SpringSecurity学习笔记一

最新推荐文章于 2023-03-02 09:06:40 发布
最新推荐文章于 2023-03-02 09:06:40 发布
阅读量849 收藏 1
点赞数
分类专栏: spring-security 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_20597479/article/details/72681834
版权

SpringSecurity学习笔记(一)—— Java配置

Web安全

  1. 创建Security过滤器(通过springSecurityFilterChain负责所有安全过滤请求)

基本例子
`
@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

@Override
protected UserDetailsService userDetailsService() {
    InMemoryUserDetailsManager inMemoryManager = new InMemoryUserDetailsManager();
    inMemoryManager.createUser(User.withUsername("admin").password("123456").roles("SuperAdmin").build());
    return inMemoryManager;
}

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        //确保任何请求应用程序需要经过身份验证的用户
        .anyRequest().authenticated() 
            .and()
        //允许用户进行身份验证和基于表单的登录
        .formLogin()
            .and()
        //允许用户通过HTTP基本认证验证
        .httpBasic();
}

}

`

  • 验证应用程序每一个URL
  • 生成登录表单对象
  • 通过用户/密码进行表单验证
  • 用户注销
  • 阻止CSRF攻击
  • 设置安全请求头
  • 集成servletAPI

AbstractSecurityWebApplicationInitializer确保springSecurityFilterChain得到注册

Http安全和表单登录

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        //确保任何请求应用程序需要经过身份验证的用户
        .anyRequest().authenticated() 
            .and()
        //允许用户进行身份验证和基于表单的登录
        .formLogin()
            .and()
        //允许用户通过HTTP基本认证验证
        .httpBasic();
}

  <http>
    <intercept-url pattern="/**" access="authenticated"/>
    <form-login />
    <http-basic />
 </http>

认证请求

 .authorizeRequests()
            .antMatchers("/admin","/system","/resource").permitAll()
            .antMatchers("/product").hasRole("admin")
            .antMatchers("/dba").access("hasRole('admin') and hasRole('dba')")
            .anyRequest().authenticated()

注销

  • 清除http session
  • 清除rememberme状态
  • 清除上下文SecurityContextHolder

  • 重定向/login?logout

    .logout()
       //如果开启CSRF,请求必须为POST
       .logoutUrl("/logout")
       //注销成功后,跳转页面
       .logoutSuccessUrl("/index")
       //清除无效session
       .invalidateHttpSession(true)
       //自定义LogoutSuccessHandler.class。如果该类生效。忽略logoutSuccessUrl
       .logoutSuccessHandler(logoutSuccessHandler)
       //添加LogoutHandler
       .addLogoutHandler(logoutHandler)                                         
       //删除cookie              
       .deleteCookies(cookieNamesToClear)
LogoutSuccessHandler 的实现类

注销成功后发生的操作

  • SimpleUrlLogoutSuccessHandler
  • HttpStatusReturningLogoutSuccessHandler
LogoutHandler 的实现类

处理必要的清理。例如cookie等

  • PersistentTokenBasedRememberMeServices
  • TokenBasedRememberMeServices
  • CookieClearingLogoutHandler
  • CsrfLogoutHandler
  • SecurityContextLogoutHandler
更多关于注销的文档

< logout >

Remember-Me

通过钩子方法实现自动登录。RememberMeServices接口方法类似如下

autoLogin(req,res)
loginSuccess(req,res)
loginFail(req,res)

HttpServletRequest.logout()

用于记录当前用户。HttpServletRequest.logout()被调用,需要编写一个响应。

认证提供者

Test Logout

mvc
.perform(logout())

CAS单点注销

高级认证

In-Memory
@Bean
public UserDetailsService userDetailsService() throws Exception {
  InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
  manager.createUser(User.withUsername("user").password("password").roles("USER").build());
  manager.createUser(User.withUsername("admin").password("password").roles("USER","ADMIN").build());
  return manager;
}
JDBC
@Autowired
private DataSource dataSource;

