spring security(一)

已于 2023-01-02 18:52:43 修改
阅读量153 收藏
点赞数 1
分类专栏: Spring 文章标签: spring java 后端
于 2023-01-02 18:50:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42847719/article/details/128521436
版权

1.简绍

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

2.依赖

<dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>

3.认证模式 

3-1实现Basic认证 

Basic认证是一种较为简单的HTTP认证方式,客户端通过明文(Base64编码格式)传输用户名和密码到服务端进行认证,通常需要配合HTTPS来保证信息传输的安全。每当我们访问一个网页的时候,网站会弹出一个登录框,输入账号密码, 实现方式也很简单,只要写一个配置类。

依赖

   <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-freemarker</artifactId>
        </dependency>

配置类  

package com.example.security.config;


import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

@Component
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 新增security授权的账号 ,也可以理解为默认账号
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("admin").password("admin").authorities("/");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 token form 表单 设置httpBasic模式
        http.authorizeRequests().antMatchers("/**").fullyAuthenticated().and().httpBasic();
    }
 /**
     * There is no PasswordEncoder mapped for the id "null"
     * 原因:升级为Security5.0以上密码支持多中加密方式,恢复以前模式
     * @return
     */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }
}

3-2form表单

要想 实现其实很简单,默认就是form表单,我们只要把这里改一下就OK了

4. 动态权限控制

简单说就是登录时 一个用户  通过数据库查询到对应的角色 ,对应角色有不同的权限 最后这个用户就能访问对应的网页了,

1.spring security的用户管需要实现UserDetailsService接口

2.我们登录需要在数据库查询这个用户是否真实存在,查询这个用户对应的权限 

3.在开发 中我们的密码是加密 ,最简单的权限控制就完成了 我这里只展示核心代码

package com.example.security.config;



import com.example.security.service.MemberDetailsService;
import com.example.security.utills.MD5Util;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

@Component
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private MemberDetailsService memberDetailsService;

    /**
     * 新增授权账户
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /**
         * 新增一个账户mayikt 密码也是为mayikt 可以允许访问所有的请求
         */
//        auth.inMemoryAuthentication().withUser("mayikt").password("mayikt").authorities("mayikt");
        /**
         * 1.新增mayikt_admin mayikt_admin 权限可以访问所有请求
         */
        auth.userDetailsService(memberDetailsService).passwordEncoder(new PasswordEncoder() {
            @Override
            public String encode(CharSequence rawPassword) {
                return MD5Util.encode((String) rawPassword);
            }

            @Override
            public boolean matches(CharSequence rawPassword, String encodedPassword) {
                //将加密的密码与数据库的对比
                String rawPass = MD5Util.encode((String) rawPassword);
                boolean result = rawPass.equals(encodedPassword);
                return result;
            }
        });
    }

}

package com.example.security.service;

import com.example.security.entity.PermissionEntity;
import com.example.security.entity.UserEntity;
import com.example.security.mapper.UserMapper;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;

@Slf4j
@Component
public class MemberDetailsService implements UserDetailsService {

    @Autowired
    UserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        // 1.根据用户名称查询到user用户
        UserEntity userDetails = userMapper.findByUsername(userName);
        if (userDetails == null) {
            return null;
        }
        // 2.查询该用户对应的权限
        List<PermissionEntity> permissionList = userMapper.findPermissionByUsername(userName);
        ArrayList<GrantedAuthority> grantedAuthorities = new ArrayList<>();
        permissionList.forEach((a) -> {
            grantedAuthorities.add(new SimpleGrantedAuthority(a.getPermTag()));
        });
        log.info(">>permissionList:{}<<", permissionList);
        // 设置权限
        userDetails.setAuthorities(grantedAuthorities);
        return userDetails;
    }
}
package com.example.security.utills;

import java.security.MessageDigest;

public class MD5Util {

   private static final String SALT = "mayikt";

   public static String encode(String password) {
      password = password + SALT;
      MessageDigest md5 = null;
      try {
         md5 = MessageDigest.getInstance("MD5");
      } catch (Exception e) {
         throw new RuntimeException(e);
      }
      char[] charArray = password.toCharArray();
      byte[] byteArray = new byte[charArray.length];

      for (int i = 0; i < charArray.length; i++)
         byteArray[i] = (byte) charArray[i];
      byte[] md5Bytes = md5.digest(byteArray);
      StringBuffer hexValue = new StringBuffer();
      for (int i = 0; i < md5Bytes.length; i++) {
         int val = ((int) md5Bytes[i]) & 0xff;
         if (val < 16) {
            hexValue.append("0");
         }

         hexValue.append(Integer.toHexString(val));
      }
      return hexValue.toString();
   }

   public static void main(String[] args) {
      System.out.println(MD5Util.encode("mayikt"));

