spring-security探索

最新推荐文章于 2024-08-29 18:05:57 发布
最新推荐文章于 2024-08-29 18:05:57 发布
阅读量745 收藏
点赞数
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_27046703/article/details/103183040
版权

探索的起因

因为系统需要,需要搭建一个统一用户系中心和权限系统。经过多番了解,找到了spring-security,针对官方文档加上一些零散的资料和自己的理解来表达自己对spring-security的看法。

简单了解security

这是spring关于访问控制,鉴权封装的一个模块,官网比较明确的给出了比较简单的模板实现
在这里插入图片描述
这个实现是最简单的实现,具体做法就是启用注解@EnableWebSecurity 表示开启security,模板比较粗暴,对于所有进来的请求都做了拦截,并且要等输入账号密码登录,如图账号 user 密码 password,同时用户角色是一个普通的USER。 spring封装了一个登录页面,便于交互,没有什么好说的。

接下去我们需要重点关注官方提到的几个类, UserDetailsService,WebSecurityConfigurerAdapter,AuthenticationProvider,AuthenticationManagerBuilder,WebSecurity,HttpSecurity.

  1. UserDetailsService 是一个接口,里面只有一个方法loadUserByUsername(String var1) 见名知意,这个方法我们可以写一个类去实现, 结合实际场景,我们会根据username(账号名称、用户名称)去查询相关的数据库内容,同时包装成UserDetails对象返回。 这个在效验账号信息的时候会用到,通过比对账号密码判断是否合法等。
  2. WebSecurityConfigurerAdapter,这个类包含了security很多过滤的默认实现。这里重点我只关注了几个方法
    在这里插入图片描述
    这三个方法表示我们对security请求过程的一系列处理,例如:
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    最常用的是 HttpSecurity 和 AuthenticationManagerBuilder,主要表达了对于访问过程的过滤和用户权限的管理。围绕着三个类继续展开,我们可以继续接触到security关于过滤链的一些设计。在官网上对这部分描述不多,更多的是介绍了security和其他模块的整合,比如有LDAP,OAuth2。

用途

security似乎需要你把前端的模块搬到整个后端中,这样它才能对你的资源进行控制(某个用户有访问某个连接地址的权限,某个前端模块的权限,某些静态资源的访问等)。
对于这个结论,我想研究一下前后端分离的情况下如何使用或者有没有优雅的做法。

