NoteBook / Spring Boot基础(6)

最新推荐文章于 2023-07-25 23:43:07 发布
最新推荐文章于 2023-07-25 23:43:07 发布
阅读量244 收藏
点赞数
分类专栏: 小白随手记 Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/piaoken5588/article/details/105351904
版权
  1. Spring Security概念
  2. Spring Boot对Spring Security的支持
  3. 企业Spring Security操作

Spring Security是一个强大且高度可定制的身份验证和访问控制框架

  • Spring Security概念

为基于Spring的企业应用系统提供安全访问控制解决方案的安全框架

安全框架主要包括2个操作:

认证:确认用户可以访问当前系统

授权:确定用户在当前系统中是否能够执行某个操作,即用户所拥有的功能权限

Spring Security包括多个模块:

核心模块(spring-security-core.jar):任何使用Spring Security的应用程序都需要这个模块

基于annotation注解来完成Spring Security的功能

  • Spring Boot对Spring Security的支持

(1)Security适配器

在Spring Boot中配置Spring Security非常简单,创建一个自定义类继承WebSecurityConfigurerAdapter,并在该类中使用@EnableWebSecurity注解,就可以通过重写config方法来配置所需要的安全配置

WebSecurityConfigurerAdapter是Spring Security为Web应用提供的一个适配器,提供了2个方法:

configure(HttpSecurity httpSecurity):定义哪些URL需要被保护,定义当需要用户登录时,跳转到的登录页面

configureGlobal(AuthenticationManagerBuilder auth):用于创建用户和用户的角色

(2)用户认证

通过在configureGlobal(AuthenticationManagerBuilder auth)完成用户认证的

使用AuthenticationManagerBuilder的inMemoryAuthentication()方法可以添加用户,并给用户指定权限:

auth.inMemoryAuthentication().withUser("fkit").password("123456").roles("ADMIN","DBA");

Spring Security保存用户权限时,默认使用“ROLE_”,也就是说,“ADMIN”实际上是“ROLE_ADMIN”

(3)用户授权

通过configure(HttpSecurity http)完成用户授权的

HttpSecurity的authorizeRequests()方法有多个子节点,指定用户可以访问的多个URL模式

http.authorizeRequests():开始请求权限匹配

anyRequest().authenticated():其余所有的请求都需要认证(用户登录)之后才可以访问

HttpSecurity还可以设置登录的行为:

formLogin():开始设置登录操作

loginPage("/login"):设置登录页面的访问地址

usernameParameter("loginName").passwordParameter("password"):登录时接收传递的参数"loginName"的值作为用户名,接收传递的参数"password"的值作为密码

exceptionHandling().accessDeniedPage("/accessDenied"):指定异常处理页面

(4)Spring Security核心类

Authentication:用户认证信息,Authentication对象

SecurityContextHolder:保存SecurityContext,含有当前所访问系统的用户的详细信息,获取当前登录用户的用户名:

String username = SecurityContextHolder.getContext().getAuthentication().getName();

UserDetails:定义了一些可以获取用户名、密码、权限等与认证相关的信息的方法,UserDetails是通过UserDetailsService的loadUserByUsername()方法进行加载的

UserDetailsService:Spring Security通过UserDetailsService的loadUserByUsername()方法获取对应的UserDetails进行认证,认证通过后会将该UserDetails赋给认证通过的Authentication的principal,然后再把该Authentication存入SecurityContext,之后如果需要使用用户信息,可以通过SecurityContextHolder获取存放在SecurityContext中的Authentication的principal

GrantedAuthority:Authentication的getAuthorities()可以返回当前Authentication对象拥有的权限,返回值是一个GrantedAuthority类型的数组,通常通过UserDetailsService进行加载,然后赋予UserDetails的

DaoAuthenticationProvider:默认使用DaoAuthenticationProvider实现AuthenticationProvider接口,专门进行用户认证的处理

PasswordEncoder:对密码加密,BCryptPasswordEncoder是较好的选择,可以由客户端指定加密的强度

(5)Spring Security的验证机制

Spring Security大体上是由一堆Filter实现的,Filter会在Spring MVC前拦截请求,Filter包括登出Filter、用户名密码验证Filter之类,Filter再交由其他组件完成细分的功能

(6)Spring Boot的支持

Spring Boot针对Spring Security提供了自动配置的功能

通过org.springframework.boot.autoconfigure.security包对Spring Security提供了自动配置的支持,主要通过SecurityAutoConfiguration和SecurityProperties两个类来完成

