SpringSecurity企业认证安全框架【松思园】

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量503 收藏 1
点赞数
分类专栏: springsecurity 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25050537/article/details/113625965
版权

一、序言

1、SpringSecurity简介

它是一款基于Spring项目的安全认证框架,利用了spring ioc,依赖注入和面向切面编程等思想,可以做到身份认证和授权管理等安全机制。
很多时候我们使用系统的某些功能,不同的角色登录,可能看到的导航功能不一样,但单单的从ui层面去控制功能的展示使用时候完全不够的,因为稍微会些web编程的,就会拿到界面按钮和导航条对应的请求路径,通过直接或者模拟传参的方式,也是可以调用后天的接口,拿到数据。真正的安全应该是从请求资源上进行控制,也就是说,对于不同的用户角色,对于后台资源的使用权限是不一样的,具体到程序上就是通过后台处理方法级别的安全认证,这些对于Security时候完全能够达到的。

2、SpringSecurityh 和 Apache Shiro 的区别和选择

这两个都是用于访问权限进行认证的框架,Shiro他的特点是强大且灵活,能够非常清晰的处理身份验证、授权、管理会话以及密码加密等工作。SpringSecurity是spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,他是在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。它的核心功能:身份认证,访问授权,安全防护(防跨站请求等)等
两者的区别:

ShiroSpringSecurity
入手简单;依赖低适用于各种项目;功能简单易于理解上手复杂;依赖于spring框架的项目;功能比 Shiro 更加丰富些

总结:两个都是大组织的开源项目,社区活跃度比较高,两者在安全功能上都较为可靠和稳定,在选择上如果是小型项目,可以入手Shiro,周期较短;如果是大型项目,或者是Spring、微服务相关的,建议直接入手 ,spring一系列的产品,功能的融化较方便。
【该篇博客主要是通过 Springboot+SpringSecurity+MyBatisPlus 实现前后端分离的后端权限认证框架】

二、SpringSecurity 核心知识

1. Springsecurity 关键类和方法

1.1 接口类:UserDetailsService
方法:… loadUserByUsername(String var1) … 实现登录逻辑的具体地方,返回的对象为 UserDetails

1.2 接口类:UserDetails
方法:…getAuthorities()… 获取对应的权限;
方法:…isAccountNonExpired()… 判断账户是否未过期;
方法:…isAccountNonLocked()… 判断账户是否未被锁定;
方法:…isCredentialsNonExpired()… 判断凭证(密码)是否未过期;
方法:…isEnabled()…账户是否启用状态;

1.3 实现类:User---- implements UserDetails
注意:这里的User要和我们实际项目中的数据库实体对象UserEntity区分开;
里面有两个构造方法:
》public User(String username, String password, Collection<? extends GrantedAuthority> authorities) {} 该构造方法调用了下面7个参数的构造方法
》public User(String username, String password, boolean enabled, boolean accountNonExpired, boolean credentialsNonExpired, boolean accountNonLocked, Collection<? extends GrantedAuthority> authorities) {}

1.4 接口类: PasswordEncoder
登录用户密码的加解密功能:
方法:…encode(CharSequence var1)… 加密方法;
方法:…matches(CharSequence var1, String var2)…匹配,第一个是前端传来的明文密码,第二是加密好的密码;
方法:…upgradeEncoding(String encodedPassword)… 对已经加密的密码再次进行加密;
有很多的加解密算法实现类:{BCryptPasswordEncoder-官方推荐的,SCryptPasswordEncoder等等}

1.5 接口类:Authentication
认证功能接口:
方法:…getAuthorities()… 获取权限方法;
方法:…getCredentials()… 获取凭证方法(密码);
方法:…getDetails()… 获取详情的方法;
方法:…getPrincipal()… 获取User;
方法:…isAuthenticated()… 是否是被认证的;

1.6 CSRF知识:
跨域,通过伪造用户请求访问受信任站点的非法请求访问;
springsecurity在4之后,默认是开启了 csrf防护。开启之后,在首次登陆时,会返回 _csrf 值,后面所有的请求都要带上 _csrf 参数值。如果不使用,在 WebSecurityConfigurerAdapter的子类上要加上 http.csrf().disable()

1.7 基于注解的访问控制
Security除了常用的,在configure方法中通过配置的方式设置访问的权限控制,还可以通过注解的形式,但是默认是没有开启的,要在在继承WebSecurityConfigurerAdapter的类上加注解: @EnableGlobalMethodSecurity 进行开启:
在这里插入图片描述
下面是常用权限认证注解:
@EnableGlobalMethodSecurity(jsr250Enabled=true)
开启@RolesAllowed 注解过滤权限

