SpringSecurity安全框架

最新推荐文章于 2023-06-11 20:55:31 发布
最新推荐文章于 2023-06-11 20:55:31 发布
阅读量2.1k 收藏 8
点赞数
文章标签: 安全 java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qingti_/article/details/124598530
版权

文章目录

前言

Spring Security是一款主要解决了认证和授权相关处理的安全框架

认证: 验证用户身份, 例如在登录过程中验证用户名与密码是否匹配
授权: 使得用户允许访问服务器的某些资源, 或禁止访问某些资源

Spring Boot Security是在Spring Boot中使用的, 基于Spring Security的依赖项, 其本质就是Spring Security框架加上了应用于Spring Boot工程的自动配置

提示:以下是本篇文章正文内容,下面案例可供参考

一、创建项目

新建Spring Boot项目, 勾选spring web和spring security
在这里插入图片描述

项目中Spring Security 在pom.xml中的依赖为

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

添加依赖后, 启动项目, 在访问所有资源时, 都是要求先登录(未退出之前只需要登录1次)

二、认证登录

1.默认账号密码

默认的用户名是user, 密码会在启动时输出在控制台, 例如: 启动项目
在这里插入图片描述

Useing generated security password: 密码, ":"后面就是密码, 账号为user, 浏览器访问http://localhost:8080/, 输入账号密码

在这里插入图片描述

2.自定义账号密码

在项目默认配置文件application.properties中配置以下信息:

#配置security登录账号
spring.security.user.name=root
#配置security登录密码
spring.security.user.password=root

此时security登录账号密码为 : root/root, 控制台不在输出随机密码

bcrypt加密

使用security验证密码时, 密码必须被框架中的BCryptPasswordEncoder类加密过
Security框架推荐使用Bcrypt算法对密码原文进行加密处理, 框架中有BCryptPasswordEncoder类, 此类可以实现加密, 判断密码是否匹配等功能, 使用的是Bcrypt算法, 每次加密后密文都不相同, 因为里面加入了随机盐值, 盐值保存在密文中, 也可以正常验证

验证方法

Spring Security会在处理登录认证时自动根据尝试登录的用户名调UserDetailsService接口实现类的loadUserByUsername此方法, 并获得UserDetails对象, 此对象包含用户的密码、权限等信息, 接下来, Spring Security会自动判断密码, 如果不正确, 将返回错误信息, 如果正确, 会将此用户信息(包含权限)保存下来(默认保存在Session中)

比对密码时, 对比的密文必须经过Bcrypt算法加密

三、关于授权

需要在security配置类上, 添加@EnableGlobalMethodSecurity(perPostEnabled=true)注解, 启用控制器处理方法权限验证

并让security配置类继承WebSecurityConfigurerAdapter(web安全配置适配器), 并重写configure(HttpSecurity http)方法, 里面配置关闭跨域(前后端分离), 启用登录时表单验证和配置对需要的请求验证, 不需要验证的请求直接通过

最后在控制器方法上添加@PerAuthorize("hasAuthority('权限')")注解, 否则访问会出现403没有权限访问的错误

四、关于Session

HTTP协议是一种无状态的协议, 同一个用户在同一台设备上多次对同一个服务器端进行访问时, 默认在服务器端并不保存此用户的相关信息, 所以, 无论访问多少次, 服务器端都无法识别用户的身份

为了解决服务器端可以识别用户身份, 可以使用Session(会话), 当某个客户端第1次向服务器端发送请求后, 服务器端会在其内存中保存此用户的信息, 并且此信息会关联到一个唯一的SessionI D, 当服务器端进行响应时, 会将此Session ID响应到客户端, 后续, 客户端应该在每次请求时都携带此Session ID, 则服务器可以根据后续请求头中的Session ID对应到此前保存的数据, 从而识别用户身份

使用Session保存的数据, 通常是:

  • 用户身份的唯一标识, 例如用户的ID
  • 高频率使用的数据, 例如用户的权限(有数据不一致的风险)
  • 不便于使用其他存储技术进行处理的数据

Session消失的机制

  • 超时, 如果客户端长时间未向服务器端发起任何请求, 则在服务器端上, 此客户端对应的Session数据会被清除, 常见的设置值是15分钟或30分钟
  • 更换客户端(包括更换浏览器、关开浏览器), 也会无法访问此前的Session数据, 并且, 此前的Session数据将会根据超时机制被清理
  • 服务器端设备关机或重启
  • 服务器端程序调用了清除Session数据的方法, 例如调用了HttpSession对象的invalidate()方法