SecurityProperties类使用以“security”为前缀的属性配置Spring Security相关的配置

当需要自己扩展时,只需要自定义类继承WebSecurityConfigurerAdapter,无须再使用@EnableWebSecurity注解

Spring Boot自动注册Security的过滤器

Spring Boot Security示例:

1、修改pom.xml文件,引入依赖spring-boot-starter-security

2、html页面

3、Spring Security认证处理类:AppSecurityConfigurer.java,用于用户认证和授权操作

@Configuration

public class AppSecurityConfigurer extends WebSecurityConfigurerAdapter {……}

密码存储格式为:{id}encodedPassword,id是一个标识符,用于查找是哪个PasswordEncoder,encodedPassword是经过加密之后的密码,设置密码的示例代码如下:

auth.inMemoryAuthentication().withUser("fkit").password("{noop}123456").roles("USER");

Spring Security还提供了密码编辑器接口PasswordEncoder,自定义密码编辑器类必须实现PasswordEncoder接口

注入认证成功处理类:

AppAuthenticationSuccessHandler appAuthenticationSuccessHandler;

.successHandler(appAuthenticationSuccessHandler);

4、创建认证成功处理类:AppAuthenticationSuccessHandler.java,用于处理登录成功之后的操作

@Component

public class AppAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {......}

通过RedirectStrategy对象负责所有重定向任务

private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();

重写handle方法,方法中通过RedirectStrategy对象重定向到指定的URL

从Authentication对象中提取当前登录用户的角色,并根据其角色返回适当的URL

redirectStrategy.sendRedirect(request,response,targetUrl);

5、转发请求的控制器

@Controller

public class AppController {……}

注销:new SecurityContextLogoutHandler().logout(request,response,auth);

通过getUsername()方法获得当前认证用户的用户名,通过getAuthority()方法获得当前认证用户的权限,并设置到Model中

6、测试应用

Spring Boot项目启动后,就调用了AppSecurityConfigurer.java

  • 企业Spring Security操作

操作企业数据库主流的方式有JPA、MyBatis、JDBC,通过验证登录名loginName和密码password进行认证并授权,同时密码使用加密处理,避免将密码明文存储到数据库

(1)基于JPA的Spring Boot Security操作

创建用户类和角色类

FKRole.java:
@Column(name="id")
private Long id;
@Column(name="authority")
private String authority;

FKUser.java:
@ManyToMany(cascade = {CascadeType.REFRESH},fetch = FetchType.EAGER)
@JoinTable(name="tb_user_role",joinColumns={@JoinColumn(name="user_id")},inverseJoinColumns={@JoinColumn(name="role_id")})
private List<FKRole> roles;

用户和权限的关系是多对多关系

创建数据库访问接口:UserRepository.java

创建自定义服务类:UserService.java

需要实现UserDetailsService接口,因为在Spring Security中配置的相关参数需要是UserDetailsService类型的数据

public class UserService implements UserDetailsService {……}

重写UserDetailsService接口中的loadUserByUsername方法,通过该方法查询对应的用户,返回对象UserDetails是Spring Security的一个核心接口

其中调用持久层接口findByLoginName方法查找用户,通过JPA进行数据库验证

FKUser fkuser = userRepository.findByLoginName(username);

最后将获得的用户名、密码和权限保存到org.springframework.security.core.userdetails.User类中并返回

创建Spring Security的认证处理类AppSecurityConfigurer.java

依赖注入用户认证接口

private AuthenticationProvider authenticationProvider;

DaoAuthenticationProvider是Spring Security提供的AuthenticationProvider实现

通过重写configureGlobal方法添加自定义的认证方式

@Override
protected void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.authenticationProvider(authenticationProvider);
}

@Bean
public Authentication authentication() 
{
    ……
    provider.setUserDetailsService(userService);
    provider.setPasswordEncoder(passwordEncoder);
    returen provider;    
}

.anyRequest().authenticated()表示其他的请求都必须要有权限认证

使用AuthenticationManagerBuilder的authenticationProvider()方法进行认证,在authenticationProvider()方法中调用setUserDetailsService()方法传入自定义的UserService对象进行用户登录认证,认证通过后会将UserDetails赋给认证通过的Authentication的principal,然后再把该Authentication存入SecurityContext

在authenticationProvider()方法中调用setPasswordEncoder()方法传入Spring Security提供的BCryptPasswordEncoder对象进行密码加密验证(对输入的密码加密,再比对此加密后的密码与数据库中密码是否相等

(2)基于MyBatis的Spring Boot Security操作

持久层使用的是MyBatis框架

Spring Boot会自动加载spring.datasource.*相关配置,数据源就会自动注入sqlSessionFactory,sqlSessionFactory会自动注入Mapper

