Spring Boot集成Spring Cloud Security进行安全增强

于 2024-08-31 07:00:00 发布
阅读量321 收藏 5
点赞数 13
文章标签: spring boot 安全 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011269762/article/details/141439705
版权

Spring Boot集成Spring Cloud Security进行安全增强

大家好,我是微赚淘客返利系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!

在微服务架构中,服务的安全性是至关重要的。Spring Cloud Security提供了一套安全工具集,帮助开发者快速实现认证和授权。本文将介绍如何在Spring Boot应用中集成Spring Cloud Security来增强安全性。

一、Spring Cloud Security简介

Spring Cloud Security是Spring Security的扩展,它提供了对Spring Cloud体系中的服务认证和授权的支持,包括OAuth2、JWT等。

二、添加依赖

在Spring Boot项目的pom.xml中添加Spring Cloud Security的依赖:

<dependency>
    <groupId>org.springframework.cloud</groupId>
    <artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>

确保项目中已经包含了Spring Cloud的依赖管理。

三、配置Security

application.propertiesapplication.yml中配置Security:

security.oauth2.resource.id=juwatech-service
security.oauth2.resource.user-info-uri=http://localhost:9999/userinfo
security.oauth2.client.client-id=your-client-id
security.oauth2.client.client-secret=your-client-secret

四、启用Security

在Spring Boot应用中启用Spring Cloud Security:

package cn.juwatech.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/api/public/**").permitAll()
                .anyRequest().authenticated()
            .and()
                .oauth2ResourceServer()
                    .jwt();
    }
}

五、使用JWT进行令牌认证

  1. 配置JWT的解析和验证
package cn.juwatech.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.server.resource.authentication.JwtAuthenticationConverter;
import org.springframework.security.oauth2.server.resource.authentication.JwtGrantedAuthoritiesConverter;

@EnableWebSecurity
public class JwtSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        JwtAuthenticationConverter jwtAuthenticationConverter = new JwtAuthenticationConverter();
        jwtAuthenticationConverter.setJwtGrantedAuthoritiesConverter(new JwtGrantedAuthoritiesConverter());

        http
            .oauth2Login()
                .and()
                .oauth2ResourceServer()
                    .jwt()
                    .jwtAuthenticationConverter(jwtAuthenticationConverter);
    }
}
  1. 使用@PreAuthorize@Secured注解进行方法级别的安全控制
package cn.juwatech.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class SecuredController {

    @GetMapping("/secure-data")
    @PreAuthorize("hasAuthority('SCOPE_READ')")
    public String secureData() {
        return "Secure data";
    }
}

六、集成OAuth2.0认证服务器

  1. 添加OAuth2.0认证服务器依赖
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
  1. 配置OAuth2.0认证服务器
package cn.juwatech.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.oauth2.provider.token.DefaultAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.TokenStore;
import org.springframework.security.oauth2.provider.token.store.JwtAccessTokenConverter;
import org.springframework.security.oauth2.provider.token.store.JwtTokenStore;

@Configuration
public class OAuth2ServerConfig {

    @Bean
    public JwtAccessTokenConverter jwtAccessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("secret");
        return converter;
    }

    @Bean
    public TokenStore tokenStore(JwtAccessTokenConverter converter) {
        return new JwtTokenStore(converter);
    }

    @Bean
    public DefaultAccessTokenConverter accessTokenConverter() {
        return new DefaultAccessTokenConverter();
    }
}

七、使用Spring Security Test支持

Spring Security提供了测试支持,可以简化安全性集成测试的编写。

package cn.juwatech.controller;

import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.AutoConfigureMockMvc;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.test.context.support.WithAnonymousUser;
import org.springframework.security.test.context.support.WithMockUser;
import org.springframework.test.web.servlet.MockMvc;

import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;

@SpringBootTest
@AutoConfigureMockMvc
public class SecurityControllerTest {

    @Autowired
    private MockMvc mockMvc;

    @Test
    @WithAnonymousUser
    public void testSecureEndpointWithoutAuthentication() throws Exception {
        mockMvc.perform(get("/secure-data"))
                .andExpect(status().isUnauthorized());
    }

    @Test
    @WithMockUser(authorities = "SCOPE_READ")
    public void testSecureEndpointWithAuthentication() throws Exception {
        mockMvc.perform(get("/secure-data"))
                .andExpect(status().isOk());
    }
}

