Security总结记录

最新推荐文章于 2023-03-21 11:47:18 发布
最新推荐文章于 2023-03-21 11:47:18 发布
阅读量4.9k 收藏
点赞数
分类专栏: SpringBoot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37419449/article/details/104188098
版权

Security总结

  1. 加入依赖
  2. 配置WebSecurityConfig(3个重写)

加入依赖

 <dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置WebSecurityConfig

WebSecurityConfig继承WebSecurityConfigurerAdapter,需要重写以下三个方法
 @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    //定义用户(user )、 密码(password )和角色 ( role )
}

 @Override
    protected void configure(HttpSecurity http) throws Exception {
    //指定用户和角色与对应 URL 的访问权限
}

 @Override
    public void configure(WebSecurity web) throws Exception {
    //配置 Filter 链的内容,可以配置 Filter 链忽略哪些内容
}

AuthenticationManagerBuilder 

通常自定义CustomAuthenticationProvider处理用户名,密码和角色;

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider);
    }

CustomAuthenticationProvider继承AbstractUserDetailsAuthenticationProvider类,主要重写以下方法:

public class CustomAuthenticationProvider  extends AbstractUserDetailsAuthenticationProvider {

    @Autowired
    private CustomUserDetailsService customUserDetailsService;
    /**
     * 校验密码有效性.
     *
     * @param userDetails  用户正确的密码  .
     * @param authentication .传过来的账户密码
     * @throws AuthenticationException .
     */
    @Override
    protected void additionalAuthenticationChecks(
            UserDetails userDetails, UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        String value = (String)authentication.getCredentials();
        System.out.println("additionalAuthenticationChecks"+value);
        /*
            判断userDetails 和 authentication是否一致
        */
    }

    /**
     * 获取用户.
     *     .
     * @param authentication .
     * @return
     * @throws AuthenticationException .
     */
    @Override
    protected UserDetails retrieveUser(
            String wxCode, UsernamePasswordAuthenticationToken authentication)
            throws AuthenticationException {
        System.out.println("retrieveUser "+ wxCode);
        UserDetails loadedUser = customUserDetailsService.loadUserByUsername(wxCode);
        if (loadedUser == null) {
            throw new InternalAuthenticationServiceException(
                    "UserDetailsService returned null, which is an interface contract violation");
        }
        return loadedUser;
    }
    /**
     * 授权持久化.
     */
    @Override
    protected Authentication createSuccessAuthentication(Object principal,
                                                         Authentication authentication, UserDetails user) {
        return super.createSuccessAuthentication(principal, authentication, user);
    }

additionalAuthenticationChecks用来校验数据库存储用户UserDetail和传来的用户是否一致;retrieveUser则是需要根据用户名去查找数据库对应用户 返回一个UserDetails;

@Service("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private WxUserService wxUserService;

    @Autowired
    private RoleService roleService;


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        String sessionId = username;// 我们保存的是sessionId
        // 从数据库中取出用户信息
        WxUser user = wxUserService.getWxUser(sessionId);
        if(user == null){
            log.error("{} 不存在SessionId", sessionId);
            throw new AuthenticationServiceException(JsonUtils.obj2String(new ErrorInfo(101, sessionId)));
        }
        // 添加权限
        Role role = roleService.selectById(user.getRole());
        authorities.add(new SimpleGrantedAuthority(role.getName()));

        // 返回UserDetails实现类
        return new org.springframework.security.core.userdetails.User(user.getOpenId(), user.getUsername(), authorities);
    }
}

HttpSecurity http

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/static/**","/wx/none/**","/security/sign", "/test/**").permitAll()
                .anyRequest().authenticated() // 其余的所有请求都需要验证
                .and().exceptionHandling().authenticationEntryPoint(authenticationEntryPoint)
                .and()
                .logout().logoutRequestMatcher(new AntPathRequestMatcher("/security/logout")).logoutSuccessHandler(customLogoutSuccessHandler)
                .and().csrf().disable() // 禁用CSRF
                ;


