SpringSecurity快速入门(springboot配置2.7以下))

于 2024-08-10 18:22:24 发布
阅读量609 收藏 12
点赞数 12
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunshine96110/article/details/141094297
版权

1.正文

  • 认证授权的概述
  • 什么是SpringSecurity
  • 如何使用springSecurity安全框架

2.认证授权的概述

1.1 什么是认证

进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条,抖音等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,==输入账号和密码登录微信的过程就是认证。

1.1.1系统为什么要认证?

认证是为了保护系统的隐私数据与资源,用户的身份合法,方可访问该系统的资源。

认证︰用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法 方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。

1.2 什么是会话

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。

1.2.1 基于session的认证

它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的sesssion_id存放到 cookie中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或session过期销毁时,客户端的session_id 也就无效了。

1.2.2 基于Token的认证

它的交互流程是,用户认证成功后,服务端生成一个token【令牌】[唯一字符串]【uuid,jwt】发给客户端,客户端可以放到 cookie 或sessionStorage等存储中,每次请求时带上token,服务端收到token通过验证后即可确认用户身份。

基于session的认证方式由servlet规范定制,服务端要存储session信息需要占用内存资源,客户端需要支持cookie;基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。如今移动互联网时代更多类型的客户端[pC ,android,IOS,]需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token的方式更适合。

使用前后端分离或后台使用了集群---一定采用token模式。

传统的项目前端和后端都在一个工程下---基于session模式。

1.3 什么是授权

还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的==权限==才可以正常使用发送红包==功能==,拥有发朋友圈功能的权限才可以便用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。

权限【权限表】----资源【接口】

1.3.1 为什么要授权

认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,==授权是在认证通过后发生的==,控制不同的用户能够访问不同的资源。

授权:授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。

认证授权的框架:

[1]shiro 轻量级的认证授权 它可以整合任意框架 它支持javase和javaee

[2]springsecurity 重量级的认证授权框架。它只能和spring整合,只支持javaee web框架。

spring非常麻烦,但是现在和springboot整合就很简单了。

3.什么是spring security?

Spring Security是一个能够为基于Spring的企业应用系统提供==声明式的安全访问控制解决方案的安全框架==。它提供了一组可以在Sprirg应用上下文中配置的Bean,充分利用了Spring IoC [],DI(控制反转Inversion of Control ,DI:Dependency Injection依赖主入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

以上解释来源于百度白科。可以一句话来概括,SpringSecurity 是一个安全框架。可以帮我们完成认证,密码加密,授权,rememberme的功能。

4. 快速入门springsecurity

基于内存的数据。

 4.1 引入springsecurity的依赖

        <dependency>

            <groupId>org.springframework.boot</groupId>

            <artifactId>spring-boot-starter-security</artifactId>

        </dependency>

4.2创建接口资源

@RestController

public class HelloController {

@GetMapping("/hhh")

public String hello(){

return "hello";

}

4.3 在浏览器进行访问

在浏览器输入localhost:8080/hhh地址后,会被安全框架拦截然后跳转到框架默认的登录页面(过程会很慢,后续我们自定义登录页面就可以了)

用户名为user,密码在日志里面。如下图

登录成功后会跳转到想要的页面

5.定义多用户--基于内存

5.1 配置修改

package com.yh.springsecurity.config;

import org.springframework.context.annotation.Bean;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;



/**

* @author :Stu HY

* @date :Created in 2024/7/28 9:10

* @description:配置

* @modified By:

* @version: 1.0

*/

@Configuration

public class Myonfig extends WebSecurityConfigurerAdapter {



/**

* 创建一个BCryptPasswordEncoder实例,用于加密和验证用户密码。

*

* 使用BCrypt算法对用户密码进行加密,提高了密码的安全性。BCrypt是一种基于口令的加密算法,

* 它通过使用随机盐值对密码进行散列,使得相同的密码经过加密后得到不同的结果,增加了密码的抗暴力破解能力。

*

* @return 返回一个新的BCryptPasswordEncoder实例。

*/

@Bean

public BCryptPasswordEncoder passwordEncoder(){

return new BCryptPasswordEncoder();

}





/**

* 配置AuthenticationManagerBuilder以进行内存中的认证管理。

* 这种配置方式主要用于在应用启动时静态定义用户账户及其权限。

*

* @param auth AuthenticationManagerBuilder的实例,用于配置认证策略。

* @throws Exception 如果配置过程中出现错误,将抛出异常。

*/

public void configure(AuthenticationManagerBuilder auth) throws Exception{

// 使用内存中的认证方式,并配置第一个用户

auth

.inMemoryAuthentication()

.withUser("aaa")

.password(passwordEncoder().encode("123456")) // 对密码进行编码

.roles("admin") // 指定用户角色

.authorities("admin:select","admin:insert","admin:delete") // 指定用户的权限

.and() // 连接下一个用户配置

// 配置第二个用户

.withUser("bbb")

