spring-boot-starter-security的简单使用

已于 2023-02-28 20:09:50 修改
阅读量1.4w 收藏 31
点赞数 10
分类专栏: SpringSecurity 文章标签: spring boot
于 2022-04-03 01:50:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/python15397/article/details/123931915
版权

基于配置文件使用security

首先引入两个必备的依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

由于springboot对starter依赖进行了自动化的配置,即约定大于配置,也就是带有starter的依赖在整合springboot时,在我们不做任何配置时,默认使用starter约定的配置,只有当我们进行自定义配置时,springboot才会使用我们的配置

通过配置文件的方式在内存中配置一个用户

spring:
  application:
    name: spring-security
  security:
    user:
      name: user
      roles: admin
      password: 123456
server:
  port: 8848

由于spring-boot-starter-security默认开启登录认证,所以我们需要新建一个TestController的controller类

@RestController
@RequestMapping("/test")
public class TestConteoller {

    @GetMapping("/security")
    public String security(){
        return "test-spring-security登陆成功";
    }
}

启动应用并访问http://localhost:8848/test/security,我们会看到spring-boot-starter-security自带的登陆页面,输入我们在配置文件中配置的用户名称和密码,之后我们会在页面看到

test-spring-security登陆成功

基于配置类使用security

上面我们实现了基于配置文件的security简单配置,显然这样并不适用现实场景,下面我们见通过配置类的方式实现security的自定义配置

新建config文件夹并其中新建SecurityConfig配置类,让其继承WebSecurityConfigurerAdapter抽象类并重写两个configure方法,实现web环境下的security自定义配置,具体如下

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //自定义配置URL资源的权限控制
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                //对所有请求进行权限认证
                authorizeRequests()
                //自定义配置请求地址权限
                .mvcMatchers("/test/security").permitAll()
                // permitAll()    对所有请求放行
                .mvcMatchers("/admin/security").hasRole("admin")
                .mvcMatchers("/user/security").hasRole("user")
                .mvcMatchers("/tUser/selectAll").anonymous()
                // anonymous()    允许匿名访问,登陆状态不能访问

                .anyRequest().authenticated()       //所有请求都需要进行认证
                .and()
                .formLogin()
                //.loginPage("login")       自定义登陆页面
                .permitAll()        //所有用户都可以访问
                .and()
                .logout()
                //.logoutUrl("logout")      自定义配置退出登陆页面
                .permitAll();
    }


    //自定义配置认证规则
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //spring内置了两种UserDetailManager实现,一种基于内存的InMemoryUserDetailsManager,另一种是基于数据库的JdbcUserDetailsManager

        auth.
                //使用内存中的InMemoryUserDetailsManager(内存用户管理器)
                inMemoryAuthentication()
                //不使用passwordEncoder密码加密
                .passwordEncoder(NoOpPasswordEncoder.getInstance())
                //在内存中给配置user用户
                .withUser("admin").password("admin").roles("admin")
                .and()
                //在内存中配置admin用户
                .withUser("user").password("user").roles("user");

    }
}

security配置类搞定之后,我们新建UserController和AdminController两个接口测试类,具体如下

@RestController
@RequestMapping("/user")
public class UserController {

    
    @GetMapping("/security")
    public String security(){
        return "user-spring-security登陆成功";
    }
}



@RestController
@RequestMapping("/admin")
public class AdminController {

 
    @GetMapping("/security")
    public String security(){
        return "admin-spring-security登陆成功";
    }
}

重新启动应用,并分别访问http://localhost/test/security、http://localhost/user/security、http://localhost/admin/security三个地址,我们会发现第一个地址不用登陆就能直接访问,第二个地址需要user角色权限,第三个地址需要admin角色权限;需要注意的是,当我们访问第二个地址并使用user角色登录之后,我们访问第三个地址会报403错误,其原因是浏览器在我们使用user登录时缓存了user的登录会话信息即session状态,所以当我们登录第三个地址时浏览器会以user的登录状态去访问admin角色下的接口,显然这是访问不到的。

基于注解的方式实现对接口中方法的权限认证

首先在SecurityConfig配置类中添加@EnableGlobalMethodSecurity(prePostEnabled = true) 注解开启该功能

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)      //开启基于方法的注解权限认证,默认为false
public class SecurityConfig extends WebSecurityConfigurerAdapter {