八、总结

Spring Cloud Security为Spring Boot应用提供了一套完整的安全解决方案,支持OAuth2、JWT等多种认证和授权机制。通过简单的配置和代码注解,可以快速实现服务的安全性增强。同时,Spring Security的测试支持也简化了安全性集成测试的过程。

本文著作权归聚娃科技微赚淘客系统开发者团队,转载请注明出处!

wx_tangjinjinwx
关注
  • 13
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringCloud微服务整合Spring Security进行统一鉴权
lyy的博客
04-15 3583
有一个大坑,记得如果是单机操作多个微服务项目,要给每个微服务添加session cookie name,如下server : port : 8003 servlet : session : cookie : #防止 Cookie 冲突,冲突会导致登录验证不通过一定一定要做这一步。
SpringCloud - Spring CloudSecurity服务安全机制(二十)
MinggeQingchun的博客
07-07 2143
微服务的Rest服务都是基于http请求的,因此很有可能暴露在公网上,任何人都可能调用访问,如果Rest服务有一些私密信息,就会导致信息的泄露,因此我们需要给微服务增加安全机制。如:Spring SecuritySpring SecuritySpring Resource 社区的一个安全组件, Spring Security 为 JavaEE 企业开发提供了全面的安全防护。Spring Security 采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护Spring Seeur
Spring Boot如何与其他技术进行集成,如Spring CloudSpring SecuritySpring Data等?
IT徐师兄
05-30 1682
除了使用注解来配置安全外,也可以通过实现接口来自定义安全配置。} }在上面的例子中,实现了接口,并重写了configure方法来配置安全。在configure方法中,配置了/admin/**和/user/**路径需要不同的角色才能访问,其他路径需要认证才能访问。同时,在方法中,配置了两个用户,一个是管理员,一个是普通用户。
Spring Cloud(十二):Spring Cloud Security
Men-DD
11-23 3860
设置用户名密码(内存、UserDetailsService、WebSecurityConfigurerAdapter、基于DB) 自定义登录页面 登录认证流程 自定义成功失败 会话管理 会话控制 会话超时 会话并发控制 集群session 安全会话cookie RememberMe 退出登录 CSRF 用户授权 web授权 访问控制的url匹配 内置的访问控制 自定义403处理 基于表达式的访问控制 方法授权 JSR-250注解 @Secured注解 支持表达式的注解 授权原理 授权流程 实现原理 主线源码
Spring SecuritySpringCloud Security 有什么区别?
emgexgb_sef的博客
08-24 317
除了拥有Spring Security的所有功能之外多了健康检查,负载均衡等功能。spring-boot-starter-security 传递依赖。
微服务架构Spring Cloud概述和基本讲解
热门推荐
张彦峰的博客
02-14 164万+
微服务架构Spring Cloud概述和基本讲解
springcloud整合Security
weixin_43914685的博客
08-10 8260
Security核心配置 创建ngroute-framework工程作为 Security核心配置 1.引入pom <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
spring-cloud-eureka 集成spring-boot-starter-security
houkai的博客
01-16 609
此案例是以 eureka 单机版为基础进行扩展性介绍 服务端 1.引入maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
3. **定制Filter**:在Spring Cloud Gateway中,我们可以自定义WebFlux Filter,利用Spring Security提供的API进行认证和鉴权。这通常涉及到`@PreAuthorize`和`@Secured`等注解的使用,以控制对特定路由的访问权限。...
Spring cloudSpring boot 集成完整案例
01-25
- **ace-security**: 可能是关于Spring Security集成Spring Security提供了全面的安全解决方案,包括认证、授权等,确保微服务的安全性。 - **eumji025**: 这可能是一个特定的模块或子项目,具体功能无法直接...
基于 Spring Cloud 2021 、Spring Boot 2.7、 OAuth2 的 RBAC 权限管理系统源码
05-20
