Spring Security简单总结

最新推荐文章于 2024-07-07 20:23:20 发布
最新推荐文章于 2024-07-07 20:23:20 发布
阅读量210 收藏
点赞数
分类专栏: 听课记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/quincy/article/details/105152977
版权
Spring Security是一个基于Filter的安全框架,用于处理HTTP请求的认证和授权。它通过Request Matching来决定过滤器链的适用性。配置包括引入依赖、设置自定义规则以及授权逻辑。在实际应用中,需要启用Web安全配置,并根据需求定制规则。
摘要由CSDN通过智能技术生成

技术原理

Spring security 就是一个filter,然后又把request 分发给spring security内部注册的filters.

 

Note:Request Matching for Dispatch and Authorization

A security filter chain (or equivalently a WebSecurityConfigurerAdapter) has a request matcher that is used for deciding whether to apply it to an HTTP request. Once the decision is made to apply a particular filter chain, no others are applied. But within a filter chain you can have more fine grained control of authorization by setting additional matchers in the HttpSecurity configurer

使用步骤:

  1. 引入依赖

    <dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    <!--<version>3.0.4.RELEASE</version>-->
</dependency>
<!-- 导入依赖  -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

  2. 配置相关文件,

    就是配置自己rule认证跟授权规则,后面稍微解释。

  3. 测试代码编写

配置自己网站的rule 认证跟授权规则

// 适配器模式 不影响原来业务代码的情况下,实现了动态增加功能!
@Configuration
@Order(SecurityProperties.BASIC_AUTH_ORDER - 10)
public class ApplicationConfigurerAdapter extends WebSecurityConfigurerAdapter {
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.antMatcher("/foo/**")
     ...;
  }
}

@EnableWebSecurity 可能应该也是需要的,然后根据网站的跳转逻辑添加自己的规则。

参考文档

https://spring.io/guides/topicals/spring-security-architecture

https://docs.spring.io/spring-security/site/docs/5.3.1.BUILD-SNAPSHOT/reference/html5/#modules

