SpringBoot+Spring Security安全框架整合与初探

最新推荐文章于 2024-05-17 07:16:57 发布
最新推荐文章于 2024-05-17 07:16:57 发布
阅读量2.8k 收藏 1
点赞数
文章标签: spring 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40620396/article/details/122369821
版权

SpringBoot+Spring Security安全框架整合与初探

市面上存在比较有名的安全框架:Shiro,Spring Security !

Spring Security官网介绍
Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.

Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements


中文翻译:Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。
SpringSecurity是一个框架,它关注于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正威力在于它可以多么容易地扩展以满足定制需求

Spring Security主要做认证和授权

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

认证

身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。

授权

身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。

Spring Security入门

引入Spring Security 模块

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

创建配置文件SecurityConfig

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

}

重写身份管理configure(AuthenticationManagerBuilder auth)

在重写的身份验证中编写内存中添加的用户

    @Override
    //身份管理
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                //使用自定义密码验证策略
             .passwordEncoder(new MyPasswordEncoder())
             .withUser("bc").roles("admin").password("$2a$10$KzeGSl1f7cQPgK6fWnUmie6B9twiehYvvXDtQ1Gi0WCLa.rt28j2i")
             .and()
             .withUser("admin").roles("admin").password("$2a$10$2UaOufuypWR1TASuso2S6.u6TGL7nuAGCsb4RZ5X2SMEuelwQBToO")
             .and()
             .withUser("user").roles("user").password("$2a$10$2UaOufuypWR1TASuso2S6.u6TGL7nuAGCsb4RZ5X2SMEuelwQBToO");
    }

//使用自定义密码验证策略
.passwordEncoder(new MyPasswordEncoder())

此处写了一个MyPasswordEncoder,使用BCrypt加密算法

public class MyPasswordEncoder implements PasswordEncoder {
    @Override
    //加密
    public String encode(CharSequence rawPassword) {
        String encode = new BCryptPasswordEncoder().encode(rawPassword);
        return encode;
    }

    @Override
    //解密
    public boolean matches(CharSequence rawPassword, String encodedPassword) {

        boolean checkpw = BCrypt.checkpw(rawPassword.toString(), encodedPassword);
        return checkpw;
    }

    public static void main(String[] args) {
        String bc = new MyPasswordEncoder().encode("bc");
        System.out.println(bc);
    }

重写登陆配置configure(HttpSecurity http)并添加配置

@Override
    //登陆配置
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests() //开启登录认证
                .antMatchers("/sctoken").hasRole("admin") //访问接口需要admin的角色
                .antMatchers("/login").permitAll()  //登陆接口开放
                .anyRequest().authenticated() // 其他所有的请求 只需要登录即可
                .and().formLogin()
                .loginPage("/index.html") //自定义的登录页面
                .loginProcessingUrl("/login") //登录处理接口
                .usernameParameter("username") //定义登录时的用户名的key 默认为username
                .passwordParameter("password") //定义登录时的密码key,默认是password
                .successHandler(new AuthenticationSuccessHandler() {    //成功登陆回调
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write("success");
                        out.flush();
                    }
                }) //登录失败回调
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write("fail");
                        out.flush();
                    }
                })
                .permitAll() //通过 不拦截,增加前面配的路径决定,这是指和登录表单相关的接口 都通过
                .and().logout() //退出登录配置
                .logoutUrl("/logout") //退出登录接口
                .logoutSuccessHandler(new LogoutSuccessHandler() {  //注销成功回调
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
                        httpServletResponse.setContentType("application/json;charset=utf-8");
                        PrintWriter out = httpServletResponse.getWriter();
                        out.write("logout success");
                        out.flush();
                    }
                }) //退出登录成功 处理器
                .permitAll() //退出登录的接口放行
                .and()
                .httpBasic()    //httpBasic认证
                .and()
                .csrf().disable(); //csrf关闭 如果自定义登录 需要关闭

    }

其中的自定义登录页面

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title><!DOCTYPE html>
        <html lang="en">
        <head>
        <meta charset="UTF-8">
        <title>自定义登录页面</title>
    <!-- 引入样式 -->
    <link rel="stylesheet" href="https://unpkg.com/element-ui/lib/theme-chalk/index.css">
</head>
<body>
<div id="app">
    用户名: <el-input v-model="username" placeholder="请输入内容"></el-input>
    密码:  <el-input v-model="password" placeholder="请输入内容"></el-input>
    <el-button type="success" @click="login()">提交</el-button>
</div>
<!-- 引入组件库 -->
<script src="https://cdn.jsdelivr.net/npm/vue/dist/vue.js"></script>
<script src="https://unpkg.com/element-ui/lib/index.js"></script>
<script src="https://unpkg.com/axios/dist/axios.min.js"></script>

<script>
    new Vue({
        el: "#app",
        data:{
            username:"",
            password:""
        },
        methods:{
            login(){
                axios.post("/login?username="+this.username+"&password="+this.password).then((res)=>{
                    if (res.data == "success"){
                        this.$message.success("登录成功");
                    }else{
                        this.$message.error("用户名或密码错误");
                    }
                })
            }
        }
    });
</script>
</body>
</html></title>
</head>
<body>

