Spring Security 6如何使用?

于 2024-08-18 06:46:08 发布
阅读量806 收藏 13
点赞数 16
分类专栏: 后端 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010709330/article/details/141291389
版权

Spring Security 6 是一个功能强大且高度可定制的身份验证和访问控制框架,它专注于为基于Java的应用程序提供全面的安全解决方案。以下是对Spring Security 6的详细解析:

一、核心功能

身份验证(Authentication):

验证用户的身份是否合法。Spring Security提供了多种身份验证机制,如用户名密码登录、HTTP基本身份验证、OAuth2等。
当用户提供凭据(如用户名和密码)时,AuthenticationManager负责处理身份验证逻辑,并创建一个包含用户信息的Authentication对象。

授权(Authorization):

确定用户具有哪些权限,以便控制用户可以访问的资源。
AccessDecisionManager负责处理授权逻辑,根据用户的角色和权限来决定是否允许用户访问特定资源。它使用投票策略来决定是否允许访问,如果赞成票多于反对票,则允许访问。

防止跨站请求伪造(CSRF):

跨站请求伪造是一种攻击方式,攻击者试图利用已登录用户的凭据来执行恶意操作。
Spring Security通过CsrfFilter来防止这种攻击,它会自动为每个表单添加一个隐藏的CSRF令牌,并在表单提交时验证令牌的有效性。


二、使用步骤

使用Spring Security 6主要涉及以下几个步骤:

1. 引入依赖

首先,你需要在你的项目中引入Spring Security 6的依赖。这通常是通过在你的Maven pom.xml 文件或Gradle build.gradle 文件中添加相应的依赖来实现的。以Maven为例,你可以添加如下依赖:

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

    <version>你的Spring Boot版本对应的Spring Security版本</version>

</dependency>

请注意,你需要根据你的Spring Boot版本选择合适的Spring Security版本。

2. 配置Spring Security

在Spring Boot项目中,你可以通过application.properties或application.yml文件来添加Spring Security的相关配置,如自定义登录页面、注销行为、记住我功能等。然而,对于更复杂的配置,你通常需要创建一个配置类来重写Spring Security的默认行为。

由于Spring Security 6中WebSecurityConfigurerAdapter类已经过时,你现在需要将需要重写的方法定义为Bean。以下是一个简单的配置示例:

@Configuration

@EnableWebSecurity

public class SecurityConfig {

 

    @Bean

    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

        http

            .authorizeRequests(authorizeRequests ->

                authorizeRequests

                    .antMatchers("/public/**").permitAll() // 公开访问的URL

                    .anyRequest().authenticated() // 其他所有请求都需要认证

            )

            .formLogin(form ->

                form

                    .loginPage("/login") // 自定义登录页面

                    .permitAll()

            )

            .logout(logout ->

                logout

                    .permitAll()

            );

        return http.build();

    }

 

    @Bean

    public PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder();

    }

    // 其他配置...

}

3. 自定义用户认证

Spring Security通过UserDetailsService接口来加载用户信息。你可以实现这个接口来从数据库或其他存储中查询用户信息。

@Service

public class CustomUserDetailsService implements UserDetailsService {

    @Autowired

    private UserRepository userRepository; // 假设你有一个UserRepository来访问数据库

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = userRepository.findByUsername(username);

        if (user == null) {

            throw new UsernameNotFoundException("User not found with username: " + username);

        }

        // 根据你的业务逻辑构建UserDetails对象

        return new org.springframework.security.core.userdetails.User(

            user.getUsername(),

            user.getPassword(), // 注意:这里的密码应该是加密后的

            user.getAuthorities() // 假设User类有一个getAuthorities()方法来获取用户的权限

        );

    }

}

4. 整合数据库

如果你打算从数据库中读取用户信息,你需要配置数据源并创建相应的Repository或DAO来访问数据库。这通常涉及到JPA、MyBatis或Spring Data等技术的使用。

5. 测试与调试

配置完Spring Security后,你需要启动你的应用程序并进行测试,以确保安全配置按预期工作。你可以尝试使用不同的用户角色和权限来访问受保护的资源,并检查是否得到了正确的响应。