然后我们就可以在想要进行权限校验的方法上使用@PreAuthorize("hasAuthority('ROLE_user')")或者@PreAuthorize("hasRole('user')")进行相应的权限校验了。

特别说明:hasRole和hasAuthority基本上没有区别,主要差异在于hasRole会在我们添加的角色名称前添加ROLE_前缀,所以在数据库中的权限字符串需要加上 ROLE_ 前缀。即数据库中存储的用户角色如果是 ROLE_admin,这里就是 admin。hasAuthority和数据库一样就行

龙茶清欢
关注
  • 10
    点赞
  • 31
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot-搭建SpringSecurity(保姆级别)
2401_84049200的博客
04-17 736
由于篇幅有限,这里就不一一罗列了,20道常见面试题(含答案)+21条MySQL性能调优经验小编已整理成Word文档或PDF文档还有更多面试复习笔记分享如下《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。**[外链图片转存中…(img-tl8OFMEN-1713309732284)][外链图片转存中…(img-p6Ujk6Kq-1713309732284)]
<artifactId>spring-boot-starter-security</artifactId>
BLOG域名:programb.blog.csdn.net
05-07 870
技术管理策略 微服务的架构理念中指出各微服务可以独立建设,可以使用不同的技术、语言、框架等,以便能更快速的使用新技术、新框架等响应特定客户需求,解决单体应用架构更新技术、更新框架时面临的困难或阻碍。 但这也同时带来了诸多问题,如下: 1、各服务是否可以任意使用自己的技术、自己的组件、框架呢?如果这样,势必带来更大的管理困难、维护困难、技术共享困难。 2、公共的方法如何实现共享?如格式化时间的一个简...
Spring Boot 如何使用 Spring Security 进行认证和授权
it_xushixiong的博客
06-23 4682
在 Web 应用程序中,认证和授权是非常重要的功能。Spring Security 是一个基于 Spring 框架的强大的安全框架,它提供了完整的认证和授权解决方案,并且可以轻松地集成到 Spring Boot 应用程序中。本文将介绍如何在 Spring Boot使用 Spring Security 进行认证和授权,并提供示例代码。
Spring Security 应用详解
最新发布
weixin_55772633的博客
06-09 484
开发可以避免一些繁琐的工程 搭建和配置,同时它集成了大量的常用框架,快速导入依赖包,避免依赖包的冲突。、 Spring security等,使用。用于开发Spring Security。工程启动会自动扫描启动类所在包下的所有。开发可以大大得高生产率,所以。自动装配机制,这里无需使用。自动装配机制,这里无需使用。的快速开发框架,基于。
SpringBoot集成 SpringSecurity安全框架
qq15035899256的博客
03-19 1941
本文是对SpringSecurity的学习,学习了它的两大功能:认证和授权,以及如何使用数据库进行认证,如何使用自定义的登录页面,最后也学习了使用SecurityContext获取认证用户的信息。之后的学习内容将持续更新!!!
Springboot安全管理
weixin_67691477的博客
05-08 1559
Actuator Security用于对项目的一些运行环境提供安全监控,例如Health健康信息、Info运行信息等,它主要作为系统指标供运维人员查看管理系统的运行情况。WebFlux SecuritySpring Boot整合Spring WebFlux框架搭建的Web应用的安全管理。MVC SecuritySpring Boot整合Spring MVC框架搭建的Web应用的安全管理。Spring Security是基于Spring生态圈的,用于提供安全访问控制解决方案的框架。
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1595
以上是10月31日对29日的Security学习进行日常总结。
springboot 轻量及脱敏工具(Desensitization)
yyyyouuu的博客
02-24 462
简单好用,自己动手试试
SpringWebmvc和SpringWebflux
myli92的博客
10-01 2850
struts2,springmvc等都是基于Servlet API与Servlet容器基础之上运行的,在Servlet3.1之后才有了异步非阻塞的支持。而WebFlux是一个典型非阻塞异步的框架,它的核心是基于Reactor的相关API实现的。相对于传统的web框架来说,它可以运行在诸如Netty,Undertow及支持Servlet3.1的容器上,因此它的运行环境的可选择行要比传统web框架多的多。SpringMVC采用命令式编程方,而WebFlux则是基于异步响应式编程。
关于SpringMVC中的几个配置类WebMvcConfigurer 、WebMvcConfigurationSupport 、WebMvcConfigurerAdapter
这是我的笔记本,记录学习历程,分享学习经验,菜鸡一枚,感谢支持!
