Spring Security初学

最新推荐文章于 2023-06-18 21:50:26 发布
最新推荐文章于 2023-06-18 21:50:26 发布
阅读量194 收藏
点赞数
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36472439/article/details/84857518
版权

Springsecurity基本原理

本文仅作为个人笔记,若有错误之处,敬请谅解

1:Springsecurity 过滤器链:UsernamePasswordAuthenticationFilter,BasicAuthenticationFilter.....

ExceptionTranslationFilter:异常过滤器

FilterSecurityInterceptor:该过滤器是过滤器链的最后的一个过滤器 (最终是否可访问)

过滤器大部分可配置是否生效,过滤器的顺序也不可改变

(1)获取用户信息:UserdetailsService

自定义类继承UserDetailsService实现loadUserByUsername方法返回一个user(SpringSecurity框架的user类,已经继承UserDetails)对象

return user(username,password,authentication);

user有很多个构造方法,根据自己的需求选择

(2)处理用户校验逻辑

先看UserDetails源码

package org.springframework.security.core.userdetails;

import java.io.Serializable;
import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;

public interface UserDetails extends Serializable {
    Collection<? extends GrantedAuthority> getAuthorities();

    String getPassword();

    String getUsername();

    /**
    用户是否过期
    */
    boolean isAccountNonExpired();

    /**
    用户是否锁定
    */
    boolean isAccountNonLocked();

    /**
    密码是否过期
    */
    boolean isCredentialsNonExpired();

    /**
    用户是否可用
    */
    boolean isEnabled();
}

(3)Springsecurity的加密解密:PasswordEncoder

源码

package org.springframework.security.crypto.password;

public interface PasswordEncoder {

    /**
    用来加密的方法
    */
    String encode(CharSequence var1);

    /**
    比较用户上传的密码和加密后的密码是否匹配
    */
    boolean matches(CharSequence var1, String var2);
}

encode加密方法在注册的时候加密存入数据库,使用BCryptPasswordEncoder进行加密,同一窜字母加密后的都是不一样的

 

个性化认证流程

   自定义登录页面

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DataSource dataSource;
    @Autowired
    private UserDetailsServiceImpl userDetailsService;
    @Autowired
    private AuthenticationEntryPointImpl authenticationEntryPoint;
    @Autowired
    private CustomAuthenticationProvider customAuthenticationProvider;
    @Autowired
    private com.yb.springsecurity.jwt.auth.impl.AccessDeniedHandlerImpl AccessDeniedHandlerImpl;
    @Autowired
    private RedisTemplate<String, Serializable> redisTemplate;

    @Value("${allow.common.url}")
    private String[] commonUrl;
    @Value("${allow.server.url}")
    private String[] serverUrl;

    /**
     * 设置 HTTP 验证规则,用户模板最好在controller类上添加一层访问的路径,例如/auth/**
     * 这样在放开登录注册等接口的时候,就不容易造成放开一些不必要的接口服务
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //解决SpringBoot不允许加载iframe问题
        http.headers().frameOptions().disable();
        //关闭默认的登录认证
        http.httpBasic().disable()
                //添加处理ajxa的类实例
                .exceptionHandling().accessDeniedHandler(AccessDeniedHandlerImpl)
                //添加拦截未登录用户访问的提示类实例
                .authenticationEntryPoint(authenticationEntryPoint).and()
                //添加改session为redis存储实例
                .securityContext().securityContextRepository(new RedisSecurityContextRepository(redisTemplate)).and()
                //把session的代理创建关闭
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);

        // 关闭csrf验证,我们用jwt的token就不需要了
        http.csrf().disable()
                //对请求进行认证
                .authorizeRequests()
                //所有带/的请求都放行-->可以统一放到配置文件,然后读取过来,那样更方便修改特别是使用云配置的那种更方便
                //放开登录和验证码相关的接口(建议不要加层路径例如/auth,
                //会导致/security下的其他的不想放开的接口被放开等问题,直接放确定的最好,方正也没有几个接口)
                .antMatchers(serverUrl).permitAll()
                .antMatchers(HttpMethod.GET, commonUrl).permitAll()
                //访问指定路径的ip地址校验,访问指定路径的权限校验--这些接口需要的权限可以通过注解@PreAuthorize等来设置
                //.antMatchers("/auth/yes").hasIpAddress("192.168.11.130")//这个注解目前还没发现,可以在这里设置
                //所有请求需要身份认证
                .anyRequest().authenticated().and()
                //添加一个过滤器,对其他请求的token进行合法性认证
                .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
                .formLogin().loginPage("/login")
                .and().logout()
                .logoutUrl("/logout");

        // 自定义注销
        http.logout().logoutUrl("/logout").logoutSuccessUrl("/login")
                .invalidateHttpSession(true);

        //记住我功能配置
        http.authorizeRequests()
                .and()
                .rememberMe()
                //TokenRepository,登录成功后往数据库存token的
                .tokenRepository(persistentTokenRepository())
                //记住我秒数(一周)
                .tokenValiditySeconds(CommonDic.REMEMBER_ME_TIME)
                //记住我成功后,调用userDetailsService查询用户信息
                .userDetailsService(userDetailsService);
    }
}