@Autowired
public void configureGlobal(AuthenticationManagerBuilder    auth) throws Exception {
 auth
    .jdbcAuthentication()
        .dataSource(dataSource)
        .withDefaultSchema()
        .withUser("user").password("password").roles("USER").and()
        .withUser("admin").password("password").roles("USER", "ADMIN");
}
自定义授权认证
@Bean
public SpringAuthenticationProvider springAuthenticationProvider() {
     return new SpringAuthenticationProvider();
}
自定义身份认证
@Bean
public SpringDataUserDetailsService springDataUserDetailsService() {
  return new SpringDataUserDetailsService();
}
自定义密码加密
@Bean
public BCryptPasswordEncoder passwordEncoder() {
  return new BCryptPasswordEncoder();
}

多个HttpSecurity

@EnableWebSecurity
public class MultiHttpSecurityConfig {
@Bean
public UserDetailsService userDetailsService() throws Exception {
    InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
    manager.createUser(User.withUsername("user").password("password").roles("USER").build());
    manager.createUser(User.withUsername("admin").password("password").roles("USER","ADMIN").build());
    return manager;
}

@Configuration
@Order(1)                                                       1
public static class ApiWebSecurityConfigurationAdapter extends WebSecurityConfigurerAdapter {
    protected void configure(HttpSecurity http) throws Exception {
        http
            .antMatcher("/api/**")                               
            .authorizeRequests()
                .anyRequest().hasRole("ADMIN")
                .and()
            .httpBasic();
    }
}

@Configuration                                                   
public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin();
    }
}

}

方法安全

@EnableGlobalMethodSecurity(securedEnabled = true)
public class MethodSecurityConfig {

}

public interface BankService {

 @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
 public Account readAccount(Long id);

 @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
 public Account[] findAccounts();

 @Secured("ROLE_TELLER")
 public Account post(Account account, double amount);
}

后置处理

.withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                public <O extends FilterSecurityInterceptor> O postProcess(
                        O fsi) {
                    fsi.setPublishAuthorizationSuccess(true);
                    return fsi;
                }
            })

自定义DSLs

public class MyCustomDsl extends AbstractHttpConfigurer<CorsConfigurerMyCustomDsl, HttpSecurity> {
private boolean flag;

@Override
public void init(H http) throws Exception {
    // any method that adds another configurer
    // must be done in the init method
    http.csrf().disable();
}

@Override
public void configure(H http) throws Exception {
    ApplicationContext context = http.getSharedObject(ApplicationContext.class);

    // here we lookup from the ApplicationContext. You can also just create a new instance.
    MyFilter myFilter = context.getBean(MyFilter.class);
    myFilter.setFlag(flag);
    http.addFilterBefore(myFilter, UsernamePasswordAuthenticationFilter.class);
}

public MyCustomDsl flag(boolean value) {
    this.flag = value;
    return this;
}

public static MyCustomDsl customDsl() {
    return new MyCustomDsl();
}       
}

META-INF/spring.factories. 