6. 注意事项

确保你的Spring Boot版本与Spring Security版本兼容。

在生产环境中,不要使用硬编码的密码或内存中的用户存储。

启用HTTPS来保护你的应用程序免受中间人攻击。

考虑使用更复杂的密码策略,如密码长度、复杂度要求等。

定期审查和更新你的安全配置,以应对新的安全威胁。

招风的黑耳
关注
  • 16
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity6 | 默认登录页
分享思想,留下痕迹。
11-19 8644
大家好,我是Leo哥🫣🫣🫣,前面我们学习了有关SpringSecuritySpringBoot项目中是如何给我进行自动的添加鉴权功能,简单复习了一下SpirngBoot的自动配置。接下来我们就接着学习SpringSecurity相关知识点。这一节我们将要学习SpringSecurity中默认的登录页面是如何实现的。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity的过滤器,了解SpringSecurity中都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
安全框架Spring Security是什么?如何理解Spring Security的权限管理?
知识记录
08-04 7777
Spring Security是⼀个功能强大、可高度定制的身份验证和访问控制框架。从这一篇文章开始学习Spring Security吧~
Shiro 和 Spring Security 如何选择?
西京刀客
09-18 8085
Shiro 和 Spring Security 如何选择? 安全框架 Shiro 和 Spring Security 如何选择? 参考URL: https://cloud.tencent.com/developer/article/1513968 Apache Shiro和Spring Security对比 Apache Shiro和Spring Security对比 参考URL: https://www.jianshu.com/p/d87ba7d20828 参考 Shiro与Spring security
SpringSecurity
最新发布
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity 简单使用
qq_43560701的博客
01-25 5045
SpringSecurity 简单使用 在 Web 开发中安全是不可忽视的问题(软件安全技术!),现在从 SpringSecurity 和 Shiro 两个框架来学习一下安全框架在 Web 应用中的使用Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based
SpringSecurity使用
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
02-15 3943
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模 块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要 引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的 安全管理! 使用步骤: 1:加入依赖 <dependency> <groupId>org.springframework.boot</groupId>
SpringBoot中Spring Security使用
CSH__的博客
07-27 2287
SpringBoot中Spring Security使用
SpringSecurity6
02-01
SpringSecurity6中,我们可以使用jjwt库来创建和验证JWT。首先,我们需要创建一个TokenProvider,负责生成AccessToken和RefreshToken。 ```java @Service public class TokenProvider { private static final ...
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Boot2.0使用Spring Security的示例代码
08-27
Spring Boot 2.0 使用 Spring Security 的示例代码 Spring Security 是一个基于 Spring 框架的安全性解决方案,提供了用户认证和用户授权两个主要功能。用户认证指的是验证某个用户是否为系统中的合法主体,而用户...
Spring Security如何使用URL地址进行权限控制
08-25
Spring Security如何使用URL地址进行权限控制 Spring Security是一个功能强大且广泛应用的Java安全框架,它提供了许多功能,包括身份验证、授权、加密等。其中,权限控制是Spring Security的一个重要组件,它允许...
SpringSecurity.pdf
05-24
使用Spring Security时,开发者需要熟悉它的相关Maven依赖,这些依赖是Spring Security框架与应用程序集成的基础。通过配置Maven坐标,开发者可以在项目中引入Spring Security,从而开始安全功能的配置与开发。...
如何将Java程序打成可执行jar包
招风的黑耳CSDN
06-29 6918
前几天,公司运维找我让我帮他写个Java小程序,读取磁盘指定目录的文件,然后根据读取的内容查询第三方接口,再将第三方接口响应的数据写入磁盘文件。然后我花了半天给他写了这个小程序,但是打包的时候我有点不知所措,之前也弄过类似的,时间久了也忘记了,百度试了很多都不行,内容不够完整,后来还是自己摸索出来了,下面给大家分享一下我的方法。 我写的这个小程序,依赖了几个外部jar包,如果你们也有这样的情况,那你来对地方了。 下面是我的程序结构,就是一个普通的Java项目。 言归正题,我是用idea工具打包的,
Spring创建对象初始化bean的时机分为两种形式:
招风的黑耳CSDN
06-04 4220
import org.junit.Test; import org.springframework.context.ApplicationContext; import org.springframework.context.support.ClassPathXmlApplicationContext; public class InitTest { /** spring在创建对象初始化b
Java实现天气预报功能
招风的黑耳CSDN
05-20 3369
天气 API包含丰富的天气数据,不仅有实时温度、湿度、风速、降水等这些基础数据,还有过去的历史天气数据和未来的天气预测数据,顶级的天气 API 接口还会包括天气灾害预警,空气质量指数,日出日落、潮汐及月相相关的天文气象等数据。
javafx_scenebuilder-2_0-windows.msi 百度云盘下载
招风的黑耳CSDN
11-03 2562
javafx scene builder 官网下载很慢 网上有很多人分享,都要付积分下载。下面是从官网下载好的,传我百度网盘了,有需要的大家去下载吧。 链接:https://pan.baidu.com/s/1tUynlqfagoN6av8hRitTCQ 提取码:9a2h ...
springsecurity 如何使用
09-10
Spring Security 是一个基于 Spring 框架的安全性解决方案,用于保护应用程序的身份验证、授权和其他安全性功能。下面是使用 Spring Security 的一般步骤: 1. 添加 Spring Security 依赖:在你的项目中,添加 Spring Security 的依赖。可以通过 Maven 或 Gradle 进行配置。 2. 配置 Spring Security:创建一个配置类,并继承 `WebSecurityConfigurerAdapter` 类。在该类中,你可以定义用户认证、授权规则以及其他安全相关的配置。 3. 定义用户认证:使用 `AuthenticationManagerBuilder` 在配置类中定义用户认证规则。你可以选择使用内存中的用户、数据库中的用户或者自定义的用户认证逻辑。 4. 定义授权规则:使用 `http.authorizeRequests()` 方法在配置类中定义授权规则。你可以根据请求的 URL 或其他条件进行访问控制。 5. 配置登录页面和登录处理:使用 `http.formLogin()` 方法配置登录页面和登录请求的处理逻辑。 6. 配置注销:使用 `http.logout()` 方法配置注销请求的处理逻辑。 7. 启用 Spring Security:在主应用程序类上添加 `@EnableWebSecurity` 注解,启用 Spring Security。 以上是简单的步骤,你可以根据具体的需求和业务场景进行更详细的配置和定制。Spring Security 提供了丰富的功能和扩展点,可以满足各种安全需求。官方文档中有更详细的内容和示例,建议参考官方文档进行学习和使用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

招风的黑耳

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值