Spring Security 的初始搭建以及基本原理

最新推荐文章于 2024-06-30 10:23:22 发布
最新推荐文章于 2024-06-30 10:23:22 发布
阅读量668 收藏 2
点赞数 4
文章标签: security 项目搭建 spring boot
huadong
本文链接:https://blog.csdn.net/qq_36221788/article/details/105460540
版权

文章目录

一、什么是 Spring Security?

  • Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC、DI和AOP功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。(百科解读)

二、初始搭建的 Spring Security 是什么样子的?

开始搭建

  • 搭建一个Spring Boot最简单的环境,定义一个/hello请求接口
@SpringBootApplication
@RestController
public class Application {

    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }

    @GetMapping("/hello")
    public String hello() {
        return "hello spring security";
    }
}
  • 引入Spring Security相关的包,这里提供所有Security专栏项目中要用到的maven依赖。
	<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
            <version>1.5.9.RELEASE</version>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>1.5.9.RELEASE</version>
        </dependency>
    </dependencies>
  • 启动项目,启动后访问接口http://localhost:8080/hello,出现登录弹框就是默认的Security样子了。
    默认登录

所以用户名密码是啥?

  • 默认用户名是user
  • 初始密码在项目启动的时候,日志会打印出来
    密码

现在请求后台接口都需要登录验证,如何关闭默认的security验证呢?

  • 配置文件中将 security.basic.enabled 设为 false,每次请求后台接口将不再进行安全验证。
security.basic.enabled = false

用表单登录验证的样式可以吗?

  • 创建Config类继承WebSecurityConfigurerAdapter,覆盖configure方法,如下:
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
//		http.httpBasic()
		http.formLogin()// 表单方式
				.and()
				.authorizeRequests()
				.anyRequest()
				.authenticated();
	}
}
  • 重新启动,访问接口http://localhost:8080/hello,就会跳到如下登录页
    表单方式

三、基本原理

SpringSecurity基本原理

  • 它最核心的东西其实就是一个过滤器链,即一组Filter。
  • 如图:
    基本原理
  • UsernamePasswordAuthenticationFilter:处理表单登录的过滤器。
  • BasicAuthenticationFilter:处理httpBasic登录的过滤器。
  • ExceptionTranslationFilter:用于捕获后面过滤器抛出的异常。
  • FilterSecurityInterceptor:过滤器链的最后一环,它会决定当前请求能否访问REST API,它依据的是代码中的配置,比如哪些请求只有指定用户访问等,如下可以进行很复杂的配置:
	protected void configure(HttpSecurity http) throws Exception {
		http.formLogin()
				.and()
				.authorizeRequests() // √
				.anyRequest() // √
				.authenticated(); // √
	}

表单登录校验到底是怎么处理的?

  • 上面提到了表单登录是由 UsernamePasswordAuthenticationFilter 过滤器来处理的,它会过滤 /login 路径的请求,然后获取用户名密码再进行校验登录逻辑。
    源码解析
  • 关于源码级更详细的处理流程后面文章会提到,敬请期待!

