Spring Boot 引入 Spring Security

已于 2022-04-23 17:04:40 修改
阅读量1.9k 收藏 5
点赞数 1
分类专栏: spring-security 文章标签: java spring boot
于 2022-04-20 23:07:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43011496/article/details/124308795
版权

在这里插入图片描述

关于

  1. spring security 官网链接, 本次示例使用的版本为5.6.3:https://docs.spring.io/spring-security/reference/index.html
  2. spring boot 项目中引入 spring security, maven坐标如下:
		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

1. Spring Boot 项目引入Spring Security依赖后,为我们做了什么?

自动配置类 SpringBootWebSecurityConfiguration
SpringBootWebSecurityConfiguration 源码截图
从源码中可以看到,在引入对应依赖不做任何配置的情况下会支持表单登录(formLogin)以及 basic登录(httpBasic);

2. 核心类 SecurityFilterChain

从上面自动配置类中可以知道:自动配置的过程中只是创建了一个SecurityFilterChain对象。这也是Spring Security 认证授权的核心机制,过滤器链机制。将用户认证信息经过一系列过滤器链之后,如果认证成功便授权。反之则进行认证失败的处理逻辑。默认情况下SecurityFilterChain中包含有哪些 filter 呢?

2.1 SpringSecurity实现的过滤器

spring security 框架中为我们实现了很多常见过滤器的默认实现,如果我们需要自定义实现一些过滤器来实现自己的额外功能,可以参考一些他们的实现。其中未配置默认加载的过滤器我进行了标红处理:

