Spring Security 6.x 系列【1】基础篇之概述及入门案例

已于 2023-05-04 10:43:56 修改
阅读量1.1w 收藏 38
点赞数 16
分类专栏: Spring Security 6.x 文章标签: spring security java spring boot
于 2023-03-23 22:41:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43437874/article/details/129727541
版权
本文是Spring Security 6.0.2的基础篇,介绍了安全框架的重要性和Spring Security的概述、发展历史。通过一个入门案例,演示了如何在Spring Boot 3.0.4项目中配置和运行Spring Security,包括创建工程、启动程序和测试访问控制。文章还提到了认证、授权等核心概念,并提供了源码链接。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

有道无术,术尚可求,有术无道,止于术。

本系列Spring Boot 版本 3.0.4

本系列Spring Security 版本 6.0.2

源码地址:https://gitee.com/pearl-organization/study-spring-security-demo

文章目录

导读

本系列基于最新Spring Boot 3.0 + Spring Security 6.0版本,由浅入深,从实战到源码分析,详细讲解各种 Spring Security 的使用技巧,适用于初学和进阶使用者。

本系列学习路线:
在这里插入图片描述

安全框架

开发软件系统时,Web 安全非常重要,JAVA安全框架,大家听得最多的应该是Spring Security Apache Shiro。国产的有Sa-Token

这些框架底层的原理都大同小异,只要学会一个,其他的上手就非常容易👊👊👊

一个功能完善的安全框架,一般需要支持以下特性:

  • 认证(Authentication):验证用户的身份
  • 授权(Authorization):验证用户的访问和权限,对已认证用户进行访问控制
  • 加密:对重要信息进行加密处理,比如密码加密
  • 会话管理:对用户认证、会话信息进行存储管理
  • 防御攻击:对常见的网络攻击进行防御

Spring Security

GitHub地址
官方文档地址

Spring Security 6.0提供了许多新功能,并且需要JDK 17

概述

Spring Security Spring 组织提供的一个开源安全框架,目前最新的版本为6.0.2,基于Spring 开发,所以非常适合在Spring Boot中使用。

Spring Security提供认证、授权、抵御常见攻击等功能,将认证授权分离,并提供了扩展点。对保护命令式(Spring MVC)和响应式(Spring Webfulx)应用程序有一流的支持,是保护基于Spring开发的应用程序的事实标准。

认证Spring Security 身份验证提供了全面的支持,身份验证是验证进行访问的主体身份。常用方法是要求用户输入用户名密码。一旦执行身份验证,就知道身份并可以执行授权

授权授权指的是验证某个用户是否有权限执行某个操作。在系统中不同用户所具有的权限是不同的。比如对某条数据来说,有的用户只能进行读取,而有的用户可以进行修改。一般系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

发展历史

Spring 社区在成立后,2003年底开始考虑开发安全框架,最初是Acegi,大约一年后,Acegi Security成为Spring Framework的正式子项目。

2006年5月Acegi Security发布了1.0版, 于2007年底更名为Spring Security

如今Spring Security拥有一个强大且活跃的开源社区,当前最新版本为6.0.2

入门案例

1. 创建工程

Spring Boot 3.0系列【3】基础篇之使用Spring Initializr快速创建项目

使用Spring Initializr快速创建一个Spring Boot 3.0项目,可以直接选择引入Spring Security依赖:
在这里插入图片描述
POM依赖坐标如下所示:

    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--Spring Boot 提供的 Security 启动器 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    </dependencies>

spring-boot-starter-securitySpring Boot 官方提供的启动器,提供了自动配置和依赖包管理:
在这里插入图片描述
主要包含以下几个子模块:

  • spring-security-core: 核心包,包含核心认证和访问权限功能类和接口、远程支持和基本配置API
  • spring-security-webWEB框架集成包,包含过滤器和相关的web安全基础设施代码
  • spring-security-config:包含 security 命名空间解析代码和Java配置代码