创建数据访问接口UserMapper.java,和JPA测试中的UserRepository作用完全一致,区别在于JPA自动生成SQL语句,而MyBatis需要开发者自动提供SQL语句

修改App类:

@MapperScan("org.fkit.securitymybatistest.mapper")      //扫描数据访问层接口的包名

作用是让Spring能够扫描该包下面所有MyBatis的Mapper类,还有一种方式是直接在Mapper类中添加注解@Mapper

(3)基于JDBC的Spring Boot Security操作

持久层使用JDBC操作数据库

创建数据访问接口UserRepository.java,注入JdbcTemplate:

@Autowired

private JdbcTemplate jdbcTemplate;

//根据loginName查询用户
FKUser fkUser = jdbcTemplate.queryForObject(sql,new Object[]{loginName},new RowMapper<FKUser>(){
    @Override
    public FKUser mapRow(ResultSet rs,int rowNum) throws SQLException{……}
}
);

//根据用户id查询用户权限
List<Map<String,Object>> result = jdbcTemplate.queryForList("……",new Object[]{fkUser.getid()});

JDBC需要开发者自己提供SQL语句并处理结果集,其他的工作都交给JdbcTemplate对象完成

JPA和MyBatis的Spring Security操作是现代开发的主流

晚宁5588
关注
专栏目录
NoteBook / Spring Boot基础(1)
piaoken5588的博客
02-09 189
Spring简介 Spring框架:Java EE开发中最重要的框架之一,完成了大量开发中的通用步骤,留给开发者的仅仅是与特定应用相关的部分,大大提高了开发效率 Spring是模块化的,可选择自己需要的Spring模块,其中最重要的模块包括 Core Container:核心容器 AOP:面向切面编程 Web:Web集成功能 Data Access:数据访问功能 Core Contai...
Spring Security源码解析(四)
qq_40577332的博客
06-02 1502
本章节将以实际公司中对Spring Security的应用为例,讲解配置Spring Security的三个configure方法。
SpringSecurity学习
weixin_57128596的博客
02-26 5334
目录 基于尚硅谷web学习 Security配置: 两个核心接口UserDetailsService与PasswordEncoder: 2.PasswordEncoder 给密码加密 Web项目权限控制方案 (11条消息) SpringSecurity回顾_Fairy要carry的博客-CSDN博客 configure(AuthenticationManagerBuilder auth): configure(HttpSecurity http) 注解(对于处理请求方法的) 用户注销:.
[Springboot2.x Security 入门系列] 2. HttpSecurity常用方法及说明
Code Captain的专栏
02-18 1142
配置中的一些注解释义 WebSecurityConfigurerAdapter web security配置继承类,WebSecurityConfigurerAdapter 提供一种便利的方式去创建 WebSecurityConfigurer的实例,只需要重写 WebSecurityConfigurerAdapter 的部分方法即可配置拦截什么URL、设置什么权限等安全控制,相当方便,更大的好处是...
Spring Security系列教程04--实现HTTP基本认证
一一哥
09-07 2347
一. Spring Security的认证方式 1. 认证概念 认证: 认证就是用来判断系统中是否存在某用户,并判断该用户的身份是否合法的过程,解决的其实是用户登录的问题。认证的存在,是为了保护系统中的隐私数据与资源,只有合法的用户才可以访问系统中的资源。 2. 认证方式 在Spring Security中,常见的认证方式可以分为HTTP层面和表单层面,常见的认证方式如下: ①. HTTP基本认证; ②. Form表单认证 ③. HTTP摘要认证; 二. HTTP基本认证 1. 基本认证概述
Spring security 入门学习笔记
qzonemen的专栏
12-06 1291
整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy核心过滤器里面是过滤器链(列表),过滤器链的每个元素都是一组URL对应一组过滤器WebSecurity用来创建FilterChainProxy过滤器, HttpSecurity用来创建过滤器链的每个元素。关注两个东西:和框架的用法就是通过对进行配置框架用法是写一个自定义配置类,继承,重写几个方法就是的适配器对象 1、SpringSecurity主要配置详解 涉及到需要掌握和了解
SpringSecurity入门使用——资源授权
a_lllk的博客
11-17 1938
上一篇大概陈述了一下关于SpringSecurity的用户登录,从使用不同的方式进行用户登录做了一个简单的介绍。在开头我也曾提到过,SpringSecurity主要有两大功能,第一个就是用户登录,第二个就是资源授权。这篇就来大概描述一下资源授权的整个过程。 一.实现configure(HttpSecurity http)方法 在配置类中重写configure(HttpSecurity http)方法,注意参数是HTTPSecurity,在这里做一个最简单的登录成功失败Url配置。 @Over