</body>
</html>

这时候去试着访问/sctoken接口会自动跳转到index.html要求登陆,登录成功后重新访问接口就能正常返回了

-Baicha_
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基于Spring家族的Spring Security安全框架
qq3164069700的博客
12-10 2867
一、Spring Security介绍 spring security 是基于 spring安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上,spring security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。是一个轻量级的安全框架。它与 Spring MVC 有很好地集成. 核心功能:认证、验证 原理:
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
springBootspring security 版本对应关系
热门推荐
快乐的小三菊的博客
11-23 1万+
springBootspring security 版本对应关系
SpringBoot——Spring Security 框架_spring boot自带的安全框架(1)
最新发布
m0_54903333的博客
05-17 1108
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!内容实在太多,不一一截图了。
安全篇】Spring Boot 整合 Spring Security 安全框架
csp732171109的博客
04-22 4095
安全框架 安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。 用户授权:验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。 一般来说,系统会为不同的用户分配不同的角
29-SpringBoot 安全SpringSecurity
鸣鼓ming的博客
07-09 1125
Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的 安全管理。几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity:开启WebSecurit
Spring Boot 与 Spring Security
暗星涌动
06-05 2721
Spring Security是一个基于Spring框架安全框架,它提供了一套完整的安全解决方案,包括认证、授权、攻击防护等功能,可以轻松地集成到Spring应用程序中,保护应用程序的安全性。Spring Security的主要作用是保护Web应用程序的安全性,包括用户身份验证、授权、防止跨站请求伪造(CSRF)、防止会话固定攻击等。在使用Spring Security时,我们可以配置安全策略、用户角色、访问控制等,从而实现对Web应用程序的安全保护。
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurity和jwt整合SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java安全框架,它提供了一个灵活的安全机制来...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
Spring Boot与Spring Security
微瞰技术的博客
09-05 1142
Spring Security  Spring Security是专门针对基于Spring的项目的安全框架,充分利用了依赖注入和AOP来实现安全的功能,在早期的Spring Security版本,使用Spring Security需要使用大量的XML配置,而SpringBoot中将全部基于Java配置和注解来实现Spring Security的功能 安全框架有两个重要概念,即认证(Authen
Spring Boot 和Spring Security
liyongscys的专栏
06-19 187
本文是描述Spring Boot 与Spring Security在web环境下相关的学习笔记,偏向于原理性质。 在Spring Boot下,它其中包含了security的自动配置是SecurityAutoConfiguration和SecurityFilterAutoConfiguration 要使用Spring Securty,就会使用注解EnableWebSecurity 来开启安全...
SpringBoot整合SpringSecurity
孬蛋的博客
08-07 829
SpringSecurity5.7.2使用
SpringBootSpringBootSecurity
禅与计算机程序设计艺术
01-28 1064
1.背景介绍 1. 背景介绍 Spring Boot 是一个用于构建新 Spring 应用的优秀框架。它的目标是简化新 Spring 应用的初始搭建,以及开发、生产、运行和管理,使开发人员可以快速以可持续的速度开发和部署新的 Spring 应用。 Spring Boot SecuritySpring Security 的一个子集,它是 Spring Security 的一个简化版本,用...
简介SpringSecurity+Spring Boot整合
ErHa_lodman的博客
01-17 491
Spring Security 一、Spring security简介 spring security 的核心功能主要包括: 认证(你是谁) 授权(你能做什么) 攻击防护(防止伪造身份) ​ 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QDSKdhh0-1642
SpringBootSpringSecurity框架
AllureSoul的博客
03-27 326
SpringBootSpringSecurity框架
Spring Boot学习(十六):Spring Boot与Spring Security整合
xinan_xin的博客
12-28 622
  这里是一个学习过程笔记的汇总:Spring Boot学习汇总 学习之前,需要对Spring Security有个大概了解,可以去看官方文档:Spring Security官方文档 首先创建一个Spring Boot项目,导入web、Security(这里导入的是5.1.2版本)以及JPA模块。整合JPA操作请看这篇:Spring Boot整合jpa相关操作 项目结构如下: 首先创...
springboot整合spring-security
qq_40834643的博客
01-16 2057
对以上代码进行简单描述,configure(HttpSecurity http)方法是授权认证,其目的是告诉有哪些权限的人才可以访问哪个页面,configure(AuthenticationManagerBuilder auth)方法是定义认证规则,其目的是定义哪些用户有权限,即给每个用户绑定权限。在web开发中,安全性问题比较重要,一般会使用过滤器或者拦截器的方式对权限等进行验证过滤。此博客根据b站up主,使用demo示例进行展示spring-security的一些功能作用。
Springboot+SpringSecurity+Mybatis
05-27
Spring Security是一个基于Spring框架安全框架,它提供了身份验证、授权、攻击防护等安全功能。MyBatis是一个Java持久化框架,它通过XML或注解方式将Java对象映射到数据库表中。 SpringBoot + SpringSecurity + ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值