https://www.thymeleaf.org/doc/articles/springsecurity.html

quincy
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 身份认证绕过漏洞出现在nacos中
m0_72965398的博客
08-29 733
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。Spring Security存在使用未前缀的双通配符模式造成 WebFlux 安全绕过漏洞,在WebFlux的Spring Security配置中使用“**”作为模式,会导致Spring SecuritySpring WebFlux之间模式不匹配,并可能造成安全绕过
API安全学习笔记(常见攻击面)
瓦罗兰特顶级C位的博客
12-27 1453
前后端分离已经成为web的一大趋势,通过Tomcat+Ngnix(也可以中间有个Node.js),有效地进行解耦。并且前后端分离会为以后的大型分布式架构、弹性计算架构、微服务架构、多端化服务(多种客户端,例如:浏览器,车载终端,安卓,IOS等等)打下坚实的基础。而API就承担了前后端的通信的职责。所以学习api安全很有必要。
史上最简单Spring Security教程(十四):动态权限(自定义UserDetailsService)
银河架构师的博客
07-27 3724
在前面的示例中,我们在自定义的UserDetailsService中,固化了用户所拥有的的权限,即User。其实,这和最早我们在配置文件配置用户的用户名、密码、权限列表并无二致,这种固化的方法尤其独到之处,但却并不适合所有业务场景。 本例,我们来说一下如何实现动态权限。 首先,定义角色表、角色用户关联表。 create table SYS_ROLE ( ID varchar(32) not null comment '主键', NAME...
史上最简单Spring Security教程(二十六):DaoAuthenticationProvider详解
银河架构师的博客
08-28 1万+
之前看过很多个版本的Spring Security中获取用户信息并进行密码校验,有在相关的Filter中获取的,也有在默认的DaoAuthenticationProvider中判断Authentication类型进行判断以后直接获取的。 不过,这些方式都不太“正宗”,Spring Security有自己的一套流程。至于此流程的详细信息讲解,先不急,本篇文章来认识一下其中比较重要的一环:获取用户信息并进行密码验证,即DaoAuthenticationProvider。 Auth...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单SpringBoot工程① 设置父工
Spring Security使用总结
qq_29842629的博客
05-29 730
自定义Filter不需要通过实现Filter接口来实现我们可以通过中继承,这是一个基类,用于每个请求只调用一次的 filter,并提供一个带有和参数的方法。@Override//逻辑处理//方法一 当前方法适用与高版(至少在6.2.0以上)本Spring Security比不支持我当前版本@Beanhttp// .../*方法二或者继承WebSecurityConfigurerAdapter类实现*/@Overridehttp// ...这里有个小插曲。
SpringSecurity学习总结(三更草堂)
weixin_53676834的博客
03-31 1312
SpringSecurity安全框架的核心功能是和认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户。授权:经过认证后判断当前用户是否具有进行某个操作的权限
SpringSecurity简单自定义配置
2301_76288478的博客
07-07 1108
如果没有指定密码加密算法 默认执行的是BCrypt算法 下图指定使用SHA-1加密。工厂的静态构造方法把常用的几种密码方案都注入到了缓存Map中,默认注入的 encodingId 对应的是 BCryptPasswordEncoder加密方案,这样系统就可以达到在新存储密码可以使用 BCryptPasswordEncoder 加密方案进行加密,但是对于数据库里面以前用其他方式加密的密码也支持比对。我们可以复写该方法,然后修改这个“encodingId”的值,就可以在几种加密算法中进行切换了。
Spring Security 实现短信验证码登录功能
08-19
总结来说,Spring Security实现短信验证码登录涉及到以下关键点: 1. 创建短信验证码接口并发送验证码。 2. 设计前端界面以接收手机号和短信验证码。 3. 自定义`SmsAuthenticationFilter`来处理短信验证码登录请求。...
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
vue3+springboot高校学生评教系统[编号:CS_82037](1)源码数据库.zip
09-23
本文介绍了使用SpringBoot作为后端框架,Vue作为前端框架,MyBatis-Plus进行持久层开 。详细描述了系统测试的目的、功能测试案例,包括登录验证和用户管理,以及数据库设计。 前端:vue3 开发工具:IDEA 或者eclipse都支持 编程语言: java 框架:springboot/ssm都支持 jdk版本:jdk1.8以上均可 数据库: mysql 版本不限 数据库工具:Navicat/SQLyog都可以
ASP源码:大家帮网精品装修招标门户网站程序网站源码,网站系统模板源码73.rar
最新发布
09-23
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(随意编程),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
变压器变频器配电柜电路控制原理图CAD施工图纸设备控制图消防泵,喷淋泵电控原理图
09-23
变压器变频器配电柜电路控制原理图CAD施工图纸设备控制图消防泵,喷淋泵电控原理图
【数字信号去噪】基于matlab飞蛾扑火算法MFO-ICEEMDAN信号去躁【含Matlab源码 7598期】.zip
09-23
CSDN海神之光上传的代码均可运行,亲测可用,直接替换数据即可,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b或2023b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博客文章底部QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 功率谱估计: 故障诊断分析: 雷达通信:雷达LFM、MIMO、成像、定位、干扰、检测、信号分析、脉冲压缩 滤波估计:SOC估计 目标定位:WSN定位、滤波跟踪、目标定位 生物电信号:肌电信号EMG、脑电信号EEG、心电信号ECG 通信系统:DOA估计、编码译码、变分模态分解、管道泄漏、滤波器、数字信号处理+传输+分析+去噪(CEEMDAN)、数字信号调制、误码率、信号估计、DTMF、信号检测识别融合、LEACH协议、信号检测、水声通信
电影网站模板系统.rar
09-23
项目工程资源经过严格测试可直接运行成功且功能正常的情况才上传,可轻松copy复刻,拿到资料包后可轻松复现出一样的项目,本人系统开发经验充足(随意编程),有任何使用问题欢迎随时与我联系,我会及时为您解惑,提供帮助 【资源内容】:项目具体内容可查看/点击本页面下方的*资源详情*,包含完整源码+工程文件+说明(若有)等。【若无VIP,此资源可私信获取】 【本人专注IT领域】:有任何使用问题欢迎随时与我联系,我会及时解答,第一时间为您提供帮助 【附带帮助】:若还需要相关开发工具、学习资料等,我会提供帮助,提供资料,鼓励学习进步 【适合场景】:相关项目设计中,皆可应用在项目开发、毕业设计、课程设计、期末/期中/大作业、工程实训、大创等学科竞赛比赛、初期项目立项、学习/练手等方面中 可借鉴此优质项目实现复刻,也可基于此项目来扩展开发出更多功能 #注 1. 本资源仅用于开源学习和技术交流。不可商用等,一切后果由使用者承担 2. 部分字体及插图等来自网络,若是侵权请联系删除,本人不对所涉及的版权问题或内容负法律责任。收取的费用仅用于整理和收集资料耗费时间的酬劳 3. 积分资源不提供使用问题指导/解答
Spring Security入门与权限管理实战指南
1. **HelloWorld示例**:首先,通过创建一个简单的应用,学习如何配置基本的Spring Security过滤器,这包括设置访问控制规则和处理登录认证过程。命名空间配置使得配置文件更简洁易读。 2. **数据库管理用户权限**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值