spring security 介绍及登录(一)

最新推荐文章于 2024-08-12 11:01:48 发布
最新推荐文章于 2024-08-12 11:01:48 发布
阅读量320 收藏
点赞数
分类专栏: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36331657/article/details/115522094
版权

1.spring security 基本介绍

相对于Apache Shiro,Spring Security提供了更多的诸如 LDAP 、 OAuth2.0 、 ACL 、 Kerberos 、
SAML 、 SSO 、 OpenID 等诸多的安全认证、鉴权协议,可以按需引用。对认证/鉴权更加灵活,粒度更
细。可以结合你自己的业务场景进行更加合理的定制化开发。在最新的Spring Security 5.x中更是提供了
响应式应用(reactive application)提供了安全控制支持。从语言上来讲,支持使用kotlin、groovy进行开
发。
Spring Security因为是利用了Spring IOC 和AOP的特性而无法脱离Spring独立存在。而Apache Shiro可以独
立存在。但是Java Web领域Spring可以说是事实上的J2EE规范。使用Java技术栈很少能脱离Spring

2. Spring Boot 集成 Spring Security基于内存用户支持

加入依赖:


<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

       

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>


        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>


        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>

       
    </dependencies>
2.1 编写配置类

SecurityConfig继承WebSecurityConfigurerAdapter

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http
				.authorizeRequests(authorize -> authorize
					.antMatchers("/css/**", "/index").permitAll()
					.antMatchers("/user/**").hasRole("USER")
				)
				// 表单登录
				.formLogin(formLogin -> formLogin
				    // 登录请求路径
					.loginPage("/login")
					.failureUrl("/login-error")
				);
	}
	@Override
	@Bean
	public UserDetailsService userDetailsService() {
		UserDetails userDetails = User.withDefaultPasswordEncoder()
				.username("user")
				.password("password")
				.roles("USER")
				.build();
		return new InMemoryUserDetailsManager(userDetails);
	}


}

controller:

@Controller
public class MainController {

	@RequestMapping("/")
	public String root() {
		return "redirect:/index";
	}

	@RequestMapping("/index")
	public String index() {
		return "index";
	}

	@RequestMapping("/user/index")
	public String userIndex() {
		return "user/index";
	}

	@RequestMapping("/login")
	public String login() {
		return "login";
	}

	@RequestMapping("/login-error")
	public String loginError(Model model) {
		model.addAttribute("loginError", true);
		return "login";
	}

}

静态文件:

在这里插入图片描述
login.html页面:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
    <head>
        <title>Login page</title>
        <meta charset="utf-8" />
        <link rel="stylesheet" href="/css/main.css" th:href="@{/css/main.css}" />
	</head>
    <body>
        <h1>Login page</h1>
        <p>Example user: user / password</p>
        <p th:if="${loginError}" class="error">Wrong user or password</p>
        <form th:action="@{/login}" method="post">
            <label for="username">Username</label>:
            <input type="text" id="username" name="username" autofocus="autofocus" /> <br />
            <label for="password">Password</label>:
            <input type="password" id="password" name="password" /> <br />
            <input type="submit" value="Log in" />
        </form>
        <p><a href="/index" th:href="@{/index}">Back to home page</a></p>
    </body>
</html>

index.html页面:

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org" xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
    <head>
        <title>Hello Spring Security</title>
        <meta charset="utf-8" />
        <link rel="stylesheet" href="/css/main.css" th:href="@{/css/main.css}" />
    </head>
    <body>
        <div th:fragment="logout" class="logout" sec:authorize="isAuthenticated()">
            Logged in user: <span sec:authentication="name"></span> |
            Roles: <span sec:authentication="principal.authorities"></span>
            <div>
                <form action="#" th:action="@{/logout}" method="post">
                    <input type="submit" value="Logout" />
                </form>
            </div>
        </div>
        <h1>Hello Spring Security</h1>
        <p>This is an unsecured page, but you can access the secured pages after authenticating.</p>
        <ul>
            <li>Go to the <a href="/user/index" th:href="@{/user/index}">secured pages</a></li>
        </ul>
    </body>
</html>

user/index.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
    <head>
        <title>Hello Spring Security</title>
        <meta charset="utf-8" />
        <link rel="stylesheet" href="/css/main.css" th:href="@{/css/main.css}" />
    </head>
    <body>
        <div th:substituteby="index::logout"></div>
        <h1>This is a secured page!</h1>
        <p><a href="/index" th:href="@{/index}">Back to home page</a></p>
    </body>
</html>

启动服务:

在这里插入图片描述
UserDetailsService

spring security支持各种数据源用户包括内存,数据库等它们被抽象成一个UserDetailsService接口,实现了UserDetailsService接口的对象可以作为认证数据源InMemoryUserDetailsManager

