6、SpringSecurity环境搭建

最新推荐文章于 2024-07-23 16:12:48 发布
最新推荐文章于 2024-07-23 16:12:48 发布
阅读量344 收藏
点赞数 1
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40824748/article/details/111464025
版权

SpringSecurity(安全)

在web开发中、安全第一位!过滤器、拦截器~

功能需求:否

做网站:安全应该在什么时候考虑?  设计之初!

  • 漏洞、隐私泄露~
  • 架构一旦确定~

shiro、SpringSecurity:很象~除了类不一样、名字不一样

认证、授权

  • 功能权限
  • 访问权限
  • 菜单权限
  • ...拦截器、过滤器:大量的原生代码~冗余

MVC-----spring -----spring boot-----框架思想

Aop:横切~配置类~

简介

Spring Security是针对Spring项目的安全框架、也是Spring Boot底层安全模块默认的技术选型、它可以实现强大的Web安全控制,对于安全控制,我们仅需要引入

spring-boot-starter-security模块、进行少量的配置,即可实现强大的安全管理

记住几个类:

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

Spring Security的两个主要目标是“认证”和“授权”(访问控制)

“认证”(Authentication)

"授权“(Authorization)

这个概念是通用的、而不是只在Spring Security中存在

#关闭模板引擎
spring.thymeleaf.cache=false

 不要忘了导入thmeleaf依赖

       <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>

 、  当,想让不同请求或角色请求网页时具有不同的返回页面时可以           添加id如下:                                                                               

package com.dudu.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

/**
 * @Author 嘟嘟嘟
 * @ClassName RouterController
 * @Project springboot-06-security
 * @CreateTime 2020/12/20 22:41
 */
@Controller
public class RouterController {
    @RequestMapping({"/","/index"})
    public String index(){
        return "index";
    }
    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }
    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
        return "views/level1/"+id;
    }
    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
        return "views/level2/"+id;
    }
    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
        return "views/level3/"+id;
    }
}

加入授权认证

package com.dudu.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * @Author 嘟嘟嘟
 * @ClassName SecurityConfig
 * @Project springboot-06-security
 * @CreateTime 2020/12/20 23:17
 */
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
       //首页所有人可以访问、功能页只有对应权限的人 才能访问
        //请求权限的规则
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");
        //没有权限 默认会到登录页面,需要开启登录的页面   login
        http.formLogin();
    }
    //认证

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //这些数据正常应该从数据库读
        //密码编码:passwordEncoder
        //在spring5+中新增了很多新的加密方法
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("dudu").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3");
    }
}

 

 

 

 

 

 

 

 

 

 

 

 

 