这是一个基于最新技术栈,包括Spring Cloud 2021、Spring Boot 2.7和OAuth2的RBAC(Role-Based Access Control)权限管理系统的源码项目。该项目旨在提供一套高效、安全后端服务框架,用于实现用户权限的精细化...
SpringAll:循序渐进,学习Spring BootSpring Boot和Shiro,Spring Batch,Spring CloudSpring Cloud Alibaba,Spring SecuritySpring Security OAuth2,博客Spring系列源码:https:mrbird.cc
02-05
该仓库为个人博客中Spring系列源码,包含Spring BootSpring Boot&Shiro,Spring CloudSpring BootSpring SecuritySpring Security OAuth2,如果该系列教程对您有帮助的话,还请点个星星给予精神支持!...
spring-cloud-securitySpring中实现的分布式应用程序的安全性问题
01-30
总之,Spring Cloud SecuritySpringSpring Boot开发的分布式应用程序提供了强大的安全框架。它涵盖了OAuth2、JWT、API网关保护等多种安全机制,适应了微服务架构的复杂需求。通过理解并熟练运用这些知识点,...
Spring Boot项目中使用MySQL数据库
qq_62512874的博客
08-30 300
通过本文,你已经了解了如何在 Spring Boot 项目中集成 MySQL 数据库,并通过简单的 API 来管理用户数据。Spring Boot 的简洁性和 MySQL 的强大功能结合,使得开发高效且愉快。
【技术解析】Spring Boot异步机制:实现高吞吐量的最佳实践
欢迎来到我的技术空间!我是一名经验丰富的Java开发工程师,热衷于分享我在软件开发领域的知识和心得。在这个博客里,您会发现一系列关于Java编程的文章,包括最佳实践、技术趋势、代码优化技巧以及一些有趣的项目案例。无论是初学者还是有经验的开发者,都能在这里找
08-26 1312
本文深入探讨了如何在Spring Boot中利用异步机制提升系统吞吐量,从异步处理的基本概念出发,逐步介绍了Spring Boot提供的多种异步解决方案,包括@Async、Callable、WebAsyncTask和DeferredResult的使用方法。通过实例演示和最佳实践分享,帮助读者理解和应用异步处理技术,从而构建更加高效和响应迅速的应用程序。
Vue + Spring Boot + SQL Server + Python 部署到 Windows 服务器
哪有什么合适不合适的博客
08-30 358
这些步骤帮助你在 Windows 服务器上完整地部署 Vue + Spring Boot + SQL Server + Python 应用,并确保在任意电脑上通过访问 IP 或域名可以访问到应用。如果后期需要外网访问,可能需要进一步配置防火墙、公网 IP、域名等。
Spring Boot 入门
最新发布
ksn5461378的博客
08-30 746
Spring Boot通过使用特定的配置方式,使得开发人员不再需要定义样板化的配置,从而在快速应用开发领域成为领导者。它的设计目的是为了消除大量的配置工作,通过自动配置来简化项目的创建和运行过程,使得开发者能够更快速地构建和部署基于Spring的应用。Spring Boot遵循“约定优于配置”的原则,集成了绝大部分流行的开发框架,就像Maven集成了所有的JAR包一样,Spring Boot集成了几乎所有的框架,从而使得开发者能快速搭建Spring项目。
spring boot securityspring cloud security有什么不同
09-08
Spring Boot SecuritySpring Cloud Security是两个独立的模块,分别用于在Spring BootSpring Cloud应用程序中提供安全性支持。它们有一些不同之处: 1. 用途:Spring Boot Security主要用于保护和认证单个的Spring Boot应用程序,而Spring Cloud Security则专注于为基于Spring Cloud构建的微服务应用程序提供安全性。 2. 功能:Spring Boot Security提供了诸如身份验证、授权、会话管理、密码加密等常见的安全功能。它使用Spring Security作为底层框架,可以轻松地集成Spring Boot应用中。而Spring Cloud Security则提供了在分布式环境中进行服务间认证和授权的功能,可以与Spring Cloud中的服务发现和负载均衡器集成。 3. 配置:Spring Boot Security可以通过简单的配置来启用和自定义安全性功能,例如通过配置文件或注解来定义角色、权限等。而Spring Cloud Security则使用了基于令牌的身份验证和授权机制,需要进行更复杂的配置,如OAuth2或JWT(JSON Web Tokens)。 总之,Spring Boot SecuritySpring Cloud Security都提供了在不同层次上保护应用程序的安全性的功能,但它们的重点和使用方式略有不同。具体选择哪个取决于您的应用程序架构和需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值