什么是Spring Security?具有哪些功能?

71493b2b6cba47970e0c262257790355.gif

本篇将带你快速了解什么是Spring Security,通过入门案例以及相关原理和类的分析让你快速入门。

069f9a66efb770c35aea2dc7e17a0068.jpeg

一、概述

官网:https://spring.io/projects/spring-security

Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。

身份认证是验证谁正在访问系统资源,判断用户是否为合法用户。认证用户的常见方式是要求用户输入用户名和密码。

授权是指用户进行身份认证后,系统会控制谁能访问哪些资源。用户无法访问没有权限的资源。

防御常见攻击:如CSRF、HTTP Headers、HTTP Requests

比如我们打开网页版京东进行登录,可以使用密码登录、短信登录、QQ登录、微信登录以及扫码登录几种方式。用户登录的过程其实就是一个身份认证的过程。

6ae50c572e4a9ad32b007555a4505843.png

普通用户登录京东后,可以查看商品,加购物车,结算订单等,这些都是系统授予普通用户资源访问的权限。

二、入门案例

1、入门准备

这里我们参考官方文档来完成一个简单的Spring Security入门案例。

官方文档:https://springdoc.cn/spring-security/servlet/getting-started.html

1c1fa9bc69428996e1ee7a39841c0d66.png

点击示例库,进入如下目录

3eeb5564eb67ad16897b4d0d7e9ad98c.png

目录下对应的代码如下

1)Application启动类:

HelloSecurityApplication.java

package example;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
public class HelloSecurityApplication {

 public static void main(String[] args) {
  SpringApplication.run(HelloSecurityApplication.class, args);
 }
}

2)Controller控制类:

IndexController.java。可以看到里面有一个index方法,返回了一个视图解析index

package example;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class IndexController {

 @GetMapping("/")
 public String index() {
  return "index";
 }
}

3)index.html,用到了thymeleaf模板语法

<html xmlns:th="https://www.thymeleaf.org">
<head>
    <title>Hello Security!</title>
</head>
<body>
    <h1>Hello Security</h1>
    <a th:href="@{/logout}">Log Out</a>
</body>
</html>

注:Thymeleaf是一个现代服务器端Java模板引擎,适用于Web和独立环境。

2、创建SpringBoot工程,编写代码

打开IDEA,创建SpringBoot工程,如下

d117723f1ba422237318089166567f1d.png

添加对应依赖,完成后点击Finish等待联网创建

751f4d7dcfe669262f3539aa0a1d16b7.png

如果在创建工程时忘记添加,也可以自己手动在pom.xml文件中添加依赖

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-thymeleaf</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity6</artifactId>
        </dependency>

创建controller包并在包下创建IndexController控制类,并在templates目录下创建一个index.html文件,代码可以参考上述官方文档模板里面的。

cb2572f51cafad15144df22a59a6ee73.png

注:index.html里面使用动态链接的好处是:如果应用程序发布在了不同的目录下,thymeleaf的标签会做自动的相对路径的处理,而普通的a标签则不会。很好理解,动态的好处就是更加灵活方便。

3、启动运行,校验登录

启动项目,浏览器访问 http://localhost:8080/ ,用户名默认为user,密码为控制台输出的一串

9266ebafed29e701889bc5dcf52b924d.png

访问后,会自动进入如下登录页进行身份认证

7564631e1ead848d9fa156180af266fc.png

输入用户名和密码,登录进去后如下

07742b2d9b30c6dd31f6d9e5f5691970.jpeg

点击Log Out后,提示如下

b4528da0784c68de5ee0e4ad812d1077.jpeg

此时再次点击Log Out后,就会退回到刚开始的登录页。

4、案例总结

通过上述简单的入门案例,可以得出Spring Security要求对应用程序的任何交互进行身份验证。具体如下:

1)程序启动时生成一个默认用户“user”。

2)生成一个默认的随机密码,并将此密码记录在控制台上。

3)生成默认的登录表单和注销页面。

4)提供基于表单的登录(Sign in)和注销(Log Out)流程。

5)对于web请求,重定向到登录页面(http://localhost:8080/login);

三、底层相关原理

几个关键核心的部分如下:

1)DelegatingFilterProxy:作为过滤器的代理,能够帮助我们调用Spring容器中所有注册的过滤器。

2)FilterChainProxy:能够帮助我们管理多个不同的过滤器链。

3) SecurityFilterChain(0)~SecurityFilterChain(n):能够帮助我们处理复杂的业务逻辑。

当不同的客户端请求发送到服务端时,通过匹配不同的URL,由不同的过滤器组合来接收,从而实现由不同的过滤器来完成不同的业务功能。

9cf9d7bfc14376abd6755f74ec2831d3.jpeg

四、程序启动运行相关的类

1、DefaultSecurityFilterChain

是SecurityFilterChain接口的实现,加载了默认的16个Filter。

可通过添加断点的方式进行追踪:在IDEA中 Ctrl + N,输入DefaultSecurityFilterChain进行检索,点击即可进入查看源码。在35行处添加断点,重新启动调试项目。

e3f45c2b2332252e3dd513600499893e.png

注:使用快捷键 Ctrl + N可以快速检索类/文件。

2、SecurityProperties

初始化配置,配置了默认的用户名(user)和密码(uuid)

同理,在IDEA中 Ctrl + N,输入SecurityProperties进行检索,点击即可进入查看源码。

f9fb9adafbb31e3f68a904783087f400.png

在application.properties中配置自定义用户名和密码

62daf0d655029cbbc860d6b89a8cf4e6.jpeg

配置完成后,重启项目,访问 http://localhost:8080/ ,就可以用自己配置好的用户名和密码登录了。

e5c4b0b2aaf748349c19d239111be6d4.gif

aac6d85c4458724d796a36d438505c6d.jpeg

面试官:AOP有哪些使用场景?如何实现Spring事务?事务失效场景有哪些?

2cb833c076c616c65bb338d71a6e4146.jpeg

什么是redis的缓存穿透,缓存击穿和缓存雪崩?

7b75d8c936bab8e0648129b3ae6bb392.jpeg

什么是redis? 如何在SpringBoot中集成和操作redis?

54c7884c81e31e0a9e8f682ff05f7b1d.jpeg

什么是对象存储OSS?怎么利用OSS实现文件上传?


  • 18
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码农后端

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值