Springboot——整合SpringSecurity

最新推荐文章于 2024-06-16 14:01:36 发布
最新推荐文章于 2024-06-16 14:01:36 发布
阅读量2.8k 收藏 7
点赞数 1
文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41297145/article/details/128497695
版权

目录

一、核心概念

SpringSecurity的核心包括认证和授权两个部分。

认证

认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。

SpringSecurity提供的认证其实是一种接口,他允许你自定义认证方式,这种设计更像是一种规范设计。

授权

AccessDecisionVoter 是一个投票器,投票器会检查用户是否具备应有的角色,进而投出赞成、反对或者弃权票;
AccessDecisionManager 则是一个决策器,来决定此次访问是否被允许。

过滤链

开发者所见到的 Spring Security 提供的功能,都是通过这些过滤器来实现的,这些过滤器按照既定的优先级排列,最终形成一个过滤器链。

需要注意的是,默认过滤器并不是直接放在 Web 项目的原生过滤器链中,而是通过一个FilterChainProxy 来统一管理。Spring Security 中的过滤器链通过 FilterChainProxy 嵌入到 Web项目的原生过滤器链中,如下图所示。
在这里插入图片描述

二、Springboot整合SpringSecurity核心流程

在将SpringSecurity整合到Springboot之前,我们需要知道整体的流程以便于我们更好的理解验证过程。

  1. 引入spring-boot-starter-security依赖
  2. 创建SecurityConfig配置文件
  3. 重写UserDetailsService

第2点中,又可以拆分为登录、登出、错误处理、自动登录、过滤器等配置,如果完全不配置,SpringSecurity也会为你提供一套默认配置,从引入依赖开始就能够正常工作了。

第3点中,重写UserDetailsService.loadUserByUsername(String username)方法可以让你自定义验证的过程。如验证时,你希望通过查询MySQL数据库,如果数据库中存在该用户并且密码验证正确,就返回SpringSecurity中的User对象,这些过程都可以自定义实现。

三、Springboot整合SpringSecurity

3.1 引入依赖

在pom.xml文件中引入依赖后,SpringSecurity在Springboot启动时就能开始正常工作了。

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

3.2 创建SecurityConfig配置文件

如果什么都不配置,那么该配置文件的内容应该这样的,剩下的事情SpringSecurity会帮你设置默认配置

package com.example.demo.config.security;

@Configuration
public class SecurityConfig {
	@Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception { }
}

如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在SecurityFilterChain中配置。

比较简单的配置:

package com.example.demo.config.security;

@Configuration
public class SecurityConfig {
	@Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        // 登录页为/login.html,请求/login路径验证登录信息,成功后重定向到/index.html页
    	httpSecurity.formLogin()
                .loginProcessingUrl("/login")
            	.loginPage("/login.html")
            	.defaultSuccessUrl("/index.html");
        // 允许登录页和登录的url不需要验证即可访问,因为那个时候还没有登录信息
        httpSecurity.authorizeRequests()
                .antMatchers("/login*").permitAll()
                .anyRequest().authenticated();
        httpSecurity.csrf().disable();
        return httpSecurity.build();
    }
}

更全的配置:

其中,SpringSecurity整合JwtToken可以看另一篇文章。

package com.example.demo.config.security;

/**
 * @Author : HuangJiajian
 * @create 2022/10/18 17:49
 */
@Configuration
public class SecurityConfig {
    @Autowired
    UserDetailServiceImpl userDetailService;
    @Autowired
    PersistentTokenRepository persistentTokenRepository;
    @Autowired
    private JwtFilter jwtFilter;

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        // 登录,自定义登录界面为/login.html,通过请求/login路径验证身份
        httpSecurity.formLogin()
                .loginProcessingUrl("/login")
                .loginPage("/login.html")
                .successHandler(new AuthenticationSuccessConfig())
                .failureHandler(new AuthenticationFailConfig());
        // 退出,自定义退出成功时的操作,如响应的数据
        httpSecurity.logout()
                .logoutUrl("/logout")
                .logoutSuccessHandler(new LogoutSuccessConfig());
        // 过滤器,除了/test/*和/login*的url请求不需要验证身份外,其他的请求都需要身份验证
        httpSecurity.authorizeRequests()
                .antMatchers("/test/*").permitAll()
                .antMatchers("/login*").permitAll()
                .anyRequest().authenticated();
        // 错误处理,自定义认证失败的错误处理,如403返回权限不足等
        httpSecurity.exceptionHandling()
                .accessDeniedHandler(new AccessDeniedConfig())
                .authenticationEntryPoint(new AuthenticationEntryPointConfig());
		// 整合JwtToken验证身份
        httpSecurity.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);
        httpSecurity.csrf().disable();
        return httpSecurity.build();
    }

