与授权问题。这种方式下客户端每次发起请求时都携带Token作为参数传递给服务器端校验合法性。 创建一个过滤器用于解析来自Header中的token信息,并将其转换成Authentication对象放入SecurityContextHolder上下文中: ```java @Component public class JwtRequestFilter extends OncePerRequestFilter { private final UserService userService; private final JwtUtil jwtUtil; public JwtRequestFilter(UserService userService, JwtUtil jwtUtil){ this.userService = userService; this.jwtUtil = jwtUtil; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { final String authorizationHeader = request.getHeader("Authorization"); String username = null; String jwt = null; if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) { jwt = authorizationHeader.substring(7); try{ username = jwtUtil.extractUsername(jwt); }catch(Exception e){ logger.error(e.getMessage()); } if(username!=null&& SecurityContextHolder.getContext().getAuthentication()==null){ UserDetails userDetails = this.userService.loadUserByUsername(username); if (jwtUtil.validateToken(jwt,userDetails)) { UsernamePasswordAuthenticationToken authToken = new UsernamePasswordAuthenticationToken( userDetails,null,userDetails.getAuthorities()); authToken.setDetails(new WebAuthenticationDetailsSource(). buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authToken); } } } chain.doFilter(request,response); } } ``` 此部分逻辑负责从HTTP头获取JWT字符串,并调用辅助工具类JwtUtil的方法提取其中包含的有效载荷(payload),进而加载对应用户的权限详情填充到当前线程的安全上下文环境中去[^3]。 最后一步就是调整原有的`SecurityConfig.java`,使之能够注册这个新的过滤组件以及适应于基于Token的身份验证流程: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/authenticate","/register").permitAll() .anyRequest().authenticated() .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS)// 不创建Http Session .and() .addFilterBefore(new JwtRequestFilter(userDetailsService,jwtUtil), UsernamePasswordAuthenticationFilter.class); } ``` 这里特别注意设置了`STATELESS`策略表示不会依赖任何存在于服务器内存里的会话跟踪记录,而是每次都依靠传入的Token来进行独立判断[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值