2. 运行

启动程序,UserDetailsServiceAutoConfiguration自动配置类,会生成一个默认随机登录密码(因为目前没有配置用户,配置后不会生成):
在这里插入图片描述
DefaultSecurityFilterChain默认的过滤器链会打印出所有的Filter过滤器:
在这里插入图片描述

3. 测试

编写访问接口:

@RestController
public class TestController {

    @GetMapping("/test")
    public Object test() {
        return "Hello Security";
    }
}

访问测试接口,此时被重定向到默认登录页面:
在这里插入图片描述

用户名输入user,密码输入控制台生成的随机登录密码,登录成功后重定向到访问接口:
在这里插入图片描述
也可以在yml中配置一个默认的登录用户及密码:

spring:
  security:
    user:
      name: test
      password: 123456
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
Xayla的博客
04-20 1888
之前有写过一关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几文章学习一下,是的,不是一,是几,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
Spring Security 6.x 系列【58】授权服务器之Oauth 2.0 PKCE规范
记录知识、锤炼自我
06-18 1453
PKCE全称是Proof Key for Code Exchange,翻译过来是交换授权码时的证明秘钥,官方读音为pixy。PKCE规范于2015年发布,收录在RFC 7636文件中。 OAuth 2.0公共客户端在使用授权码模式时,很容发生授权码拦截攻击,PKCE规范描述了该攻击以及如何防范。
SpringSecurity6.x使用教程
wsb_2526的博客
07-06 1938
SpringSecurity目前支持的版本如下图所示,可以看到5.x的版本过几年就不会再维护了,6.x将成为主流。
Spring Security6 从源码慢速开始
最新发布
matrixlzp的博客
04-10 1128
到此,我们先小结一下,介绍一下几个组件。3.2.1、Authentication 认证信息接口Authentication 对象在 Spring Security 中有两个主要目的:1)封装用户身份验证的凭证作为 AuthenticationManager 的输入,用于封装(用户提供的)用于身份验证的凭证。在这种情况下使用时,isAuthenticated()返回 false。可以是用户名密码,也可以是短信验证、二维码、指纹。具体取决于你自己的认证方式,由自己扩展。2)表示当前经过身份验证的用户。
SpringSecurity6.x
qq_45726327的博客
03-23 2121
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。Java自定义配置用来管理用户信息,
Spring Security6.x快速入门——用户认证模块
coder184的博客
03-03 1503
Spring Security是基于过滤器进行设计的,它自身是一个SecurityFilterChain,在spring官网中,有很长的一个幅,对其架构进行介绍;而在这里,我推荐的入门方式是:可以将其快速地浏览一遍,心中只需要留下印象的是——Spring Security和过滤器链,你甚至直接可以将Spring Security看作是"一堆过滤器",这些过滤器组成了"过滤器链",而过滤器链中最重要的一个过滤器是:AuthorizationFilter。@Override。
Spring-Security 6.x版本入门讲解
Always_WHD的博客
08-17 1616
简单介绍了SpringSecurity的原理和执行流程,并给出简单的配置样例。
爆破专栏“杀青”丨Spring Security系列教程总结
qf2019的博客
11-03 282
内容回顾 截止到本文章,一一哥就带各位详细地学完了SpringSecurity中的各个核心内容,并结合源码带大家研读了SpringSecurity的底层设计。如果你认真地看完了我这个系列的每一文章,并跟着每教程中的代码编写了对应的案例,现在应该就可以达到从一开始对SpringSecurity的懵懂无知,到今天的熟练使用了。 最后 壹哥 再把整个系列的内容给各位梳理一下,方便各位复习掌握,我在这里做了一个SpringSecurity核心内容的思维导图,咱们一起看看吧。 1. SpringSecurit
Spring Security 6.x 系列【34】认证之前后端分离场景下的集成方案
记录知识、锤炼自我
05-04 2275
Spring Security提供了开箱即用的默认配置,例如默认的登录、登出页面,但在实际开发中,往往需要进行自定义改造,比如前后端分离场景下,前后端通过JSON来进行数据交互,是否操作成功都需要前端通过状态码判断,所有的页面也都需要前端自己去跳转。
