spring security 入门

最新推荐文章于 2024-10-05 11:27:00 发布
最新推荐文章于 2024-10-05 11:27:00 发布
阅读量365 收藏
点赞数
分类专栏: spring 文章标签: spring spring security 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011382948/article/details/39455667
版权

之前没做过什么权限认证,这次做的项目是基于spring MVC的,在权限这块用的了Spring Security,下面与大家分享下我在这次项目中,security这方面的使用经验。

Spring Security主要依赖于Spring Framework来实现权限管理,其核心功能主要用于支持Web Application,所以Spring Security实际上是一堆Filter链构成的权限验证体系。

实现权限管理主要有几个要点:

  1. 解决用户登录登出系统问题
  2. 解决用户访问受限资源的问题(登录验证-Authentication、资源认证-Authorization)
  3. 解决用户、权限、资源、数据四者之间的逻辑关系

从Spring Security这个框架本身来看,它可以帮助解决前2个问题,对于第3个问题,它只有基本流程控制,并无具体实现。所以,完成权限的核心,是设计第3个问题所涉及到的4个不同的维度。

  • 用户 / 权限 / 资源

用户、权限和资源是所有权限系统的3个核心概念,三者之间依次形成多对多的关系。

用户:至少包含username、password等需要进行登录验证-Authentication的必要字段。在Spring Security中,用户模型有默认的实现:UserDetails和User。前者是接口,后者是实现类。一般情况下,这两个默认实现都不够用,因为通常一个J2EE应用的用户体系要包含很多业务相关的字段,所以我们会尽可能实现自己的User模型:

public interface SecurityUserDetails extends UserDetails {

    public boolean hasAnyPrincipalRole(String... roles);

    public boolean hasResource(String type, String key);

}

权限:通常用一个字符串来表示(ROLE_USER / ROLE_ADMIN),实际表示一个用户的角色标识。例如,我们可以将ROLE_USER权限赋予一个用户。这样一来,就可以根据用户的角色来进行一些逻辑判断(当某个用户是某个权限时,它是否可以做某些事情)。在Spring Security的配置文件中,我们看到的最多的其实就是根据权限来判断,例如:

<intercept-url pattern="/**" access="hasAnyRole('ROLE_WEIXIN', 'ROLE_ADMIN')" />

资源:通常表示权限系统中可以访问的内容。例如,URL,Menu,甚至一个button都可以是一个资源,所以通常资源可以根据不同的类型进行划分。资源是最细粒度的权限控制单位。具体来说,根据用户是否能够访问某个资源来进行权限的逻辑判断。综合这种数据结构,资源通常被设计成一个Map的结构,其中key就是资源的类型,而value就是资源的标识:

"menus": ["menu-account", "menu-stat", "menu-system"],
"submenus": [ "submenu-account-management", "submenu-account-list", "submenu-account-create", "submenu-user-management", "submenu-user-admin", "submenu-user-weixin", "submenu-stat", "submenu-login-session", "submenu-site-stat","submenu-system-person", "submenu-personal","submenu-system-config", "submenu-global-settings"],
"urls": ["accounts"]
  • Authentication / Authorization

Authentication是指”登录验证“,是权限验证的第一层门栓。当一个用户登录之后,用户的登录信息会被保存在Session中,并通过线程安全的ThreadLocal进行读取。这个登录信息在Spring Security中,用Authentication接口来表示:

public interface Authentication extends Principal, Serializable {

    Collection<? extends GrantedAuthority> getAuthorities();

    Object getCredentials();

    Object getDetails();

    Object getPrincipal();

    boolean isAuthenticated();

    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

当我们使用编程接口来获得当前的登录用户信息时,Authentication是绕不开的一个接口:

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
User user = (User) authentication.getPrincipal();

在JSP中,principal实际上就对应于Authentication中的getter方法:

<sec:authentication property="principal" var="currentPrincipal" scope="page" />

Authorization指的是”资源认证“,表示是否能够访问某个资源的判断逻辑。在Spring Security中,Authorization主要是基于权限判定来完成的:

