SpringSecurity安全框架---概念以及入门代码

最新推荐文章于 2022-11-07 20:18:02 发布
最新推荐文章于 2022-11-07 20:18:02 发布
阅读量241 收藏
点赞数
分类专栏: Spring Security 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32923295/article/details/115673678
版权

前言

SpringSecurity说起来真的很重,在SSM中整合需要配置的项太多,但是流程比较清晰。在springboot中却很简单,但是流程又不太清晰,所以近期研究学习spring boot 整合SpringSecurity并且梳理流程

SpringSecurity是什么?

Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

说的直白一点,Spring Security就是一个登陆的安全框架,不用大量的开发登陆安全代码

让我们回想一下,在传统的开发中的,我们登陆是怎么做的呢?

1.开发登陆页面

2.登陆请求后台,后台去判断账号密码的正确性、用户的权限、传输之间的加解密、防注入攻击代码、防跨站攻击代码

这样写其实没问题,Spring Security只是整合这些并且简化代码。但是可读性,个人认为变差。

Spring Security提供的功能

  • 认证
  • 授权
  • 攻击防护(防止伪造身份)

认证(authentication)

认证指的是,建立西永使用者信息的过程。这里的使用者可以是一个用户,设备,和可以在应用程序中执行某种操作的其他系统。我们这里直说用户认证。

用户认证一般要求用户提供用户名和密码,系统通过检验用户名和密码的正确性来完成认证的通过或者拒绝的过程。

Spring Security支持主流的认证方式,包括HTTP基本认证、HTTP表单验证、HTTP摘要认证、OpenID和LDAP等。(后面会有demo,使用HTTP表单验证)

Spring Security进行验证的步骤如下:

1.用户使用用户名和密码登陆

2.过滤器(UsernamePasswordAuthenticationFilter)获取到用户名、密码,然后封装成Authentication.

3.AuthenticationManager认证token(Authentication的实现类传递)

4.AuthenticationManager认证成功,返回一个封装了用户权限信息的Authentication对象,用户的上下文信息(角色列表等)

5.Authentication对象赋值给当前的SecurityContext,建立这个用户的安全上下文(通过调用SecurityContextHolder.getContext().setAuthentication())

6.用户进行一些受到访问控制机制保护的操作,访问控制机制会依据当前安全上文信息检查这个操作所需的权限。

授权(authorization)

授权其实就是允许用户去操作那些页面,或者那些页面不需要用户信息就直接能访问。权限格式是固定格式:“ROLE_“,例如ROLE_ADMIN

入门代码

使用idea创建springboot项目引入spring security组件即可

生成的pom.xml,使用idea引入默认spring security 5

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.4.5</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.example.security</groupId>
    <artifactId>demo1</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>demo1</name>
    <description>Demo project for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>

</project>

我们入门的项目就搭建好了,让我们启动一下

我们可以看到控制台上输出了security password,security默认提供登陆页面,自动生成的一个登陆密码(此登陆密码,每启动一次会改变一次),账号是user。(在实际开发不会使用这个页面的),让我们访问一下http://localhost:8080/login

