SpringSecurity(一)——简介及项目搭建

最新推荐文章于 2024-06-28 15:42:21 发布
最新推荐文章于 2024-06-28 15:42:21 发布
阅读量3.3k 收藏 5
点赞数 2
分类专栏: SpringSecurity 文章标签: java 系统安全 开发语言 SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40749255/article/details/122807062
版权

SpringSecurity(一)——简介及项目搭建

前言

SpringSecurity框架是一款权限管理框架,与之相同功能的还有一款Shiro框架(后续说明,本系列只说明SpringSecurity),本篇笔记会先说明权限这个概念,然后说说明最基础的集成SpringSecurity框架的项目搭建。

文章目录

权限管理

权限管理属于系统安全的范畴,限制对系统访问权限的设置,用户必须通过某种认证访问资源或者用户认证后可以访问被授权的资源,即:权限管理包括两个部分,认证及授权。

认证可以单纯的理解为系统的登录,我们需要出示我们在系统中的合法身份来获取进入系统的权限,即:曾经的登录操作;

授权便是在认证之后的进一步操作,即便我们已经被认证为系统的合法用户,但我们也不可能对系统中的所有资源进行操作。众所周知,系统中的用户是分等级或分工的,不同等级或分工的身份所可以操作的资源是不同的,所以我们需要对用户进行授权,规定用户操作资源的范围和等级。

权限管理的框架技术

Java企业级开发中,关于权限管理的技术较少,大体分为两个技术和一个方向:

  • Shiro:Java权限管理框架的老前辈,是一款轻量、易于集成的技术,但是在微服务架构中无法完全发挥自己的有点,倒是有一些鸡肋;
  • SpringSecurity:该框架现在很受欢迎,因为在现阶段观察Java框架的发展趋势,Spring全家桶是一个总体趋势,且SpringSecurity在SpringBoot框架中集成使用有着更大的优势;
  • 自定义规则:这方面大家了解就好,因为开发一个权限管理框架不单单是上面说的认证和授权问题,还有许多安全问题,比如数据安全、数据加密等,更主要的是框架当然要基于现有技术的基础上进行创新,但是现有技术也并不是十分安全,比如我们经常使用的slf4j工具(谁能想到有这么恶心的漏洞)。所以一般只有大厂才会自行开发权限框架。

SpringSecurity项目搭建

引入依赖

        <!--引入SpringSecurity依赖-->
        <!--引入该依赖后,便可以对所有接口进行保护,无需相应配置即可完成简单的功能-->
        <!--所有接口必须经过认证后才可以继续访问-->
        <!--同时,引入该依赖后,系统无论请求任何路径都会进入到登录页面,且访问不存在的资源也会进入登录页面-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
定义controller(随便写一个,方便测试)
@RestController
public class TestController{
    @RequestMapping("test")
    public String test(){
        return "成功访问该接口";
    }
}
表现形式

在SpringBoot项目中引入依赖后,我们的项目默认会将所有的接口以及页面等资源保护起来,需要认证以及授权后才可以成功访问资源(默认没有定义授权的设置,所以暂时只会说明认证)。

项目启动以后我们会在控制台中看到下图的数据:

在这里插入图片描述

图中的密码是SpringSecurity为我们自动生成的用户密码,默认用户名为:user,这个时候我们访问一下test接口会出现一个需要登录的认证页面,我们在用户名中输入user,在密码中输入控制台中自动生成的密码,才可以访问对应资源。

修改默认用户名以及资源认证的方法

配置文件

该部分分为两个文件,一个是application.yml,另一个则是我们自定义的配置类(用于修改认证的方式等)。

application.yml
spring:
  security:
    user:
      name: root
      password: 123123

该部分配置表示我们将SpringSecurity中默认生成的用户名及密码修改为自定义的密码,这个时候我们重启项目的时候,控制台中不会为我们生成默认的密码。

自定义配置类(配置认证规则)

我们在实际开发中,有很多资源是不需要认证就可以访问的,比如登录界面、网站主页、注册页面等,但是SpringSecurity依赖引入后会自动将项目中所有的资源进行保护起来,这个时候我们可以通过自定义配置类来修改这些。