嘟哇嘟
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security环境搭建
08-29
Spring Security 环境搭建详解 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。今天,我们将详细介绍如何搭建 Spring Security 环境,包括 Maven 依赖项的设置、web.xml ...
Spring Security(十一) Spring Security 中 CSRF
热门推荐
奥迪的博客
10-13 1万+
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1864
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
微服务安全——SpringSecurity6详解
最新发布
qq_44027353的博客
07-23 1851
本文使用的是Security6的版本,先介绍SpringSecurity的使用,然后再去介绍OAuth2。 SpringSecurity也只是入门知识版本:SpringBoot3.1.4、Security6.1.4创建一个简单的SpringBoot应用引入依赖 编写一个简单的Controller 启动项目后测试接口调用引入Spring Security依赖之后 ,访问 API 接口时,需要首先进行登录,才能进行访问。测试 http://localhost:8080/admin/demo ,会跳转到登录界面需
2.自定义配置类——SpringSecurity
Lee_92的博客
08-12 1532
当前Java Web项目中主流的开发模式是前后端分离的模式,而Spring Security默认的登录是由Security框架提供的页面的表单来输入用户名、密码,且由Security框架自动处理登录流程,不适合我们前后端开发的模式,我们后端需要自己开发相关验证登录流程,我们在开发测试时需要对Security 进行初始配置!riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,我们往往在开发中将此验证关闭。的认证方式相比传统的。...
Spring security CSRF 跨域访问限制问题
HONEY MOOSE
10-18 3244
在我们写 Spring 安全的时候通常有这么一句话: httpSecurity.csrf().disable(). 从这句话的字面意思就很明白就是禁用 csrf,什么是 csrf,为什么要禁用可能就一脸懵逼了。 因为你很有可能会遇到一个错误: HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 这个就是做 Web 开发的时
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1296
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
SpringBoot + SpringSecurity 环境搭建的步骤
08-27
Spring Boot + Spring Security 环境搭建步骤 Spring Boot 和 Spring Security 是当前最流行的 Java Web 开发框架和安全认证机制。今天,我们将详细介绍如何搭建 Spring Boot + Spring Security 环境。 步骤一:...
搭建Spring运行时环境.zip
03-30
搭建Spring运行时环境是开发基于Spring框架的应用程序的首要步骤。Spring作为一个强大的Java企业级应用框架,提供了诸如依赖注入、AOP(面向切面编程)、数据访问、Web应用支持等多种功能。下面将详细介绍如何构建...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
Spring Security.pdf
05-25
在开发Spring Security项目时,需要搭建Maven项目,并配置项目依赖。 第三章介绍了如何构建Spring Security工程。在创建项目时,可以通过IDE或者Maven命令创建新的Maven项目。在创建项目时,需要填写项目名称、...
多个WebSecurityJAVA配置导致csrf().disable()配置失效
路过君的博客
09-16 1816
版本 spring-security-oauth2-2.3.8 问题 存在两个继承WebSecurityConfigurerAdapter的WebSecurity JAVA配置文件,一个配置了http.csrf().disable(),一个没有配置,请求仍然报错Invalid CSRF token found 解决 合并WEBSECURITY配置,或两个文件都配置上http.csrf().disable() 分析 Spring源码WebSecurityConfigurerAdapter中http默认配置启用
Spring Security 中的 CSRF 攻击是什么?如何防止它?
u013749113的博客
05-24 1553
CSRF 攻击是一种常见的网络安全威胁,可以通过欺骗用户向目标站点发送恶意请求,从而达到攻击目的。SpringSecurity 提供了多种方式来防范 CSRF 攻击,其中最常用的方式是使用 CSRF Token 和 SameSite Cookie。CSRF Token 可以在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端进行验证。
Spring CSRF防护
YOUTH_TFG的博客
02-16 829
Spring CSRF
Spring Security开启防CSRF解决403 Forbidden问题
weixin_43404791的博客
04-25 3507
这个问题由来已久啊,从前后端交互开始就碰到这个问题,当然这个原因是因为Spring Security在默认情况下开启了防CSRF(跨站点请求伪造) 解决: 1. 关闭CSRF http.csrf().disable().authorizeRequests(); 关闭CSRF过滤器的验证会给网站带来一定被攻击的风险,因此大部分情况下,都不建议关闭这个功能. 2. 开启CSRF...
权限控制-SpringSecurity学习
qingfulang9322的博客
08-21 352
    1.添加依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt; &lt...
AJAX以及跨域情况下POST请求出现CSRF问题的解决方案
Blossom
03-07 5203
CSRF是什么? AJAX中处理CSRF的解决方案 系统和环境描述: JSP页面 AJAX POST请求 Spring Boot开启Security(会自动开启CSRF机制) 请求出现403问题 简单的禁用CSRF 在继承了WebSecurityConfigurerAdapter的Spring管理类的configure方法中加入http.csrf().disable()代码即可...
Spring Security中防护CSRF功能
花&败
07-18 2643
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想:
十七、Spring Security中CSRF
wei7a7a7a的博客
03-17 199
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack” 或者Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。跨域:只要网络协议,ip地址,端口中任何一个不相同就是跨域请求。客户端与服务进行交互时,由于http协议本身是无状态协议,所以引入了cookie进行记录客户端身份。在cookie中会存放session id用来识别客户端身份的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值