.password(passwordEncoder().encode("123456")) // 对密码进行编码

.roles("user") // 指定用户角色

.authorities("user:select","user:insert"); // 指定用户的权限

}







/**

* 配置Spring Security以定制HTTP安全设置。

* 此方法定义了应用程序的登录页面、登录处理URL、成功登录后重定向的URL,

* 并配置所有这些路径都是公开的,不需要认证。

* 同时,禁用了CSRF保护以允许跨域请求。

* 最后,配置任何其他请求都需要经过认证才能访问。

*

* @param http Spring Security的HttpSecurity对象,用于配置安全规则。

* @throws Exception 如果配置过程中出现错误。

*/

public void configure(HttpSecurity http) throws Exception{

// 配置表单登录,指定登录页面、处理登录请求的URL、成功登录后重定向的URL,并允许所有这些请求无需认证。

http.formLogin()

.loginPage("/login.html")

.loginProcessingUrl("/login")

.successForwardUrl("/cg")

.permitAll(); // 上述所有请求路径无需认证



// 禁用CSRF保护,以允许跨域请求。

http.csrf().disable(); // 关闭csrf 禁用跨域伪造请求的过滤器



// 配置所有其他请求都需要经过认证才能访问。

// 除了上述请求 其他请求都需要认证

http.authorizeRequests().anyRequest().authenticated();

}



}

5.2 controller层实现

@Controller

public class LoginController {

@PostMapping("/cg")

public String index() {

// 重定向到首页

return "redirect:/success.html";

}

}

5.3 访问resource下的static资源

6.密码加密器

public class Test1 {
        /**
         * 主函数,用于演示BCryptPasswordEncoder的使用。
         * BCryptPasswordEncoder是一个密码编码器,用于对用户密码进行安全的加密处理。
         * 它使用BCrypt算法,该算法是一种经过时间考验的加密算法,为密码提供较强的保护。
         */
        public static void main(String[] args) {
            // 创建BCryptPasswordEncoder实例用于密码加密
            PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();
            
            // 对明文密码"123456"进行加密,加密过程是不可逆的
            // 用于加密
            String encode = passwordEncoder.encode("123456");
            
            // 再次对相同的明文密码进行加密,由于BCrypt算法的随机性,每次加密结果可能不同
            String encode2 = passwordEncoder.encode("123456");
            
            // 再次加密相同的明文密码,验证加密的非确定性
            String encode3 = passwordEncoder.encode("123456");
            
            // 打印加密后的密码,这些密码看起来是随机的,且不可逆向得到明文密码
            System.out.println(encode);
            System.out.println(encode2);
            System.out.println(encode3);
            
            // 验证明文密码"123456"是否与之前加密的密码encode2匹配
            // 安全.
            boolean matches = passwordEncoder.matches("123456", encode2);
            
            // 打印验证结果,如果matches为true,则说明加密和解密过程是正确的
            System.out.println("是否密码正确:"+matches);
        }


}

7. 获取当前用户的信息

// springsecurity默认把当前用户的信息保存SecurityContext上下文中.

@GetMapping("/info")

public Authentication info(){

SecurityContext securityContext = SecurityContextHolder.getContext();

//把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态[]

Authentication authentication = securityContext.getAuthentication();

UserDetails principal = (UserDetails) authentication.getPrincipal();

for (int i = 0; i < principal.getAuthorities().size(); i++) {

System.out.println(principal.getAuthorities().toArray()[i]);

}

return authentication;