// 配置类必须加上这个注解
@Configuration
// 自定义的认证等配置需要继承该类并重写以下方法
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 表示开启请求权限管理
        http.authorizeRequests().
                mvcMatchers("/index")   // 表示index 的所有资源
                .permitAll() // 表示放行指定的请求
                .mvcMatchers("/loginPage")  // 表示login的资源
                .permitAll()
                .mvcMatchers("/mainPage")
                .permitAll()
                .anyRequest()   // 表示剩余的资源
                .authenticated()
                .and()  //  继续配置,该方法会返回一个HttpSecurity对象
                .formLogin()    // 表示需要认证的资源使用表单认证
                .loginPage("/loginPage")
                .loginProcessingUrl("/loginRequest")   // 指定登录请求的路径,默认为login
                .usernameParameter("name") // 修改用户认证的字段名,即通知认证器,前端哪个字段名用来认证
                .passwordParameter("pwd")
                .successForwardUrl("/mainPage")   // 认证成功后页面跳转路径(转发)
//                .failureForwardUrl("/loginPage")  // 认证失败跳转的页面(转发)
//                .failureUrl("/loginPage")  // 认证失败跳转页面(重定向)
                .failureHandler(new MyAuthenticationFailureHandler()) // 注销失败拦截器
                // 默认认证成功路径(重定向),该方法会记录第一次请求的资源,认证成功后会优先重定向到认证前的资源路径
                // 第二个参数默认为false,如果手动定义为true,则会以重定向的方式完成和 successForward方法同样的操作
//                .defaultSuccessUrl("/main",true)
                // 前后端分离的认证成功处理
//                .successHandler(new MyAuthenticationSuccessHandler())  // 认证成功之后的处理
                .and()
                .logout()
//                .logoutUrl("/logout")  // 注销登录的URL,默认提交方式为GET
                // 指定多个注销请求的路径及方式
                .logoutRequestMatcher(new OrRequestMatcher(
                        new AntPathRequestMatcher("/logoutGet","GET"),
                        new AntPathRequestMatcher("/logoutPost","POST")
                        )
                )
                // 前后端分离项目中,注销处理
                .logoutSuccessHandler(new MyLogoutSuccessHandler()) // 注销拦截器
                .invalidateHttpSession(true)  // 是否清除Session域
                .clearAuthentication(true)  // 是否清除认证信息
                .logoutSuccessUrl("/loginPage")  // 注销成功后跳转的页面
                .and()
                .csrf().disable()   // 禁用csrf跨站请求保护
                ;
    }
}

上面这个配置我们懒得循序渐进的一点一点加了,所有配置方法都加上了注释,且同种类型不同处理办法的配置都放在一起,大家可以自行设置。

在这个配置类中,我们配置好的登录认证页面在自定义后必须将这个页面加入到放心策略中,且所有放行的资源必须写在所有资源之前。

自定义拦截器

在上面的自定义配置类中我们有一些自定义的拦截器,用于登录认证、注销认证等,对应的自定义拦截器如下:

认证成功拦截器
// 自定义成功认证之后的处理
public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        Map<String,Object> result = new HashMap<>();
        result.put("result","登录成功");
        result.put("msg",200);
        result.put("authentication",authentication);
        response.setContentType("application/json;charset=UTF-8");
        String resultStr = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(resultStr);
    }
}
认证失败拦截器
/**
 * 自定义认证失败处理方案
 */
public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        Map<String,Object> result = new HashMap<>();
        result.put("msg","登录失败: "+exception.getMessage());
        result.put("status",500);
        response.setContentType("application/json;charset=UTF-8");
        String resultStr = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(resultStr);
    }
}
注销成功拦截器
public class MyLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        Map<String,Object> result = new HashMap<>();
        result.put("msg","注销成功,当前认证对象为:" + authentication);
        result.put("status",200);
        response.setContentType("application/json;charset=UTF-8");
        String resultStr = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(resultStr);
    }
}

获取用户认证信息的方式

后端代码

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
// 获取身份信息
Object principal = authentication.getPrincipal();
// 获取权限信息
Object authorities = authentication.getAuthorities();
log.info("获取身份信息:" + principal);
log.info("获取权限信息:" + authorities);

在用户认证成功后,我们可以通过这段代码来获取认证后的用户信息。

前端代码

本次项目中使用的前端引擎为thymeleaf,thymeleaf中并没有兼容SpringSecurity的功能,所以我们需要引入扩展依赖

<!--引入thymeleaf对SpringSecurity的依赖-->
<!--引入该依赖可以在thymeleaf中使用Security操作注册信息-->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

引入该依赖以后,需要在前端页面中引入头部文件后才可以使用:

<html lang="en" xmlns:th="http://www.thymeleaf.org"
  xmlns:sec="http://themeleaf.org/extras/spring-securiry">

<h1>获取用户认证信息</h1>
<li sec:authentication="principal.username"></li>
<li sec:authentication="principal.authorities"></li>
<li sec:authentication="principal.accountNonExpired"></li>
<li sec:authentication="principal.accountNonLocked"></li>

总结

以上就是SpringSecurity架构的基础搭建,需要注意的是:我们在使用页面跳转以及将一些参数手动加入到前端的对应域对象中等操作。但是在现今盛行的前后端分离的架构中,我们通常会使用自定义拦截器的方式为前端传输json格式的数据,使得前端系统可以根据传递的结果完成接下来的工作。

