SpringSecurity

已于 2022-09-01 08:09:01 修改
阅读量227 收藏
点赞数
分类专栏: 技术概览 Spring Boot 文章标签: java 开发语言
于 2022-06-30 11:04:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41199502/article/details/125091266
版权

认证

会话

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中,会话就是系统为了解决认证之后,在进行常规操作是防止再次认证。常见方式有session ,token

session

用户认证成功后,在服务端生成用户相关的数据保存在session中,发送给客户端的session_id存放到cookie中,这样用户客户端请求时带上session_id就可以验证服务端是否存在session数据,已完成用户的合法校验,

token

用户认证成功后,服务端生成token,客户端可以放到cookie或者localStorage等存储中,每次请求带上token

两者区别:session只能放到cookie中,并且服务端要存储tsession,token可以存到客户端自定义的地方,并且不要求服务端进行存储,通过算法校验

授权

通过指定角色分配权限

RBAC

如何实现授权,业界通常基于RBAC完成授权

基于角色的访问控制

比如总经理级角色可以进行查询公司
在这里插入图片描述

基于资源的访问控制

比如用户必须具有查询工资的权限才能查询员工工资信息
在这里插入图片描述
优点:系统设计是定义好工资权限标识,即使查询工资所需要的角色变化为总经理和部门经理也不需要修改授权代码,系统可扩展性强

入门案例

所用依赖

    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

SpringSecurity基本原理

过滤器加载

本质是一个过滤链
项目已启动加载过滤器

FilterSecurityInterceptor 方法级别的过滤器
ExceptionTranslationFilter 异常过滤器,用于处理认证授权过程中抛出的异常
UsernamePasswordAuthenticationFilter 用户密码过滤器

如何加载过滤器?

DelegatingFilterProxy在这里插入图片描述

重要接口

UserDetailService

当什么也没配置的时候,security 自动生成账户密码, 而实际项目中账户和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。
如果需要自定义逻辑时,需要两步:

  1. 继承UsernamePasswordAuthenticationFilter,重写认证,认证成功,认证失败方法。
  2. 实现UserDetailsService接口,编写查询数据库过程,返回User对象,这个User对象是安全框架提供的对象

PasswordEncoder

PasswordEncoder 对密码进行加密
BcryptPasswordEncoder 是安全框架官方推荐的密码解析器

设置登录的用户名和密码

1.配置文件设置
在这里插入图片描述
2. 配置类设置
实现类
3.自定义编写实现类
实现实现UserDetailsService接口

标题

想要飞翔的小乌龟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 认证
weixin_42609405的博客
03-03 1354
Spring Security 认证
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录
灵台方寸山斜月三星洞
01-18 1849
SpringSecurity - 学习笔记 - 会话管理之并发控制:同一账号只允许在一个设备登录场景需求分析配置`web.xml``application-security.xml`参考消息 场景 接手一个老项目: 先上pom.xml ...略 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId>
Spring Security
最新发布
快乐的小三菊的博客
04-23 1356
一文搞懂 Spring Security,包括入门简介、认证和授权、异常处理和跨域等问题
Spring Security一次登录正常,第二次有token的时候就403错误
qq_38410795冰淇淋的博客
04-04 753
解决:把anonymous()改成.permitAll()表示:有没有认证都能访问:登录或未登录都能访问。anonymous()是匿名用户可访问,认证用户不能访问!
SpringSecurity系列 之 认证失败处理流程
向心行者
06-25 7118
1、常见用法   我们使用SpringSecurity进行配置的时候,有三种方式实现认证失败时的后续处理:其一,通过failureUrl()配置认证失败的重定向路径(Redirect);其二,我们还可以通过failureForwardUrl()配置认证失败的转发路径(Forward),和重定向效果类似,区别主要在于前者是重定向(默认),后者是转发;其三,自定义认证失败处理器,主要通过实现AuthenticationFailureHandler接口实现,其实前面两种方式也是通过实现该接口实现的。   fail
Spring Security前后端分离认证及记住我踩坑
互联网编程爱好者
01-24 2169
Spring Security前后端分离认证 前言:Spring Securityspring提供的一个安全框架,提供了登录认证、密码保护、自动登录等。这是我目前学习到的功能,当然它的强大之处远不止这些了。Spring Security处理登录功能时使用的 form表单,底层获取参数使用的request.getParamter的形式获取的。但是前后端分离模式使用的是异步请求,所以在前后端分离模式下会出现很多问题。以下记录了我出现过的问题。 这里后端使用的是springboot+spring secur
2023.7.22 SpringSercurity Session登录态 数据校验
weixin_63742275的博客
07-23 97
有状态应用:cookie+session+spring session redis。
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springSecurity
10-14
springSecurity
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
SpringSecurity-基于Session的认证方式
ginger_mr的博客
11-15 1507
文章目录基于Session的认证方式1. 认证流程2.创建工程1.创建maven工程2. Spring 容器配置3. servletContext配置4. 加载Spring容器 基于Session的认证方式 1. 认证流程 基于Session认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话),而发 给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户
解决关于spring security手动设置认证用户无效的问题
ZhengDa_LY的博客
04-04 8916
这里主要是为了总结一下调试的方式方法。毕竟调试了2天,实在是差劲。还未找到问题根源,但比起https://stackoverflow.com/questions/4664893/how-to-manually-set-an-authenticated-user-in-spring-security-springmvc中的解决方式还是没有那么hack了。问题:通过微信回调程序的认证接口进行登录,并将...
SpringSecurity解决公共接口自定义权限验证失效问题,和源码分析
热门推荐
紫眸的博客
04-25 1万+
SpringSecurity自定义权限验证、解决鉴权失效和公共接口问题 本文主要介绍如何使用spring-security来实现自定义的权限验证,以及如何解决鉴权时部分接口鉴权失效变成公共接口的问题,用户登录认证的部分已省略。 自定义权限验证的实现 SpringSecurity自定义权限验证时需要实现三个接口: AccessDecisionManager : 自定义鉴权管理器,根据URL资源权...
认证授权失败处理以及统一异常处理
afjja的博客
08-20 2255
​ 实际我们在开发过程中可能需要做很多的判断校验,如果出现了非法情况我们是期望响应对应的提示的。但是如果我们每次都自己手动去处理就会非常麻烦。我们可以选择直接抛出异常的方式,然后对异常进行统一处理。把异常中的信息封装成ResponseResult响应给前端。我们的项目在认证出错或者权限不足的时候响应回来的Json是Security的异常处理结果。但是这个响应的格式肯定是不符合我们项目的接口规范的。所以需要自定义异常处理。统一异常处理(全局异常处理器):所有的异常都会交给这个全局异常去处理。
SpringSecurity系列 - 06 SpringSecurity 登录成功后如何获取用户认证信息?设计模式之策略模式
你今天真好看呀
09-12 1234
以后每当有请求到来时,Spring Security就会先从 Session 中取出用户登录数据,保存到SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将SecurityContextHolder 中的数据清空。Strategy抽象策略角色:策略的抽象,通常为接口,定义每个策略或算法必须具有的方法和属性;:实现抽象策略中的操作,该类含有具体的算法。
springsecurity认证和授权
qq_45098321的博客
02-22 567
springsecurity
Spring Security认证
txd2016_5_11的博客
01-29 201
Spring Security认证过程为: 1、用户使用用户名和密码进行登录。 2、Spring Security 将获取到的用户名和密码封装成一个实现了 Authentication 接口的UsernamePasswordAuthenticationToken。 3、将上述产生的 token 对象传递给 AuthenticationManager 进行登录认证。 4、Authenticat...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值