SpringSecurity安全框架快速入门及进阶

最新推荐文章于 2021-11-24 22:11:16 发布
最新推荐文章于 2021-11-24 22:11:16 发布
阅读量223 收藏
点赞数
分类专栏: spring springsecurity Java 文章标签: springsecurity安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37336929/article/details/100087706
版权
spring 同时被 3 个专栏收录
2 篇文章 0 订阅
订阅专栏
springsecurity
1 篇文章 0 订阅
订阅专栏
Java
1 篇文章 0 订阅
订阅专栏

SpringSecurity安全框架快速入门及进阶

1. 快速入门小demo

1.1 创建maven的web项目(过程略)

1.2 引入springsecurity的框架依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>

    <groupId>com.itheima</groupId>
    <artifactId>spring-security-demo</artifactId>
    <version>1.0-SNAPSHOT</version>

    <packaging>war</packaging>
    <properties>
        <spring.version>5.0.5.RELEASE</spring.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.version}</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>servlet-api</artifactId>
            <version>2.5</version>
            <scope>provided</scope>
        </dependency>
    </dependencies>
    <build>
        <plugins>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <configuration>
                    <!-- 指定端口 -->
                    <port>9090</port>
                    <!-- 请求路径 -->
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>

</project>

1.3 在webapp/WEB-INF文件夹下创建web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
        http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">
    <!--指定spring配置文件,加载sprinsecurity配置文件-->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>
    <!--监听器-->
    <listener>
        <listener-class>
            org.springframework.web.context.ContextLoaderListener
        </listener-class>
    </listener>
    <!--代理过滤器-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <!--作用:进行拦截,让整个web程序的资源都进入过滤器中,从而被springsecurity控制-->
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

1.4 在resources文件夹下建立spring-security.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans
            http://www.springframework.org/schema/beans/spring-beans.xsd
            http://www.springframework.org/schema/security
            http://www.springframework.org/schema/security/spring-security.xsd">
    <!-- 页面拦截规则 -->
    <http>
        <!--
            pattern:页面的匹配规则
                /*:当前文件夹
                /**:当前文件夹,包括子文件夹
            access: hasRole('Role_Admin')
                所有资源必须有ROLE_ADMIN角色才可以访问
        -->
        <intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"/>
        <!--当前的工程实现表单登录-->
        <form-login/>
        <!--
        	退出的登录功能实现,自动添加该功能
			默认/logout post
		-->
        <logout/>
    </http>

    <!-- 认证管理器 -->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <!--
                    noop:明文保存的密码
                    加密:
                        spring security官方推荐使用更加安全的bcrypt加密方式
                        spring security 5支持的加密方式有
                        bcrypt、ldap、MD4、MD5、noop、pbkdf2、scrypt、SHA-1、SHA-256、sha256。
                    建议采用的是bcrypt加密策略
                -->
                <user name="admin" password="{noop}123456"
                      authorities="ROLE_ADMIN"/>
            </user-service>
        </authentication-provider>
    </authentication-manager>
</beans:beans>

上面的案例为{noop}密码明文方式的代码,我们还有另一种bcrypt加密配置方式,来指定策略,同时,也可以将noop的位置 — bcrypt

    <!--认证管理器-->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="admin"
                      password="$2a$10$EPtdfwSJ0ABj5JsCyLqhFe1g503DgA4lQvOxyZF/3usoyje5/q/Dy"
                      authorities="ROLE_ADMIN"></user>
            </user-service>
            <password-encoder ref="bcryptEncoder"></password-encoder>
        </authentication-provider>
    </authentication-manager>
    <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

1.5 在webapp文件夹下创建index.html进行拦截测试

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>spring-security demo</title>
</head>
<body>
	欢迎来到神奇的spring security世界!
</body>
</html>

1.6 打开浏览器,进行测试

输入用户名密码

1.7 最终目录结构

在这里插入图片描述

2. 实际生产环境中,springsecurity整合配置

2.1 创建自己指定的login页面,取代springsecurity自动生成的登录页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>login</title>
</head>
<body>
<form action="/login" method="post">
    <table>
        <tr>
            <td>用户名:</td>
            <td><input name="username"></td>
        </tr>
        <tr>
            <td>密码:</td>
            <td><input type="password" name="password"></td>
        </tr>
    </table>
    <button>登录</button>
</form>
</body>
</html>