    @Bean
    public PasswordEncoder getPasswordEncoder() {
        // 选择非对称加密为SpringSecurity的加密方法
        return new BCryptPasswordEncoder();
    }
}

3.3 重写UserDetailsService

Spring Security 中定义了 UserDetails 接口来规范开发者自定义的用户对象,这样方便一些旧系统、用户表已经固定的系统集成到 Spring Security 认证体系中。而负责提供用户数据源的接口是 UserDetailsService, UserDetailsService 中只有一个查询用户的方法,那就是loadUserByUsername。

换句话说,我们可以使用UserDetailsService.loadUserByUsername(String username)方法来自定义查询用户的过程。这部分的代码,只需要关心loadUserByUsername的自定义逻辑即可。注意这里的User类是来自于SpringSecurity的,而非自己在Entity中定义的User类。

package com.example.demo.service.impl;

/**
 * @Author : HuangJiajian
 * @create 2022/10/19 10:03
 */
@Service
@Component
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    UserMapper userMapper;
    @Autowired
    UserRoleMapper userRoleMapper;
    @Autowired
    RoleMapper roleMapper;
    @Autowired
    private StringRedisTemplate stringRedisTemplate;

    /**
     * @Author HJJ
     * @Date 2022-12-27 9:43
     * @Params String username
     * @Return User
     * @Description SpringSecurity方法,验证并获取用户权限信息,并将User数据写入Redis缓存
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        String cacheUser = stringRedisTemplate.opsForValue().get("username::" + username);
        // 如果有缓存,直接返回,如果没有缓存,否则需要查询数据库并写入Redis缓存
        if (!Objects.isNull(cacheUser)) {
            return JSON.parseObject(cacheUser, UserDetails.class);
        } else {
            UserEntity userEntity = getUserEntityByUsername(username);
            User user = new User(username, userEntity.getUserPassword(), getAuthoritiesByUserId(userEntity.getUserId()));
            String strUser = JSONObject.toJSONString(user);
            System.out.println(username+"查询了数据库并写入Redis缓存:" + strUser);
        	// 将User对象转换成String并写入缓存
            stringRedisTemplate.opsForValue().set("username::" + username, strUser, 60, TimeUnit.SECONDS);
            return user;
        }
    }

    /**
     * @Author HJJ
     * @Date 2022-12-27 9:42
     * @Params
     * @Return
     * @Description 查询数据库,获取用户信息
     */
    public UserEntity getUserEntityByUsername(String username) {
        QueryWrapper<UserEntity> queryWrapper = new QueryWrapper<>();
        queryWrapper.eq("userName", username);
        UserEntity userEntity = userMapper.selectOne(queryWrapper);
        if (Objects.isNull(userEntity)) {
            System.out.println("没有此用户:" + username);
            throw new UsernameNotFoundException("没有此用户");
        }
        return userEntity;
    }

    /**
     * @Author HJJ
     * @Date 2022-12-27 9:55
     * @Params
     * @Return
     * @Description 查询数据库,获取用户权限信息
     */
    public List<GrantedAuthority> getAuthoritiesByUserId(int userId) {
        StringBuilder roles = new StringBuilder();
        QueryWrapper<UserRole> queryWrapper1 = new QueryWrapper<>();
        queryWrapper1.eq("userId", userId);
        List<UserRole> userRoles = userRoleMapper.selectList(queryWrapper1);
        for (int i = 0; i < userRoles.size(); i++) {
            UserRole userRole = userRoles.get(i);
            int roleId = userRole.getRoleId();
            QueryWrapper<Role> queryWrapper2 = new QueryWrapper<>();
            queryWrapper2.eq("roleId", roleId);
            Role role = roleMapper.selectOne(queryWrapper2);
            String roleName = role.getRoleName();
            if (Objects.equals(userRoles.size() - 1, i)) {
                roles.append(roleName);
                break;
            }
            roles.append(roleName).append(",");
        }
        return AuthorityUtils.commaSeparatedStringToAuthorityList(roles.toString());
    }
}

