SpringSecurityJSON版本

已于 2023-02-17 10:31:24 修改
阅读量166 收藏
点赞数
文章标签: servlet spring java
于 2022-12-26 10:54:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45885060/article/details/128441368
版权

SpringSecurity介绍

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AsjxeAoK-1672023162095)(images/1583585891579.png)]

Spring Security是基于spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权,它充分使用了依赖注入和面向切面的技术。

Spring Security 的前身是 Acegi Security,后来成为了 Spring 在安全领域的顶级项目,并正式更名到 Spring 名下,成为 Spring 全家桶中的一员,所以 Spring Security 很容易地集成到基于 Spring 的应用中来。Spring Security 在用户认证方面支持众多主流认证标准,包括但不限于 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等,在用户授权方面,Spring Security 不仅支持最常用的基于 URL 的 Web 请求授权,还支持基于角色的访问控制(Role-Based Access Control,RBAC)以及访问控制列表(Access Control List,ACL)等。

Spring Security 是 Spring 家族中的一个安全管理框架,Spring Security 已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shiro 强大,但是使用反而没有 Shiro 多,Shiro 虽然功能没有 Spring Security 多,但是对于大部分项目而言,Shiro 也够用了。

SpringSecurity主要是从两个方面解决安全性问题:

  1. web请求级别:使用servlet过滤器保护web请求并限制URL级别的访问

  2. **方法调用级别:**使用Spring AOP保护方法调用,确保具有适当权限的用户才能调用方法.

权限相关概念

主体(principal)
使用系统的用户或设备或从其他系统远程登录的用户等等。

认证(authentication)
权限管理系统确认一个主体的身份,允许主体进入系统。

授权(authorization)
将操作系统的“权力”“授予”“主体”,这样主体就具备了操作系统中特定功能的能力。

SpringSecurity主要功能

  • 认证就是确定主体的过程,当未认证的主体访问系统资源的时候,系统会对主体的身份进行验证,确定该主体是否有合法的身份,不合法的主体将被应用拒绝访问,这一点也很容易理解,比如某电商网站,未登录的用户是无法访问敏感数据资源的,比如订单信息。
  • 授权是在主体认证结束后,判断该认证主体是否有权限去访问某些资源,没有权限的访问将被系统拒绝,比如某电商网站的登录用户去查看其它用户的订单信息,很明显,系统会拒绝这样的无理要求。
  • 攻击防护:防止攻击伪造

环境搭建

POM

        <dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

Controller

@Controller
public class UserController {

    @RequestMapping(value = "/hello")
    @ResponseBody
    public String hello(){
        System.out.println("UserController.hello");
        return "Hello Sprign Security";
    }
}

访问

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-G1h39Uvl-1672023162096)(images/1583592152841.png)]

Spring Boot 项目引入了 Spring Security 以后,自动装配了 Spring Security 的环境,Spring Security 的默认配置是要求经过了 HTTP Basic 认证成功后才可以访问到 URL 对应的资源,且默认的用户名是 user,密码是自动随机生成一串 UUID 字符串,输出到了控制台日志里,如下图所示:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EDny5Fxb-1672023162097)(images/1583592227948.png)]

身份认证的方式

配置文件
spring:
  security:
    user:
      name: admin
      password: 123
自定义实现类(常用)

通过UserDetailsService来查询用户的密码,最后把用户封装成一个user返回给SpringSecurity。

MyUserDetailsService

Spring Security中,用户的登录操作都是通过 UserDetailsService完成的,它是一个接口,该接口中只有一个loadUserByUsername(),在用户登录的时候SpringSecurity就会调用这个方法,该方法返回一个UserDetails对象,这个对象就代表了当前认证的主体,需要从数据库中根据用户名查询,从而返回出去,SpringSecurity会把该方法的返回值放到Session中,如果验证失败这个出现异常会抛出一个UsernameNotFoundException。

@Configuration
public class MyUserDetailsService implements UserDetailsService {
   

    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    /**
     * 根据用户名查询密码
     * @param username 表单输入的用户名
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
   
        System.out.println("s = [" + s + "]");

        // 在这里可以根据用户名从数据库中查询密码
        // User user = baseMapper.getUserByUsername(username);
        //if(user == null){
   
        	// 如果用户名不存在直接抛出异常
          	 // throw new UsernameNotFoundException("用户名不存在");
        //}
        
        // 密码加密
        String password = passwordEncoder.encode("123");

        // 权限
        List<GrantedAuthority> authorities = AuthorityUtils.createAuthorityList("admin");

        // 返回user(用户名,密码,权限)
        return new User("点toString",password,authorities);//SpringSecurity会返回值放到Session中
    }
}
SpringSecurityConfig