        //用重写的Filter替换掉原有的UsernamePasswordAuthenticationFilter
        http.addFilterAt(customAuthenticationFilter(),
                UsernamePasswordAuthenticationFilter.class);

    }
@Bean
    JsonUsernamePasswordAuthenticationFilter customAuthenticationFilter() throws Exception {
        JsonUsernamePasswordAuthenticationFilter filter = new JsonUsernamePasswordAuthenticationFilter();
        filter.setFilterProcessesUrl("/security/login");
        filter.setAuthenticationSuccessHandler(authenticationSuccessHandler);
        filter.setAuthenticationFailureHandler(customAuthenticationFailHandler);
        //这句很关键,重用WebSecurityConfigurerAdapter配置的AuthenticationManager,不然要自己组装AuthenticationManager
        filter.setAuthenticationManager(authenticationManagerBean());
        return filter;
    }

其中:http对应的方法有如下方法

我们自定义如下验证规则:

public class JsonUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter {
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        UsernamePasswordAuthenticationToken authRequest;
        //attempt Authentication when Content-Type is json
        if (!request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(messages.getMessage("8000", "非POST请求"));
        } else {
            String sessionId = request.getParameter("openId");
            if(sessionId != null && sessionId.equals("")){
                throw new AuthenticationServiceException(messages.getMessage("8001", "openId为空"));
            }
            // 就是我们要的Authentication
            authRequest = new UsernamePasswordAuthenticationToken(sessionId, "");
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }
}

自定义登陆成功 登陆失败 退出 无权限访问页面

public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request,
                                        HttpServletResponse response,
                                        Authentication authentication)
            throws ServletException, IOException {
        response.setContentType("application/json;charset=UTF-8");
        String sessionId = request.getSession().getId();
        log.info("-------SessionId------- {} ", sessionId);
        // 登录成功后,返回json数据
        response.getWriter().append(JsonUtils.obj2String(JsonData.buildSuccess(200, sessionId)));
    }
}

@Component
public class CustomAuthenticationFailHandler implements AuthenticationFailureHandler {


    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=UTF-8");
        // 登录成功后,返回json数据
        httpServletResponse.getWriter().append(JsonUtils.obj2String(JsonData.buildError(500, "登陆失败", e.getMessage())));
    }
}
@Component
public class CustomLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
                                Authentication authentication) throws IOException, ServletException {
        if (authentication != null && authentication.getDetails() != null) {
            try {
                httpServletRequest.getSession().invalidate();
                //you can add more codes here when the user successfully logs out,
                //such as updating the database for last active.
            } catch (Exception e) {
                e.printStackTrace();
            }
        }

        httpServletResponse.setStatus(HttpServletResponse.SC_OK);
    }
}

public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        response.setContentType("application/json;charset=UTF-8");
        response.getWriter().append(JsonUtils.obj2String(JsonData.buildError(403, "无权限")));
    }
}

WebSecurity web

@Override
    public void configure(WebSecurity web) throws Exception {
        // 设置拦截忽略文件夹,可以对静态资源放行
        web.ignoring().antMatchers("/css/**", "/js/**");
    }

 