以上即是Springboot整合SpringSecurity的整体过程。

参考文献

  1. 深入浅出SpringSecurity-王松
发量堪忧的小伙子
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot集成SpringSecurity
qq_43161404的博客
01-05 1410
前言:B站狂神说JavaSpringBoot笔记,传送门 UP很nice,课程生动形象,欢迎支持。 一、认识SpringSecurity Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Se
基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo,适合新手
02-24
本示例项目——"基于springboot+springSecurity+jwt实现的基于token的权限管理的一个demo",旨在为新手提供一个易于理解的学习平台,来掌握如何在Spring Boot应用中实现用户认证与授权。下面将详细介绍这个项目所...
(十三)springboot实战——springboot前后端分离方式项目集成spring securtity安全框架
厉害哥哥的博客
02-06 1968
Spring Security 是一款强大且高度可定制的认证和访问控制框架,它是为了保护基于Spring的应用程序提供安全性支持。Spring Security 提供了全面的安全服务,主要针对企业级应用程序的需求。其核心组件主要包含:Authentication(认证)、Authorization(授权)、Principal(主体)、Granted Authority(授予的权限)、Security Context(安全上下文),可提供方法级别的权限认证。其底层主要通过Filter拦截器实现,关于其实现原理
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
springboot整合security
最新发布
weixin_47260194的博客
06-16 457
如果你不希望使用内存中的用户信息,而是希望将用户信息存储在数据库或其他地方,可以实现java复制代码import org.springframework.beans.factory.annotation.Autowired;@Autowired@Override@Bean@Overridehttp.and().and().logout()你可以通过指定来自定义登录页面的路径,还可以实现和接口来处理成功或失败的登录尝试。
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8865
SpringSecurity整合基础
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1457
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全方
SpringSecurity框架快速搭建(SpringBoot整合Security
weixin_67573348的博客
06-16 1239
框架整合
Spring bootSpring Security 使用改造5部曲
weixin_30919235的博客
11-17 1381
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
springboot - 2.7.3版本 - (三)整合Swagger3
09-22
SpringBootJava开发中的一个流行框架,它简化了Spring应用的初始设置和配置,使得开发者可以更快地专注于业务逻辑。Swagger3则是用于构建RESTful API的API文档工具,它允许开发者通过注解来描述API,生成交互式的...
springboot+springSecurity的Demo实例
09-24
springboot+springsecurity做的一个demo实例,里面功能很全,希望帮到大家,谢谢!
SpringBoot-Security
05-26
springboot security,两种配置一个是用config类,一个是用注解方式。数据库两个用户 admin/admin,neusoft/neusoft
springboot整合activity工作流审批前后台代码(有数据库)
03-20
在本项目中,"springboot整合activity工作流审批前后台代码(有数据库)"是一个基于Spring Boot框架的应用,用于实现企业内部的工作流程审批系统。这个系统涵盖了员工、部门经理和BOSS三个不同的审批角色,旨在提供...
Spring整合websocket整合应用示例(下)
09-02
本篇将继续上文的讲解,着重介绍Spring WebSocket的核心业务实现类——`NewsListenerImpl`的实现,以及如何通过WebSocket发送消息。 首先,`NewsListenerImpl`是实现`NewsListener`接口的类,主要用于监听新闻消息...
springboot校园在线拍卖系统.rar
10-25
本项目——"springboot校园在线拍卖系统",是基于SpringBoot框架构建的一个实战应用,适用于课程设计或毕业设计,旨在帮助学生深入理解和实践SpringBoot在实际开发中的运用。 首先,SpringBoot是由Pivotal团队提供...
springboot整合springSecurity
m0_65111173的博客
07-14 427
攻击防范(Attack Protection):Spring Security提供了一系列的攻击防范机制,包括跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持(Clickjacking)等。上面的意思是,“lllllc”这个用户(正常需要连接jdbc,在数据库中获取),可以访问vip1和vip3页面,需要设置密码加密,否则页面会错。重写configure方法,这个方法是会涉及到重载,有很多方法名相同的,我们需要重写参数为http的方法。这个的意思是请求的url,我们没有填,所以是主页。
SpringBoot 集成 SpringSecurity 从入门到深入理解
Wayfreem的博客
09-13 712
从最简单的工程开始了解Spring Security,到逐渐深入,并且有源码提供可以方便于搭建自己的Spring Security项目
10、Springboot整合Security很全
daohangtaiqian的博客
12-04 795
SpringSecurity是基于Spring AOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案,同时在Web 请求级和方法调用级处理身份确认和授权。(1)认证(你是谁,用户/设备/系统)(2)验证(你能干什么,也叫权限控制/授权,允许执行的操作)(3)攻击防护(防止伪造身份)Filter、Servlet、Spring DI、SpringAOP.在 Spring Framework 基础上,Spring Security 充分利用了依赖注入(DI,Dependency Injection)
springboot如何整合 spring security
04-07
Spring Boot可以轻松地与Spring Security集成,使得应用程序能够实现基于角色的访问控制和安全认证。 以下是在Spring Boot集成Spring Security的步骤: 1.添加Spring Security依赖项:在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2.配置Spring Security:在应用程序的配置类中,添加@EnableWebSecurity注释和WebSecurityConfigurerAdapter类。然后,覆盖configure()方法以指定安全性规则和URL模式。 ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER"); } } ``` 3.定义用户和角色:在configureGlobal()方法中,使用内存身份验证定义用户和角色。 4.运行应用程序并测试:使用浏览器访问应用程序的登录页面,输入用户名和密码,然后访问受保护的URL。 以上就是Spring Boot整合Spring Security的基本步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值