五、项目演示

新建VO类, 模拟从数据库查询到的数据信息

package cn.qingtian.security.pojo.vo;

import java.util.List;

public class UserLoginVO {
    // 用户名
    private String username;
    // 密码
    private String password;
    // 模拟用户权限
    private List<String> permissions;

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<String> getPermissions() {
        return permissions;
    }

    public void setPermissions(List<String> permissions) {
        this.permissions = permissions;
    }
}

配置Security配置类

package cn.qingtian.security.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

// Security配置类, 用户生成BCryptPasswordEncoder实例
@Configuration
// security中启用全局方法安全, 用于限制User对控制器方法的访问权限
@EnableGlobalMethodSecurity(prePostEnabled = true)
// 此类继承web安全配置适配器
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    // 实现WebSecurityConfigurerAdapter中的configure方法
    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //配置不需要登录就能访问的请求
        String[] url = {};

        // 关闭跨域
        http.csrf().disable();

        // 配置授权请求
        http.authorizeRequests()
                // 配置不需要登录就能访问的请求
                .antMatchers(url).permitAll()
                // 除不需要登录就能访问的请求外, 所有请求都需要登录和授权
                .anyRequest().authenticated();

        // 当登录时启用表单登录
        http.formLogin();
    }
}

创建uril包, 实现全局密码加密

package cn.qingtian.security.util;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

@Component
public class GlobalPasswordEncoder {

    @Autowired
    private PasswordEncoder passwordEncoder;

    public String encode(String rowPassword){
        return passwordEncoder.encode(rowPassword);
    }
}

实现认证类UserDetailsService, 并重写loadUserByUsername方法

package cn.qingtian.security.service.impl;

import cn.qingtian.security.pojo.vo.UserLoginVO;
import cn.qingtian.security.util.GlobalPasswordEncoder;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

// security认证类
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    // 加载全局密码编码器
    @Autowired
    private GlobalPasswordEncoder globalPasswordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 模拟从数据持久层查询到的数据
        UserLoginVO user = new UserLoginVO();
        user.setUsername("admin");
        // 此密码需要用Security中的BCrypt加密
        String password = globalPasswordEncoder.encode("123456");
        System.out.println(password);
        user.setPassword(password);
        // 模拟权限数据
        List<String> permissions = new ArrayList<>();
        permissions.add("/list");
        user.setPermissions(permissions);

        // 授予权限集合
        List<GrantedAuthority> grantedAuthorities = new ArrayList<>();

        for(String permission : permissions){
            // GrantedAuthority实现类 SimpleGrantedAuthority
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(permission);
            grantedAuthorities.add(simpleGrantedAuthority);
        }

        //判断方法传入登录用户名是否在数据库中
        if (!user.getUsername().equals(username)){
            // security验证中的异常 BadCredentialsException
            throw new BadCredentialsException("用户名不存在");
        }

        // User为security中的类, 此类会被security保存在Session中(默认)
        return User.builder()
                .username(user.getUsername())
                .password(user.getPassword())
                // 授予权限
                .authorities(grantedAuthorities)
                // 账号是否过期
                .accountExpired(false)
                // 禁用
                .disabled(false)
                // 凭证是否过期
                .credentialsExpired(false)
                .build();
    }
}

编写处理器方法

package cn.qingtian.security.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

//控制器层
@RestController
public class UserController {

    //@PreAuthorize("hasAnyAuthority(String...)")预授权注解(有任何权限)
    @PreAuthorize("hasAnyAuthority('/list')")
    @RequestMapping("/list")
    public String list(){
        return "用户列表获取成功";
    }
}

