spring-security

最新推荐文章于 2024-02-01 23:33:15 发布
最新推荐文章于 2024-02-01 23:33:15 发布
阅读量580 收藏
点赞数
分类专栏: springBoot&Springcloud 文章标签: java spring spring boot
转载需说明出处,欢迎交流!!!
本文链接:https://blog.csdn.net/qq_40408317/article/details/121396499
版权

spring security介绍:

https://spring.io/projects/spring-security SpringSecurity 特点:

⚫ 和 Spring 无缝整合。

⚫ 全面的权限控制。

⚫ 专门为 Web 开发而设计。 ◼旧版本不能脱离 Web 环境使用。 ◼新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独 引入核心模块就可以脱离 Web 环境。

⚫ 重量级。

1 添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

需要添加的配置类:

@Configuration
public class SecurityConfigextends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin() // 表单登录
.and()
.authorizeRequests() // 认证配置
.anyRequest() // 任何请求
.authenticated(); // 都需要身份验证
}
}
权限管理中的相关概念
2.3.1 主体
英文单词:principal
使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是谁使用系
统谁就是主体。
2.3.2 认证
英文单词:authentication
权限管理系统确认一个主体的身份,允许主体进入系统。简单说就是“主体”证
明自己是谁。
笼统的认为就是以前所做的登录操作。
2.3.3 授权
英文单词:authorization
将操作系统的“权力”“授予”“主体”,这样主体就具备了操作系统中特定功
能的能力。
所以简单来说,授权就是给用户分配权限。
SpringSecurity 基本原理:
SpringSecurity 本质是一个过滤器链:
从启动是可以获取到过滤器链:
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil
ter
org.springframework.security.web.context.SecurityContextPersistenceFilter
org.springframework.security.web.header.HeaderWriterFilter
org.springframework.security.web.csrf.CsrfFilter
org.springframework.security.web.authentication.logout.LogoutFilter
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
org.springframework.security.web.savedrequest.RequestCacheAwareFilter
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
org.springframework.security.web.authentication.AnonymousAuthenticationFilter
org.springframework.security.web.session.SessionManagementFilter
org.springframework.security.web.access.ExceptionTranslationFilter
org.springframework.security.web.access.intercept.FilterSecurityInterceptor
代码底层流程:重点看三个过滤器:
FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。

super.beforeInvocation(fi) 表示查看之前的 filter 是否通过。
fi.getChain().doFilter(fi.getRequest(), fi.getResponse());表示真正的调用后台的服务。
ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常

UsernamePasswordAuthenticationFilter :对/login 的 POST 请求做拦截,校验表单中用户名,密码。

UserDetailsService 接口讲解

当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中

账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。

如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下:

⚫ 返回值 UserDetails

这个类是系统默认的用户“主体”// 表示获取登录用户所有权限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户名
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();

PasswordEncoder 接口讲解

// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回
false。默认返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false;
}

BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析

器。

BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单

向加密。可以通过 strength 控制加密强度,默认 10.

@Test
public void test01(){
// 创建密码解析器
BCryptPasswordEncoder bCryptPasswordEncoder =
new
BCryptPasswordEncoder();
// 对密码进行加密
String atguigu = bCryptPasswordEncoder.encode("atguigu");
// 打印加密之后的数据
System.out.println("加密之后数据:\t"+atguigu);
//判断原字符加密后和加密之前是否匹配
boolean result = bCryptPasswordEncoder.matches("atguigu", atguigu);
// 打印比较结果
System.out.println("比较结果:\t"+result);
}

SpringBoot 对 Security 的自动配置

Spring Security Reference

eg1:需要在properties文件中添加security中的配置

#认证的用户名,比如root
spring.security.user.name=root
spring.security.user.password=root

方式二:编写类实现接口

@Configuration
public class SecurityConfig {
// 注入 PasswordEncoder 类到 spring 容器中
@Bean
public PasswordEncoder passwordEncoder(){
return new BCryptPasswordEncoder();
}
}

@Service
public class LoginService implements UserDetailsService {
@Override
public
UserDetails loadUserByUsername(String username)
throws
UsernameNotFoundException {
// 判断用户名是否存在
if (!"admin".equals(username)){
throw new UsernameNotFoundException("用户名不存在!"); }
// 从数据库中获取的密码 atguigu 的密文
String pwd =
"$2a$10$2R/M6iU3mCZt3ByG7kwYTeeW0w7/UqdeXrb27zkBIizBvAven0/na";
// 第三个参数表示权限
return new
User(username,pwd,
AuthorityUtils.commaSeparatedStringToAuthorityList("admin,"));
}
}

方式二:使用UserDetailsService 实现类

@Configuration
public class SelfSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userDetailsService;
   @Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService).passwordEncoder(this.getEncode());
} 
@Bean
public PasswordEncoder getEncode() {
    return new BCryptPasswordEncoder();
}
}

