SptringSecurity 学习笔记(一)Security的模式

已于 2023-05-27 18:01:44 修改
阅读量72 收藏
点赞数
文章标签: java 开发语言
于 2023-05-27 17:20:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43687987/article/details/130903463
版权
文章介绍了如何在SpringSecurity中配置基本的HTTPbasic认证和form表单认证方式。通过添加依赖、配置安全类,设置拦截规则和账户授权,展示了两种认证模式的实现。同时,提到了解决升级SpringSecurity后密码编码问题的方法,并给出了动态配置权限的示例。
摘要由CSDN通过智能技术生成

SptringSecurity 学习笔记(一)Security模式

第一种 :basic认证(早期) 过时了
是一种简单的HTTP认证
简单的说 就是访问接口时需要输入账号密码进行授权
在这里插入图片描述

添加依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-freemarker</artifactId>
        </dependency>

配置类

package com.lfy.study.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    /**
     * 新增Security
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //新增账户  可以访问什么接口
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password("12345")
                .authorities("/");
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token  2.form
        //拦截所有请求 并走httpbasic模式
        http.authorizeRequests()
                .antMatchers("/**")
                .fullyAuthenticated().and().httpBasic();
    }

    /**
     * 解决 there is no passwordEncoder mapper for thi id "null"
     * 原因  :升级Security5.0以上密码支持多种加密方式 这个方法可以恢复以前模式   还有一种方法就是创建Sercurity时候添加加密方式
     *
     * @return
     */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }


}

原理: 验证账号密码是否相同 如果相同则返回一个cookie给浏览器 如果清除缓存则需要重新输入账号密码

第二种 form 表单模式

  1. 将拦截模式变成了formLogin();
  2. 可通过 .antMatchers(“/**”).hasAnyAuthority(“filterName”)配置 拦截规则 filterName拦截规则名称
   @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token  2.form
        //拦截所有请求 并走form模式
        http.authorizeRequests()
                .antMatchers("/**").hasAnyAuthority("filterName").and().formLogin();

    }

3.添加账户 配置加上 账户授权可以访问哪些接口

    /**
     * 新增Security
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //新增账户  可以访问什么接口
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password("12345")
                .authorities("filterName");//fiterName 是接口的
    }

完整代码

package com.lfy.study.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.stereotype.Component;

@Component
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {


    /**
     * 新增Security
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //配置拦截规则

        //新增账户  可以访问什么接口
        auth.inMemoryAuthentication()
                .withUser("admin")
                .password("12345")
                .authorities("filterName");
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置认证方式 1.token  2.form
        //拦截所有请求 并走httpbasic模式
        http.authorizeRequests()
                .antMatchers("/**").hasAnyAuthority("admin").and().formLogin();

    }

    /**
     * 解决 there is no passwordEncoder mapper for thi id "null"
     * 原因  :升级Security5.0以上密码支持多种加密方式 这个方法可以恢复以前模式   还有一种方法就是创建Sercurity时候添加加密方式
     *
     * @return
     */
    @Bean
    public static NoOpPasswordEncoder passwordEncoder() {
        return (NoOpPasswordEncoder) NoOpPasswordEncoder.getInstance();
    }


}

重点是将这种形式转换为动态形式才行


.permitAll()配置不需要校验权限

    protected void configure(HttpSecurity http) throws Exception {

        http.authorizeRequests()
                .antMatchers("/**").hasAnyAuthority("admin")
                .antMatchers("/login").permitAll()//配置login接口不需要校验权限
                .and().formLogin()
        .loginPage("/login").and().csrf().disable()//用自己的登录页面 不用默认的登录页面;

