学习笔记【Spring Security快速入门】

最新推荐文章于 2024-01-27 07:00:00 发布
最新推荐文章于 2024-01-27 07:00:00 发布
阅读量182 收藏
点赞数
分类专栏: # Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53273362/article/details/113233708
版权

Spring Security

Web应用的安全性包括 用户认证(Authentication)用户授权(Authorization) 两个部分,这两点也是SpringSecurity重要核心功能。

通俗点说:

  • 用户认证就是系统认为用户是否登录
  • 用户授权就是系统判断用户是否有权限去做某些事

SpringSecurity特点

  • 和Spring无缝整合
  • 全面的权限控制
  • 专门为Web开发而设计
  • 重量级

Shiro特点

  • 轻量级
  • 好处:不局限于Web环境,可以脱离Web环境使用
  • 缺陷:Web环境下一些特定的需求需要手动编写代码定制

简单入门:
在这里插入图片描述
账号:user
密码:会随机生成
在这里插入图片描述

Spring Security入门原理

本质是一个过滤链,有很多过滤器

  • FilterSecurityInterceptor:是一个 方法级的权限过滤器,基本位于过滤链的最底部
  • ExceptionTranslationFilter:是一个异常过滤器,用于处理在认证授权过程中抛出的异常
  • UsernamePasswordAuthenticationFilter:对/login的Post请求做拦截,校验表单中用户名,密码
  • 等等。。。

过滤器如何进行加载的
使用SpringSecurity配置过滤器 DelegatingFilterProxy
在这里插入图片描述
在这里插入图片描述
FilterChainProxy
在这里插入图片描述

两个重要的接口:
UserDetailsService:
查询数据库用户名和密码过程

  • 创建类继承UsernamePasswordAuthenticationFilter:重写三个方法
  • 创建类实现UserDetailService,编写查询数据库过程,返回User对象,这个User对象是安全框架提供的对象

PasswordEncoder:
数据加密的接口,用于返回User对象里密码加密

实践

设置登录的用户名和密码

  • 通过配置文件
  • 通过配置类
  • 自定义编写实现类

第一种方式:通过配置文件
在这里插入图片描述
第二种方式:通过配置类
在这里插入图片描述

第三种方式:自定义编写实现类

  • 创建一个配置类,设置是用哪个userDetailService实现类
  • 编写实现类,返回User对象,User对象有用户名密码和操作权限

在这里插入图片描述
在这里插入图片描述

完成查询数据库登录

整合MybatisPlus

  • 引入相关依赖
    在这里插入图片描述
  • 创建数据库表
    在这里插入图片描述
  • 创建对应实体类
    在这里插入图片描述
  • 整合mp,创建接口,继承mp的接口
    在这里插入图片描述
@Service("userDetailsService")
public class MyUserDetailService implements UserDetailsService {
   

    @Autowired
    private UsersMapper usersMapper;