2.2 创建login-error页面,用户登录失败后的跳转页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>log-error</title>
</head>
<body>
用户名或密码错误!
</body>
</html>

2.3 修改spirng-security.xml文件

主要修改配置:

  1. :
    login-page:指定指定的登录页面
    default-target-url:登录后默认进入的页面
    authentication-failure-url:用户名密码错误后跳转的页面1.
  2. 解决spring-security – 关闭csrf验证,跨站请求伪造 token:
    使用条件:当我们自己指定登录页面,并且该登录页面为xx.html时需将csrf进行关闭
    当使用系统自定义的时,其表单中携带token验证码,所以不需进行csrf关闭操作
    在这里插入图片描述
<csrf disabled="true"></csrf>
  1. 由于设定pattern="/**", 所以会对我们指定的login-page/default-target-url/authentication-failure-url进行页面拦截的排除过滤:
<http pattern="/login.html" security="none"></http>
<http pattern="/log_error.html" security="none"></http>

修改后spring-security.xml:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans
            http://www.springframework.org/schema/beans/spring-beans.xsd
            http://www.springframework.org/schema/security
            http://www.springframework.org/schema/security/spring-security.xsd">

    <!--排除springsecurity对登录页面的拦截-->
    <http pattern="/login.html" security="none"></http>
    <http pattern="/log_error.html" security="none"></http>

    <!-- 页面拦截规则 -->
    <http>
        <!--
            pattern:页面的匹配规则
                /*:当前文件夹
                /**:当前文件夹,包括子文件夹
            access: hasRole('Role_Admin')
                所有资源必须有ROLE_ADMIN角色才可以访问
        -->
        <intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"/>
        <!--当前的工程实现表单登录-->
        <!--
            注意点:springsecurity中必须对页面加/,使其为绝对路径,不然会造成无法访问
            login-page:指定指定的登录页面
            default-target-url:登录后默认进入的页面
            authentication-failure-url:用户名密码错误后跳转的页面
        -->
        <form-login  login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/log_error.html" />
        <!--退出的登录功能实现,自动添加该功能-->
        <logout/>

        <csrf disabled="true"></csrf>
    </http>
    <!--认证管理器-->
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="admin"
                      password="$2a$10$EPtdfwSJ0ABj5JsCyLqhFe1g503DgA4lQvOxyZF/3usoyje5/q/Dy"
                      authorities="ROLE_ADMIN"></user>
            </user-service>
            <password-encoder ref="bcryptEncoder"></password-encoder>
        </authentication-provider>
    </authentication-manager>
    <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
</beans:beans>

2.4 测试

  1. 输入localhost:9090后,我们会发现进入了自己刚才自定义的登录页面
  2. 输入错误的登录名,密码
    在这里插入图片描述3. 输入正确的登录名,密码
    在这里插入图片描述

2.5 最终目录结构

在这里插入图片描述

3. 实际生产环境中,springsecurity整合配置2

3.1 实际生产环境中都是从数据库中进行数据的读取,如何解决?

替换xml配置

<user-service>
     <user name="admin"
           password="$2a$10$EPtdfwSJ0ABj5JsCyLqhFe1g503DgA4lQvOxyZF/3usoyje5/q/Dy"
           authorities="ROLE_ADMIN"></user>
 </user-service>

替换为:可进行更加灵活的进行用户的权限认证&权限赋予操作(如:后续进行数据库的查询认证以及权限授予),由于查询数据需要进行MyBatis及spring的配置,故在此略

**
* UserDetailService封装了:
*          1.权限认证
*          2.权限赋予
*/
public class UserDetailServiceImpl implements UserDetailsService {
   
   @Override
   public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
       //实际项目中应该从数据库中提取用户列表
       List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
       //写死的权限授予,直接授予该用户ROLE_ADMIN权限
       grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
       return new User(username,"$10$61ogZY7EXsMDWeVGQpDq3OBF1.phaUu7.xrwLyWFTOu8woE08zMIW",grantedAuthorities );
   }
}

同时修改spring-security.xml配置

    <!--认证管理器-->
    <authentication-manager>
        <!--
			user-service-ref:导入类引用
		-->
        <authentication-provider user-service-ref="userDetailService">
            <!--配置密码加密策略-->
            <password-encoder ref="bcryptEncoder"></password-encoder>
        </authentication-provider>
    </authentication-manager>
    <!--向spring容器中,注入bean-->
    <beans:bean id="userDetailService" class="com.springsecurity.demo.UserDetailServiceImpl"></beans:bean>
    <beans:bean id="bcryptEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

