【Spring Security OAuth2】- Security控制授权- Spring Security授权简介

于 2024-10-11 08:09:10 发布
阅读量425 收藏 7
点赞数 5
分类专栏: Spring Security OAuth2专题 文章标签: spring OAuth2 spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smart_an/article/details/142842963
版权

作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO

联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬

学习必须往深处挖,挖的越深,基础越扎实!

阶段1、深入多线程

阶段2、深入多线程设计模式

阶段3、深入juc源码解析


阶段4、深入jdk其余源码解析


阶段5、深入jvm源码解析

码哥源码部分

码哥讲源码-原理源码篇【2024年最新大厂关于线程池使用的场景题】

码哥讲源码【炸雷啦!炸雷啦!黄光头他终于跑路啦!】

码哥讲源码-【jvm课程前置知识及c/c++调试环境搭建】

​​​​​​码哥讲源码-原理源码篇【揭秘join方法的唤醒本质上决定于jvm的底层析构函数】

码哥源码-原理源码篇【Doug Lea为什么要将成员变量赋值给局部变量后再操作?】

码哥讲源码【你水不是你的错,但是你胡说八道就是你不对了!】

码哥讲源码【谁再说Spring不支持多线程事务,你给我抽他!】

终结B站没人能讲清楚红黑树的历史,不服等你来踢馆!

打脸系列【020-3小时讲解MESI协议和volatile之间的关系,那些将x86下的验证结果当作最终结果的水货们请闭嘴】

Spring Security授权简介

授权又是什么概念呢?

现在来回顾下安全的概念:

  1. 你是谁?
  2. 你能干什么?

前面讲解的全是认证,也就是解决你是谁的问题;

这章讲解你能干什么的问题。很多人叫权限控制,鉴权,授权等;最终的核心目的都是一样的,
控制这个用户能在系统中干什么?

security对授权的定义

202306181908091201.png

上图意思就是说,页面能看到的只是体验和ui交互问题;而对应后台某一个url的是否能被访问被认为是权限

权限场景分析

202306181908123252.png

两个系统的权限特点是不一样的。不应该部署在一个应用中

202306181908160783.png

当权限比较简单的时候,也就是对应业务系统来说这种需求;

security就支持了,可以把规则写在代码中进行控制

security的权限控制

之前其实已经写过

    // 对请求授权配置:注意方法名的含义
     .authorizeRequests()
     .antMatchers(
             SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
             SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,
             securityProperties.getBrowser().getLoginPage(),
             SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX + "/*", // 图形验证码接口
             securityProperties.getBrowser().getSignUpUrl(),  // 注册页面
             securityProperties.getBrowser().getSession().getSessionInvalidUrl() + ".json",
             securityProperties.getBrowser().getSession().getSessionInvalidUrl() + ".html",
             "/user/regist", // 注册请求,后面会介绍怎么把这个只有使用方知道放行的配置剥离处理
             "/error",
             "/connect/*",
             "/auth/*",
             "/signin"
     )
      // 放行以上路径
     .permitAll()
     // 该路径,只允许有 ADMIN 角色的人访问
     .antMatchers("/user").hasRole("ADMIN")
     .anyRequest()
     // 对任意请求都必须是已认证才能访问
     .authenticated()

这个时候再访问系统,登录后发现 /user 不能访问了;访问被拒绝了,那么就是因为当前登录的用户没有 ADMIN这个角色

    Whitelabel Error Page
    This application has no explicit mapping for /error, so you are seeing this as a fallback.
    
    Sun Aug 12 17:23:47 CST 2018
    There was an unexpected error (type=Forbidden, status=403).
    Forbidden

如何给用户分配角色

就是在我们之前实现的UserDetailsService来进行构建的用户信息

    com.example.demo.security.MyUserDetailsService
    
    private SocialUser getUserDetails(String username) {
        String password = passwordEncoder.encode("123456");
        logger.info("数据库密码{}", password);
        SocialUser admin = new SocialUser(username,
    //                              "{noop}123456",
                                          password,
                                          true, true, true, true,
                                          AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_ADMIN"));
        return admin;
    }