BugGuys
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安全总结
Going Perfect
07-17 392
名词解释拖库攻击者利用网站的漏洞,获取网站的所有数据。撞库攻击者从A网站获取了用户的用户名和密码,然后尝试在B网站登录。 也就是碰运气。暴力破解也就是穷举法,一一尝试破解密码彩虹表对于不可逆推的hash加密,像md5()。md5(a)=b,从b不可以反推出a来。 由于a与b的关系是一一对应的,那么,a与b可以建立关系表,从而由b可以反推出a。 这个表,就是“彩虹表”。对称加密加密与解密使用的秘
spring security 4 filter UsernamePasswordAuthenticationFilter(一)
it帝国的博客-辉
03-04 1025
spring security 就是由一系列filter组成的一个安全认证框架,熟悉其中一些重要的filter是对熟悉spring security本身就是一种方式。首先我将先附上spring security官网上几个默认的filter 然后我会重点讲几个,今天我们先说UsernamePasswordAuthenticationFilter这个过滤器,从官网上的截图可以看到左边...
SpringSecurity框架原理浅谈之AuthenticationManager
黄先生的博客
02-10 2866
AuthenticationManager这个接口方法非常奇特,入参和返回值的类型都是Authentication。该接口的作用是对用户的未授信凭据进行认证,认证通过则返回授信状态的凭据,否则将抛出认证异常AuthenticationException。
Spring Security小教程 Vol 5.核心组件AuthenticationManager专题
weixin_34345753的博客
03-28 350
前言 我们在某一期其实已经对Authentication身份验证中的主要组件进行过介绍,并且通过几期的分享让大家大致了解了Web应用大致利用核心进行身份验证的流程和相关的扩展点。 这一期我们用一期的篇章把关注点放在Authentication身份验证核心最主要的几个服务AuthenticationMananger、AuthenticationProvider和UserDetailsService,...
SpringSecurity多认证器 配置 多模式登录自定义认证器
这个柠檬有丶酸的博客
04-09 2500
首先说下项目使用背景 A服务 和B服务 都在项目中 认证服务是一个公共模块 需要多个认证器 第一步我们先说说 登录过滤器 WebSecurityConfigBugVip.class /** * @Author: Mr_xk * @Description: 配置类 * @Date: 2021/8/1 **/ @Configuration @EnableWebSecurity public class WebSecurityConfigBugVip extends WebSecurityConf
超完整的springSecurity用户登录和权限认证(自定义)
m0_51238796的博客
05-02 1万+
SpringSecurity用户认证和权限
spring boot security 自定义登陆、成功处理、失败处理
我是一只蘑菇17的博客
09-27 813
网上默认添加认证成功处理类在我们自己定义的安全配置类中 BrowerSecurityConfig extends WebSecurityConfigurerAdapter。定义自定义成功处理类,继承SavedRequestAwareAuthenticationSuccessHandler。在configure 方法中的http 设置了自定义登录成功与登录失败处理(如上)// 定义当需要用户登录时候,转到的登录页面。... 此处省略不关键代码。// 自定义登录成功处理。// 自定义登录失败处理。
springsecurity:Spring安全学习总结
01-29
在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 生成jwt 解析jwt 根据1,2实现对访问路径的权限拦截 使用 spring security 学习...
软件工程师年度工作总结.doc
11-22
该文档对软件工程师的年度工作总结进行了详细的记录和反思,对于软件开发和项目管理的经验和教训进行了总结和分析,为以后工作的发展和改进提供了有价值的参考。 1. 软件开发经验: * 荆门石油石化巡检系统的开发...
Ontology-Triones-Service-Node-security-checklist:Ontology Triones Service Node security checklist(本体北斗共识集群安全执行指南)
05-10
Ontology Triones Service Node security checklist(本体北斗共识集群安全执行指南) by 慢雾安全团队 & Joinsec Team 目录 2.1 密码安全 2.2 开启日志记录 2.3 设置最低交易价格 2.4 并发连接数优化 2.5 非 root ...
vechain-core-nodes-security-checklist:VeChain core nodes security checklist(唯链核心节点安全执行指南)
05-11