  • JSR-250注解
    @DenyAll 拒绝所有访问
    @RolesAllowed({“USER”, “ADMIN”}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省 略前缀ROLE_,实际的权限可能是ROLE_ADMIN

@EnableGlobalMethodSecurity(prePostEnabled=true)
使用表达式时间方法级别的安全性 4个注解可用

  • prePostEnabled注解
    @preAuthorize注解:表示访问方法或类在执行之前先判断权限,大多数情况下都是使用这个注解,参数是权限表达式;
    @postAuthorize注解:表示方法或者类执行结束之后判断权限,很少被使用的注解;

@EnableGlobalMethodSecurity(securedEnabled=true)
开启@Secured 注解过滤权限

  • securedEnabled 注解
    @Secured() 判断是否有角色的

1.8 WebSecurityConfigurerAdapter 类:适配器
方法:protected void configure(HttpSecurity http) throws Exception{}
作用:用来配置Security的授权策略,也就是http请求策略,什么请求要什么样的权限许可,是链式编程,
在这里插入图片描述

方法:public void configure(AuthenticationManagerBuilder auth) throws Exception { }
作用:用来配置认证信息的,AuthenticationManagerBuilder 主要有两种认证策略:
①.基于内存的用户认证:
在这里插入图片描述
②.基于jdbc的用户认证:
在这里插入图片描述

2. Oauth2 认证

第三方认证技术,主要是解决认证协议的通用标准问题,因为要实现跨系统认证,各系统之间要遵循一定的接口协议。
OAUTH协议为用户资源的授权提供了一个安全的、开放的、简易的标准。任何第三方都可以用OAUTH认证服务,他是开放的,目前发展到了2.0,被广泛的使用。实现 认证 和 资源 服务的分类。
在这里插入图片描述

Oauth 授权认证的模式,目前有四种方式:
①授权码模式:最复杂的最安全的用的最多的一个模式,第三方应用先申请一个授权码,然后再用该码获取令牌;

②隐藏式:RFC 6749 就规定了第二种方式,允许直接向前端颁发令牌。这种方式没有授权码这个中间步骤,所以称为(授权码)“隐藏式”(implicit);
③密码式:如果你高度信任某个应用,RFC 6749 也允许用户把用户名和密码,直接告诉该应用。该应用就使用你的密码,申请令牌,这种方式称为"密码式"(password)
④凭证式:适用于没有前端的命令行应用,即在命令行下请求令牌。
详细可参考博客.

3. JWT 标准

他是一种开放的 WEB 行业标准,定义了一种协议格式,分为三段:头部、荷载和签名。

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiIwMTkwMTMiLCJleHAiOjE2MTM3NTgxNjUsImNyZWF0ZWQiOjE2MTM3MTQ5NjUwMzYsImF1dGhvcml0aWVzIjpbeyJhdXRob3JpdHkiOiJTWVM6Uk9MRV9TVVBfQURNSU46REVMRVRFIn1dfQ.Yar_GOyXadHJJj-sqpwmuhXoL9SZZKaRAh3q3HGX7qDOFWayjbziDgwJ8UfCEjc4ogqErki8q8qZ5zD3crwuYA

头部:关于该 JWT 的最基本的信息,如类型以及签名所用的算法。
荷载(负载):存放有效信息的地方,如过期时间。该部分是通过base64编码,不要存放重要信息。
签名:存的是签证信息(头部编码后的字符串+荷载编码后的字符串+盐 再进行base64 的编码形成)注意这里的盐保存在服务端的,是保密的,这部分也是他安全性的保证。

JWT 令牌的优点:

  • 基于 json,方便解析;
  • 可以在令牌中自定义丰富的内容,易扩展;
  • 安全性较高;
  • 资源服务使用 JWT 可以不依赖认证服务就完成授权(这点要和我们通过Oauth 授权认证模式进行区分)。

JJWT 和 JWT 的关系:
JJWT 是一个提供端到端的JWT创建和验证的Java库,永远的免费和开源, 官网.
我们在spring项目中可以通过jjwt进行生成和验证jwt。