在SpringSecurityConfig中设置使用UserDetailsService来加载用户的密码。

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
   

    @Autowired
    private UserDetailsService userDetailsService;

    // spring security 官方推荐的是使用bcrypt加密方
    // SpringSecurity在对表单密码加密的时候需要用到这个bean,所以这里需要给它创建。如果不创建会登录会报错。
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
   
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   
        auth
                .userDetailsService(userDetailsService) // 自定义实现类完成密码的设置
                .passwordEncoder(passwordEncoder()); // 设置密码加密算法
    }
}

自定义JSON登录

UsernamePasswordAuthenticationFilter是AbstractAuthenticationProcessingFilter针对使用用户名和密码进行身份验证而定制化的一个过滤器。其添加是在调用http.formLogin()时作用,默认的登录请求pattern为"/login",并且为POST请求。当我们登录的时候,也就是匹配到loginProcessingUrl,这个过滤器就会委托认证管理器authenticationManager来验证登录。

1、定义登录拦截器

@Component
public class LoginFilter extends UsernamePasswordAuthenticationFilter {
   

    public LoginFilter() {
   
        // 默认登录使用post提交
        this.setPostOnly(false);
        // 默认登录的urlloign
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/userLogin","GET"));
    }

    @Autowired
    @Override
    public void setAuthenticationManager(AuthenticationManager authenticationManager) {
   
        super.setAuthenticationManager(authenticationManager);
    }

    // 登录成功调用
    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
   
        Object principal = authResult.getPrincipal();
        Collection<? extends GrantedAuthority> authorities = authResult.getAuthorities();
        // 登录成功后把权限放入到本次会话
        SecurityContextHolder.getContext().setAuthentication(authResult);
        ResponceUtils.out(response, R.ok().put("msg","登录成功").put("token","000"));
    }

    // 登录失败调用
    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
   
        ResponceUtils.out(response, R.ok().put("msg","用户名获密码错误"));
    }
}

2、配置登录拦截器

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   

    @Autowired
    private LoginFilter loginFilter;

    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
   
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
   
        return super.authenticationManager();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
   
        http
            .exceptionHandling()
                .and().addFilter(loginFilter); // 加入登录拦截器
    }
}

用户注销

            http.formLogin() 
                .loginPage("/toLogin")
                .loginProcessingUrl("/login") 
                .defaultSuccessUrl("/toSuccess")
                .usernameParameter("name") 
                .passwordParameter("pw")  
                
			.and()
                .logout() // 添加注销处理
                .logoutUrl("/toLogout") // 注销地址
                .logoutSuccessUrl("http://www.baidu.com") // 注销成功后调整的地址
                    //退出处理器,可以写匿名内部类
                .addLogoutHandler(new LogoutHandler() {
    
                    @Override
                    public void logout(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) {
   
                    }
                })
                   
                // 设置该方法会覆盖logoutSuccessUrl()方法
                // 退出成功处理器
                .logoutSuccessHandler(new LogoutSuccessHandler() {
    
                    @Override
                    public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
   
                    }
                }).and().csrf().disable();

权限控制

​ SpringSecurity中可以通过角色和权限进行权限的控制,主体登录成功对访问的资源进行判断是否有这个权限,如果有就执行,否则就会跳转到没有权限访问的页面。