    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
   
        //根据用户名查询
        QueryWrapper<Users> wrapper=new QueryWrapper<>();
        //where username=?
        wrapper.eq("username"
最低0.47元/天 解锁文章
十月花
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springSecurityTest.zip
03-27
这个"springSecurityTest.zip"文件是一个IDEA(IntelliJ IDEA)与MAVEN项目,设计用于帮助初学者理解并入门Spring Security。下面将详细阐述Spring Security的主要概念和其在实际开发中的应用。 首先,Spring ...
SpringSecurity_权限注解@PreAuthorize、@PostAuthorize
fyedu的专栏
06-30 1万+
spring是如何实现对HTTP请求进行安全检查和资源使用授权的? 实现过程由类AbstractSecurityInterceptor在beforeInvocation方法中完成,在beforeInvocation的实现中, 首先,需要读取IoC容器中Bean的配置,在这些属性配置中配置了对HTTP请求资源的安全需求, 比如,哪个角色的用户可以接入哪些URL请求资源,具体实现逻辑见: #与Web...
[13] FilterSecurityInterceptor
既无风雨也无晴
03-19 2万+
FilterSecurityInterceptor 简介 Spring Security对于权限的控制有2种方式,1.通过ExpressionInterceptUrlRegistry进行配置,2.通过注解和切面的方式。FilterSecurityInterceptor是针对于第一种方式权限配置的控制机制,在项目或服务启动时,Spring Security会把ExpressionIntercept...
SpringSecurity安全框架学习——@PreAuthorize的实现原理
笔落墨成&博客
11-23 3734
Spring Security 预处理实现原理
spring-security FilterSecurityInterceptor 源码分析
qq_30321211的博客
12-25 503
FilterSecurityInterceptor 这个过滤器决定了访问特定路径应该具备的权限,访问的用户的角色,权限是什么?访问的路径需要什么样的角色和权限?这些判断和处理都是由该类进行的 FilterSecurityInterceptor public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter { //默认实现类:ExpressionBasedFilterInvocati
web-security第六期:畅谈 Spring Security Authorization(授权)
Swing
06-13 4812
前几期我们了解了Spring Security Authentication (认证)在确认是本站点的用户后,我们又面临了一个问题:该用户可以访问那些资源,不能访问哪些资源,这都得好好研究研究,今天我们来说道说道Spring Security Authorization(授权) 首先我们来回顾一下 认证的结果: 也就是AUthentication中的内容,我们来逐一分析一下: Principal:这是登录用户的信息,一般是指 UserDetails (它的实现类,在前几期我们有定义) Cr...
Spring初学者入门教程 PDF带书签高清版
11-06
8. **Spring Security**:基础的认证与授权知识,如何使用Spring Security保护应用程序的安全,包括登录、权限控制等方面。 9. **Spring测试**:如何编写单元测试和集成测试,利用Spring Test和Mockito等工具进行...
springboot学习入门提升笔记.rar
03-23
这份“springboot学习入门提升笔记”应该包含了从基础到进阶的全方面学习内容,非常适合那些想要快速上手或者希望深化SpringBoot理解的开发者。 SpringBoot的核心特性包括自动配置、嵌入式Web服务器、起步依赖和...
top-spring-security-architecture:Spring安全架构
05-13
标签专案安全Spring安全了解Spring安全性目录本指南是Spring Security入门,它提供了对该框架的设计和基本构建块的见解。 我们仅介绍应用程序安全性的最基础知识。 但是,这样做可以消除使用Spring Security的开发...
spring教程,spring入门
07-11
Spring框架是Java开发中的一个核心框架,以...以上就是Spring框架的一些基础知识点,从入门到精通,需要不断学习和实践,逐步掌握其精髓。通过Spring教程和笔记,你可以深入理解并运用这些知识,提升你的Java开发能力。
Spring Security详解(四)认证之鉴权
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
SpringSecurity-授权验证原理
陈海龙的格物之路
09-14 466
本文介绍SpringSecurity授权验证的原理。如果你还不了解原理,快来看看吧。
史上最简单的Spring Security教程(十二):@PreAuthorize注解实现权限控制
热门推荐
银河架构师的博客
07-17 2万+
我们前面讲的所有的例子,都是没有权限控制的,也就是只要登录就可以访问任何资源,不需要其它的权限。但是,现实生活中肯定不是这样。 比如你是普通员工,只能查看自己的工作记录;而部门经理作为领导,则可以查看整个部门员工的工作记录;再如企业老板,作为最大的权限拥有者,可以查看整个公司员工的工作记录。这就是所谓的权限控制,不同角色拥有的不同资源。 而Spring Security框架最大的功用就在于此。当然,实现权限控制体系非常复杂,我们一步一步来,本次先讲一个如何通过注解实现权限控制需求。 Spri...
Spring Security 之方法级的安全管控@PreAuthorize
weixin_42030357的博客
03-07 2692
文章目录1. JSR-205 注解2.@Secured 注解3.@PreAuthorize 类型的注解(支持 Spring 表达式)3.1SPEL表达试(bean引用)3.2 @PreAuthorize 表达式1. returnObject 保留名2. 表达式中的 # 号3. 内置表达式有:例子SecurityConfig 配置类BookService 配置类 原博文,点击这里 默认情况下, Spring Security 并不启用方法级的安全管控. 启用方法级的管控后, 可以针对不同的方法通过注解设置不同
Spring Security权限注解@PreAuthorize通俗讲解
m0_53370922的博客
05-20 5952
写在前面:后端就是后端,后端接口权限和前端可以想成没有任何关系,千万不要被所谓的路由、所谓的那些按钮、权限标识在哪个菜单下所迷惑(只要保证接口权限字符串在用户菜单权限下即可,除此之外,在哪个菜单或按钮都行)!(后端的我们就用接口测试工具测试,所以不要被前端界面的这些东西所迷惑) 图1 简单举例子说,后端有这么一个接口,图2,这个权限标识不一定非得放在图1所示的菜单下才起作用。比如admin用户拥有所有菜单的权限,那么你将test: one:testForm:list放到任何一个菜单下,用户admin都可以访
基于SpringSecurity的@PreAuthorize实现自定义权限校验方法
小王博客基地
08-15 5600
在我们一般的web系统中必不可少的就是权限的配置,也有经典的RBAC权限模型,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用来实现自己的校验方式,小编以pig框架的为例。这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!...
Spring Security-@PreAuthorize 权限注解分析
西京刀客
09-18 2万+
@PreAuthorize @PreAuthorize
详细分析SpringSecurity中的@PreAuthorize注解
最新发布
码农研究僧的博客
01-27 6746
在Java中,`@PreAuthorize` 是Spring Security框架中的一个注解,用于在方法调用之前对用户的权限进行验证。 允许在方法级别定义访问控制规则,确保只有满足指定条件的用户才能调用该方法 这个注解通常与Spring的AOP(面向切面编程)结合使用,推荐阅读: Spring框架从入门到学精(全) java框架 零基础从入门到精通的学习路线 附开源项目面经等(超全)
Spring-security
weixin_44962939的博客
07-16 222
hasRole: 角色授权:授权代码,在我们返回的UserDetails的Authority需要加ROLE_前缀,Controller上使用时不要加前缀; hasAuthority: 权限授权:用户自定义的权限,返回的UserDetails的Authority只要与这里匹配就可以,这里不需要加ROLE_,名称保持一至即可 另外的安全表达式还有: 表达式 说明 permitAll 永远返回true denyAll 永远返回false anonymous 当前用户是anonymous时返回true rememb
Spring Boot学习资料教程.docx
11-01
通过Spring Initializr快速创建项目,然后在IDEA中导入。创建`@RestController`控制器,编写返回"Hello World"的简单方法。`@SpringBootApplication`注解标识这是一个Spring Boot应用,启动该应用,控制台将输出启动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值