3.2 测试后,验证无误

在这里插入图片描述出现了控制台输入乱码:解决方案,settings – build – build tools – maven – runner 补充添加:-Dfile.encoding=GB2312
在这里插入图片描述
从图片中可以看出,再次测试后乱码问题得到解决
在这里插入图片描述

3.4 完成数据库密码查询(模板)

public class UserDetailServiceImpl implements UserDetailsService {


    @Reference
    private AdminService adminService;

    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        System.out.println("经过了UserDetailServiceImpl");
        //1. 权限认证     
        Map map=new HashMap<>();
        map.put("loginName",s);
        map.put("status","1");
        List<Admin> list = adminService.findList(map);
        if(list.size()==0){
            return null;
        }
        //2.权限赋予
        //实际项目中应该从数据库中提取用户的角色列表   通过角色    通过权限
        List<GrantedAuthority> grantedAuthorities=new ArrayList<GrantedAuthority>();
        //
        grantedAuthorities.add( new SimpleGrantedAuthority("ROLE_ADMIN"));
        return new User(s,list.get(0).getPassword(),grantedAuthorities);
    }
}

最后补充:
SpringSecurity有个同源策略问题:
可以在spring-security.xml中标签体中配置

<!--同源策略-->
<headers>
	<frame-options policy="SAMEORIGIN"></frame-options>
</headers>
whisper_node
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring框架快速入门之简介
02-04
Spring是一个开源框架,是为了解决企业应用程序开发复杂性而创建的。框架的主要优势之一就是其分层架构,分层架构允许您选择使用哪一个组件,同时为J2EE应用程序开发提供集成的框架。 在这篇由三部分组成的Spring...
Spring Security入门进阶系列教程
weixin_33955681的博客
08-03 555
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security快速入门进阶、高级
qq_45270898的博客
09-18 601
知识点-Spring Security简介 1.目标 知道什么是Spring Security 2.路径 Spring Security简介 Spring Security使用需要的坐标 3.讲解 3.1 Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来==简化认证和授权的过程。...
解决方案:加盐加密算法BCrypt
chuanchengdabing的博客
08-16 4132
加密算法剖析
史上最全面最易懂的,Spring框架学习教程
assdfgdfgjhtdo的博客
09-14 836
Spring通过PlatformTransactionManager平台事务管理器接口对事务的管理进行高度抽象,但是该接口下具体的实现是由各个平台自己实现,Spring并不直接管理事务,而是提供了多种事务管理器,也就是对各个平台的事务管理进行封装,最终将事务管理的职责委托给JDBC、Hibernate、JPA、JMS、MongoDB等持久化平台框架的事务来实现。 本套Spring课程,是动力节点王鹤老师讲解的,主要讲了Spring4在SSM框架中的使用及运用方式。 内容涵盖了实际工作中可能用到的几乎所有
Spring Security 进阶-加密篇
技术摸索和实践者
05-30 586
转自:https://segmentfault.com/a/1190000018625960 在 Spring Security 中加密是一个很简单却又不能忽略的模块,数据只有加密起来才更安全,这样就散算据库密码泄漏也都是密文。本文分析对应的版本是 5.14。 概念 Spring Security 为我们提供了一套加密规则和密码比对规则,org.springframework.security.crypto.password.PasswordEncoder 接口,该接口里面定义了三个方法。 public i
Springsecurity安全框架案例+多页面登录+redis+token
12-08
Springsecurity安全框架案例+多页面登录+redis+token
SpringBoot安全框架Spring Security
06-26
SpringBoot安全框架Spring Security
SpringSecurity安全框架基础Demo
01-02
SpringSecurity安全框架基础Demo,
SpringSecurity安全框架案例
最新发布
09-23
完整的认证授权流程,没有验证码校验
密码加密及密码加密方式迭型
weixin_53526254的博客
06-29 180
