Spring Security三

最新推荐文章于 2024-05-30 15:04:31 发布
最新推荐文章于 2024-05-30 15:04:31 发布
阅读量459 收藏 1
点赞数
分类专栏: SpringBoot 文章标签: java spring shiro spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34800986/article/details/106474146
版权

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求

授权
所谓的授权,就是用户如果要访问某一个资源,我们要去检查用户是否具备这样的权限,如果具备就允许访问,如果不具备,则不允许访问。

准备测试用户
因为现在还没有连接数据库,所以测试用户还是基于内存来配置。

基于内存配置测试用户,有两种方式,第一种就配置方式,如下:


        @Override
        protected void configure(AuthenticationManagerBuilder auth) throws Exception {
            auth.inMemoryAuthentication()
                    .withUser("yuzb")
                    .password("123").roles("admin")
                    .and().
                    withUser("yu")
                    .password("123").roles("user");
        }

由于 Spring Security 支持多种数据源,例如内存、数据库、LDAP 等,这些不同来源的数据被共同封装成了一个 UserDetailService 接口,任何实现了该接口的对象都可以作为认证数据源。

因此还可以通过重写 WebSecurityConfigurerAdapter 中的 userDetailsService 方法来提供一个 UserDetailService 实例进而配置多个用户:

 @Bean
    protected UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("a").password("123").roles("admin").build());
        manager.createUser(User.withUsername("b").password("123").roles("user").build());
        return manager;
    }

以上任选其一

准备测试接口

@RestController
public class SecurityController {  @GetMapping("/hello")
public String hello() {
    return "hello";
}

    @GetMapping("/admin/hello")
    public String admin() {
        return "admin";
    }

    @GetMapping("/user/hello")
    public String user() {
        return "user";
    }
}

这三个测试接口规划是这样的:

  • /hello 是任何人都可以访问的接口
  • /admin/hello 是具有 admin 身份的人才能访问的接口
  • /user/hello 是具有 user 身份的人才能访问的接口
  • 所有 user 能够访问的资源,admin 都能够访问
    注意第四条规范意味着所有具备 admin 身份的人自动具备 user 身份。

配置
接下来来配置权限的拦截规则,在 Spring Security 的 configure(HttpSecurity http) 方法中,代码如下:

 http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("admin")
                .antMatchers("/user/**").hasRole("user")
                .anyRequest().authenticated()
                .and()

这里的匹配规则采用了 Ant 风格的路径匹配符,Ant 风格的路径匹配符在 Spring 家族中使用非常广泛,它的匹配规则也非常简单:
在这里插入图片描述
上面配置的含义是:

  • 如果请求路径满足 /admin/** 格式,则用户需要具备 admin 角色。
  • 如果请求路径满足 /user/** 格式,则用户需要具备 user 角色。
  • 剩余的其他格式的请求路径,只需要认证(登录)后就可以访问。
    注意代码中配置的三条规则的顺序非常重要,和 Shiro 类似,Spring Security 在匹配的时候也是按照从上往下的顺序来匹配,一旦匹配到了就不继续匹配了,「所以拦截规则的顺序不能写错」。

另一方面,如果强制将 anyRequest 配置在 antMatchers 前面,像下面这样:

http.authorizeRequests()
        .anyRequest().authenticated()
        .antMatchers("/admin/**").hasRole("admin")
        .antMatchers("/user/**").hasRole("user")
        .and()

此时项目在启动的时候,就会报错,会提示不能在 anyRequest 之后添加 antMatchers:

 nested exception is java.lang.IllegalStateException: Can't configure antMatchers after anyRequest

启动项目,以user角色访问

  • http://localhost:8080/hello因为登录后就可以访问,这个接口访问成功。
  • http://localhost:8080/admin/hello需要 admin 身份,所以访问失败。
  • http://localhost:8080/user/hello访需要 user 身份,所以访问成功。

角色继承
所有 user 能够访问的资源,admin 都能够访问,很明显目前的代码还不具备这样的功能。

要实现所有 user 能够访问的资源,admin 都能够访问,这涉及到另外一个知识点,叫做角色继承。

这在实际开发中非常有用。

上级可能具备下级的所有权限,如果使用角色继承,这个功能就很好实现,只需要在 SecurityConfig 中添加如下代码来配置角色继承关系即可:

   @Bean
    RoleHierarchy roleHierarchy() {
        RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
        hierarchy.setHierarchy("ROLE_admin > ROLE_user");
        return hierarchy;
    }

注意,在配置时,需要给角色手动加上 ROLE_ 前缀。上面的配置表示 ROLE_admin 自动具备 ROLE_user 的权限。
访问http://localhost:8080/user/hello,发现admin角色可以访问user’角色权限的接口

将用户数据存入数据库

加入依赖

  <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-jdbc</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

用户配置

			 @Autowired
    DataSource dataSource;
    @Bean
    protected UserDetailsService userDetailsService() {
//        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        JdbcUserDetailsManager manager = new JdbcUserDetailsManager();
        manager.setDataSource(dataSource);
        if (!manager.userExists("a")) {
            manager.createUser(User.withUsername("a").password("123").roles("admin").build());
        }
        if (!manager.userExists("b")) {
            manager.createUser(User.withUsername("b").password("123").roles("user").build());
        }
        return manager;
    }

