SpringBoot:集成SpringSecurity

最新推荐文章于 2024-05-12 18:30:11 发布
最新推荐文章于 2024-05-12 18:30:11 发布
阅读量1.4k 收藏 2
点赞数 1
分类专栏: springsecurity 狂神笔记 文章标签: java spring boot spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43161404/article/details/122313975
版权

前言:B站狂神说Java中SpringBoot笔记,传送门
UP很nice,课程生动形象,欢迎支持。

一、认识SpringSecurity

Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!

记住几个类:

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式
  • Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。

“认证”(Authentication)
身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。
“授权” (Authorization)
授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。

二、Security 原理分析

2.1 SpringSecurity 过滤器链

SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明:
1、WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。
2、SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。
3、HeaderWriterFilter:用于将头信息加入响应中。
4、CsrfFilter:用于处理跨站请求伪造。
5、LogoutFilter:用于处理退出登录。
6、UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。
7、DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。
8、BasicAuthenticationFilter:检测和处理 http basic 认证。
9、RequestCacheAwareFilter:用来处理请求的缓存。
10、SecurityContextHolderAwareRequestFilter:主要是包装请求对象request。
11、AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。
12、SessionManagementFilter:管理 session 的过滤器
13、ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。
14、FilterSecurityInterceptor:可以看做过滤器链的出口。
15、RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

2.2 SpringSecurity 流程图

在这里插入图片描述

2.3 流程说明

1、客户端发起一个请求,进入 Security 过滤器链。
2、当到 LogoutFilter 的时候判断是否是登出路径,如果是登出路径则到 logoutHandler ,如果登出成功则到 logoutSuccessHandler 登出成功处理,如果登出失败则由 ExceptionTranslationFilter ;如果不是登出路径则直接进入下一个过滤器。
3、当到 UsernamePasswordAuthenticationFilter 的时候判断是否为登录路径,如果是,则进入该过滤器进行登录操作,如果登录失败则到 AuthenticationFailureHandler 登录失败处理器处理,如果登录成功则到 AuthenticationSuccessHandler 登录成功处理器处理,如果不是登录请求则不进入该过滤器。
4、当到 FilterSecurityInterceptor 的时候会拿到 uri ,根据 uri 去找对应的鉴权管理器,鉴权管理器做鉴权工作,鉴权成功则到 Controller 层否则到 AccessDeniedHandler 鉴权失败处理器处理。

认证和授权

1、引入 Spring Security 模块

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、编写配置类

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@EnableWebSecurity // 开启WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   

    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        // 定制请求的授权规则
最低0.47元/天 解锁文章
风尘_缘
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2835
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8878
SpringSecurity整合基础
史上最全SpringBoot教程,从零开始带你深入♂学习(十四)——集成SpringSecurity(1)
最新发布
2301_82231215的博客
05-12 612
学习视频:本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取习视频:[外链图片转存中…(img-nts5hpmd-1715509789304)]大厂面试真题:[外链图片转存中…(img-GZiBSGqC-1715509789304)]本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取。
Spring Boot集成Spring Security
我是一只蘑菇17的博客
11-02 1457
开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。很多成熟的大公司都会有专门针对用户管理方面有一套完整的SSO(单点登录),ACL(权限访问控制),UC(用户中心)系统。 但是在我们开发中小型系统的时候,往往还是优先选择轻量级可用的业内通用的框架解决方案。Spring Security 就是一个Spring生态中关于安全方
Spring bootSpring Security 使用改造5部曲
weixin_30919235的博客
11-17 1381
文章的内容有点长,也是自己学习Spring security的一个总结。如果你从头看到尾,我想你对Spring Security的使用和基本原理应该会有一个比较清晰的认识。 如果有什么理解不对的地方,请留言,谢谢。 一、Spring security 是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 它提供...
ssm框架整合springSecurity
weixin_48605326的博客
05-17 1933
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
SpringBoot2集成Spring Security4
03-28
CMS系统:SpringBoot + Spring Security + MyBaties + MySQL 后台登录地址:http://localhost/admin/index 用户名、密码:admin/123456
详解Springboot2.3集成Spring security 框架(原生集成)
08-18
在本文中,我们将深入探讨如何在Spring Boot 2.3应用程序中集成Spring Security框架,以实现原生的安全管理。Spring Security是一个强大且高度可配置的安全框架,为Java应用提供了全面的安全解决方案。 首先,我们...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
SpringBoot集成Spring Security的方法
08-18
至此,我们完成了基础的Spring Security 集成。但Spring Security的功能远不止于此,它还可以进行更复杂的配置,比如支持OAuth2、JWT、Remember Me 功能、自定义过滤器、AOP式权限控制等。Spring Security的灵活性...
springboot整合springSecurity
m0_65111173的博客
07-14 427
攻击防范(Attack Protection):Spring Security提供了一系列的攻击防范机制,包括跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持(Clickjacking)等。上面的意思是,“lllllc”这个用户(正常需要连接jdbc,在数据库中获取),可以访问vip1和vip3页面,需要设置密码加密,否则页面会错。重写configure方法,这个方法是会涉及到重载,有很多方法名相同的,我们需要重写参数为http的方法。这个的意思是请求的url,我们没有填,所以是主页。
SpringSecurity简单集成
m0_50959444的博客
11-23 220
1、引入SpringSecurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2、编写配置类 package com.yoohoo.framework.config; import com.yooho
springboot 集成 spring security 详细 附代码
justlpf的专栏
05-19 709
参考文章:springboot 集成 spring security 详细 附代码
Spring Boot集成Spring Security 搭建登录模块
qq_58353992的博客
02-29 1286
Spring Cloud搭建Spring Security笔记
SpringBoot集成Spring Security实现登录流程
wwyywwsaber的博客
05-05 873
前篇:https://blog.csdn.net/wwyywwsaber/article/details/123979279 登录验证码 使用kaptcha实现验证码 <dependency> <groupId>com.github.axet</groupId> <artifactId>kaptcha</artifactId> <version&g
集成SpringSecurity+后期可加入JWT
weixin_62432037的博客
04-18 829
通过研究SpringSecurity内置基于form表单认证的UsernamePasswordAuthenticationFilter过滤器,我们可以仿照自定义认证过滤器:内置认证过滤器的核心流程:核心流程梳理如下:认证过滤器(UsernamePasswordAuthentionFilter)接收form表单提交的账户、密码信息,并封装成UsernamePasswordAuthenticationToken认证凭对象;认证过滤器调用认证管理器AuthenticationManager进行认证处理;
SpringBoot实战:集成Spring Security实现单点登录与JWT权限管理
本文档主要介绍了如何在SpringBoot项目中集成Spring Security,这是一个广泛使用的Java身份验证和访问控制框架,旨在提供强大的认证机制和细致的授权功能,从而确保系统的安全性。文章的重点在于实现单点登录...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值