org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer = sample.MyCustomDsl
墨丶亦轩
关注
专栏目录
SpringSecurity面试题
koushen001的博客
09-28 365
它提供了一套强大的安全性功能,用于保护应用程序的资源,如URL、方法调用、页面等。Spring Security OAuth2是Spring Security的扩展,用于实现OAuth2协议的身份验证和授权。当用户提交表单时,Spring Security会验证令牌的有效性,只有有效令牌的请求才会被处理。当用户尝试登录时,Spring Security会选择合适的提供者来验证用户的身份。Spring Security允许在方法级别对方法进行安全性控制,以确保只有具有特定角色或权限的用户可以调用这些方法。
SpringSecurity学习笔记
HRX98的博客
01-14 482
SpringSecurity
来自面试官的41道 SpringBoot 面试题
Java学习之道
02-24 4682
长按识别下方二维码,即可"关注"公众号每天早晨,干货准时奉上!本文来自“武哥聊编程”编辑 今天跟大家分享下SpringBoot 常见面试题的知识。1什么是sprin...
Spring Security】如何使用Lambda DSL配置Spring Security
Sihang_Xie的博客
01-22 1784
本文将介绍什么是Spring Security中的Lambda DSL,以及如何使用Lambda DSL配置Spring Security
spring security面试
mmmmhello的博客
03-12 1万+
spring security 是构建在一系列filter之上的,这些filter会拦截请求,检测身份信息并将其重定向到身份认证组件或者授权组件,我自己常用的是UsernamePasswordAuthenticationFilter + AuthenticManager + 真正的调用提供者Provider。每一个Filter都要有AuthenticManager ,从而可以用其调用authenticate方法,进而找到ProviderManager 中的Provider 的authenticate方法进行
spring security面试题
热门推荐
小汤圆
11-04 1万+
1、spring security所谓的全局上下文是如何实现的? ThreadLocal 2、了解spring security哪些核心组件,并介绍? AuthenticationManagerBuilder @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configu
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
以上就是Spring Security 学习笔记的第一部分,涵盖了Spring Security的基本使用和内存认证配置。后续的学习中,你将接触到更高级的主题,如自定义认证提供者、权限控制、OAuth2集成等。继续深入学习,你将能够构建...
spring security学习笔记
最新发布
08-02
spring security学习笔记
SpringSecurity笔记,编程不良人笔记
10-28
1. **SpringSecurity核心概念** - **Filter Chain**: SpringSecurity通过一系列过滤器实现其安全功能,这些过滤器构成了Filter Chain。每个过滤器负责特定的安全任务,如认证、授权等。 - **Authentication**: ...
Spring security
12-18
最近带学生做一个权限系统,用的是Spring Security,很多学生都说不好上手,思路比较乱,看书也看不进去。看Spring 的官方例子,只知道copy它的配置,可是不知道具体的细节和原理。 其实这些都不是问题,为了帮助学生理清思路把抽象的东西变的更加具体,我用Freemind 画了一幅Spring Security的一个整体概况图,从大的方向列出了配置一个Spring Security需要的一些东西,包括如何配置,配置文件中应该包括哪些东西, 但是具体的细节大家还是要看书,按照我画的这个图来学习并且动手,相信很快就可以上手。希望这个图对大家有一点点帮助,谢谢!!!
Spring Security简单Demo
08-07
Spring Security简单Demo ........
SpringSecurity常见面试题汇总(超详细回答)
qq_33129875的博客
03-02 1万+
SpringSecurity常见面试题汇总
面试不要在说不熟悉spring security了,一个demo让你使劲忽悠面试官
huangxuanheng的专栏
07-24 2481
简单介绍 自动spring boot 出现以来,spring security 逐渐被流行起来,主要是spring security 一直是被定义为一个重量级的框架,但是spring boot出现以后,就不一样了,spring security 就逐渐变得简单了很多 做java已经有了多年,发现写了几年的项目,都还没有机会接触到spring security 相关的框架,直到2019年来到了一个公司,做企业数字化的公司,才开始对spring security 有一定的接触 spring security
springboot面试之集成springsecurity
wang0907的博客
11-08 164
首先引入springsecurity的起步依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 然后实现抽象类org.springframework.security.config.annotation.web.con
springsecurity视频教程,面试总结+解答分享!
m0_57501529的博客
07-21 611
面试题模块介绍: 一、Java 基础 JDK 和 JRE 有什么区别? == 和 equals 的区别是什么? 两个对象的 hashCode()相同,则 equals()也一定为 true,对吗? final 在 java 中有什么作用? java 中的 Math.round(-1.5) 等于多少? String 属于基础的数据类型吗? java 中操作字符串都有哪些类?它们之间有什么区别? String str="i"与 String str=new String(“i”)一样吗? 如何将字符串反转?
Spring Security(十八):5.9 Post Processing Configured Objects
weixin_30619101的博客
12-17 145
Spring Security’s Java Configuration does not expose every property of every object that it configures. This simplifies the configuration for a majority of users. Afterall, if every property was expos...
java configuration_5. Java Configuration Java配置
weixin_32968105的博客
02-21 598
5.2 HttpSecurity(http安全)到目前为止,我们的网络安全配置只包含如何验证用户身份的信息。Spring Security如何知道我们想要要求所有用户都经过身份验证?Spring Security如何知道我们想要支持基于表单的身份验证?原因是WebSecurityConfigurerAdapter(web安全配置适配器)在configure(HttpseSecurity http)...
Spring Security登录表单配置(3)
weixin_43831002的博客
08-02 2222
接下来,我们在resources/static目录下创建一个login.html页而,这个是我们自定义的登录页面:查看代码这个logmt.html中的核心内容就是一个登录表单,登录表单中有三个需要注意的地方,login.html定义好之后,接下来定义两个测试接口,作为受保护的资源。当用户登录成功 后,就可以访问到受保护的资源。...
springsecurity笔记
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值