spring security的使用

已于 2024-03-14 14:07:38 修改
阅读量43 收藏
点赞数
文章标签: spring java spring boot
于 2023-05-14 07:22:02 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qishiheyongshi/article/details/130630801
版权

正常做项目校验用户和权限都需要经过这几步:

       (1)、校验用户的账号密码,校验失败给用户的提示

       (2)、用户密码校验成功后的操作

       (3)、用户在操作某个方法时校验用户是否有这个方法的权限,如果没有权限给与提示

         security是一个权限校验框架,对以上这些功能都提供了相应的接口,我们只需要实现这些接口即可;

    本文最后链接会有一个demo,使用了mysql、redis,大致逻辑是用户在登录时校验账号密码,校验成功则查询用户拥有的方法权限封装成一个对象放在redis中(键是userId),然后使用jwt对userId加密生成token返回给客户端,用户做其他操作的时候将token传到服务端,服务端解析token获得userId,然后根据userId从redis中获得用户的方法权限,然后检验当前用户访问的方法;

我以下面的项目简单说明一下登录流程:

   首先启动 SanGengTokenDemo,使用postMan等工具访问:http://localhost:8888/user/login

        Security的配置类SecurityConfig,配置一些全局的配置;

        1、 在login方法中将 用户和密码封装成UsernamePasswordAuthenticationToken,然后调用 authenticate 方法 校验用户的账号密码、查询用户的权限封装成 LoginUser,在这一步中我们需要实现 UserDetailsService的 loadUserByUsername 接口 用于 校验账号密码、查询用户权限;

        2、获得用户信息后使用JWT将userId 生成token 返回客户端,并将 loginUser 放入到redis中;

        3、校验用户或账号密码失败的接口 AuthenticationEntryPoint.commence ,我们只需要实现这个方法并在 SecurityConfig 配置,校验失败时就会执行

        4、权限校验失败的接口 AccessDeniedHandler.handle,我们只需要实现这个方法并在 SecurityConfig 配置,用户没有方法权限时就会执行

        5、方法权限的校验

            (1)、security 提供了四种权限校验方法,是在方法上面添加注解实现,参考 HelloController 中的 hello 方法,一般不使用这种方式,一个方法通常要被很多个角色访问,这种配置很繁琐

           (2)、在全局过滤器中 从 loginUser 中获得用户拥有的权限,判断是否包含当前的url;     

根据用户查询用户信息:

校验密码:根据注入的passwordEncoder来进行密码的校验,passwordEncoder是在SecurityConfig中注入的BCryptPasswordEncoder,所以数据库中存储的也是加密后的密码,如:passwordEncoder.encode("1234"),见MapperTest;

 

       

学习视频地址:SpringSecurity框架教程-Spring Security+JWT实现项目级前端分离认证授权-B站最通俗易懂的Spring Security课程_哔哩哔哩_bilibili

下面附件是实现的demo及方法调用:

 