最后启动效果

在这里插入图片描述
在这里插入图片描述

〖晴天〗
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity框架【详解】
m0_67266585的博客
07-28 1058
SpringSecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准;SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求。在Java生态中,目前有和认证和授权。...
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3098
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
springSecurity安全框架
聪聪
02-11 3298
SpringSecurity 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 官网地址 一般后台管理系统的权限认证,都需要大量的逻辑处理验证,.
Spring Security安全框架
weixin_53455615的博客
11-03 1468
利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。导入依赖后默认会有一个登录页,并且没有登录时访问其他资源会自动跳到登录页,用户名为user,密码会打印在控制台。认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。应用程序确认用户身份的过程,常见认证:登录。Spring Security所有功能都是。用户认证过程中的依据之一。判断用户具有哪些权限或角色。
SpringSecurity安全框架案例
09-23
在这个"SpringSecurity安全框架案例"中,我们将探讨其核心概念和实现细节,特别关注的是没有验证码校验的完整认证授权流程。 **1. 认证流程** 在Spring Security中,认证过程通常涉及以下步骤: - **用户尝试访问...
spring security安全框架
10-25
Spring Security 是一个强大的且高度可定制的 Java 安全框架,用于解决 Web 应用程序的安全问题。这个框架提供了一套全面的解决方案,包括身份验证、授权、会话管理以及跨站请求伪造(CSRF)防护等核心功能。在本文...
SpringSecurity安全框架基础Demo
01-02
这个"SpringSecurity安全框架基础Demo"旨在帮助开发者快速理解和实践Spring Security的核心功能。 **1. 用户认证** 在Spring Security中,用户认证主要由Authentication对象负责。当用户尝试访问受保护的资源时,...
SpringSecurity安全框架企业中应用
06-13
涉及到目前互联网项目中最常用的高并发解决方案技术, 如 dubbo,redis,solr,freemarker,activeMQ,springBoot框架,微信支付,nginx负载均衡,电商活动秒杀,springSecurity安全框架,FastDFS分布式文件服务器,还会涉及到...
springsecurity安全框架源码
11-27
springsecurity安全框架下载 .
Spring Security安全框架入门篇
weixin_30421809的博客
02-04 845
一、Spring Security相关概念 1.1.、Spring Security介绍: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架(简单说是对访问权限进行控制嘛)。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Con...
[SpringBoot]Spring Security框架
YJH000_的博客
06-11 9211
在使用Spring Security框架时,可以自定义组件类,实现接口,则Spring Security就会基于此类的对象来处理认证!则在项目的根包下创建,在类上添加@Service注解使其成为组件类,实现@Slf4j@Service@Override(通过loadUserByUsername(String s)这个方法的名字可以理解为通过用户名加载用户,参数s就是username用户名,返回UserDetails用户详情)在项目中存在。
SpringSecurity框架
小白有个大牛梦
03-16 334
SpringSecurity框架
安全框架Spring Security安全框架
weixin_42428778的博客
02-09 2589
Spring Security 是针对Spring项目的安全框架,仅需要引入 spring-boot-starter-sercurity 模块。 WebSecurityConfigurerAdapter:自定义Security策略。 AuthenticationManagerBuilder:自定义认证策略。 @EnableWevSecurity:开启WebSecurity模式。 Spring Security的两个主要目标是“认证”和“授权”(访问控制)。 ”认证“(Authentication)、”授
Spring Security权限管理框架
ae5555的专栏
03-07 2555
Spring SecuritySpring Security是作为过滤器控制权限的,在web.xml中配置过滤器。<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter
Security 安全框架1
Yoroshiku IT
04-11 402
security 过滤器链 检查请求是否有请求信息-主要校验规则 UsernamePasswordAuthenticationFilter: 处理表单登录, 请求是否带用户名密码 BasicAuthenticationFilter: 是否有Basic码信息, 有会进行解码认证 FilterSecurityInterceptor: 最后一部, 决定当前请求能不能继续, 根据不过的原因会抛出异...
springsecurity安全框架
09-23
Spring Security是一种功能强大且高度可定制的身份验证和访问控制框架。它是Spring全家桶的一员,旨在保护基于Spring的应用程序。Spring Security允许用户通过提供配置信息来定制安全策略,并提供了两个主要的配置对象:WebSecurity和HttpSecurity。它可以轻松扩展以满足自定义需求。Spring SecurityJava应用程序中最常用的身份验证和授权框架之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值