SpringSecurity5.7从入门到精通全套教程-入门
weixin_46040278的博客
04-26 3458
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
Spring Security 6.x 系列【46】漏洞防护之安全相关的HTTP响应头
记录知识、锤炼自我
05-30 1348
HeaderWriterFilter字面理解为请求头写入过滤器,他的作用是将某些头信息添加到响应中,添加某些启用浏览器保护的头信息非常有用,如X-Frame-Options、X-XSS-Protection、X-Content-Type-Options等,增加一些安全性。
SpringSecurity 6 快速入门
qq_46216299的博客
02-02 2409
SpringSecurity 6Spring 全家桶中属于安全权限的一类框架产品,同时它对于 Spring 框架的兼容性以及高定制性以及开源等优点,使得有些企业或个人开发者都会使用该框架
Spring Security系列
偷懒的乌龟
10-27 443
1:【Spring Security实战系列Spring Security实战(一) https://blog.csdn.net/zsq520520/article/details/77880491 2:【Spring Security实战系列Spring Security实战(二) https://blog.csdn.net/zsq520520/article/details/7788074...
Spring Security 6.x 系列15】认证之实现短信验证码登录功能
记录知识、锤炼自我
04-07 9190
我们也了解过**用户名密码**表单登录流程,我们可以完全按照表单登录流程,自定义**短信验证码登录**的**过滤器、认证提供者**等,即可实现该功能。
Spring Security 系列(1)
qq_38219153的博客
06-10 688
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。本节介绍Spring Security在Servlet身份验证中使用的主
Spring Boot 2.x实战82 - Spring Security 6 - 一个完整的Spring Security实战演示(基于用户、角色、权限)
汪云飞记录本
06-24 1110
2 Spring Security实战 在这一节我们讲演示一个基于用户、角色、权限的更为实用的例子;一个用户有一个或多个角色,每个角色有一个或多个的权限。 新建应用,信息如下: Group:top.wisely Artifact:learning-spring-security-in-battle Dependencies:Spring SecuritySpring Web Starter、Spring Data JPA、MySQL Driver、Lombok build.gradle文件中的依赖如下:
SpringSecurity系列(一) 初识 Spring Security
迪曼奥特迦-博客
04-14 517
1. 写在前面 Spring Security 系列是我跟着 " 江南一点雨 " 王松大神公众号的系列文章学习的。大神的博客:https://blog.csdn.net/u012702547 Java 领域老牌的权限管理框架当属 Shiro 了,Shiro 有着众多的优点,例如:轻量、简单、易于集成等。当然 Shiro 也有不足,例如对 OAuth2 支持不够,在 Spring Boot 面前无法充分展示自己的优势等等。 自从 Spring BootSpring Cloud 火起来之后,Spring Se
SpringSecurity6入门到实战之SpringSecurity整合自动装配详解(源码级讲解,耐心看完)
helloworld工程师的博客
06-03 1758
这里我先引出问题然后再来一步步进行剖析,SpringSecurity到底是如何实现引入依赖后所有请求都需要进行认证并且会弹出login登录表单页面.接下来会对SpringBoot的自动装配进行详解,SpringSecurity也是通过自动装配实现以上一系列操作的。
SpringSecurity(六)【自定义认证案例
Vinjcent
11-02 1205
创建一个spring-security-03模块导入依赖 配置文件 编写实体类User、Role User Role 编写mapper、service、xml文件(这里只写接口,看接口实现方法) UserMapper RoleMapper 自定义 UserDetailsService 实现 UserDetailsService,作为数据源进行身份认证 UserDetailsService 配置类 WebMvcConfigurer、WebSecurityCon
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨 禹

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值