代码链接:https://pan.baidu.com/s/1XzcHKWs7pIcBydLiRlazAA?pwd=ps1r 

数据库脚本:链接:https://pan.baidu.com/s/1RCIM330FsrPbFzyGXB5hqA?pwd=dq9p 
 

骑士999111
关注
spring security四种实现方式
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
Spring Security使用
weixin_42679286的博客
12-01 1508
*** 提供给 security 的用户信息的 service,要复写 loadUserByUsername 方法返回数据库中的用户信息*/@Service@Autoware/*** 加载数据库中的认证的用户的信息:用户名、密码、用户的权限列表* 通过username查询用户的信息,(密码,权限列表等)封装成 UserDetails 返回,交给 security。*/@Overridethrow new UsernameNotFoundException("无效的用户名");
spring security 超详细使用教程(接入springboot、前后端分离)
最新发布
小程xy的博客
09-30 4052
Spring Security 是一个强大且可扩展的框架,用于保护 Java 应用程序,尤其是基于 Spring 的应用。它提供了身份验证(验证用户身份)、授权(管理用户权限)和防护机制(如 CSRF 保护和防止会话劫持)等功能。 Spring Security 允许开发者通过灵活的配置实现安全控制,确保应用程序的数据和资源安全。通过与其他 Spring 生态系统的无缝集成,Spring Security 成为构建安全应用的理想选择。- **前端**: - 用户在登录界面输入用户名和密码。 - 前
spring Security的简单使用
ALearrring的博客
06-21 280
简单使用springsecurity 使用包括以下三个部分: 1.springSecurity本身的配置文件(当然这里可以改为配置类,目前我使用的是配置文件;配置需要拦截的url以及用户需要哪些权限才能访问,配置认证管理器,注入自定义认证类等) 2.自定义认证类(实现用户的认证和授权,编码者自己书写业务流程) 3.密码加密类(用户密码加密使用的类,在登录和注册的时候都需要使用) 下面...
如何使用SpringSecurity
weixin_41553701的博客
08-17 4342
如何使用Spring Security
SpringSecurity使用
zuochangping的博客
11-01 1815
SpringSecurity使用,运行原理及源码的查看,还有在不同场景的应用
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 中,可以使用数据库来存储用户信息,并使用数据库认证来验证用户身份。为了实现数据库认证,需要在 Spring Security 配置文件中配置 authentication-manager 元素,并指定用户服务(user-service...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
springsecurity使用项目
04-20
这个"springsecurity使用项目"是基于Spring Security 构建的一个实例,旨在帮助开发者理解如何在实际应用中实施权限校验。 首先,让我们从核心概念开始。Spring Security 主要由以下几个组件构成: 1. **过滤器链*...
Spring Security使用详解(基本用法 )
顶顶顶顶顶顶顶顶顶顶顶顶
07-16 9480
1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置方案,可以让Spring Security使用更加便捷。 2,安装配置 <dependency> <groupId&gt...
Spring Security 入门使用
weixin_53604412的博客
05-16 442
用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,微信扫码等方式。项目包括学生、学习机构的老师、平台运营人员三类用户,不管哪一类用户在访问项目受保护资源时都需要进行身份认证。比如:发布课程操作,需要学习机构的老师首先登录系统成功,然后再执行发布课程操作。创建订单,需要学生用户首先登录系统,才可以创建订单。
SpringSecurity的简单使用
一名码农的博客
08-07 1865
SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案,核心功能包括:用户认证、用户授权;
Spring Security的基础使用
m0_48972623的博客
03-10 8399
目录 一. 什么是spring security 二. Spring security使用 1.创建springboot项目 2.主启动类 2.配置controller层 3.配置config类 4.配置多用户登录以及注入权限及登录config注入 5.配置config层 6.登录成功处理类及无权限处理类 7.配置工具类 8.启动测试 三. 总结 一. 什么是spring security Spring Security是一个能够为基于Spring的企业应用系统提供声明.
Day47_Spring SecuritySpring Security的微服务使用
weixin_45014721的博客
07-13 3143
(2)基于 token,(token就是按一定规则生成的包含用户信息的字符串),基于 Session则是解析出 token,然后将当前请求加入到 Spring-security 管理的权限信息中去。这是SpringSecurity微服务中最常用的方式。上面授权的时候,把用户信息放入权限的上下文SecurityContextHolder中,那么后面就可以你可以通过SecurityContextHolder来获取当前的安全上下文,并从中获取Authentication对象,进而获取用户信息。
gtoken替换jwt实现sso登录
Maisucsdn的博客
05-20 1044
今天和大家分享一下使用gtoken替换jwt实现sso登录的经验,为了让大家更好的理解会带大家读一下重点的源码。 jwt的问题 首先说明一个jwt存在的问题,也就是要替换jwt的原因: jwt无法在服务端主动退出的问题 jwt无法作废已颁布的令牌,只能等到令牌过期问题 jwt携带大量用户扩展信息导致降低传输效率问题 jwt的请求流程图 gtoken的优势 gtoken的请求流程和jwt的基本一致。 gtoken的优势就是能帮助我们解决jwt的问题,另外还提供好用的特性,比如: gtok
Spring Security 四种使用方式
热门推荐
张普的专栏
06-29 1万+
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Aceg
Spring Security 简单使用教程
weixin_32014283的博客
08-14 106
Spring Security 是一个强大的、安全性框架,用于保护 Spring 应用程序。本文将详细介绍如何在一个 Spring Boot 项目中使用 Spring Security,从基础配置到自定义安全需求。创建 Spring Boot 项目首先,我们需要创建一个 Spring Boot 项目。可以通过 Spring...
Spring Security使用
06-13
使用Spring Security主要包括以下几个步骤: 1. **配置**:在Spring Boot项目中,通常通过`SecurityConfiguration`或XML配置文件(如`spring-security.xml`)来设置全局的security配置,包括HTTP端点安全、认证管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值