戒烟失败的老可爱
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 完整项目实例
01-07
基于用户,角色,权限的spring security完整项目,包括登陆,免登陆,session配置,角色,权限验证等功能
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
spring security框架使用及源码解析(保姆级教程)
最新发布
边走、边悟、迟早变好
06-28 2008
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
SpringSecurity 实战项目(一)
weixin_38927257的博客
12-02 5106
文章目录SpringSecurity 验证帐号密码security认证过程:[《Spring Security认证过程》](https://blog.csdn.net/weixin_38927257/article/details/102960752) 本文使用springboot+mybatis+SpringSecurity 实现用户权限数据库管理 实现用户和角色用数据库存储,而资源(url)和...
Spring Security介绍
weixin_53227829的博客
05-05 622
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“”和“”,一般来,Web 应用的安全性包括两个部分,这两点也是 SpringSecurity 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是用户能否访问该系统。
Spring Security(三)--首个Spring Security项目
学习不止境的博客
09-21 1153
我们本次demo均是在Spring boot环境下搭建Spring Security项目,因为Spring boot让我们不需要编写所有的配置,它自己提供了一些预配置项,因此我们可以只重写与实现不匹配的配置。我们也称这种方法为约定大于配置原则!那么本节我们需要了解的有如下内容:(1)创建一个仅具有Spring Security和Web依赖项的项目,看看如果不添加任何配置的话,该项目会如何运行。通过这种方式,我们将了解从默认的身份验证和授权配置中可以预期得到什么。
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
本文将深入探讨如何在SpringBoot项目中集成SpringSecurity,构建一个前后端分离的企业级人事管理系统。 首先,SpringBoot简化了Spring应用的初始化和配置过程,使得开发者可以快速搭建项目结构。在这个案例中,...
JavaEE精讲之Spring框架实战 ——学习笔记.zip
09-18
6. **Spring Boot**:Spring Boot是Spring的一个衍生项目,它旨在简化Spring应用的初始搭建以及开发过程。通过自动配置和起步依赖,Spring Boot可以帮助开发者快速启动新项目。 7. **Spring Security**:Spring ...
springboot+mybatis+gradle+thymeleaf+springsecurity
01-03
综上所述,"springboot+mybatis+gradle+thymeleaf+springsecurity"的项目组合,构建了一个功能完善的、安全的Web应用,涵盖了从数据存储、业务处理到用户界面呈现和安全防护的各个层面。开发者可以根据实际需求...
项目实战spring—mvc.zip
06-24
在本项目实战“Spring-MVC”中,我们将深入探索Spring框架的一个重要组成部分——Spring MVC(Model-View-Controller)。Spring MVC是Spring框架提供的一种用于构建Web应用程序的模型视图控制器架构,它简化了开发...
SpringSecurity 从入门到精通详解
天行健,君子以自强不息;地势坤,君子以厚德载物。
01-28 647
SpringSecurity 从入门到精通详解
SpringSecurity】 一文搞定从入门到项目集成
qq_42023953的博客
01-16 733
提到认证、授权、安全等关键词,当今比较热门的主要集中在以下两种其实springboot项目可以无脑选spring security 对于开发者而言并没有“重”多少,相反由于其本质是通过过滤器实现的玩法上会更加优雅,且对RESTFul的支持更好基本概念:通常的Web应用都需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
springsecurity 的学习授权与认证
健康平安的活着的专栏
07-25 432
springSecurity 1.1 SpringSecurity的概念作用 Springsecurity 基于 Spring 框架,提供了一整套 完整的安全性Web 应用解决方案框架。主要有用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security重要核心功能。 1.用户认证指的是:验证某个用户是否为系统中的合法主体,也就是用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程.
一篇搞懂springsecurity项目实战(纯干货)
m0_47963315的博客
03-25 1176
springsecurity学习起来还是有一些难度的,看这篇文章之前请先确保对使用比较熟悉,这篇将结合项目一起讲解,目前来看比较合适的开源项目就是若依,有时间可以拉下来源码看下,另外句题外话推荐下我自己的AI平台,国内稳定使用gpt3.5等AI模型:BoomAI一般的认证授权的表设计是基于RBAC权限模型设计的,若依的权限设计一共5个表用户实体表,代码如下: 对于的表sql如下: 1.2 SysRole 角色实体表,代码如下: 对应表的创建 SQL 如下: 字段都写上注释,不多解释 roleKey 属性,
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
SpringSecurity简介
justlpf的专栏
04-10 1415
SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLocal实现的(),这样就保证了本线程内所有的方法都可以获得SecurityContext对象。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单SpringBoot工程① 设置父工
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值