Spring Security 的常用方法介绍

最新推荐文章于 2024-11-15 14:09:57 发布
最新推荐文章于 2024-11-15 14:09:57 发布
阅读量427 收藏 6
点赞数 10
文章标签: spring sql java 前端 javascript 开发语言 数据库
❀本篇博客为博主原创文章,未经博主允许不得转载。❀
本文链接:https://blog.csdn.net/qq_21484461/article/details/139692531
版权

当使用Spring Security时,有几种常见的方法和配置模式可以帮助您更好地保护和管理应用程序的安全性。除了上文中已经介绍的基本配置、自定义认证、方法级安全性和异常处理之外,还有一些其他重要的方法和技术,让我们来详细了解它们。

常用方法和技术

1. 使用表达式进行授权

Spring Security 提供了强大的表达式语言(SpEL),您可以在配置中使用这些表达式来定义访问规则和权限控制。主要的表达式有:

  • hasRole(role): 当前用户必须具有指定角色才能访问。
  • hasAnyRole(role1, role2): 当前用户必须具有指定角色中的至少一个才能访问。
  • hasAuthority(authority): 当前用户必须具有指定权限才能访问。
  • hasAnyAuthority(authority1, authority2): 当前用户必须具有指定权限中的至少一个才能访问。
  • permitAll: 允许所有用户访问。
  • denyAll: 拒绝所有用户访问。
  • isAuthenticated(): 当前用户必须是认证过的。
  • isAnonymous(): 当前用户必须是匿名的。
  • hasIpAddress(ipAddress): 当前请求必须来自指定 IP 地址才能访问。

示例:

http.authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")
    .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
    .antMatchers("/public/**").permitAll()
    .anyRequest().authenticated()
    .and().formLogin();
2. Remember Me 记住我功能

使用 Spring Security 的 Remember Me 功能可以实现“记住我”的自动登录功能。用户登录后,即使关闭浏览器,下次访问时也会保持登录状态。

配置示例:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.rememberMe()
        .tokenValiditySeconds(86400) // 设置记住我 token 的有效时间(秒)
        .key("myRememberMeKey") // 设置记住我 token 的密钥
        .userDetailsService(userDetailsService);
}
3. 注销功能

Spring Security 提供了注销功能,使用户可以安全地退出应用程序,并进行相关清理操作(如使记住我 token 失效)。

配置示例:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.logout()
        .logoutUrl("/logout") // 注销 URL,默认是 /logout
        .logoutSuccessUrl("/login?logout") // 注销成功后跳转的 URL
        .invalidateHttpSession(true) // 注销后使 HttpSession 无效
        .deleteCookies("JSESSIONID"); // 删除指定的 cookies
}
4. 密码加密

Spring Security 推荐存储用户密码时使用加密,并提供了多种加密算法支持。一般情况下,建议使用 BCrypt 加密算法。

示例:

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService)
        .passwordEncoder(passwordEncoder());
}
5. 并发登录控制

Spring Security 允许您控制同一用户同时可以有多少个活动会话。默认情况下,Spring Security 不限制同一用户的并发会话数量。

配置示例:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.sessionManagement()
        .maximumSessions(1) // 允许的最大会话数
        .maxSessionsPreventsLogin(false) // 当达到最大会话数时,是否阻止新的登录
        .expiredUrl("/login?expired"); // 会话过期后跳转的 URL
}
6. OAuth2 和 OpenID Connect

Spring Security 提供了 OAuth2 和 OpenID Connect 的支持,使您可以在应用程序中集成第三方身份验证提供者,如 Google、Facebook 等。

示例:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.oauth2Login()
        .loginPage("/login") // 设置自定义登录页面
        .userInfoEndpoint()
        .userService(oAuth2UserService); // 设置自定义的 OAuth2 用户服务
}

总结

Spring Security 提供了丰富的功能和配置选项,可以帮助您轻松地保护和管理应用程序的安全性需求。通过以上常用方法和技术的配置和使用,可以根据具体的业务需求和安全策略来灵活地进行定制和扩展。随着 Spring Security 的不断发展和更新,建议查阅最新的官方文档和社区资源,以获取最佳实践和安全性建议。