后续更新…

jy.w
关注
专栏目录
阿里大佬整理分享Spring Security王者晋级文档,实在太香了
Java6888的博客
09-25 768
Spring是一个非常流行和成功的 Java 应用开发框架。SpringSecurity是Spring家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对...
精彩:Spring Security 演讲PPT
08-31
Spring Security 演讲PPT(演讲嘉宾:张明星) WebSphere技术专家沙龙在广州圆满举办,WSC超级版主Fastzch(张明星)担任本次沙龙的演讲嘉宾,他给广州的WebSphere技术专家带来了以“Spring Security ”为主题的精彩演讲! 主题: Spring Security —— 演讲者 张明星 1、Traditional Web App Security Dev 2、Spring Security 2.x Quick Start 3、Spring Security 2.x Overview 4、Dive Into Spring Security Authentication Authorization 5、Development Experiences & Demo 6、Q & A 张明星 5年以上保险、电信大中型项目开发经验,对JavaEE有较深入理解,WebSphere中文社区(WebsphereChina.net)超级版主及WebSphere产品版块版主,对开源有较大兴趣。
深入理解Spring Security
最新发布
weixin_51052174的博客
08-29 1010
Spring Security是一个功能强大且灵活的安全框架,专为保护基于Spring的应用程序而设计。它提供了一系列安全服务,包括身份验证、授权、攻击防护、会话管理等,帮助开发者轻松实现应用程序的安全控制。
spring security学习,你妹真难
chiyingliao3565的博客
11-04 792
spring security可分一下几个: 1Web/HTTP 安全- 最复杂的部分。设置过滤器和相关的服务bean 来应用框架验证机制,保护URL,渲染登录和错误页面还有更多。业务类(方法)安全- 可选的安全服务层。 2AuthenticationManager - 通过框架的其它部分...
Spring Security最难的地方就是这个了
程序员高级码农的博客
03-09 995
是对的实现。@Override//构建的核心逻辑由钩子方法提供// 获取构建目标对象if (!/*** 钩子方法*/它通过原子类对构建方法build()每个目标对象只能被构建一次,避免安全策略发生不一致的情况。构建方法还加了final关键字,不可覆写!构建的核心逻辑通过预留的钩子方法doBuild()来扩展,钩子方法是很常见的一种继承策略。另外还提供了获取已构建目标对象的方法getObject。❝一句话,构建的活我只干一次。
你了解Spring Security安全管理框架吗?
N_01040709的博客
08-02 301
起因是Spring开发者邮件列表中一个问题,有人提问是否考虑提供一个基于Spring的安全实现。(在最开始并没有认证模块,所有的认证功能都是依赖容器完成的,而acegi则注重授权。但是随着更多人的使用,基于容器的认证就显现出了不足。利用SpringIoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。1.认证是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。...
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
spring-security-playground
03-14
通过探索这个项目,我们可以学习到Spring Security在实际应用中的核心概念和配置。 1. **Spring Security基础**: Spring Security提供了全面的身份验证和授权机制,包括基于角色的访问控制(RBAC)、HTTP安全头...
spring-security-learning:security学习
05-17
Spring Security 是一个强大的且高度可定制的 Java 安全框架,用于保护基于 Spring 的应用程序..."Spring Security Learning"项目将帮助我们逐步探索这些知识点,通过实践加深理解,从而构建更安全的 Spring 应用程序。
spring-security-jwt-auth:JWT的Spring Security培训资源-S2IT孵化器
05-19
为了进一步学习,你可以探索项目源代码,了解如何集成这些组件并自定义Spring Security的配置。此外,你还可以研究如何设置HTTPS以提高通信安全性,以及如何处理JWT的刷新和撤销。 总之,"spring-security-jwt-auth...
spring-security-demo:这是一个学习弹簧安全性的演示项目
04-18
在这个名为 "spring-security-demo" 的项目中,我们将会探索 Spring Security 的核心概念、配置以及如何在实际应用中实现它。 1. **核心概念** - **身份验证**:验证用户的身份,通常通过用户名和密码。Spring ...
SpringSecurity 你值得学习!!!
DrewWong的博客
11-11 436
JAVA安全框架简介 文章目录SpringSecurity功能介绍和原理分析一、基本原理二、认证流程详解三、个性化用户认证流程1、修改登录成功后返回json数据2、修改处理登录失败后返回json数据3、配置提示信息为中文四、实现图形验证码或短信验证码功能1、编写生成验证码图片的接口2、编写自定义的过滤器,完成验证码校验3、在spring Security中配置过滤器五、实现记住我功能六、SESSION管理Spring Security的Session控制七、授权7.1、Spring Security授权流程
说实话,其实Spring Security并没有看起来那么复杂(附源码)
Java烂猪皮
02-04 1045
权限管理是每个项目必备的功能,只是各自要求的复杂程度不同,简单的项目可能一个 Filter 或 Interceptor 就解决了,复杂一点的就可能会引入安全框架,如 Shiro, Spring Security 等。 其中 Spring Security 因其涉及的流程、类过多,看起来比较复杂难懂而被诟病。但如果能捋清其中的关键环节、关键类,Spring Security 其实也没有传说中那么复杂。本文结合脚手架框架的权限管理实现(jboost-auth模块,源码获取见文末),对 Spring Secur.
Spring Security优劣之我见
开源权限管理中间件Ralasafe
04-09 1120
Spring Security优劣之我见   拜读了Spring Security相关帖子和Spring Security参考文档。现将我理解的Spring Security写下来和大家共享。   本文目的是从Spring Security能够提供的功能、以及基本原理角度分析,并不深入到如何编码。然后反过来,审查我们的软件系统需要哪些权限控制。进而...
spring security
qq_48254516的博客
08-19 136
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求 特征 对身份验证和授权的全面且可扩展的支持 防止攻击,例如会话固定,点击劫持,跨站点请求伪造等 Servlet API集成 与Spring Web MVC的可选集成 多得多…
关于Spring Security的一些坑(持续更新)
长门有一
06-11 2163
问题一 使用springboot,权限管理使用spring security,使用内存用户验证,但无响应报错:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id “null” 这个问题极其坑爹. 究其原因是因为我看的springboot的视频版本太老了导致的: 原先的代码: ...
初步理解Spring Security并实践
north hunter
05-31 480
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。<dependency> <!-- 由于我使用的spring boot所以我是引入spring-bo...
SpringSecurity 使用过后的感受
走到无路可退
08-05 875
SpringSecurity 一款权限框架,第一次配置真的是搞毛了。 首先导包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security<...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值