【Spring】- 如何认识Spring Security

最新推荐文章于 2024-04-29 17:13:56 发布
最新推荐文章于 2024-04-29 17:13:56 发布
阅读量153 收藏
点赞数
分类专栏: 【Spring】 文章标签: spring java Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiqibei666/article/details/107600147
版权

Spring Security快速入门

1. 是什么?

  • Spring Security是Spring项目组中用来提供安全认证服务的框架
  • 是一个轻量级的安全框架,它确保基于Spring的应用程序提供身份验证和授权支持;它与Spring MVC有很好地集成,并配备了流行的安全算法实现捆绑在一起

2、安全操作:

认证

  • 认证:为用户建立一个他所声明的主题,主体一般指用户,设备可以在你的系统

授权

  • 授权指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由身份验证的过程建立;

3. 入门操作

  1. 导入依赖
<dependencies>
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-web</artifactId>
		<version>5.0.1.RELEASE</version>
	</dependency>
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-config</artifactId>
		<version>5.0.1.RELEASE</version>
	</dependency>
</dependencies>
  1. Web.xml中创建filter
<context-param>
	<param-name>contextConfigLocation</param-name>
	<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
	<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!--filter-name必须是springSecurityFilterChain -->
<filter>
	<filter-name>springSecurityFilterChain</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
	<filter-name>springSecurityFilterChain</filter-name>
	<url-pattern>/* </url-pattern>
</filter-mapping>
  1. 为什么DelegatingFilterProxy的filter-name必须是springSecurityFilterChain,下一篇博客继续了解;
  2. 配置文件-Spring-Security.xml
// auto-config="true",Spring Security会自动生成登录表单
<security:http auto-config="true" use-expressions="false">
	<!-- 配置资料连接,表示任意路径都需要ROLE_USER权限 -->
	<security:intercept-url pattern="/**" access="ROLE_USER" />
</security:http>
<security:authentication-manager>
	<security:authentication-provider>
		<security:user-service>
			<security:user name="user" password="{noop}user"
			authorities="ROLE_USER" />
			<security:user name="admin" password="{noop}admin"
			authorities="ROLE_ADMIN" />
		</security:user-service>
	</security:authentication-provider>
</security:authentication-manager>
  • 注释说明
    在这里插入图片描述
  • access属性:默认配置应该是一个以逗号分隔的角色列表,请求的用户只需拥有其中的一个角色就能成功访问对应url;
  • 测试–设置http的auto-config=”true”时Spring Security自动生成的登录表单
    在这里插入图片描述

4、使用自定义页面配置

<!-- 配置不过滤的资源(静态资源及登录相关) -->
<security:http security="none" pattern="/login.html" />
<security:http security="none" pattern="/failer.html" />
<security:http auto-config="true" use-expressions="false">
	<security:intercept-url pattern="/**" access="ROLE_USER" />
	// 自定义登陆页面,login-page 自定义登陆页面 
	<security:form-login login-page="/login.html"
	login-processing-url="/login" username-parameter="username"
	password-parameter="password" authentication-failure-url="/failer.html"
	default-target-url="/success.html"/>
	/* 关闭CSRF-(跨站请求伪造,俗称跨域保护),默认是开启的 */
	<security:csrf disabled="true" />
</security:http>
  • authentication-failure-url 用户权限校验失败之后才会跳转到这个页面,如果数据库中没有这个用户则不会跳转到这个页面
  • default-target-url 登陆成功后跳转的页面
  • 注:登陆页面用户名固定 username,密码password,action:login

5、退出登录

属性作用
invalidate-session退出登录后是否删除session,默认为true
logout-url退出的连接
logout-successurl成功退出登录后重定向的URL
  • 注:登出操作 只需要链接到 logout即可登出当前用户,即退出登录;
/* 登出, invalidate-session 是否删除session 
	logout-url:登出处理链接 logout-successurl:登出成功页面
	注:登出操作 只需要链接到 logout即可登出当前用户*/
<security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp" />