2021-spring-bootcamp:2021年Spring训练营
03-14
1. **Spring Boot基础**:了解Spring Boot的核心特性,包括起步依赖、自动配置、内嵌Web服务器(如Tomcat或Jetty)以及如何创建可执行的JAR文件。 2. **Maven与Gradle构建**:学习如何使用Maven或Gradle来管理项目...
Spring Boot note_2
qq_44646316的博客
11-15 615
文章目录二、配置文件1.配置文件2.YAML语法1.基本语法2.值的写法字面量:普通的值(数字、字符串、布尔值)对象、Map:数组(List、Set):3.配置文件值注入1.配置文件写法2. @Value获取值和@ConfigurationProperties获取值的比较3.配置文件注入值数据校验4.@PropertySource和@ImportResurce4.配置文件占位符1.随机数2.占位符获取之前配置的值,若无,可使用:指定默认值5.Profile1.多profile文件2.yml支持多文档块方式3
xnote:XNOTE SPRING BOOT JPA GRAPHQL
02-21
XNOTE SPRING BOOT / JPA / GRAPHQL URL本地图形测试 询问 查询{findNoteByNoteBooknotebookUUID:“ f0e81682-14fe-43cd-9700-d02158b4b573”,pageNum:1,pageSize:2){ uuid,title , content , notebook { ...
spring boot学习笔记(6)
qq_33637750的博客
10-26 111
现代B/S系统软件有下面几个特点: 1. 单页面应用 2. 响应式应用 3. 数据导向 Spring boot的数据访问 SpringData项目是Spring用来解决数据访问问题的解决方案, Spring Data Commons让我们在使用关系型数据库或者非关系型数据库时都基于Spring的统一标准。包含CRUD,查询,排序和分页。
Spring Security 表单认证
快乐的小三菊的博客
12-14 3652
spring security 的表单认证
HttpSecurity初步理解
热门推荐
骑着蜗牛向前跑的博客
06-19 2万+
关于用户身份验证的相关知识请参看这个链接,本文只对HttpSecurity做以简单介绍。 Spring Security是一个强大的、可根据需求高度自定义的用户认证和访问控制框架。Spring Security怎么保证所有向Spring application发送请求的用户必须先通过认证;怎么保证它自己支持用户通过表单的方式进行认证。解决的办法是Spring Security中有个WebSec...
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍了SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity的配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring Security在 Web 场景下的自定义配置。 @Con
深入浅出Spring Security(四):WebSecurity与HttpSecurity
紫眸的博客
10-09 1万+
上篇回顾 前面我们已经分析了Spring Security的核心过滤器FilterChainProxy的创建和运行过程,认识了建造者和配置器的作用。 现在我们知道WebSecurity作为一个建造者就是用来创建核心过滤器FilterChainProxy实例的。 WebSecurity在初始化的时候会扫描WebSecurityConfigurerAdapter配置器适配器的子类(即生成HttpSec...
Springboot-Notebook 一个以 springboot基础开发框架, 整合 Redis 、Mysql
最新发布
08-17
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(全栈开发),有任何使用问题欢迎随时与我联系,我会及时为您解惑,...
Spring Boot笔记06
one_more901的博客
05-29 197
Spring Boot整合Thymeleaf 文章目录4.创建模板文件,获取控制器传来的动态数据5.启动项目,访问http://localhost:8080/toLoginPage二、课堂练习1.创建用户实体类 - User2.在登录控制器的toLoginPage()方法里,创建用户对象,放入模型对象三、Spring Boot集成Bootstrap1.下载Bootstrap并引用的方式2.编写登录页面login.html3.启动项目,访问http://localhost:8080/toLoginPage4.
Spring Security安全配置
coolshyman的博客
07-25 2043
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
Spring Security(九)-- 理解HTTP Basic 和基于表单的登陆身份验证
学习不止境的博客
10-21 3452
如果在身份验证失败的情况下,系统的客户期望响应中有特定的内容,就需要这样做。我们可能需要添加或删除一个或多个头信息。或者可以使用一些逻辑来过滤主体信息,以确保应用程序不会向客户端公开任何敏感数据。为了自定义失败身份验证的响应,可以实现AuthenticationEntryPoint。它的commence()方法会接收HttpServletRequest\HttpServletResponse和导致身份验证失败的AuthenticationException。
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1413
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值