数据库配置

spring.datasource.username=root
spring.datasource.password=yuzb
spring.datasource.url=jdbc:mysql:///yuzbadmin?useUnicode=true&characterEncoding=UTF-8&serverTimezone=Asia/Shanghai

执行数据库脚本

CREATE TABLE users(username VARCHAR(50) NOT NULL PRIMARY KEY,PASSWORD VARCHAR(500) NOT NULL,enabled BOOLEAN NOT NULL);
CREATE TABLE authorities (username VARCHAR(50) NOT NULL,authority VARCHAR(50) NOT NULL,CONSTRAINT fk_authorities_users FOREIGN KEY(username) REFERENCES users(username));
CREATE UNIQUE INDEX ix_auth_username ON authorities (username,authority);
  • users 表中保存用户的基本信息,包括用户名、用户密码以及账户是否可用。
  • authorities 中保存了用户的角色。
  • authorities 和 users 通过 username 关联起来。

启动项目查看数据库
在这里插入图片描述
在这里插入图片描述
这样就能正常访问了

修改数据库将用户的 enabled 属性设置为 false,表示禁用该账户,此时再使用该账户登录就会登录失败。
在这里插入图片描述
在这里插入图片描述

霄练
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 3.pdf
08-02
Spring Security 3版本中,它引入了许多改进和新特性,以适应不断变化的安全需求和挑战。 一、核心概念 1. **Filter Chain**: Spring Security 的核心在于其过滤器链,它拦截HTTP请求并执行相应的安全处理。过滤...
SpringBoot3安全管理
【积累】,是一个长期持续的过程。
08-14 296
SpringSecurity组件可以为服务提供安全管理的能力,比如身份验证、授权和针对常见攻击的保护,是保护基于spring应用程序的事实上的标准;
Spring Security(3)
分享专业、有用、有趣的技术、产品、运营和管理知识。
11-23 316
前面运行写好的代码之所以没有任何显示,是因为还没有对Spring Security进行配置,当然啥也不显示了。这就好比你坐在车上,却不打开发动机,车子当然跑不起来。所以咱们就来让它跑起来。不过在配置之前,有必要对Spring Security的登录流程做个大致了解。
Spring Security3.0版本
最新发布
c_yanxin_ru的博客
05-30 1181
核心: A >>?>> B?代表判断层,由Security实现这是之前的版本浓缩,现在3.0版本添加了更匹配的内容描写,匹配了mvc模式非mvc模式 核心:client(用户)>> filter(过滤器)>> servlet(业务)mvc模式ps:不要在意图片中的英文,有拼错的。
spring security 3.0配制
ystar9的博客
08-12 496
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
Spring Security3配置使用
白强
07-30 280
  使用Spring Security3的几种方法概述       一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过。       二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现。       种我使用的是第种 第种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自...
springsecurity oauth2.0 spring mvc集成spring security 3
健康平安的活着的专栏
07-31 3565
spring security spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
spring security3 demo配置分析
caozuiba
02-29 164
在源码分析之前补充了一些知识,详见上篇文章的转载,我感觉比较有用。 下面是servlet的加载顺序。 web.xml 中 对象的加载顺序为:先 listener &gt;&gt; filter &gt;&gt; servlet &gt;&gt; springspring security demo例子中,所有的配置文件有几个: 1、web.xml 这个是web项目的标准配置文件...
Spring Security --SecurityConfig的详细配置
热门推荐
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security的配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
Spring Security 实现 antMatchers 配置路径的动态获取
MrLee的博客
12-26 2344
2,实现 SecurityConfigAttributeLoader (这里也可以从数据库获取)
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单的登录
Mr_XiMu的博客
02-15 1422
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单的登录
AntPathMatcher路径匹配器,Ant风格的URL
a1k2l45k的博客
12-28 2897
AntPathMatcher路径匹配器
SpringSecurity 学习(二)
weixin_32196893的博客
02-14 5125
SpringSecurity 1. antMatchers() 方法定义: public C antMatchers(String... antPatterns) 方法参数不定,每个参数都是一个ant表达式,用于匹配URL规则。 规则如下: ?: 匹配一个字符 *: 匹配0个活多个字符 **: 匹配0个活多个目录 在实际项目中我们经常要放行所有静态资源,如放行js文件夹下的所有脚本。 .antMatchers("/js/**").perimitAll() 还有一种配置方式是只要是.js文件都放行
SpringSecurity3配置及原理简介
程序员!我当定了!
12-25 1144
SpringSecurity3的核心类有种  1.URL过滤器或方法拦截器:用来拦截URL或者方法资源对其进行验证,其抽象基类为AbstractSecurityInterceptor 2.资源权限获取器:用来取得访问某个URL或者方法所需要的权限,接口为SecurityMetadataSource  3.访问决策器:用来决定用户是否拥有访问权限的关键类,其接口为AccessDecision
Spring Security 3 中文详解
"Spring Security 3 中文文档" Spring Security 是一个功能强大的且高度可定制的身份验证和访问控制框架,主要用于 Java 应用程序的安全管理。Spring Security 3 是该框架的一个较旧版本,但仍然包含许多核心概念和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值