这里的角色需要添加 ROLE 前缀;因为之前使用的是 hasRole ; 这个在下一章节讲解是为什么;

怎么匹配restfull的url

还是之前那个方法配置,可以传递请求和通配符

    .antMatchers(HttpMethod.GET, "/user/*").hasRole("ADMIN")

在权限规则简单的情况下,就可以使用这里的知识进行构建权限系统。

下一章:讲解一个url请求,security对它做了些什么

smart哥
关注
专栏目录
使用spring-security-oauth2和spring-security-oauth2-autoconfigure依赖来实现OAuth 2.0+JWT,及介绍迁移到更现代的解决方案
Ead_Y的博客
03-18 1459
关于早些时候的Spring Security版本中,可以使用和依赖来实现OAuth 2.0。然而,随着新版本的发布,Spring Security 5 引入了新的OAuth2客户端和资源服务器支持,而且Spring Security团队已经推出了一个新的项目Spring Authorization Server来替代作为授权服务器。本文为复现通过和实现OAuth 2.0及介绍迁移到更现代的解决方案。通常将一个项目配置成资源服务器以保护资源,另一个项目配置成授权服务器以发放令牌。
spring-security-oauth2-authorization-server.zip
08-25
本项目“spring-security-oauth2-authorization-server”将带你深入理解如何利用Spring Security OAuth2构建一个授权服务器,以保护你的API并提供安全的访问控制OAuth2是一种开放标准,用于授权第三方应用访问...
SpringSecurity Oauth2 - SpringSecurity Oauth2 搭建授权服务器和资源服务器
你今天真好看呀
09-25 3847
① 请求用户是否授权,获取授权码code,浏览器访问完整路径:http://localhost:8080/oauth/authorize?① 请求用户是否授权,获取授权码code,浏览器访问完整路径:http://localhost:8080/oauth/authorize?① 访问授权服务器,获取授权码code:http://localhost:8080/oauth/authorize?① 访问授权服务器,获取授权码code:http://localhost:8080/oauth/authorize?
SpringSecurity Oauth2 - 01 搭建授权服务器(密码模式)
你今天真好看呀
11-01 1419
密码模式:在密码模式中,用户向客户端提供用户名和密码,客户端通过用户名和密码到认证服务器获取令牌: (A)用户访问客户端,提供URI连接包含用户名和密码信息给授权服务器 (B)授权服务器对客户端进行身份验证 (C)授权通过,返回access_token给客户端
Spring Security OAuth2--密码模式 实战
weixin_45452416的博客
04-25 3439
1.OAuth2协议简介OAuth是一种用来规范令牌(Token)发放的授权机制,目前最新版本为2.0,不兼容1.0,主要有四种授权模式:授权码模式、简化模式、密码模式和客户端模式。我这边的前端系统是通过用户名和密码来登录系统的,所以这里只介绍密码模式 2.密码模式简介: 在密码模式中,用户向客户端提供用户名和密码,客户端通过用户名和密码到认证服务器获取令牌。流程如下: 如上图所示,密码模式包含了三个步骤: (A)用户访问客户端,提供URI连接包含用户名和密码信息给授权服务器 (B)授权服务器对客户
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 4608
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
微服务安全Spring Security Oauth2实战_spring-security-oauth2-authorization-server
baimao__Ch的博客
09-20 1478
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
spring-security-oauth2-authorization-server(一)SpringBoot3.1.3整合
weixin_42229668的博客
09-16 7437
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。
Spring底层原理高级进阶】【SpringCloud整合Spring Security OAuth2】深入了解 Spring Security OAuth2:底层解析+使用方法+实战
终于等到你啦~欢迎来到我的知识空间 这里是苏泽的成神之路
02-24 8095
