Spring Security的使用(java后端权限的使用)

于 2024-07-25 18:23:07 发布
阅读量188 收藏 2
点赞数 7
文章标签: java spring 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_60707246/article/details/140696594
版权

一、Spring Security 关键特性

1. 身份验证(Authentication):

   - 支持多种身份验证方式,如用户名密码、LDAP、OAuth2、JWT 等。

   - 提供用户详情服务(UserDetailsService)来加载用户特定数据。

2. 权限认证(Authorization):

   - 基于角色和权限进行细粒度的访问控制。

   - 使用方法级别和 URL 级别的安全性注解。

3. 防止常见攻击:

   - 内置防御机制,如 CSRF(跨站请求伪造)、会话固定攻击等。

4. 灵活的配置:

   - 提供基于 Java 配置和 XML 配置的多种方式。

   - 支持自定义安全配置,如过滤器链、访问决策管理器等。

 二、Spring Security 基本使用

1.引入依赖

<dependency>
       <groupId>org.springframework.boot</groupId>
       <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.安全配置类:

   创建一个配置类,继承 `WebSecurityConfigurerAdapter` 并重写相关方法:

 import org.springframework.context.annotation.Configuration;
 import org.springframework.security.config.annotation.web.builders.HttpSecurity;
 import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
 import org.springframework.security.config.annotation.web.configuration
                                                         .WebSecurityConfigurerAdapter;

   @Configuration
   @EnableWebSecurity
   public class SecurityConfig extends WebSecurityConfigurerAdapter {

       @Override
       protected void configure(HttpSecurity http) throws Exception {
           http
               .authorizeRequests()
                   .antMatchers("/public/").permitAll() // 允许所有人访问 /public 下的资源
                   .anyRequest().authenticated() // 其他请求需要身份验证
                   .and()
               .formLogin() // 启用默认的登录页面
                   .permitAll()
                   .and()
               .logout() // 启用默认的注销功能
                   .permitAll();
       }
   }

3.方法级别安全: 在应用中启用方法级别的安全控制:

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;

@Service
public class MyService {

    @PreAuthorize("hasRole('ADMIN')")
    public void adminMethod() {
        // 只有 ADMIN 角色的用户才能调用此方法
    }

    @PreAuthorize("hasAuthority('READ_PRIVILEGE')")
    public void readMethod() {
        // 只有具有 READ_PRIVILEGE 权限的用户才能调用此方法
    }
}

4.用户和权限的配置: 使用内存中的用户存储进行简单的用户和权限配置:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

@Configuration
public class UserConfig {

    @Bean
    @Override
    public UserDetailsService userDetailsService() {
        UserDetails user =
             User.withDefaultPasswordEncoder()
                 .username("user")
                 .password("password")
                 .roles("USER")
                 .build();

        UserDetails admin =
             User.withDefaultPasswordEncoder()
                 .username("admin")
                 .password("password")
                 .roles("ADMIN")
                 .build();

        return new InMemoryUserDetailsManager(user, admin);
    }
}

凤返集团
关注
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值