3.URI中的 Ant 风格

Ant 风格就是一种路径匹配表达式。主要用来对 uri 的匹配。其实跟正则表达式作用是一样
的,只不过正则表达式适用面更加宽泛, Ant 仅仅用于路径匹配。

Ant 中的通配符有三种:
?
匹配任何单字符
*
匹配0或者任意数量的 字符
**
匹配0或者更多的 目录
这里注意了单个 * 是在一个目录内进行匹配。 而 ** 是可以匹配多个目录

通配

示例 说明
在这里插入图片描述

4.WebSecurityConfigurerAdapter中常见方法

4.1 认证管理器配置方法

void configure(AuthenticationManagerBuilder auth) 用来配置认证管理器
AuthenticationManager 。说白了就是所有 UserDetails 相关的它都管,包含 PasswordEncoder
密码机。

4.2 核心过滤器配置方法

void configure(WebSecurity web) 用来配置 WebSecurity 。而 WebSecurity 是基于
Servlet Filter 用来配置 springSecurityFilterChain 。而 springSecurityFilterChain 又
被委托给了 Spring Security 核心过滤器 Bean DelegatingFilterProxy 。 相关逻辑你可以在
WebSecurityConfiguration 中找到。我们一般不会过多来自定义 WebSecurity , 使用较多的使其
ignoring() 方法用来忽略 Spring Security 对静态资源的控制。

4.3 安全过滤器链配置方法

void configure(HttpSecurity http) 这个是我们使用最多的,用来配置 HttpSecurity 。
HttpSecurity 用于构建一个安全过滤器链 SecurityFilterChain 。 SecurityFilterChain 最终
被注入核心过滤器 。 HttpSecurity 有许多我们需要的配置。我们可以通过它来进行自定义安全访问
策略

4.4 FormLoginConfigurer

该类是 form 表单登录的配置类。它提供了一些我们常用的配置方法:
loginPage(String loginPage) : 登录 页面而并不是接口,对于前后分离模式需要我们进行改
造 默认为 /login 。

loginProcessingUrl(String loginProcessingUrl) 实际表单向后台提交用户信息的
Action ,再由过滤器 UsernamePasswordAuthenticationFilter 拦截处理,该 Action 其实
不会处理任何逻辑。

usernameParameter(String usernameParameter) 用来自定义用户参数名,默认 username

passwordParameter(String passwordParameter) 用来自定义用户密码名,默认 password

failureUrl(String authenticationFailureUrl) 登录失败后会重定向到此路径, 一般前后
分离不会使用它。

failureForwardUrl(String forwardUrl) 登录失败会转发到此, 一般前后分离用到它。 可定
义一个 Controller (控制器)来处理返回值,但是要注意 RequestMethod 。

defaultSuccessUrl(String defaultSuccessUrl, boolean alwaysUse) 默认登陆成功后
跳转到此 ,如果 alwaysUse 为 true 只要进行认证流程而且成功,会一直跳转到此。一般推荐
默认值 false

successForwardUrl(String forwardUrl) 效果等同于上面 defaultSuccessUrl 的
alwaysUse 为 true 但是要注意 RequestMethod 。

successHandler(AuthenticationSuccessHandler successHandler) 自定义认证成功处理
器,可替代上面所有的 success 方式

failureHandler(AuthenticationFailureHandler authenticationFailureHandler) 自定
义失败处理器,可替代上面所有的 failure 方式