认证流程:

 自定义登录成功处理:实现AuthenticationSuccessHandler接口

源码

package org.springframework.security.web.authentication;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.core.Authentication;
    /**
    Authentication :封装认证信息:发起的认证请求(认证的IP,session,返回的用户信息)
    */
public interface AuthenticationSuccessHandler {
    void onAuthenticationSuccess(HttpServletRequest var1, 
    HttpServletResponse var2, 
    Authentication var3) throws IOException, ServletException;
}

自定义登录失败处理:实现AuthenticationFailureHandler

源码

package org.springframework.security.web.authentication;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.core.AuthenticationException;

public interface AuthenticationFailureHandler {
    void onAuthenticationFailure(HttpServletRequest var1, HttpServletResponse var2, AuthenticationException var3) throws IOException, ServletException;
}

只有AuthenticationException 此参数不一样,以上操作都需要进行配置进行生效

认证流程源码详解

认证流程说明

认证结果在多个请求之间共享

UsernamePasswordAuthenticationFilter:获取用户上传的用户名和密码进行校验

AuthenticationManger:本身不包含验证逻辑,其作用是用来管理AuthenticationProvider

AuthenticationProvider:不同的登录方式有不同的AuthenticationProvider

SecurityContextPersistenceFilter:用于存放Session消息(在同一个线程做的操作)

获取认证用户信息

 SecurityContextHolder.getContext().getAuthentication();