过滤器过滤器作用默认是否加载
ChannelProcessingFilter过滤请求协议 HTTP 、HTTPSNO
WebAsyncManagerIntegrationFilter将 WebAsyncManger 与 SpringSecurity 上下文进行集成YES
SecurityContextPersistenceFilter在处理请求之前,将安全信息加载到 SecurityContextHolder 中YES
HeaderWriterFilter处理头信息加入响应中YES
CorsFilter处理跨域问题NO
CsrfFilter处理 CSRF 攻击YES
LogoutFilter处理注销登录YES
OAuth2AuthorizationRequestRedirectFilter处理 OAuth2 认证重定向NO
Saml2WebSsoAuthenticationRequestFilter处理 SAML 认证NO
X509AuthenticationFilter处理 X509 认证NO
AbstractPreAuthenticatedProcessingFilter处理预认证问题NO
CasAuthenticationFilter处理 CAS 单点登录NO
OAuth2LoginAuthenticationFilter处理 OAuth2 认证NO
Saml2WebSsoAuthenticationFilter处理 SAML 认证NO
UsernamePasswordAuthenticationFilter处理表单登录YES
OpenIDAuthenticationFilter处理 OpenID 认证NO
DefaultLoginPageGeneratingFilter配置默认登录页面YES
DefaultLogoutPageGeneratingFilter配置默认注销页面YES
ConcurrentSessionFilter处理 Session 有效期NO
DigestAuthenticationFilter处理 HTTP 摘要认证NO
BearerTokenAuthenticationFilter处理 OAuth2 认证的 Access TokenNO
BasicAuthenticationFilter处理 HttpBasic 登录YES
RequestCacheAwareFilter处理请求缓存YES
SecurityContextHolder AwareRequestFilter包装原始请求YES
JaasApiIntegrationFilter处理 JAAS 认证NO
RememberMeAuthenticationFilter处理 RememberMe 登录NO
AnonymousAuthenticationFilter配置匿名认证YES
OAuth2AuthorizationCodeGrantFilter处理OAuth2认证中授权码NO
SessionManagementFilter处理 session 并发问题YES
ExceptionTranslationFilter处理认证/授权中的异常YES
FilterSecurityInterceptor处理授权相关YES
SwitchUserFilter处理账户切换NO
努力变得更加专业
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity学习笔记
qq_50487386的博客
05-22 571
一、SpringSecurity官网 https://spring.io/projects/spring-security/https://spring.io/projects/spring-security/ Spring Security :: Spring Securityhttps://docs.spring.io/spring-security/reference/index.htmlJava Configuration :: Spring Securityhttps://docs.sprin
SpringBootWebSecurityConfiguration
Leon_Jinhai_Sun的博客
05-04 1202
这个类是 spring boot 自动配置类,通过这个源码得知,默认情况下对所有请求进行权限控制: @Configuration(proxyBeanMethods = false) @ConditionalOnDefaultWebSecurity @ConditionalOnWebApplication(type = Type.SERVLET) class SpringBootWebSecurityConfiguration { @Bean @Order(SecurityProperties.BAS
springboot整合security
最新发布
weixin_47260194的博客
06-16 462
如果你不希望使用内存中的用户信息,而是希望将用户信息存储在数据库或其他地方,可以实现java复制代码import org.springframework.beans.factory.annotation.Autowired;@Autowired@Override@Bean@Overridehttp.and().and().logout()你可以通过指定来自定义登录页面的路径,还可以实现和接口来处理成功或失败的登录尝试。
SpringSecurity------引入方式和配置(一)
豢龙先生
12-07 1612
SpringSecurity引入方式和配置方式
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8879
SpringSecurity整合基础
springboot整合springSecurity
m0_65111173的博客
07-14 427
攻击防范(Attack Protection):Spring Security提供了一系列的攻击防范机制,包括跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持(Clickjacking)等。上面的意思是,“lllllc”这个用户(正常需要连接jdbc,在数据库中获取),可以访问vip1和vip3页面,需要设置密码加密,否则页面会错。重写configure方法,这个方法是会涉及到重载,有很多方法名相同的,我们需要重写参数为http的方法。这个的意思是请求的url,我们没有填,所以是主页。
spring boot jpa security
05-08
开发者需要确保引入达梦数据库的JDBC驱动,并在Spring Boot的配置文件(`application.properties`或`application.yml`)中配置数据源连接信息。 "FTL"通常指的是FreeMarker,一个用Java编写的模板引擎,常用于Web...
详解Spring Boot Security
08-26
Spring Boot Security 详解 Spring Boot Security 是基于 Spring AOP 和 Servlet 的安全框架,它提供了全面的安全解决方案,可以在 Web 请求级和方法调用级处理身份确认和授权。下面是 Spring Boot Security 的详细...
Spring Boot Security配置教程
08-26
Spring Boot Security 配置教程 Spring Boot Security 配置教程旨在指导读者掌握 Spring Boot 中的安全配置。下面是该教程的详细知识点总结: 1. Spring BootSpring Security 的支持 Spring Boot 提供了对 ...
Spring Boot 3 中文文档
08-08
Spring Boot 作为Java界当之无愧的王者级框架,但遗憾的是一直官方没有提供中文的文档。目前中文互联网上的所有中文文档几乎都是“谷歌一键翻译”,内容晦涩难懂,充满了“春天,弹簧,豆子”这种令人啼笑皆非的翻译...
Spring Boot Security 2.5.8 实现账号、手机号、邮件登录,记住密码等功能
11-13
Spring Boot Security 2.5.8 是一个强大的框架,用于为Spring Boot应用程序提供安全控制,包括身份验证和授权。在2.5.8版本中,它增强了灵活性和易用性,使得开发者能够轻松地实现复杂的安全需求。在这个项目中,...
SpringSecurity官网修改例子 tutorial
09-05
SpringSecurity官网例子,直接可运行,不需要连接数据库
spring security+Jwt实现认证授权
weixin_43111261的博客
07-27 400
Spring security+JWT实现认证授权 spring security官网链接:https://spring.io/projects/spring-security JWT官网链接:https://jwt.io/ spring security介绍 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,S
Spring Boot从0开始学的个人笔记11 --安全security
yi742891270的博客
08-06 187
一、简述 spring securityspring家族的一个安全认证的东西,在spring boot中只要导入maven就行了。该功能可以认证安全登陆的问题,通过连接数据库,拿到用户和密码后验证。还具有等级验证功能,比如VIP1访问VIP3的网页,会弹出错误(怎么弹出其他的还在研究中)。 二、使用方法 1、引入SpringSecurity; 2、编写SpringSecurity的配置类; @EnableWebSecurity extends WebSecurityConfigurerAdapter
springboot整合springcloud以及版本不一致等问题解决
m0_46213399的博客
12-03 2949
springboot整合springcloud以及遇到的问题解决 1.引入依赖 <?xml version="1.0" encoding="UTF-8"?> 4.0.0 org.springframework.boot spring-boot-starter-parent 2.1.4.RELEASE com.example demo 0.0.1-SNAPSHOT demo Demo project for Spring Boot <properties> <p
SpringSecurity使用详细讲解,附源码详细每一步的引导
m0_53464000的博客
08-23 383
权限认证的思路其实非常简单,我在登录的时候根据用户查询到权限信息,然后交给SpringSecurity框架,并且存到reids中就可以。截止到这一步,简单的登录校验就做好了,sucrity会根据返回的user自己比较密码,注意密码存储数据库时一定要加密,否则比对不成功。截至这里我们测试,登录成功之后,拿到返回的token,将token放在请求头中,成功访问,如果没有token就说明请求非法。前面我们说到了,当用户登录成功之后,我们会把生成的jwt返回给前端,然后前端在每次请求的时候都要带上这个token,
SpringBoot集成Security,前后端分离的SecurityConfig配置
qq_41910048的博客
03-20 8015
前后端分离下保持状态是个问题,但是我这里不涉及分布式,所以用不上JWT,JWT根据项目情况来决定是否使用. Authentication对象会记录用户的状态,所以不用定义一个token,从Authentication中 getAuthorities方法获取用户的状态 如果使用JWT来保持状态的话,就在拦截器上对token进行解码判断就行 先贴上Model代码: pac...
SpringSecurity详解,实现自定义登录接口
个人笔记git:https://gitee.com/tlangp/note.git
10-28 4119
目前市面上比较流行的权限框架主要实Shiro和,这两个框架各自侧重点不同,各有各的优劣。要在自己写的页面手动调用登录接口同时还要进行附加操作。层不可能从内存中查询用户,需要跟实际的权限数据库关联。编写登录接口,在其中调用方法。该接口需要再未登录的情况下可调用,所以要放开权限。编写个的实现类,重写方法,在改方法中根据传来的用户名去自己的权限数据库查询用户信息。封装到用户实体类中。
Spring Security框架配置运行流程完整分析
pscool的博客
02-15 2073
Spring Security配置流程剖析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值