}

为IT添砖java
关注
SpringBoot整合框架——集成SpringSecurity、shiro
m0_61506558的博客
11-04 683
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理WebSecurityConfigurerAdapter:自定义Security策略AuthenticationManagerBuilder:自定义认证策略。
认证授权-SpringSecurity
木子Teng的博客
01-11 1552
如何实现授权?业界通常基于 RBAC 模型(Role-Based Access Control -> 基于角色的访问控制)实现授权。RBAC 认为授权实际就是who,what,how三者之间的关系(3W),即 who 对 what 进行 how 的操作。Spring Security 是为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。
spring security快速入门 (无多余额外功能)
目标架构师
08-04 265
spring security快速入门 (无多余额外功能) 学不会你来打死我
spring Security快速入门spring安全】
CSDN___的博客
06-21 295
psring security 快速入门 pom.xml 配置 &amp;lt;project xmlns=&quot;http://maven.apache.org/POM/4.0.0&quot; xmlns:xsi=&quot;http://www.w3.org/2001/XMLSchema-instance&quot; xsi:schemaLocation=&quot;http://maven.apache.org/POM/4.0.0 http:/
Spring Security 快速入门(1)
qq_56769991的博客
02-10 2497
文章目录一.背景:1.授权与认证的理解:二.入门案例1.spring依赖导入:2.创建index.html3.配置web.xml (整合spring security、加载spring配置文件)4.创建spring-security配置文件(配置认证、授权等关系) 一.背景: 在一个项目中,我们有很多功能,例如增删改查等基本功能,还有很多额外的扩展功能。在生产环境下我们如果不登录后台系统就可以完成这些功能操作吗?案显然是否定的,要操作这些功能必须首先登录到系统才可以。:是不是所有用户,只要登录成功就都
Spring Security快速入门(一)
weixin_44283682的博客
03-15 314
Spring Security快速入门(一)一、学习目标二、Spring Security简介三、快速入门1.导入依赖2. 访问页面 一、学习目标 二、Spring Security简介 什么是安全框架? 解决系统安全问题的框架,如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问控制。 当前常见的安全框架有:①Spring Security ②Apache Shiro Spring家族一员。是一个能够为基于Spring的企业应用系统提供
SpringBoot+SpringSecurity OAuth2 认证服务搭建实战 (五)客户端服务器搭建
06-21 720
额~ 代码已经上传到了,觉得啰嗦的话,可以直接去看代码。但能不能点个攒!thank you~
Springboot入门到精通(超详细文档)
m0_67393413的博客
06-12 3347
我们知道,从 2002 年开始,Spring 一直在飞速的发展,如今已经成为了在Java EE(Java Enterprise Edition)开发中真正意义上的标准,但是随着技术的发展,Java EE使用 Spring 逐渐变得笨重起来,大量的 XML 文件存在于项目之中。繁琐的配置,整合第三方框架的配置问题,导致了开发和部署效率的降低。2012 年 10 月,Mike Youngstrom 在 Spring jira 中创建了一个功能请求,要求在 Spring 框架中支持无容器 Web 应用程序体系结构
spring security oauth2 实战(仿微博第三方登录) - 工程搭建及登陆流程
nimo10050的博客
05-15 1086
前言 N 多月前写了以下 4 篇关于 spring security入门文章(完全站在只会用的角度) Spring Security 入门 - 01 将 Spring security 引入到工程 Spring security 入门 - 02 自定义用户登录页面和登录处理逻辑 Spring security 入门 - 03 自定义登录成功后的处理逻辑 Spring security 入门 ...
Spring Boot 中文参考指南
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
02-08 8324
虽然Spring Boot 3.x第一个GA版本出来了,但一段时间内市面上依然还会以2.X版本为主,而2.7.8 是最后一个2.x的GA版本
SpringSecurity快速入门(仅仅是入门
Li_CSDN_Li的博客
04-13 198
1、简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spring.io/projects/spring-security 2、对应的maven坐标 <dependency> <groupId>org.springframework.security...
品优购第四天
编程之心的博客
11-22 503
品优购 第4天 学习目标 目标1:实现SpringSecurity入门小Demo 目标2:完成运营商登陆与安全控制功能 目标3:完成商家入驻 目标4:完成商家审核 目标5:完成商家系统登陆与安全控制功能 目标6:完成商家异步登录 第1章 Spring Security框架入门 1.1 Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声...
Spring Security快速入门
qq_43299794的博客
10-16 198
Spring Security快速入门欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导...
快速入门 Spring Security
最新发布
m0_64821020的博客
07-27 951
1 认证授权 2 Spring Security 简介 3 快速入门springsecurity 4 security配置 5 Spring Security新版本用法
Spring Security快速入门
qq_63431773的博客
07-17 245
Data@Override@Override@Override@Override@Override@Override@Override注意:如果要测试,需要往用户表中写入用户数据,并且如果你想让用户的密码是明文存储,需要在密码前加{noop}。例如这样登陆的时候就可以用sg作为用户名,1234作为密码来登陆了。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1285
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
springboot 2.7版本后的Spring security 如何进行配置
06-11
很抱歉,Spring Security目前最新的版本是5.x系列,并没有2.7版本。如果您想使用Spring Boot 2.x版本的Spring Security进行配置,可以按照下面的步骤进行: 1.在pom.xml文件中添加Spring Security的依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2.创建一个继承自WebSecurityConfigurerAdapter的配置类,并覆盖configure方法进行配置。示例代码如下: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER"); } } ``` 上述代码中,我们通过configure方法配置了安全规则,使得/public/**的请求不需要认证,其他请求需要认证。我们还配置了一个简单的内存认证,其中用户的用户名为user,密码为password。 3.在application.properties或application.yml文件中配置登录页面的路径。示例代码如下: ```yml spring: security: login: page: /login ``` 这样,当未认证的用户访问需要认证的资源时,系统会自动跳转到登录页面。 需要注意的是,以上只是一个简单的示例,在实际应用中,您可能需要更加复杂的安全规则,也可以使用数据库或LDAP等方式进行认证。您可以参考Spring Security的官方文档来进行更深入的学习和理解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值