/**
 * @author tong.luo
 * @description SelfUserDetailsService
 * @date 2021/11/16 11:33
 */
@Service
public class SelfUserDetailsService implements UserDetailsService {
    private static HashMap<String, String> staticMap = new HashMap<>();

    static {
        //代替数据库中的数据查询
        staticMap.put("daily", "dailypwd");
        staticMap.put("admin", "pwd");
        staticMap.put("123", "333");
    }

    /**
     * Locates the user based on the username. In the actual implementation, the search
     * may possibly be case sensitive, or case insensitive depending on how the
     * implementation instance is configured. In this case, the <code>UserDetails</code>
     * object that comes back may have a username that is of a different case than what
     * was actually requested..
     *
     * @param username the username identifying the user whose data is required.
     * @return a fully populated user record (never <code>null</code>)
     * @throws UsernameNotFoundException if the user could not be found or the user has no
     *                                   GrantedAuthority
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //使用其中的utils生成权限的数据
        List<GrantedAuthority> grantedAuthorities = AuthorityUtils.createAuthorityList("roles", "admin", "admins");
        String key = "daily";
        //可以将下面的固定值修改为从数据库中查询
        return new User(key, new BCryptPasswordEncoder().encode(staticMap.get(key)), grantedAuthorities);
    }
}

Diligently_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Security + OAuth2.0 + JWT 实现单点登录
随笔
07-21 4102
使用 Spring Security + OAuth2.0 + JWT 实现单点登录
spring security的form-login是如何关联dao的
CherishL_的专栏
05-08 644
http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#appendix-faq-what-is-userdetailservice 手册中说: UserDetailsService is a DAO interface for loading data that is specific to a
spring-security 默认登录页面(一)
最新发布
modelmd的博客
02-01 1980
Spring Security是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何生产的呢?
spring-security-oauth2-authorization-server(一)SpringBoot3.1.3整合
weixin_42229668的博客
09-16 4973
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。
Spring-Security
小赵的呢
01-17 2563
一、Spring-Security初识 简介 最近做了一个ssm整合的项目,使用到了Spring-security,在我们之前的web项目在关于用户登录验证总是通过servlte中的session获取其中的user和设置user,现在我们有了框架spring就帮我把这些操作都封装到一个包里面 这是spring-security的核心功能 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 入门项目 <dependency> <groupId>org.sp
单独启用spring-security配置和spring-security集成cas配置
weixin_41758407的博客
05-25 1637
一:单独启用配置思路: spring-security.xml: 1.配置路径对应的权限 2.配置用户权限授权 web.xml: 1.配置spring-security过滤器 2.配置spring-security监听器,防止session固话攻击和session并发控制 二:spring-security集成cas配置思路: spring-security-cas.xml: 1.配置路径对应...
springboot整合spring-security
qq_40834643的博客
01-16 2054
对以上代码进行简单描述,configure(HttpSecurity http)方法是授权认证,其目的是告诉有哪些权限的人才可以访问哪个页面,configure(AuthenticationManagerBuilder auth)方法是定义认证规则,其目的是定义哪些用户有权限,即给每个用户绑定权限。在web开发中,安全性问题比较重要,一般会使用过滤器或者拦截器的方式对权限等进行验证过滤。此博客根据b站up主,使用demo示例进行展示spring-security的一些功能作用。
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 4187
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
SAML单点登录-spring-security-saml 整合使用
LuckyTHP
07-07 6813
springboot security saml2
spring-security.安全框架配置的两种方式 spring-security.xml
hanzl1的博客
07-17 4014
0.pom.xml加入配置 &lt;!-- spring 安全相关 --&gt;     &lt;dependency&gt;             &lt;groupId&gt;org.springframework.security&lt;/groupId&gt;             &lt;artifactId&gt;spring-security-web&lt;/artifactI...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Springcloud使用zookeeper作为注册中心
Diligently
02-01 4850
参考博客1: SpringCloud——Zookeeper(注册中心) https://blog.csdn.net/typ1805/article/details/82849855 在SpringCloud中使用Zookeeper做注册中心和配置中心 https://www.jianshu.com/p/1a839671e210 以zookeeper为注册中心搭建spring cloud环...
springboot使用连接minion 配置
Diligently
06-02 607
1添加:application-minio.properties。2.配置文件:MinIoClientConfig。4.测试文件:MinioController。3.添加 utils文件。
springboot全局配置内容
Diligently
05-31 389
# =================================================================== # COMMON SPRING BOOT PROPERTIES # # This sample file is provided as a guideline. Do NOT copy it in its # entirety to your own appl...
spring-Security
09-09
Spring Security 是 Spring 家族中的一个安全管理框架,与 Shiro 相比,它提供了更丰富的功能,并拥有更丰富的社区资源。在中大型项目中,通常会选择使用 Spring Security 来进行安全框架的搭建,而在小项目中,使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Diligently_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值