繁依Fanyi
关注
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security保护用户密码常用方法详解
09-07
Spring Security 是一个强大的安全框架,用于管理Web应用和企业级应用的安全性。在Spring Security中,保护用户密码是非常关键的一环,因为不安全的密码处理可能导致严重的安全问题。本文将详细解析Spring Security...
SpringSecurity前后端分离常用类解析
qq_39006954的博客
05-26 316
SpringSecurity前后端分离常用接口,类解释文章所用图中的自定义代码来自码云的一个开源项目https://gitee.com/y_project/RuoYi-VueUserDetails(扩展用户字段)UserDetailsService (用于存取用户给框架内的其它组件使用)AuthenticationEntryPoint (解决匿名用户访问无权限资源时的异常,就是通常所说的未登录)AccessDeineHandler (解决认证过的用户访问无权限资源时的异常,就是通常所说的无权限)Logout
Spring Security】基本功能介绍
m0_45406092的博客
03-24 5576
@Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired VerifyCodeFilter verifyCodeFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(verifyCode
Spring Security——入门介绍
代码星辰的博客
10-05 3324
Spring Security——入门介绍
SpringBoot3】Spring Security 常用注解
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 1909
Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。 - `@Secured` :方法执行前检查,直接判断有没有对应的角色 - `@PreAuthorize`:方法执行前检查,根据SpEL表达式执行结果判断是否授权 - `@PostAuthorize`:方法执行后检查,根据SpEL表达式执行结果判断是否授权
使用 Spring Security 进行方法级别的安全控制
FireFox1997
07-03 375
除了内置的表达式,还可以创建自定义的权限表达式。// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }// 实现自定义的权限验证逻辑 return true;} }
SpringSecurity常用过滤器介绍
Leon_Jinhai_Sun的博客
11-15 708
SpringSecurity常用过滤器介绍 过滤器是一种典型的AOP思想 SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新一SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文。SecurityContext中存储了
SpringSecurity 快速入门
时间如瑾 代码如诗
07-24 1097
在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证。认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。简单说: 认证就是让系统知道我们是谁。如何实现授权?
Spring Security简介和原理
0
01-29 1247
Spring SecuritySpring提供的安全认证服务的框架。使用Spring Security可以帮助我 们来简化认证和授权的过程。--security启动器-->
SpringSecurity.pdf
05-24
Spring Security框架中,RBAC(Role-Based Access Control,基于角色的访问控制)是一种常用的授权方法。在这种方法中,角色是指与一系列权限相关联的用户分组。在用户、角色、权限、菜单之间,存在复杂的多对多...
详解spring security 配置多个AuthenticationProvider
08-30
本文将详细介绍如何在 Spring Security 中配置多个 AuthenticationProvider。 首先,让我们了解 Spring Security 的大体架构。Spring Security 由一堆 Filter 实现,包括 LogoutFilter、...
springsecurity原理流程图.pdf
09-08
认证成功后,Spring Security会将认证信息存储在session中,并通过调用sessionStrategy.onAuthentication方法来处理与session相关的操作。 b. 最终,会执行successfulAuthentication方法,该方法可以被子类覆盖以...
Spring IOC容器简介
最新发布
将军不下马,各自奔前程
11-15 228
依赖注入 (DI) 是 IoC 的一种特殊形式,对象通过构造函数参数、工厂方法的参数或在对象实例构造或从工厂方法返回后属性的set方法来定义其依赖关系(即它们使用的其他对象)。org.springframework.beans 和 org.springframework.context 包是 Spring Framework 的 IoC 容器的基础。在 Spring 中,构成应用程序架构并由 Spring IoC 容器管理的对象称为 bean。Bean 以及它们之间的依赖关系反映在容器使用的配置元数据中。
javax.mail-SpringBoot实现邮件发送
张刚的博客
11-14 350
javax.mail实现邮件发送 SpringBoot邮件发送 1、邮件发送环境准备 2、POP3/IMAP/SMTP协议区别 3、java实现邮件发送 工具类可以开箱即用,工具类很全面,支持以下几点: 1、支持抄送人 2、支持密送人 3、支持附件 4、支持html格式的邮件
SpringBoot 实现图片加水印
心猿意码
11-11 422
通过上述步骤,我们可以在SpringBoot项目中实现一个简单的图片加水印功能。当然,实际应用中可能需要更复杂的水印处理,比如水印图片、调整水印位置等,可以根据需求进行相应的扩展和优化。
基于Java+SpringBoot在线考试系统
源码好优多
11-12 402
项目编号:springbootA004传统的教育方式受限于时间和空间,无法满足人们的灵活学习需求。而在线教育通过利用互联网技术,打破了传统教育的限制,提供了更加灵活、自主、便捷和高效的学习途径。在线考试作为在线教育的一部分,成为了评估学生学习成果的重要手段。传统的考试方式存在很多缺点,如需要纸质试卷、人工评分、时间和空间限制等。这些问题不仅增加了教师的工作量,也限制了考试的效率和准确性1.管理员。
Spring AOP
学无止境
11-12 810
2.目标对象(实现行为)3.
SpringCloud篇(注册中心 - Eurea)
wlcass zhengge blog
11-13 761
下面,我们将order-service的逻辑修改:向eureka-server拉取user-service的信息,实现服务发现。spring会自动帮助我们从eureka-server端,根据userservice这个服务名称,获取实例列表,而后完成负载均衡。① user-service服务实例启动后,将自己的信息注册到eureka-server(Eureka服务端),这个叫服务注册。最后,我们要去eureka-server中拉取user-service服务的实例列表,并且实现负载均。
Spring Security 2.0:入门与实战教程
2. **Spring Security 2.x快速入门**:对于初次接触Spring Security的新手,这部分提供了一个快速上手的指南,介绍了如何集成和配置Spring Security到Web项目中。 3. **Spring Security 2.x概述**:深入探讨Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

繁依Fanyi

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值