SpringSecurity

最新推荐文章于 2024-05-18 11:09:56 发布
最新推荐文章于 2024-05-18 11:09:56 发布
阅读量63 收藏
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shuduishou/article/details/132344881
版权

目录

SpringSecurity概括

创建SpringSecurity项目

1.导入依赖

2.测试

设置用户名和密码

PasswordEncoder密码解析器

自定义登录逻辑

1.编写配置类

2.自定义逻辑

SpringSecurity概括

Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI 和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。

使用 Spring Secruity 的原因有很多,主要负责的两个主要区域是“认证”和“授权”(或者访问控制)。这两点是 Spring Security 重要核心功能。“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),就是系统认为用户是否能登录。“授权”指确定一个主体是否允许在你的应用程序执行一个动作的过程。就是系统判断用户是否有权限去做某些事情。

创建SpringSecurity项目

1.导入依赖

Spring Security已经在Spring Boot集成,添加web和security启动器,直接引用启动器

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<parent>
        <artifactId>xysh-parent</artifactId>
        <groupId>com.xiaobai</groupId>
        <version>1.0-SNAPSHOT</version>
    </parent>
    <modelVersion>4.0.0</modelVersion>
    <artifactId>xysh-system</artifactId>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>com.xiaobai</groupId>
            <artifactId>xysh-common</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
        <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
        </dependency>
        <dependency>
            <groupId>com.github.pagehelper</groupId>
            <artifactId>pagehelper-spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-data-redis</artifactId>
        </dependency>
        <dependency>
            <groupId>org.apache.commons</groupId>
            <artifactId>commons-lang3</artifactId>
        </dependency>
        <dependency>
            <groupId>log4j</groupId>
            <artifactId>log4j</artifactId>
            <version>1.2.17</version>
        </dependency>
    </dependencies>

</project>

2.测试

启动SpringBoot项目

访问localhost:8080/login

 

导入 spring-boot-starter-security 启动器后,Spring Security 已经生效,默认拦截全部请求,如果用户没有登录,跳转到内置登录页面,就是上面这个默认的 username 为 user,password 打印在控制台中,登录成功才可访问login。

设置用户名和密码

当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。

而在实际项目中账号和密码都是从数据库中查询出来的,就可以自定义逻辑控制认证逻辑。

如果需要自定义逻辑时,需要实现 UserDetailsService 接口,接口定义如下:

@Service
public class UserDetailsServiceZ implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        return null;
    }
}

 用户名应该是客户端传递过来的用户名。而密码应该是从数据库中查询出来的密码。Spring Security 会根据 User 中的 password和客户端传递过来的 password 进行比较。如果相同则表示认证通过,如果不相同表示认证失败。

PasswordEncoder密码解析器

Spring Security 要求容器中必须有 PasswordEncoder 实例。

当自定义登录逻辑时要求必须给容器注入 PaswordEncoder 的 bean 对象。

实例代码:

public class MyPasswordEncoder implements PasswordEncoder {
    @Override
    public String encode(CharSequence rawPassword) {
        return PasswordUtils.generate((String)rawPassword);
    }

    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        return PasswordUtils.verify((String) rawPassword,encodedPassword);
    }
}

接口介绍:

     

  1. encode():把参数按照特定的解析规则进行解析。
  2. matches()验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹配,则返回 true;如果不匹配,则返回 false。
  3. 第一个参数表示需要被解析的密码。第二个参数表示存储的密码。
  4. upgradeEncoding():如果解析的密码能够再次进行解析且达到更
  5. 安全的结果则返回 true,否则返回 false。默认返回 false。

内置解析器介绍:

Spring Security内置了很多解析器

 推荐使用:BCryptPasswordEncoder

  • BCryptPasswordEncoder 也是 Spring Security 官方推荐的密码解析器,使用这个解析器较多。
  • BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。
  • 是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认 10.

自定义登录逻辑

1.编写配置类

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig {
    @Bean
    public PasswordEncoder setPasswordEncoder(){
    return new BCryptPasswordEncoder();
    }
}

2.自定义逻辑

实现 UserDetailService 就表示为用户详情服务

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private PasswordEncoder encoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException             
    {
        //1.查询数据库判断用户名是否存在,如果不存在抛出UsernameNotFoundException
        if(!username.equals("admin")){
            throw new UsernameNotFoundException("用户名不存在!");
        }
        //把查询出来的密码进行编码,或直接把password(已经编码好的了)放到构造方法中。
        //password就是数据库中查询出来的密码,查询出来的内容不是123,因为数据库不能明文保存数据
        String password = encoder.encode("123");
        return new User(username,password, AuthorityUtils.
    }
}

shuduishou
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
Spring Security
qq_45429856的博客
11-22 3725
Spring Security简介 Spring Security是一个高度自定义的安全框架。利用Spring IOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作 spring security 的核心功能主要包括: 认证 (系统认证用户是否登录) 授权 (系统判断用户是否有权限去做某些事情) 攻击防护 (防止伪造身份) Spring Security项目搭建 一:导入依赖 <!--导入spring security依赖-->
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6472
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
Spring Security 自定义授权服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-18 4686
在之前我们已经对接过了GitHub、Gitee客户端,使用OAuth2 Client能够快速便捷的集成第三方登录,集成第三方登录一方面降低了企业的获客成本,同时为用户提供更为便捷的登录体验。但是随着企业的发展壮大,越来越有必要搭建自己的OAuth2服务器。OAuth2不仅包括前面的OAuth客户端,还包括了授权服务器,在这里我们要通过最小化配置搭建自己的授权服务器。授权服务器主要提供OAuth Client注册、用户认证、token分发、token验证、token刷新等功能。......
springSecurity
10-14
springSecurity
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springsecurity
07-23
springsecurity
SpringSecurity项目
05-05
springsecurity是一个功能强大且高度可定制的身份验证和访问控制框架。springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以...
(三)Spring教程——依赖注入与控制反转
05-14 561
Spring有两个重要的接口:BeanFactory和ApplicationContext,所谓的容器就是实现了BeanFactory接口或者是ApplicationContext接口的类的实例,BeanFactory是最顶层、最基本的接口,它描述了容器需要实现的最基本的功能,比如对象的注册、获取等。在编写传统的Java应用代码时,我们一般是直接在对象内部通过new来创建对象,让程序主动去创建依赖对象,这就是一个“谁使用,谁创建”的过程,创建依赖对象的主动权和创建时机都是由自己来把控。
spring 循环依赖
weixin_45849726的博客
05-14 442
先创建ABean1.0. 记录正在创建ABean singletonCurrentlyInCreation<1.1.实例化ABean–>得到一个对象–>存入singletonFactories1.2. 填充BBean属性–>去单例池找BBean–>没有就创建1.3. 进行其他依赖注入1.4. 初始化前,初始化1.5. 初始化后1.6. 放入单例池创建BBean2.1. 实例化BBean–>得到一个对象。
java云his系统源码 一站式诊所SaaS系统Java+Spring+Angular+Nginx 云HIS系统八大特点
zmm201453的博客
05-15 1214
HIS系统采用面向技术架构的分析与设计方法,应用多层次应用体系架构设计,运用基于构件技术的系统搭建模式与基于组件模式的系统内核结构。通过建立统一接口标准,实现数据交换和集成共享,通过统一身份认证和授权控制,实现业务集成、界面集成。
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器
最新发布
shijialeya
05-18 377
解决 SpringBoot 的 Date、LocalDateTime 变成时间戳和数组的问题,创建自定义对象消息转换器进行数据格式化。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值