1 MD5密码加密 //md5加密 DegestUtils:spring框架提供的工具类 String md5Str = DigestUtils.md5DigestAsHex("abc".getBytes()); System.out.println(md5Str);//900150983cd24fb0d6963f7d28e17f72 md5相同的密码每次加密都一样,不太安全 2 手动加密(md5+随机字符串) //uername:zhangsan password:123 salt:随...
微服务网关鉴权——gateway使用、网关限流使用、用户密码加密、JWT鉴权
热门推荐
zzhou——blog
03-13 1万+
第3章 微服务网关鉴权 课程目标 掌握微服务网关Gateway的系统搭建 掌握网关限流的实现 能够使用BCrypt实现对密码的加密与验证 了解加密算法 能够使用JWT实现微服务鉴权 1.微服务网关Gateway 1.1 微服务网关概述 ​ 不同的微服务一般会有不同的网络地址,而外部客户端可能需要调用多个服务的接口才能完成一个业务需求,如果让客户端直接与各个微服务通信,会有以下的问题: 客户端...
Spring Security 安全框架概述 与 快速入门
蚩尤后裔-汪茂雄
03-28 9495
目录 Spring Security 概述 Features(特性) 认证 &授权 Web &安全 快速使用 新建 spring boot 应用 新建页面与默认账号访问测试 application.yml 自定义默认账号与密码 内存用户认证与授权 UserControler 控制层访问 认证与授权 Spring Security 概述 1、Java w...
品优购项目day03 安全框架 spring security
小白进阶大佬之路!
03-19 255
回顾: 前面做的品牌的增删改查 分页,规格的增删改查,规格项的增删改查 品牌的增删改查: 用到了 angutl js 插件,来进行增删改查 $scope 特有的域 ng-module 标签注入模块 ng-controller 标签 事务控制 ng-app 标签创建模块 angulr js 可以模拟后台做 代码分离 KaTeX parse error: Expected '}', got 'EO...
Spring Security入门进阶】(一)什么是Spring Security
Eddie'Blog
09-19 139
文章目录目录(一)前置要求(二)什么是Spring Security2.1.1 简述认证与授权2.1.2 Spring过滤器 目录 (一)前置要求 掌握 Spring 框架 掌握 SpringBoot 使用 掌握 Java Web 技术 安装 JDK8、Maven、IDEA、Nodejs (二)什么是Spring Security 2.1.1 简述认证与授权 认证 比如:用户A,通过密码登录验证通过就可以访问Web应用 授权 比如:用户A账户在用户表中,登录时候先会查询您的权限等级是否正确,再
BCrypt加密算法
weixin_43789559的博客
12-02 281
一. 用户表的密码通常使用MD5等不可逆算法加密后存储,为防止彩虹表破解更会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的salt(盐值)加密。 特定字符串是程序代码中固定的,salt是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。 BCrypt算法将salt随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理salt问题。 /** * 增...
Spring框架入门
Princess_Y
11-24 1924
文章目录Spring第1章 简介==1.1 Spring概述==Spring的下载地址1.3 Spring模块==Spring框架分为五大模块:==1.4 HelloWorld==applicationContext.xml文件中的内容====1.5 获取bean的方式==第2章 基于XML的方式管理Bean2.1 IOC和DI2.1.1 IOC(Inversion of Control):反转控制2.1.2 DI(Dependency Injection):依赖注入==2.1.3 IOC容器在Spring
BCrypt密码加密
qq_42121746的博客
10-08 2587
BCrypt密码加密 一 . BCrypt 快速入门 我们从官网下载源码 BCrypt 官网 新建工程,将源码类BCrypt拷贝到工程 新建测试类,main方法中编写代码,实现对密码的加密 String gensalt = BCrypt.gensalt();//这个是盐 29个字符,随机生成 System.out.println(gensalt); String password ...
Spring Security 入门详解
HiBoyljw的博客
11-07 1747
Spring Security 入门详解   1.Spring Security介绍 Spring Security是基于spring的应用程序提供声明式安全保护的安全框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别 处理身份证验证和授权.它充分使用了依赖注入和面向切面的技术.   Spring security主要是从两个方面解决安全性问题: web请求级别:...
芋道 Spring Boot 安全框架 Spring Security 入门
08-12
Spring Security 是一个强大且灵活的认证和授权框架,用于保护 Spring Boot 应用程序的安全性。下面是一个简单的入门指南,帮助你开始使用 Spring Security: 1. 添加 Spring Security 依赖:在你的项目的 `pom.xml...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值