四、推荐阅读

实战篇

源码篇

发飙的蜗牛咻咻咻~
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
maven spring security框架搭建
06-02
综上所述,通过Maven管理和引入必要的依赖库,结合Spring Security的安全配置以及Spring MVC的路由处理机制,可以构建出一个安全且功能丰富的Web应用程序。以上配置展示了如何利用这些技术栈来实现这一点。
Springboot+SpringSecurity+JWT+redis 框架搭建demo
02-03
Spring Boot是一个用于简化Spring应用初始搭建以及开发过程的框架。它通过默认配置、嵌入式Web服务器、starter POMs等特性,使得创建独立的、生产级别的基于Spring的应用变得极其简单。在这个项目中,Spring Boot...
spring security 初始
ZiLongO的专栏
09-02 575
spring security 初始化基本要求 编辑工具STS Java 版本 1.8 构建工具maven 环境搭建 创建maven工程 添加spring-security-demo 工程依赖 添加配置文件添加spring-mvc-config 添加spring-config 添加 spring-security-config 配置验证 配置授权 问
Spring Boot-搭建SpringSecurity(保姆级别)
2301_82242204的博客
04-09 2462
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
spring-security安全框架(超精细版附带流程讲解图)
最新发布
边走、边悟、迟早变好
06-30 2828
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
环境搭建SpringSecurity
worson&joan的博客
03-10 728
- token-validity-seconds: 有效秒数 -->-- 加上rememberMe功能 -->---读取jdbc.properties -->-- 服务器启动加载Servlet-->-- mybatis整合Spring -->-- 扫描Controller类-->-- 权限不足处理 -->-- 启动Spring -->--启动SpringMVC-->--Mapper接口扫描 -->-- 拦截资源 -->--别名扫描 -->--处理静态资源 -->-- 事务配置 -->
springsecurity(二)
qq_34172041的博客
03-05 75
demo 1.pom <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.配置类 package com.us.example.config; import com.us.example.service.CustomUserS
SpringSecurity环境搭建
Massimo__JAVA的博客
10-03 526
SpringSecurity环境搭建
springboot springsecurity动态权限控制
09-18
Spring Boot简化了Spring应用的初始搭建以及开发过程,而Spring Security则提供了全面的安全管理解决方案,包括认证、授权等。在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在...
spring security 认证授权实现
10-14
**Spring Security 认证授权实现** Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证...
springboot+springsecurity入门
12-06
SpringBoot简化了Spring应用的初始搭建以及开发过程,而SpringSecurity则为应用提供了全面的安全管理解决方案。 SpringBootSpring框架的扩展,旨在简化Spring应用的初始设置和配置。它通过提供预配置的starter ...
Spring Security 安全框架搭建
xzh2022的博客
03-28 1021
SpringBoot系列----Spring Security 安全简介 在Web开发中,安全第一位!!!安全虽属于应用的非功能性需求,但应当在应用开发系统设计之初就考虑进来,若开发后期才考虑安全的问题: ​ 应用会存在严重的安全漏洞,可能造成用户隐私泄露 ​ 应用的基本架构已经确定,再考虑应用安全,修复安全漏洞,需要较大幅度调整系统架构,耗时耗力 ​ 认证,授权(admin,user1,user2,VIP) ​ 功能权限 ​ 访问权限 ​ 菜单权限 ​ … ​ 以前用拦截器、过滤器, 产生大量的
Spring security基本环境搭建
pscool的博客
02-05 699
spring security基本环境搭建
史上最简单的Spring Security教程(一):一分钟搭建SpringSecurity
hans0007的博客
09-15 602
版权声明:本文遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
springsecurity配置及使用
又菜又爱玩的博客
08-29 1275
学习时是看b站狂神说java讲解的springsecurity发现WebSecurityConfigurerAdapter类已经被弃用(2.7.0以下版本可继续使用,2.7.0以上已被启用),于是看官方文档写的一个新版本的配置,新旧对比学习。
Springsecurity第一次开始
凉凉思语的博客
03-30 206
相信你也遇见过把springboot版本升级到2.x后遇见过配置失效的问题!下面我们来解决。 在springboot1.x中配置关闭security使用,如今不好使了。 #关闭security登陆验证 #security.basic.enabled=false 解决步骤如下: 1.添加maven依赖 <dependency> &lt...
Spring Security环境搭建
xiaoxu的博客
04-27 863
默认情况下Spring Boot 在对Spring Security 进入自动化配置时,会创建一个名为 SpringSecurityFilerChairy的过滤器,并注入到Spring 容器中,这个过滤器将负责所有的安全管理,包括用户认证、授权、重定向到登录页面等。这个类是 spring boot ⾃动配置类,通过这个源码得知,默认情况下对所有请求进⾏权限。加入启动器之后默认对所有的请求进行管理,进入默认的登录页面进行认证。需要注意的是,默认过滤器并不是直接放在Web项目的原生过滤器链中,而是通过一个。
SpringSecurity从0到1搭建详细教程一——搭建基本登录过滤
m0_47743175的博客
11-23 212
SpringSecurity从0到1搭建详细教程一——搭建基本登录过滤
Spring Security 搭建单点登录中心
08-12
对于搭建单点登录中心,你可以使用 Spring Security 来实现。下面是一个基本的步骤: 1. 配置认证服务器:创建一个新的 Spring Boot 项目,添加 Spring Security 和 OAuth2 相关的依赖。然后在配置文件中设置认证服务器的相关信息,如端口号、数据库连接等。 2. 创建用户和角色:在数据库中创建用户表和角色表,并添加一些初始用户和角色数据。 3. 实现用户认证和授权:创建一个自定义的 UserDetailsService 实现类,用于从数据库中加载用户信息。然后配置 AuthenticationManagerBuilder,使用该实现类进行用户认证。 4. 配置 OAuth2:在 Spring Security 配置类中,配置 OAuth2 相关的信息,如客户端信息、授权模式、访问令牌有效期等。 5. 配置单点登录:使用 Spring Security 的 SSO 功能,配置单点登录的相关信息。可以使用基于 Cookie 的方式实现单点登录,也可以使用基于 Token 的方式实现。 6. 添加其他功能:根据需求,可以添加记住我功能、验证码验证、密码加密等其他功能。 完成上述步骤后,你就可以启动认证服务器,并使用该服务器作为单点登录中心。其他需要集成单点登录的应用可以通过 OAuth2 协议进行认证和授权,并获取访问令牌来访问受保护的资源。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

发飙的蜗牛咻咻咻~

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值