松思园
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于springmvc的轻量级安全认证框架
08-08
抛弃Shiro、Spring Security安全框架繁琐的配置,改为注解实现权限管理,配合Spring MVC的RequestMapping注解,完美实现细粒度的权限控制。
北圣思园Hibernate源代码及课件
11-29
【标题】"北圣思园Hibernate源代码及课件"是一个专门针对Java开发框架Hibernate的教育资源,由知名教育机构北圣思园提供。这个资源包含了详细的源代码实例和配套的课件,旨在帮助学习者深入理解和掌握Hibernate在...
Spring Security 安全认证框架入门
weixin_36215129的博客
12-19 262
Spring Security 安全认证框架入门 应用场景 包括但不限于登录验证 用户权限管理 如何使用 下面搭一个demo入门案例(idea创建)完全不用写java类 1:使用骨架创建maven-webapp工程 &gt; &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;!--配置未登录放行的页面资源--&gt; &lt;secur...
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 3323
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
Springboot 整合shiro实现权限控制
qq_40699540的博客
11-02 350
Springboot 整合shiro实现权限控制 Author:jeffrey Date:2019-04-08 一、开发环境: 1、mysql - 5.7 2、navicat(mysql客户端管理工具) 3、idea 2017.2 4、jdk8 5、tomcat 8.5 6、springboot2.1.3 7、mybatis 3 8、shiro1.4 9、maven3.3.9 二、数据库设计 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CB46ByC1-1604249108
Spring Security安全认证框架
孤独の根号三
06-16 264
目录:一、Spring Security 简介二、Spring Security 下载三、Spring Security 快速入门 一、Spring Security 简介 官网: https://spring.io/projects/spring-security 二、Spring Security 下载 三、Spring Security 快速入门
Spring Security 安全认证框架
javasimawanyi的博客
09-07 84
Spring Security是一种基于Spring框架安全框架,它提供了一系列的安全工具和功能,用于保护Web应用程序和服务。Spring Security可以用于管理用户身份验证、授权、会话管理等安全方面的功能,同时还支持许多常见的安全协议和标准,如OAuth、OpenID等。通过使用Spring Security,开发人员可以更轻地实现安全性,以保护其应用程序和服务。
AutoCAD设计图纸园博会寄思园中心公园展区规划设计施工图-dwg源格式.zip
11-27
《AutoCAD设计在园博会上的应用——以“寄思园”中心公园展区为例》 AutoCAD,全称为Autodesk Computer Aided Design,是一款由Autodesk公司开发的专业计算机辅助设计软件,广泛应用于土木工程、建筑地产、毕业设计...
2011Esri中国用户大会-企业级空间数据库管理策略
10-11
### 企业级空间数据库管理策略——基于2011 Esri中国用户大会 #### 一、ArcSDE简介 **ArcSDE**是Esri公司推出的一款高级空间数据服务器产品,用于存储、管理和分发地理空间数据。它作为地理信息系统(GIS)的核心...
张龙老师java课件
04-04
6. **面向对象之封装**:深入讨论如何设计和实现类,以及如何通过封装保护数据的安全性。 7. **理解面向对象程序设计**:探讨面向对象设计的原则和最佳实践,帮助学生从更抽象的角度理解编程。 张龙老师的课程旨在...
统一安全认证(基于Spring Security 3)
09-21
Java语言开发的统一角色访问控制系统(Unified Role Access Control System),基于Spring Security 3实现的权限控制系统 程序框架版本说明:Spring MVC 3.0.6 + Spring Security 3.1.3 + Hibernate 3.6.10 运行演示例子: 例子使用的是MySQL数据库,也可以支持其它数据库 使用 CreateDb_MySQL.sql 创建好数据库,然后将 URACS.Web.war 部署到 Tomcat下 数据库连接默认使用root用户,密码123456(可修改 jdbc-app.properties 文件) 启动Tomcat,访问 http://127.0.0.1:8080/URACS.Web 可使用超级用户 admin,密码 admin 登录 开发者:李锡远 人称:远哥 博客:http://taven.cnblogs.com 开源地址:https://github.com/tavenli/URACS QQ:17020415
SpringBoot集成SpringSecurity
学不死就往死里学
08-14 755
SpringSecurity 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应
Spring Security 安全认证
Demo_Null
10-12 921
Spring Security 动态配置用户以及加密算法
安全框架Spring Security认证和授权)
YINJOER的博客
08-16 636
Spring Security 今天从以下几个内容介绍: Spring Security简介 Spring Security的Maven依赖 Spring Security使用 Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://projects.spring.io/spring-security/ Spring Security的Maven依赖 如果
Spring Securityspring安全框架(认证总结)
程序员小白
06-13 1800
安全框架
Spring Security 安全认证(动态用户登录,加密)
09-03 2282
第一步写配置文件 :编写安全认证的配置文件 spring-security.xml security="none"设置此资源不被拦截. login-page:指定登录页面。 authentication-failure-url:指定了身份验证失败时跳转到的页面。 default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。 csrf d...
SpringSecurity认证
chenxingxingxing的博客
07-13 1088
Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。
spring-security安全认证服务框架搭建
m0_56162492的博客
08-03 870
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。() Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。.........
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值