6、使用数据库认证

系统登录用户有很多,在配置文件中进行的单一配置是没有办法满足我们的需求的,这时候就需要跟我们的数据库联系起来啦,此处使用的是UserDetails、UserDetailsService进行的操作;

接口介绍

UserDetails

UserDetails是Spring Security提供的一个接口,封装当前进行认证的用户信息,我们可以自己对其实现,也可以使用Spring security提供的UserDetails的实现类User来实现

public interface UserDetails extends Serializable {
	Collection<? extends GrantedAuthority> getAuthorities();
	String getPassword();
	String getUsername();
	boolean isAccountNonExpired();
	boolean isAccountNonLocked();
	boolean isCredentialsNonExpired();
	boolean isEnabled();
}
  • User类的部分代码
public class User implements UserDetails, CredentialsContainer {
	private String password;
	private final String username;
	private final Set<GrantedAuthority> authorities;
	private final boolean accountNonExpired; //帐户是否过期
	private final boolean accountNonLocked; //帐户是否锁定
	private final boolean credentialsNonExpired; //认证是否过期
	private final boolean enabled; //帐户是否可用

UserDetailsService

public interface UserDetailsService {
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

应用实战

xml配置,代码编写实现

  • Spring-security.xml的配置
<!-- 认证器-切换成数据库中的用户名和密码 -->
<security:authentication-manager>
	<security:authentication-provider user-service-ref="userService"></security:authentication-provider>
</security:authentication-manager>
  • Service
public interface IUserService extends UserDetailsService{
}
  • UserServiceImpl层
@Service("userService")
@Transactional
public class UserServiceImpl implements IUserService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = null;
        try {
            userInfo = userDao.findByUsername(username);
        } catch (Exception e) {
            e.printStackTrace();
        }
        //处理自己的用户对象封装成UserDetails
        User user = new User(userInfo.getUsername(), userInfo.getPassword(),
                userInfo.getStatus() == 0 ? false : true, true,
                true, true, getAuthority(userInfo.getRoles()));
        return user;
    }

    //作用就是返回一个List集合(集合中是角色描述信息)
    public List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> list = new ArrayList<>();
        for (Role role : roles) {
            list.add(new SimpleGrantedAuthority("ROLE_" + role.getRoleName()));
        }
        return list;
    }
}

对于Spring Security的基础认识与实践,操作过程的认识与理解的记录总结;