图片验证码

(1):根据随机数生成图片

(2):将随机数存放在session中 :SessionStrategy工具类

(3):将生成的图片写到接口的响应中

将图片验证码加入到过滤器链中

qq_36472439
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用SpringSecurity.md
09-12
适合初学SpringSecurity人群
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 6473
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单的登录
Mr_XiMu的博客
02-15 1259
SpringSecurity学习总结-3 使用SpringSecurity开发基于表单的登录
Security 详解—原理(1)
myli92的博客
06-18 1799
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
Spring Security 5.7.1安全过滤器链配置方法
DDDInJava
05-31 3973
@RequiredArgsConstructor(onConstructor_ = @Autowired) @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfiguration { @NonNull private AuthenticationSuccessHandler authenticationSuccessHandler; @NonNull p.
Spring SecurityHttpBasic模式 活该被放弃
码猿技术专栏
07-05 625
今天来聊一聊spring security中的一种经典认证模式HttpBasic,在5.x版本之前作为Spring Security默认认证模式,但是在5.x版本中被放弃了,默认的是form login认证模式 HttpBasic模式的应用场景 HttpBasic登录验证模式是Spring Security实现登录验证最简单的一种方式,也可以说是最简陋的一种方式。 为什么是最简陋的?这种模式用来糊弄普通用户可以,但是稍微懂点技术的用户分分钟就可以将其破解,因为底层并未做任何的安全的设置,仅仅是将用户名:密码
springboot-springSecurityhttp Basic认证 (四)
勇往直前的专栏
03-07 2926
引言: HTTP基础认证(BA)是一种简单的认证机制。当一个web客户端需要保护任何web资源的时候,服务器会发送一个带有401状态码(未授权)的HTTP回应,还有类似WWW-Authenticate: Basic realm=”realm here” 的 WWW-Authenticate HTTP头。而浏览器这时候就会弹出一个登录对话框,提示输入用户名和密码。 1. 修改配置 在sprin...
Spring Security Oauth2和Spring Boot实现单点登录
mengfch的博客
11-20 475
最近在学习单点登录相关,调查了一下目前流行的单点登录解决方案:cas 和 oauth2,文章主要介绍oauth2 单点登录。希望这篇文章能帮助大家学习相关内容。 我们将使用两个单独的应用程序: 授权服务器–这是中央身份验证机制 客户端应用程序:使用SSO的应用程序 简而言之,当用户尝试访问客户端应用程序中的安全页面时,将首先通过身份验证服务器将其重定向为进行身份验证。 而且,我们将使用OAuth2中的“授权代码”授予类型来驱动身份验证的委派。 1、身份认证服务器(oauth2-server) .
Spring Security(十一) Spring Security 中 CSRF
奥迪的博客
10-13 9902
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
spring security 5 (9)-httpBasic基本认证
热门推荐
JAVA博客
04-07 1万+
httpBasic是由http协议定义的最基础的认证方式。每次请求时,在请求头Authorization参数中附带用户/密码的base64编码,参考base64。这个方式并不安全,不适合在web项目中使用。但它是一些现代主流认证的基础,而且在spring security的oauth中,内部认证默认就是用的httpBasichttpBasic基本配置 注意,这里没有配formLogin,也...
CSRF Token ‘null‘ 报错解决方案
gejiangbo222的专栏
12-04 1064
Spring Security CSRF,默认是开启。CSRF默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。 2.配置控制 当然,也可以将excluded配置为/*来规避所有url,达到和关闭一样的效果。
springSecurity.zip
02-24
用了spring security技术实现了用户自定义登录,可以访问数据库来实现用户角色的验证,主要是本人学习的使用发现很多的博客都有一些这样那样的问题,研究起来非常的头疼,才希望提供一个简单的样例来简化初学者的...
Spring Security Demo
12-15
一个很不错的基于Spring Security的后台管理Demo,适合初学
SpringSecurity学习资源文档+适合Java新手
11-10
适合Java新手的学习资源:介绍针对初学者设计的Spring Security学习资源,例如教程、视频课程或者书籍,并强调这些资源将如何帮助他们轻松入门并掌握关键概念。 学习收益:描述学习Spring Security的收益,例如提升...
spring security 3
10-30
spring security 3 初学者研究的好资料,筛选了好久才找到的,要个1分吧,欢迎下载
2014年311教育学专业基础综合答案解析.pdf
04-24
教育学考研,考研真题,全国硕士研究生统一考试教育学专业基础综合真题及解析,311历年真题,参考答案,答案解析。教育学统考。
大语言模型安全测试方法
04-24
4月16日联合国日内瓦总部万国宫,由世界数字技术院(WDTA)与云安全联盟大中华区(CSA GCR)联合主办第27届联合国科技大会AI边会上,世界数字技术院(WDTA)发布了两项具有重要意义的国际标准:“生成式人工智能应用安全测试标准”和“大语言模型安全测试方法”。这是国际组织首次在生成式AI应用安全、大模型安全领域发布国际标准,为业界提供了统一的测试框架,标准的发布将对人工智能领域产生深远影响,推动人工智能技术的安全、可靠发展。 这两大标准由云安全联盟大中华区研究院副院长黄连金带领的专家团队编制而成,他们来自CSA大中华区、OpenAI、蚂蚁集团、谷歌、微软、亚马逊、英伟达、OPPO、科大讯飞、百度、腾讯、加州大学伯克利分校、芝加哥大学、香港科技大学等数十家单位,体现了业界的广泛协作与集体智慧。 云安全联盟大中华区主席、世界数字技术院执行理事长李雨航院士发布时介绍,“生成式人工智能应用安全测试标准”为测试和验证生成式AI应用的安全性提供了一个框架,特别是那些使用大语言模型构建的应用程序。它定义了人工智能应用程序架构每一层的测试和验证范围,确保AI应用各个方面都经过严格的安全性和合规性
基于ssm电商网站的设计与实现(部署视频)_kaic.zip
04-24
目 录 目 录 1 绪论 1.1 研究背景 1.2 目的和意义 1.3 论文结构安排 2 相关技术 2.1 SSM框架介绍 2.2 B/S结构介绍 2.3 MYSQL数据库介绍 3 系统分析 3.1 系统可行性分析 3.1.1 技术可行性分析 3.1.2 经济可行性分析 3.1.3 运行可行性分析 3.2 系统性能分析 3.2.1 易用性指标 3.2.2 可扩展性指标 3.2.3 健壮性指标 3.2.4 安全性指标 3.3 系统流程分析 3.3.1 操作流程分析 3.3.2 登录流程分析 3.3.3 信息添加流程分析 3.3.4 信息删除流程分析 4 系统设计 4.1 系统概要设计 4.2 系统功能结构设计 4.3 数据库设计 4.3.1 数据库E-R图设计 4.3.2 数据库表结构设计 5 系统实现 5.1用户信息管理 5.2 商品信息管理 5.3商品分类管理 5.1商品资讯管理 6 系统测试 6.1 系统测试的特点  6.2 系统功能测试 6.2.1 登录功能测试 6.2.2 添加类别功能测试 6.3 测试结果分析 结 论 致 谢 参考文献
Comfast CF-924AC V3无线网卡驱动
最新发布
04-24
https://editor.csdn.net/md/?articleId=137978326文章对应USB 1300M无线网卡驱动,使用方式请参考博文。本驱动为博文对应的RDK X3平台所用,其它平台根据博文链接下载源码编译。
springsecurity教程
06-07
好的,关于 Spring Security 的教程,我可以为您提供一些基本的信息和参考资料。 Spring Security 是一个基于 Spring 框架的安全框架,它可以帮助您实现各种安全需求,比如认证、授权、安全配置等。下面是一些关于 Spring Security 的教程和资料: 1. 官方文档:Spring Security 官方文档提供了详细的介绍和使用指导,可以帮助您了解 Spring Security 的基本概念和使用方法。 2. Spring Security 入门教程:这篇教程由 CSDN 的博主写就,介绍了 Spring Security 的基本概念和使用方法,适合初学者入门。 3. Spring Security 实战教程:这篇教程由阮一峰的博客提供,通过实例演示了如何使用 Spring Security 实现认证和授权等功能。 4. Spring Security + JWT 实战教程:这篇教程由极客时间提供,介绍了如何使用 Spring Security 和 JWT 实现安全认证和授权。 除了上述教程,还有一些 Spring Security 相关的书籍和视频教程,可以帮助您更深入地了解和学习 Spring Security。希望这些资料能对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值