配置安全2.1 开启日志记录2.2 设置最大连接数2.3 非 root 启动 thor2.4 监听随机端口3. 网络安全3.1 云服务商3.2 DDoS 防御4. 主机安全5. 威胁情报6. NormalNode(普通节点)核心安全配置总结致谢安全方案简介鉴于...
AWS Security Specialty (SCS-C02)认证考试资料整理英文-系列二
最新发布
10-21
本资源摘要信息为 AWS Security Specialty (SCS-C02) 认证考试资料整理英文-系列二的知识点总结,涵盖 AWS 安全、身份验证和授权、数据加密、日志记录和监控、安全组和网络安全等方面的知识点。 一、身份验证和授权...
Spring Security整合JWT实现权限认证和授权
weixin_45818966的博客
11-05 4134
关于spring security整合jwt实现前后端权限认证和授权管理
SpringSecurity权限控制
qq_61544409的博客
03-21 6599
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功
SpringSecurity系列 之 集成第三方登录(包括默认的用户名密码、短信验证码和github三种登录方式)
向心行者
09-15 8338
一、前言   前面在《SpringSecurity系列 之 认证过程和原理》一文中,我们已经学习了SpringSecurity的认证过程,实现过程如下图所示:   根据这个认证过程,我们如何实现集成多种第三方登录的方案呢?我们这里提供了一种思路:首先我们提供一个实现了AbstractAuthenticationProcessingFilter抽象类的过滤器,用来代替UsernamePasswordAuthenticationFilter逻辑,然后提供一个AuthenticationProvider实现类代
Spring Security 自定义记住我功能!
weixin_52834606的博客
09-03 1433
spring security 前后端分离 自定义 RememberMe
java 过滤器 注入dao_如何在自定义过滤器中使用Java配置注入AuthenticationManager
weixin_39528289的博客
03-02 344
我使用Spring Security 3.2和Spring 4.0.1我正在将一个xml配置转换为Java配置。当我在我的过滤器中用@Autowired注释AuthenticationManager时,我得到一个异常Caused by: org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying be...
史上最简单的Spring Security教程(二十八):CA登录与默认用户名密码登录共存详细实现及配置
银河架构师的博客
09-20 3165
​在前面的文章中,我们自定义了一些CA登录相关的类,如CertificateAuthorityAuthenticationToken、CertificateAuthorityAuthenticationFilter、CertificateAuthorityDaoAuthenticationProvider等。但是,由于诸多条件的不具备,也就没有办法演示。 不过,目前一个新登录方式所需要的逻辑基本都介绍过了,下面,就利用这些已经自定义的类,来尝试如何自定义个新的登录方式-CA登录。并且,CA登录需要与默认.
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
springsecurity有必要吗
08-07
Spring Security是一个功能强大且广泛使用的安全框架,它在保护应用程序的份认证和授权方面提供一系列功能和选项。它提供了许多内置的安全特性,例如用户认证、访问控制、会话管理、密码密等等。Spring在Web应用程序中广泛应用,可以轻松地集成到Spring框架中。 那么,是否有必要使用Spring Security取决于你的应用程序的需求和安全性要求。以下是一些使用Spring Security的场景: 1. 用户认证和授权:如果你的应用程序需要对用户进行认证和授权,确保只有授权用户可以访问特定的资源或执行特定的操作,那么Spring Security是一个非常好的选择。它提供了灵活的配置选项,可以根据你的需求进行自定义。 2. 密码加密:Spring Security提供了多种密码加密和哈希算法,可以帮助你存储用户密码的安全性。它可以防止明文密码泄露,并提供了一些防止密码攻击的选项。 3. 会话管理:Spring Security提供了会话管理功能,可以帮助你管理用户会话并保护用户的隐私。它支持各种会话存储选项,并提供了一些防止会话劫持和跨站点请求伪造(CSRF)的保护机制。 4. 安全事件和日志记录:Spring Security提供了安全事件和日志记录功能,可以帮助你监视和审计应用程序的安全状态。它可以记录登录尝试、访问被拒绝的资源等安全相关事件,帮助你及时发现和应对潜在的安全威胁。 总结来说,如果你的应用程序需要进行身份认证和授权,并且需要保护用户隐私和应对安全威胁,那么使用Spring Security是非常有必要的。它提供了许多功能和选项,可以帮助你构建安全可靠的应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BugGuys

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值