@Arielle。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
用mybatis的generator自动生成代码--坑我都走了一遍,后面的同学别踩了
j18423532754的博客
01-15 2万+
先说什么是mybatis-generator? mybatis-geneator是一款mybatis自动代码生成工具,可以通过配置,快速生成mapper和xml文件。 步骤一:在pom文件中添加插件配置 &lt;plugin&gt; &lt;groupId&gt;org.mybatis.generator&lt;/groupId&gt;...
spring-cloud-security
weixin_39370859的博客
04-12 4446
基于webflux的spring security,即spring-cloud-security
spring-cloud-starter-securityspring-cloud-starter-oauth2
热门推荐
qq_30359369的博客
12-02 2万+
之前学过spring-security,最近又在学习spring-cloud-starter-securityspring-cloud-starter-oauth2, 脑子里顿时冒出一个问题: 之前学的spring-security和最近学的spring-cloud-starter-security有什么关系, spring-cloud-starter-securityspring-clou......
spring-boot-starter-security的简单使用
python15397的博客
04-03 1万+
spring-boot-starter-security的简单使用
如何全面升级spring-boot-2.x及Spring-security-oauth2
Cmainlove的专栏
06-17 2404
解决CVE-2022-22978和CVE-2022-22965漏洞,全面升级spring-boot-2.x及Spring-security-oauth2
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring AI 抢先体验,5 分钟玩转 Java AI 应用开发
最新发布
阿里巴巴云原生的博客
04-29 740
Spring Cloud Alibaba AI 以 Spring AI 为基础,并在此基础上提供阿里云通义系列大模型全面适配,让用户在 5 分钟内开发基于通义大模型的 Java AI 应用。
springboot集成-mybatis-puls
csy08845的博客
04-29 108
Spring Boot中集成MyBatis Plus是一个相对简单的过程,MyBatis Plus是一个MyBatis的增强工具,它简化了CRUD操作,并且提供了一些额外的功能,比如性能优化、自动填充等。3.配置MyBatis Plus:通常,MyBatis Plus的配置与MyBatis类似,不需要额外的配置,因为它会自动配置。6.使用Mapper:在你的Service中注入Mapper,并使用它。7.配置扫描:确保Spring Boot扫描到你的Mapper接口。
SpringBoot项目打包分离高阶操作
Record Little
04-23 730
虽然传输jar包 比较大,但是安全性、稳定性比较高,不需要关注pom.xml 添加了新的依赖、更新了版本号等等影响版本功能的操作。关注maven的特性, profiles即可满足, 根据不同的activation 状态,激活不同的build操作。每次修改一小部分代码或仅仅更新某个依赖jar包时,都需要重新进行整个项目的构建、打包、上传和部署。但是当你的项目趋于稳定,只有业务上的逻辑变更时,如果使用分离版本,可以加快迭代、更新的速度。弊端: 需要配置IDE命令,修改依赖时需要同时修改2处。
mysql-connector-javaspring-boot-starter-jdbc和mybatis-spring-boot-start
xzy的博客
04-23 1022
JDBC是使用java语言操作mysql数据库的规范,java语言必须按照这个规范写才可以操作mysql数据库。
SpringCloudAlibaba:2.1nacos
m0_63040701的博客
04-26 916
Nacos是阿里巴巴开源的服务注册中心以及配置中心Nacos=注册中心Eureka + 服务配置Config + 服务总线Bus。
Spring声明式事务(@Transactional)原理之-ProxyTransactionManagementConfiguration
良月柒
04-26 676
在传统的编程模型中,我们需要在代码中显式地编写事务管理逻辑,包括事务的开始、提交、回滚等。而在声明式事务管理模型中,我们可以通过注解或者XML配置的方式,将事务管理逻辑与业务逻辑分离开来,使得我们只需要专注于业务逻辑的实现,而不需要关心事务管理的细节。@Transactional注解就是用来实现声明式事务管理的重要工具之一。
SpringCloud Ribbon介绍
赵先森
04-26 506
Ribbon 是 Spring Cloud 技术栈中非常重要的基础框架,它为 Spring Cloud 提供了负载均衡的能力,比如 Fegin 和 OpenFegin 都是基于 Ribbon 实现的,就连 Nacos 中的负载均衡也使用了 Ribbon 框架。
每日一题:Spring 框架中都用到了哪些设计模式❓
lhcong_的博客
04-24 371
总之,Spring 框架中充分利用了许多设计模式,提供了良好的扩展性和灵活性,降低了代码的耦合度,提高了代码的可维护性。
SpringBoot JPA使用
gochenguowei的博客
04-25 984
Spring 框架提供的一个模块,用于简化与关系型数据库的交互和数据访问。它基于JPA(Java Persistence API)标准,并提供了一组易于使用的API和工具,帮助开发人员更轻松地进行数据库操作。通过Spring Data JPA,开发人员可以通过编写简洁的代码来执行常见的 CRUD 操作,同时还支持高级查询、分页、事务管理等功能。它的目标是提供一种更简单、更高效的方式来处理数据库操作,减少开发人员的工作量,并提高应用程序的可维护性和可扩展性。
spring-cloud-starter-securityspring-cloud-security的关系
05-31
`spring-cloud-starter-security` 和 `spring-cloud-security` 是 Spring Cloud 中用于实现安全认证和授权的两个模块,它们之间的关系如下: - `spring-cloud-starter-security` 是 Spring Cloud 中的一个 Starter ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值