OAuth2(Open Authorization 2.0)是一种用于授权的开放标准协议,用于通过第三方应用程序访问用户在某个服务提供商上存储的资源,而无需共享用户的凭证(例如用户名和密码)。它允许用户授权给第三方应用程序访问受保护的资源,同时确保用户的凭证信息不被直接暴露给第三方应用程序。OAuth2协议的设计目标是简化授权流程和提高安全性,通过委托授权的方式和使用令牌来实现用户和第三方应用程序之间的安全通信。它已成为许多互联网服务提供商和开发者在构建应用程序时常用的授权标准。
SpringCloud整合spring security+ oauth2+Redis实现认证授权
热门推荐
write less , do more
10-15 2万+
在微服务构建中,我们一般用一个父工程来通知管理依赖的各种版本号信息。父工程pom文件如下: 构建eureka注册中心 在SpringCloud微服务体系中服务注册中心是一个必要的存在,通过注册中心提供服务的注册和发现。具体细节可以查看我之前的博客,这里不再赘述。我们开始构建一个eureka注册中心,对应的yml配置文件如下: 对应的项目启动类代码如下: 至此,一个单体的服务注册中心搭建完成。上文我们已经完成了注册中心的搭建,接下来我们开始搭建认证授权中心。我们同样在父工程下面新建一个子工程,作为认证授权中心
Spring Security OAuth2认证/授权服务器的前世今生
Markix的博客
08-10 1218
原有的授权服务器(Authorization Server)由 Spring Security OAuth 提供,通过 @EnableAuthorizationServer 接口开启授权服务。maven依赖如下: <dependency> <groupId>org.springframework.security.oauth.boot</groupId> <artifactId>spring-security-oauth2-autoconfig
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-autoconfigure-...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-autoconfigure-...
Spring 循环依赖详解
jun778895的博客
10-10 770
循环依赖是指两个或多个Bean相互依赖,形成一个闭环。例如,假设有两个Bean,Bean A和Bean B:Bean A依赖于Bean B,同时Bean B也依赖于Bean A。这种依赖关系就形成了一个循环,导致Spring容器在初始化Bean时无法确定哪个Bean应先创建。Spring循环依赖是一个复杂的问题,理解其工作原理和解决机制对于开发高质量的Spring应用程序至关重要。通过合理的设计和最佳实践,可以有效避免和解决循环依赖,确保应用程序的稳定性和可维护性。
美发店管理革新:SpringBoot系统的应用
最新发布
2401_85743969的博客
10-10 722
同时,一个大型的计算机网站系统,必须有一个正确的设计指导思想,通过合理选择数据结构、网络结构、操作系统以及开发环境,构成一个完善的网络体系结构,才能充分发挥计算机信息管理的优势。随着计算机技术的发展以及计算机网络的逐渐普及,互联网成为人们查找信息的重要场所,二十一世纪是信息的时代,所以信息的管理显得特别重要。随着互联网技术的快速发展,网络时代的到来,网络信息也将会改变当今社会。2.高可靠性:一个实用的网站同时必须是可靠的,本设计通过合理而先进的网络设计以及软、硬件的优化选型,可保证网站的可靠性与容错性。
netty之SpringBoot+Netty+Elasticsearch收集日志信息数据存储
CSDN_LiMingfly的博客
10-04 813
将大量的业务以及用户行为数据存储起来用于分析处理,但是由于数据量较大且需要具备可分析功能所以将数据存储到文件系统更为合理。尤其是一些互联网高并发级应用,往往数据库都采用分库分表设计,那么将这些分散的数据通过binlog汇总到一个统一的文件系统就显得非常有必要。#开发环境环境准备windows安装包 下载注意 es是以来java环境 所以需要安装jdk 支持1.7以上es-hander下载可视化操作插件@Id//姓名//年龄//级别//时间//电话//邮箱//地址。
旅游管理系统开发新篇章:SpringBoot技术解析
2401_85812053的博客
10-07 544
通过实践让我获得了实践经验。在这次设计中我得到了老师和同学的指导和帮助,使我们认识到团队精神的重要性,因为一个人所学的知识不可能面面俱到的,只有通过合作,发挥自己的优点,体现团队精神,才能使工作做得更为出色。我们开发的是一套常州地方旅游管理系统,我们可以把常州地方旅游管理系统系统配置在远程的服务器上,在得到访问权限之后,只要能够上网就可以使用和访问该系统并进行相关的操作,这样的一种先进模式我们之后只需要对服务器上的程序进行维护即可保证程序的正常使用,大大的提高了工作效率,降低了维护的成本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值