permitAll(boolean permitAll) form 表单登录是否放开

5.HttpSecurity常见方法

在这里插入图片描述
在这里插入图片描述

qq_320253624
关注
专栏目录
spring security 登录、权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring Security是Java应用程序安全框架,...Spring Security验证码登录功能是Spring Security框架中的一个重要组件,提供了一个安全、可靠的身份验证和访问控制解决方案。
SPRING实现登陆
Aran
06-12 1338
使用 用户名+密码 的方式来登录,用户名、密码存储在数据库,并且支持密码输入错误三次后开启验证码,通过这样一个过程来熟悉 spring security 的认证流程,掌握 spring security 的原理。 1、基础环境 ① 创建 sunny-cloud-security 模块,端口号设置为 8010,在sunny-cloud-security模块引入security支持以及sunny-st...
Spring Security实现多种登录方式
最新发布
eugene03的博客
08-12 600
依赖导入<parent></parent>1.自定义MyUsernamePasswordFilter/*** 10:30*/@Slf4j// 自定拦截路由} else {// 获取登录表单= null?= null?@Nullable@Nullable/*** 获取登录用户信息* @return*/try {throw new NullPointerException("获取不到登录信息");
SpringSecurity登录
Y_CSDN_B的博客
08-22 192
UserDetailsService : 是SpringSecurity提供用来获取认证用户信息(用户名,密码,用户的权限列表)的接口,我们可以实现该接口,复写loadUserByUsername(username)方法加载我们数据库中的用户信息UserDetails是SpringSecurity用来封装用户认证信息,权限信息的对象,我们使用它 的实现类User封装用户信息 并返回,我们这里从数据库查询用户名基于入门案例进行修改。
SpringSecurity登录
拒绝熬夜啊的博客
11-30 1888
文章目录SpringSecurity登录一、登录处理器1.1 自定义AuthenticationSuccessHandler1.2 自定义AuthenticationFailureHandler1.3 DelegatingAuthenticationFailureHandler二、设置登录成功页和失败页2.1 默认情况下2.2 指定URL处理2.3 自定义认证成功、失败处理CustomAuthenticationSuccessHandler:CustomAuthenticationFailureHandl
Spring Security实现登录
不愧是暮言的博客
05-24 3671
Spring SecuritySpring框架下的一个用于身份验证和授权的框架,它可以帮忙管理web应用中的用户认证、授权以及安全性问题。环境准备Spring Security核心概念实现基本登录功能添加Spring Security的数据库认证Spring Security是一个非常好用的身份认证和授权框架,可以有效保证应用的安全性。本文介绍了如何使用Spring Security实现基本的登录功能和数据库认证,希望这篇文章能够帮助到你。。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security在标准登录表单中添加一个额外的字段
08-26
Spring Security在标准登录表单中添加一个额外的字段 在本文中,我们将探讨如何在Spring Security的标准登录表单中添加一个额外的字段。我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的...
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供...
Spring-security首次登录
实习生的博客
11-10 815
fasdf
Spring-Security登录功能
weixin_50947287的博客
05-12 449
壹.Spring-Security登录功能 一.简介 1.使用Spring-Security实现登录,即安全管理; 2.一个项目一般都会有登录功能,我们之前编写的登录功能非常简陋,不能用于实际开发, ​ Spring-Security提供了专业的实现登录的方式,供我们使用。 二.基本使用 1.导入依赖 <!-- Spring Security --> <dependency> <groupId>org.springframework.boot</groupI
SpringSecurity登录介绍
清风伴酒的博客
06-25 427
SpringSecurity 简介 SpringSecurity是一个框架,提供身份验证、授权和针对常见攻击的保护。由于对命令式应用程序和反应式应用程序的一流支持,它是保护基于Spring的应用程序的事实上的标准。 SpringSecurity常用过滤器介绍 常用的过滤器有15个,分别如下: 1.org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,非常重要 主要是使用SecurityCon
spring security (二) spring security自定义登录
mylove10086
05-14 524
拦截请求对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下的代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:http                 .authorizeRequests()                .antMatchers( "/spittles/me").au...
springsecurity登录过程
qiaoxu1989的博客
02-21 699
可以看到,当前类中有这么三个Configurer,其中InitializeUserDetailsBeanManagerConfigurer中会生成DaoAuthenticationProvider,要注意的是,这里并不是在这个类中直接生成的,而是如下,先注入了一个InitializeUserDetailsManagerConfigurer,在InitializeUserDetailsManagerConfigurer中创建的。在此之前,先来了解一下三个类。
springSecurity登录的全过程
XuDream的博客
08-12 3174
整个流程就是:进入接口—>进行验证—>获取用户信息—>创建token—>存入redis—>返回/*** 自定义权限实现,ss取自SpringSecurity首字母*/*** 所有权限标识/*** 管理员角色权限标识/*** 验证用户是否具备某权限** @param permission 权限字符串* @return 用户是否具备某权限System . out . println("拥用这个权限才能通过" + permission);...
Spring Security 登录流程
CHENFU_ZKK的博客
09-26 1842
Spring Security 登录流程
SpringSecurity登录流程
weixin_45802793的博客
09-27 4161
SpringSecurity登录流程 1.无处不在的Authentication 实现类中,我们最常用的是UsernamePasswordAuthenticationToken 2.登录流程 Spring Security中,认证和授权的校验都是在一系列过滤器链完成的,和认证相关的过滤器就是UsernamePasswordAuthenticationFilter public Authentication attemptAuthentication(HttpServletRequest reque
Spring Security 实现表单登录教程
"本文主要介绍了如何在Spring Security框架下实现表单登录功能,基于一个简单的Spring MVC示例进行构建,适合需要为Web应用添加安全登录机制的开发者参考。" 在Spring Security中,实现表单登录功能是确保Web应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值