   }
}

Royalreairman
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
自定义GrantedAuthority
qq_37205911的博客
07-04 1万+
自定义GrantedAuthority1.工作时需要返回角色的id,这是需要重写GrantedAuthority接口2.常用SimpleGrantedAuthority类public final class SimpleGrantedAuthority implements GrantedAuthority { private static final long serialVersion...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
There is no PasswordEncoder mapped for the id "null" 的解决办法
Spring Boot-Common On With You
08-18 2万+
环境/问题概述: 在项目构建的过程中,根据需求进行了系统升级,包括硬件和软件环境,项目开发使用的 Spring Boot 进行的,这次升级直接从1.5.2 直接升级为了2.0.3; 在包更正完成后,启动项目测试,遇到不能登录系统的问题,异常信息如下: java.lang.IllegalArgumentException: There is no PasswordEncoder...
Spring Security认证授权-权限验证使用教程(一)
Jokers_lin的博客
05-12 6193
spring security核心组件有: SecurityContext、SecurityContextHolder、Authentication、Userdetails 和 AuthenticationManager等
Spring Security的基本使用及注意事项
weixin_53294082的博客
11-05 429
Spring SecuritySpring家族中的权限验证框架,主要可用于后台系统的认证与授权。
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3345
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
Spring Security模块
09-03
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,主要用于构建安全的 Java Web 应用程序。它提供了一套全面的安全解决方案,包括身份验证、授权、会话管理以及跨站请求伪造(CSRF)防护等功能。...
spring security 官方文档
10-08
Spring Security 是一个强大的安全框架,用于为Java应用提供全面的安全管理解决方案。它是Spring生态系统的组成部分,专注于身份验证、授权和访问控制。Spring Security的核心特性包括: 1. **身份验证...
PreAuthenticatedGrantedAuthoritiesUserDetailsService/DelegatingFilterProxy
cas3$#%nca%6nes_3sdf的博客
08-24 314
空白
【详解】GrantedAuthority(已授予的权限)
dieqiuxie4160的博客
08-04 6110
前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一个getA...
SpringSecurity加密密码遇到的错误
qq_67736058的博客
06-12 604
否则会出现java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"的错误。同样,在配置完config类之后,需要在存储在数据库中的密码前加上{编码方式}才能够被识别。springboot需要在明文密码前加上{noop}来表示密码是明文。
Spring Security 无法登陆,报错:There is no PasswordEncoder mapped for the id “null”
热门推荐
Canon_in_D_Major的博客
03-24 5万+
编写好继承了WebSecurityConfigurerAdapter类的WebSecurityConfig类后,我们需要在configure(AuthenticationManagerBuilder auth) 方法中定义认证用于信息获取来源以及密码校验规则等。(configure函数名字不重要,官方用的好像是configureGlobal(……),重要的是在这个被@EnableWebSecuri...
解决There is no PasswordEncoder mapped for id “null”
justlpf的专栏
05-12 307
inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())",这相当于登陆时用BCrypt加密方式对用户密码进行处理.以前的".password("123")" 变成了 ".password(new BCryptPasswordEncoder().encode("123"))",相当于对内存中的密码进行Bcrypt编码加密.如果比对时一致,说明密码正确,才允许登陆.方式,也改变了默认的密码格式.
SpringSecurity实现前后端分离认证授权
startqbb的博客
04-15 1448
SpringBoot整合SpringSecurity实现前后端分离认证授权
Spring Security报错:There is no PasswordEncoder mapped for the id “null“
weixin_49200021的博客
11-17 262
错误描述,如下图: 解决方案: 关于 Spring Security 5.0.X 的说明: 在Spring Security 5.0之前,PasswordEncoder 的默认值为 NoOpPasswordEncoder 既表示为纯文本密码,在实际的开发过程中 PasswordEncoder 大多数都会设值为 BCryptPasswordEncoder ,但是这样会导致几个问题: 1、在应用程序中使用 BCryptPasswordEncoder 编码方式编码后的密码,很难轻松的迁移; 2、密码存储后,会再次
There is no PasswordEncoder mapped for the id null 报错解决办法
feinifi的博客
07-08 5444
springsecurity从4.2升级到5.0之后,做简单的登录,出现如下所示的错误:java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null" at org.springframework.security.crypto.password.DelegatingPassword...
SpringSecurity教学讲义.docx
最新发布
12-04
SpringSecurity教学讲义是一份针对Spring Security 3.0的教程,它涵盖了Spring SecurityJava Web开发中的重要角色。Spring Security是一个基于Spring框架的高级安全框架,它结合了AOP(面向切面编程)和Servlet...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Royalreairman

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值