使用上面的账号密码登陆

看到这个错误页面,说明已经登陆成功了,因为在跳转的时候,我们没有设置跳转页面,所以404了

好了,入门代码就到此为止了。

下一篇文章,我们来做security的登陆验证。

俺是农村的
关注
专栏目录
Spring Security安全框架简介入门
差不多先生
12-31 583
1.Spring Security简介   Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在      Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注        入)和A...
SpringSecurity框架教程-Spring Security+JWT实现项目级前端分离认证授权
最新发布
m0_45209551的博客
05-10 1025
SpringSecurity框架使用到讲解
SpringSecurity安全框架
江七
10-11 634
1、 SpringSecurity简介 1.1 安全框架概述 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.1.2 常用安全框架 Spring SecuritySpring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inver
简述SpringSecurity安全框架
weixin_44820671的博客
11-07 902
简述SpringSecurity安全框架
Spring Security【一】框架概述
博客
03-04 668
视频链接:SpringSecurity框架教程 文章源码:https://github.com/geyiwei-suzhou/spring-security 前置知识 Spring Spring Boot Java WEB Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization) 用户认证:系统认为用户是否能登录 用户授权:系统判断用户是否有权限去做某些事情 Spring Security 对比 Shiro Spring Security Shi.
SpringSecurity框架个人理解
chidang3244的博客
07-19 325
首先springsecurity框架主要是用于安全,权限这一块的。是集成在spring框架中的。 本文可能都是文字,读起来比较枯燥,而且没见过的词和概念会比较多,可能会难理解。但是这肯定比网上其他的文章来的直接,最直接的理论干货(程度在我的理解上)。 springsecurity的使用方法...
Spring Security安全框架入门
热门推荐
小宝鸽
02-04 1万+
一、Spring Security相关概念1.1.、Spring Security介绍:Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架(简单说是对访问权限进行控制嘛)。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Depend
Spring Security安全框架 入门及基于微服务单点登录认证】
qq_46652775的博客
03-17 5533
文章目录前言一、Spring Security概念二、Spring Security的实现原理1.过滤器链的各个进行说明:2.简易流程概述:3. 具体认证流程三 、springsecurity使用redis实现单点登录四 、测试认证服务器的功能五、认证服务器也可以是资源服务器 前言 Spring Security是一个当前流行的安全框架,它不仅实现了访问资源(crud)权限的控制,还可以基于它可以实现单点登陆认证业务. 本文主要介绍Spring Security概念,认证及权限控制原理,以及单点登录的实
spring-security-reference-4.2.2.pdf
09-01
Spring Security是为基于Spring框架的应用提供安全性解决方案的一个框架Spring Security 4.2.2版的使用手册详细介绍了这个版本的相关功能、配置方法、使用示例等。手册从基础概念出发,逐步深入到具体技术实现,...
权限管理框架-spring-Sercurity概念及快速入门步骤代码详解
lilei的博客
03-19 3688
SpringSecurity概念 SpringSecurity是一个安全管理框架,提供了认证与授权这些基本操作 认证: 用户访问系统,系统校验用户身份是否合法的过程就是认证。常见的认证: 登陆认证。 授权:用户认证后,访问系统资源,校验用户是否有权限访问系统资源的过程就是授权访问校验,简称为授权。权限校验过程:1.获取用户的权限; 2. 知道访问资源需要的权限;3.拿着访问资源需要的权...
Spring Security(一)- SpringSecurity 框架简介
及时当勉励,岁月不待人
09-19 1820
Spring Security(一)- SpringSecurity 框架简介
SpringSecurity 01: SpringSecurity 框架简介
weixin_42468607的博客
04-20 270
一、概要 Spring SecuritySpringJava 应用开发框架)家族成员,SpringSecurity 基于Spring 框架,提供例如一套Web 应用安全性的完整解决方案 关于安全方面的两个主要区域是“认证” 和“ 授权” (或者访问控制)Web 应用的安全性包括以下两个部分,也是SpringSecurity要核心功能: 用户认证(Authentication) 用户授权(Authorization) (1)用户认证: 用户认证指的是:验证某个用户是否为系
[SpringSecurity]框架概述
m0_51955470的博客
02-28 134
概要 Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 要核心功能。 (1
Spring Security 的大体框架和原理
caomiao2006的专栏
07-02 722
(1)在web.xml中配置过滤器,这样就可以控制这个项目的每个请求。 (2)在applicationContext.xml配置,其中http标签配置如何截用户请求,和配置用户认证(固定用户、使用数据库管理用户)。 (3)过滤器最上层为HttpSessionContextIntegrationFilter、然后是LogoutFilter (4)spring security
java security 系列 什么是安全框架(一)
weixin_44684812的博客
09-02 638
java security 安全框架潜入深出系类 security 简介 security 简介
SpringSecurity安全框架(基础入门)
weixin_48948094的博客
08-09 719
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Spring Security 框架简介、配置、入门demo
向日的知识小站
06-11 787
一、SpringSecurity简介       Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能...
Spring Security快速上手(含代码
qq_35254085的博客
04-06 175
1、Spring Security介绍 Spring 是一个非常流行和成功的java应用开发框架Spring Security 基于Spring 框架,提供了一套web应用安全性的完整解决方案。 Web 应用的安全性包括两部分: 用户认证(Authentication) 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 用户授权(Authorization) 用户授权指的是验证某个用户是否有权限执
Shiro与Spring-Security的比较
李永志的博客
05-04 628
我们一般常用的安全框架也就是**Shiro**和**Spring-Security**了,关于这两个框架我们就不做过多的介绍了,前面两篇博客都对他们进行了简单的介绍,现在对这两个框架做个简单的大家对比方便技术选型
AG-Admin:Spring Cloud微服务框架实战指南
- **Spring Security**:学习用户认证和授权的核心概念及实现方式。 - **Vue.js**:熟悉前端开发框架,特别是Vue.js的基本用法和高级特性。 - **Maven和Git**:掌握基本的项目构建和版本控制技能。 - **数据库...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值