07-08 2079
在学习SSM时,对SpringMVC做自定义配置时,接触到了WebMvcConfigurer 、WebMvcConfigurationSupport 、WebMvcConfigurerAdapter这几个抽象类或接口,这三个类都能对SpringMVC做出配置,至于这三者之间的关系与区别,当时也没有在乎,现在来整理一下。首先最早的一个用来对SpringMVC做出配置的类是WebMvcConfigurerAdapter类,是一个抽象类,从Spring5.0开始已被弃用。
jasypt-spring-boot-starter 3.0.5依赖的pom及jar
05-19
总的来说,jasypt-spring-boot-starter 3.0.5为Java开发者提供了一个高效且安全的方式来管理和使用加密数据,简化了Spring Boot应用中的安全实践。通过深入理解POM文件中的依赖关系和JAR文件中的实现细节,我们可以...
quickfixj-spring-boot-starter:用于QuickFIXJ的Spring Boot Starter
01-30
QuickFIXJ-Spring-Boot-Starter是专门为整合QuickFIXJ与Spring Boot设计的启动器,旨在简化在Java环境中使用QuickFIXJ进行金融 FIX(Financial Information eXchange)协议通信的过程。FIX协议是一种广泛用于金融...
logback-access-spring-boot-starter:用于Logback访问的Spring Boot Starter
01-30
logback-access-spring-boot-starter 用于 Starter。 注意:此页面用于Spring 。如果使用Spring Boot 1,请参阅。 注意:此工件名称在已更改。 旧名称是“ spring-boot-ext-logback-access”。产品特点自动检测您的...
encrypt-body-spring-boot-starter:(停止维护,替代品搜索:https
05-13
encrypt-body-spring-boot-starter是对SpringBoot控制器统一的响应体加密与请求体解密的注解处理方式,支持MD5/SHA/AES/DES/RSA。 加密解密支持 可进行加密的方式有: MD5 SHA-224 / 256 / 384 / 512 AES DES ...
spring-boot-starter-security-2.1.3.RELEASE.jar
02-27
java运行依赖jar包
Spring Security入门教程:利用Spring Security实现安全控制
编码人生
03-11 1056
大家可以看到我们刚刚控制台生成的密码其实是一个随机的字符串,它是security默认生成的,所以现在我们可以给它配一个默认的用户名和密码。我们可以在配置文件中输入以下的配置给他配置自定义的用户名和密码。我们在用我们自定义的用户名和密码登录成功之后,就可以访问我们项目中的任意一个地址。完成以上三步,我们就成功引入了springsecurity,并制定了我们自己的用户名和密码。不过你们有没有想过,在实际的项目中,我们真的会将用户名和密码写在配置文件中吗?这显然是不可能的。
最新整合springboot - security前后端分离 , 自定义登录接口
qq_39130032的博客
12-11 5770
版本: springboot2.4 依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency>
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
beeworkshop的博客
03-16 1528
SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地扩展以满足更多安全控制方面的需求,但也相对它的学习成本会更高,两种框架各有利弊.实际开发中还是要根据业务和项目的需求来决定使用哪一种。 JWT是在Web应用中安全传递信息的规范,从本质上来说是Token的演变,是一种生成加...
spring-cloud-starter-securityspring-boot-starter-security
04-28
这两个库都是Spring框架中用于实现安全认证的库,但是它们的作用略有不同。 spring-boot-starter-securitySpring Boot框架中提供的一个基础库,它提供了一些基本的安全认证功能,比如HTTP Basic、表单认证等。 而spring-cloud-starter-securitySpring Cloud框架中提供的一个库,它是在spring-boot-starter-security的基础上进行扩展,提供了一些针对分布式系统的安全认证功能,比如OAuth2、JWT等。 因此,如果你的应用是一个基于Spring Boot的单体应用,那么可以使用spring-boot-starter-security来实现安全认证;如果你的应用是一个分布式系统,那么可以使用spring-cloud-starter-security来实现安全认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙茶清欢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值