<intercept-url pattern="/**" access="hasAnyRole('ROLE_WEIXIN', 'ROLE_ADMIN')" />

<sec:authorize access="isFullyAuthenticated()">
    <%@ include file="/WEB-INF/include/welcome.jsp" %>  
</sec:authorize>
在实际项目中,光有权限判定往往是不够的,需要加入基于资源的判定。这个在默认的Spring Security中并无支持,需要进行额外扩展,这个在下次给他们分享。
sharedwithyou
关注
专栏目录
spring security依赖
yanshendeyinji的博客
10-19 6347
依赖 1非springboot项目 (1)spring-security-core包含了认证和权限控制的功能,支持非web应用,以及方法安全及JDBC等,所以一般需要使用spring security框架,该依赖是必须的 (2)spring-security-web提供web支持,包含了一些Filters,Servlet环境下url控制等基础 (3)spring-security-config包含了丰富的Spring Security XML和注解,可以通过添加该依赖使用他们,其他支持 LDAP, ACL
spring security基本知识
qq_43633220的博客
08-30 241
@TOC# spring security基本知识 spring security学习过程 文章目录前言一、spring security的核心类或接口SecurityContextHolder:Authentication:UserDetailsService:UserDetails:GrantedAuthority:二、spring security主要过滤器(按顺序)SecurityContextPersistenceFilter2.读入数据总结学习内容:学习时间:学习产出:欢迎使用Markdo
Spring Boot 和Spring Security
liyongscys的专栏
06-19 203
本文是描述Spring Boot 与Spring Security在web环境下相关的学习笔记,偏向于原理性质。 在Spring Boot下,它其中包含了security的自动配置是SecurityAutoConfiguration和SecurityFilterAutoConfiguration 要使用Spring Securty,就会使用注解EnableWebSecurity 来开启安全...
spring 线程安全问题
欢迎来到【战羽】的博客
09-11 8423
一直有个疑惑,spring是怎么处理自己的线程安全问题的呢,这里简单说明下。 1、介绍两个概念 有状态的bean:对象中有实例变量(成员变量),可以保存数据,是非线程安全的。 无状态的bean:对象中没有实例变量(成员变量),不能保存数据,可以在多线程环境下共享,是线程安全的。 2、spring的线程安全问题 2.1我们都知道spring中的bean默认都是单例的,ioc容器中一个类只......
SpringSecurity超详细入门介绍
热门推荐
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍下SpringSecurity的使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
SpringSecurity入门
凉茶铺的博客
07-15 890
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
Spring Security入门
2401_85480529的博客
09-18 326
Spring Security 是一个强大的框架,用于保护 Spring 应用的安全。它提供了身份认证和授权功能。
SpringSecurity 快速入门
时间如瑾 代码如诗
07-24 971
在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证。认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。简单说: 认证就是让系统知道我们是谁。如何实现授权?
SpringSecurity入门案例
hd_cash的博客
05-12 713
1:什么是SpringSecurity 权限管理相关概念: 名词 解释 主体 即使用系统的用户或者设备 认证authentication 确认主体的身份 授权authorization 系统为主体分配权限 SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Depen
手把手教你spring security入门
yangfenggh的博客
11-24 2123
spring Security权限控制
SpringSecurity入门Demo实例
10-15
在这个入门Demo实例中,我们将探讨如何配置和使用Spring Security来保护我们的Java应用。教程链接提及的CSDN博客文章提供了详细的步骤,指导我们逐步创建一个基本的Spring Security应用。 首先,我们需要在项目中...
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
RabbitTemplate与AmqpTemplate:Spring AMQP中的消息传递模板
最新发布
qq_51321722的博客
10-05 416
Spring AMQP框架的核心接口,它定义了一套标准的AMQP操作,如发送和接收消息、声明队列和交换机等。这个接口是对AMQP协议的抽象,提供了一种面向对象的方式来操作AMQP协议。它基于RabbitMQ的Java客户端库实现,使得开发者可以通过Spring框架依赖注入和配置机制来简化与AMQP消息队列系统的交互。而则是Spring AMQP为RabbitMQ提供的一个高级消息操作模板。它实现了接口,并添加了一些针对RabbitMQ的特性和优化。不仅提供了与。
netty之SpringBoot+Netty+Elasticsearch收集日志信息数据存储
CSDN_LiMingfly的博客
10-04 474
将大量的业务以及用户行为数据存储起来用于分析处理,但是由于数据量较大且需要具备可分析功能所以将数据存储到文件系统更为合理。尤其是一些互联网高并发级应用,往往数据库都采用分库分表设计,那么将这些分散的数据通过binlog汇总到一个统一的文件系统就显得非常有必要。#开发环境环境准备windows安装包 下载注意 es是以来java环境 所以需要安装jdk 支持1.7以上es-hander下载可视化操作插件@Id//姓名//年龄//级别//时间//电话//邮箱//地址。
基于SpringBoot原创歌曲分享平台设计与实现
zhshx19900318的博客
09-29 867
在这样的背景下人类社会进入了全新的信息化的时代。在音乐分享管理页面中可以查看索引,音乐分类,音乐名称,音乐视频,区域,视频封面,发布时间,歌词,用户账号,用户姓名等内容,并进行详情,修改,查看评论和删除操作;在举报管理页面中可以查看索引,音乐名称,发布时间,用户账号,用户姓名,举报原因,审核回复,审核状态,审核等内容,并进行详情,修改,删除操作;
spring-boot 整合 mybatis
m0_72168501的博客
09-29 546
spring boot 整合 mybatis
SpringBoot实现社区医院数据集成解决方案
2401_85743969的博客
10-01 894
同时,一个大型的计算机网站系统,必须有一个正确的设计指导思想,通过合理选择数据结构、网络结构、操作系统以及开发环境,构成一个完善的网络体系结构,才能充分发挥计算机信息管理的优势。随着计算机技术的发展以及计算机网络的逐渐普及,互联网成为人们查找信息的重要场所,二十一世纪是信息的时代,所以信息的管理显得特别重要。随着互联网技术的快速发展,网络时代的到来,网络信息也将会改变当今社会。2.高可靠性:一个实用的网站同时必须是可靠的,本设计通过合理而先进的网络设计以及软、硬件的优化选型,可保证网站的可靠性与容错性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值