    }

3.token后续

阿仪Yi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security安全配置模式
oneslide
04-21 574
环境配置 想利用Spring Security的功能,必须在进行少量的配置: 即继承一个对象AbstractSecurityWebApplicationInitializer public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer{ //空...
oauth2整合security(密码模式)
weixin_42654295的博客
11-21 1202
oauth2 password 密码模式获取access_token流程 密码模式(Resource Owner Password Credentials Grant)中,用户向客户端提供自己的用户名和密码。客户端使用这些信息,向"服务商提供商"索要授权。 在这种模式中,用户必须把自己的密码给客户端,但是客户端不得储存密码。这通常用在用户对客户端高度信任的情况下,比如客户端是操作系统的一部分,或者由一个著名公司出品。而认证服务器只有在其他授权模式无法执行的情况下,才能考虑使用这种模式。 (A)用户向客户端提
SpringSecurityOauth2(四种模式
justlpf的专栏
04-14 1877
说明:客户端直接通过客户端认证(比如client_id和client_secret)从认证服务器获取访问令牌。说明:客户端直接向用户获取账号密码(不安全),之后向授权服务器获取token。说明:正宗的oauth模式,先获取授权码,在通过授权码获取token。.0是目前流行的授权机制,用于授权第三方应用,获取数据。说明 :和授权模式相比取消了授权过程,直接获取token。​​后,授权中心会要求资源所有者进行身份验证。​​,回调路径会,回调路径携带着令牌。当请求到达授权中心​​。
Spring Security
飞上云端看彩虹
02-05 374
1.spring security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用...
盘点 Spring Security框架中的八大经典设计模式
linjingyg的博客
08-09 436
  等等,类似的很多,我就不一一赘述了。   松哥的 Spring Security 还在持续连载中,未来连载完了还会总结出更多的设计模式,这里先列出来八个和小伙伴们分享,如果小伙伴们有自己的见解,也欢迎留言补充。...
HCIE-Security大神学习笔记
09-13
HCIE-Security大神学习笔记,非常详细
HCIP-Security 网络安全 上课笔记
06-26
本文档主要讲解HCIP-Security网络安全上课笔记,涵盖了Eth-trunk的配置、LACP模式、链路健康检查等网络安全知识点。 1. Eth-trunk配置 Eth-trunk是将多个物理接口捆绑成一个逻辑接口,以提高网络可靠性和带宽。 ...
HCIA security 网络安全学习笔记
06-26
HCIA-Security 网络安全学习笔记
spring security学习笔记
08-02
spring security学习笔记
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
springsecurity 认证之密码模式
热门推荐
congge
11-21 3万+
前言 在上一篇security授权码模式实现单点登录一篇中,我们分享并演示了springsecurity 的完整的授权码流程,本篇我们来谈谈springsecurity 的另一种稍微简单但也是实际工作中比较常用的认证模式,密码模式 密码模式简介 相对于验证码模式,密码模式要简单一些,少了第一步中需要先获取code的流程,即下图中 “网站” => “微信认证” 流程中获取授权码的步骤,后面的步骤仍然和授权码的过程相同, 于是完整的过程就是下面这样: 获取token 使用token请求授权的资源
八、SpringSecurity授权模式之授权码模式
洛阳城下逢公子
01-15 1282
在OAuth协议中我介绍了四种授权模式,其中特别常见、特别主流、特别安全的一种授权模式,就是授权码模式(authorization code),下面我来详细介绍一下这种授权模式。 一、授权码模式简介 授权码模式是四种授权模式中功能最完整、流程最严密的一种授权模式,不管是微信也好、微博也好,几乎所有的互联网提供商都是采用这种方式来完成授权的。 二、授权码模式授权步骤 授权码...
Edgex foundry(Ireland-2.0版本)- Security 模式启动过程分析security-bootstrapper
W346850397的专栏
08-04 905
EdegxFoundry: 运行再边缘侧开源的,厂商中立的,灵活可定制的,支持交互操作的软件平台。可与设备、传感器、执行器和其他物联网对象的物理设备进行交互。简单地说,EdgeX是一种边缘中间件平台,服务于信息系统 和 IOT设备的感知操作(有关edgex的更多介绍,可查看edgex的的官方文档Introduction - EdgeX Foundry Documentation)。 Edegx 官方提供了基于docker,可快速启动docker compose 文件,让用户可以快速体验到edgex提...
盘点 Spring Security 框架中的八大经典设计模式
江南一点雨的专栏
07-30 4125
上次有小伙伴建议,源码分析太枯燥了,要是能够结合设计模式一起来,这样更有助于大家理解 Spring Security 源码,同时还能复习一波设计模式。 因此松哥今天就试着整一篇,和大家来聊一聊 Spring Security 中涉及到的设计模式,不过 Spring Security 中涉及到的设计模式还是非常多的,松哥这里讲几个,剩下的欢迎小伙伴们留言补充。 1.模板方法模式 Template Pattern(模板方法模式)是一个抽象类公开定义了执行它的方法的模板。它的子类可以按需要重写方法实现,但调用将
Spring Security OAuth2 四种认证模式(含流程图)
诺浅的专栏
11-16 8019
什么是OAuth2 OAuth2 其实是一个关于授权的网络标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 PS:如果不能理解就想想你用微信/QQ登录CSDN的时候,你并不需要告诉CSDN你的QQ密码就能登录,是怎么实现的?其实采用OAuth2就可以实现 什么是Spring Security OAuth2 上面说了OAuth2是一个标准,而Spring Security基于这个标准进行了实现,这个实现就是Spring
Security-OAuth2.0 密码模式客户端实现(IDEA+springboot+maven)
Carr的博客
09-19 3836
OAuth2.0 客户端实现(IDEA+springboot+maven)我的OAuth2.0 客户端项目目录pom 的配置<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSch
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 2278
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问?
Loewen丶的小窝
08-26 2123
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
《深入理解 Java 中的适配器模式
最新发布
面团到油条的成长日记
08-29 876
在软件开发的广阔领域中,不同接口之间不匹配的问题时常像个棘手的难题困扰着开发者。而适配器模式就像是一位得力的助手,专门用来解决这类问题。它的关键作用在于把一个类的接口有效地转化为客户端所期望的另一种接口,让原本因接口不相符而不能一起工作的两个类可以共同协作,学习本文希望你能有所收获
Java学习笔记:J2EE模式与实战
"这是一份全面的Java学习资料,特别...总结起来,这份“java笔记经典”涵盖了Java语言的基础,特别是J2EE平台的应用,以及JSP的使用和Web应用设计模式,对于想要系统学习Java和Web开发的人来说是一份宝贵的参考资料。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值