​ Spring Security 中对于权限控制默认已经提供了很多了 , 其中有四种时常用的权限控制方式。

  • 表达式控制 URL 路径权限
  • 使用过滤注解
  • 动态权限

给用户设置角色和权限

在SpringSecurity中角色和权限并没有分开,而是都统一的封装到了一个 List中。其中通过ROLE_来区分该权限是角色还是权限。

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
   
        System.out.println
最低0.47元/天 解锁文章
一个有灵魂的搬运工
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity6 | 登录成功后的JSON处理
分享思想,留下痕迹。
12-10 1068
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity登录成功之后的一些页面的跳转。这篇文章我们主要来介绍一下我们通过自定义登录界面之后的一些细节处理。好了,话不多说让我们开始吧😎😎😎。在我们现在流行的前后端分离开发中,其实后端已经不需要再进行页面的跳转,前后端数据的交换都是通过JSON来进行流传的。就比如,我们后端登录之后,只需要给前端返回一段JSON数据,告诉前端登录成功即可,具体怎么做呢,我们接着向下看。首先我们需要自定义并实现他的一些方法。import cn。
spring security 数据库存储资源信息 记住我 支持AJAX
03-17
spring security3案例,基于数据库存储角色权限资源信息,支持记住我、session并发控制、AJAX调用。
牛客网项目---6.2.使用Spring Security实现登录功能
gouhanchi的博客
07-14 563
1.导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.废弃原来的登录拦截器 import com.nowcoder.community.
Spring Security(学习笔记) --Json登录的两种方式!
最新发布
TONGZHOUGONGDU的博客
04-24 511
Security 改为Json认证的两种方式!
Spring Security使用JSON格式登录
大后生大大大的博客
11-23 2316
JSON格式登录、自定义Filter
Spring Security 使用JSON格式参数登录的两种方式
BASK2311的博客
11-21 666
通过前面几篇文章的分析,我们已经知道了登录参数的提取在过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。的源代码如下:接下来就是将我们自定义的 LoginFilter 过滤器代替默认的。当我们替换了之后,原本在 SecurityConfig#configure 方法中关于 form 表单的配置就会失效,那些失效的属性,都可以在配置 LoginFilter 实例的时候配置;还需要记得配置,否则启动时会报错。
SpringSecurity登录使用JSON格式数据,2024年Java网络编程总结篇
m0_62289956的博客
04-02 708
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
Spring Security配置JSON登录(前后端分离)
hayhead的博客
03-06 1429
spring security用了也有一段时间了,弄过异步和多数据源登录,也看过一点源码,最近弄rest,然后顺便搭oauth2,前端用json来登录,没想到spring security默认居然不能获取request中的json数据,谷歌一波后只在stackoverflow找到一个回答比较靠谱,还是得要重写filter,于是在这里填一波坑 准备工作 基本的spring security配置就不说了,网上一堆例子,只要弄到普通的表单登录和自定义UserDetailsService就可以。因为需要重写Filt
后端架构token授权认证机制:spring security JSON Web Token(JWT)简例
Zhang Phil
02-10 6826
spring security JSON Web Token(JWT)简单例子实现 在基于token的客户端-服务器端认证授权以前,前端到服务器端的认证-授权通常是基于session,自从token机制出现并流行起来后,基于token的客户端-服务器端认证-授权访问机制变得越来越主要,token机制从某种意义上讲是过去session会话机制的另外一种解决方案,并尤其适用于当前的大规模集群和分布式体系架构。 客户端(浏览器web前端、app移动端等)与后端服务基于token的认证-授权访问流程一般情况是这
SpringSecurity使用JSON来登录
weixin_41359273的博客
03-20 882
SpringSecurity使用JSON来登录1.pom.xml2.自定义认证过滤器3.security的配置4.controller 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocati
SpringSecurity | SpringSecurity登录使用JSON格式数据
兀坐晴窗独饮茶
04-10 1089
参考文章 SpringSecurity登录使用JSON格式数据 Spring Security配置JSON登录 解决方法 1. 创建 获取用户名和密码的过滤器, 默认是通过表单获取的, 这个过滤器的作用是通过 JSON获取用户名和密码 package cn.knightzz.filter; import com.fasterxml.jackson.databind.ObjectMapper; import org.springframework.http.MediaType; import org
详解Spring Security如何配置JSON登录
10-19
主要介绍了详解Spring Security如何配置JSON登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity实现json形式登录以及key/value形式登录
qq_43960768的博客
12-30 444
SpringSecurity配置json登录
Spring Security如何配置JSON登录
phubing
02-14 2984
详解Spring Security如何配置JSON登录   这篇文章主要介绍了详解Spring Security如何配置JSON登录,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧 spring security用了也有一段时间了,弄过异步和多数据源登录,也看过一点源码,最近弄rest,然后顺便搭oauth2,前端用json来登录,没想到spring securi...
Spring-Security通过Json web token 进行登录认证
weixin_51722520的博客
10-12 500
JWT
SpringSecurity登录使用JSON格式数据
啊啊啊啊2
02-13 4519
在使用SpringSecurity中,大伙都知道默认的登录数据是通过key/value的形式来传递的,默认情况下不支持JSON格式的登录数据,如果有这种需求,就需要自己来...
spring security6+springboot3+jwt实现权限控制
hepeike001的博客
05-12 3323
最近在学习spring security,看到网上的都是比较老的版本,所以从github上找了一个开源的最新的spring security6 的demo借鉴,然后结合官网文档自己鼓捣了一个demo出来,做个笔记方便以后忘记怎么搞了来看看,哈哈哈OVO。(本项目用的是jdk17,有些表达式jdk8是无法编译的,所以要跑起来的话记得安装17哦,反正现在也免费了)
新版Spring Security6.2案例 - Authentication用户名密码
喝醉的鱼博客
12-12 3931
新版Spring Security6.2案例 - Authentication用户名密码表单登录

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值