springsecurity安全框架

最新推荐文章于 2024-02-21 20:08:21 发布
最新推荐文章于 2024-02-21 20:08:21 发布
阅读量255 收藏 1
点赞数
文章标签: 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011437883/article/details/130478426
版权

一 安全性框架

  • apache shiro 比较简单易用,不依赖于spring,应用场景:传统SSM项目。
  • springsecurity 比较复杂,功能较强大,属于spring框架技术,应用场景:springboot+springcloud

springsecurity框架内容:

  • springsecurity基础入门
  • jwt+sprinsecurity 组合,多用于微服务分布式开发中
  • jwt+springsecurity+springcloud
  • jwt+springsecurity+springcloud+前端(angular.js vue.js)

二 了解springsecurity的核心组件

  • SecurityContext springsecurity的上下文,保存重要对象的信息,比如,用户信息
  • SecurityContextHolder 通过该工具获取SecurityContext
  • Authencation "认证"的意思,理解成认证的主体,获取认证主体的信息,账号和密码
  • UserDetails 接口 表示“用户的详情信息”,规范了用户的详情信息(或者规范了pojo的定义,对用户对象的约束,用户的pojo类要实现该接口)
  • UserDetailsService 接口, 仅有一个方法:loadUserByUsername(String username),对用户验证接口的约束。

三 Springsecurity入门程序

  • 扩展用户的pojo类(UserDetails接口)
public class SysUser implements UserDetails{
    private String id;

    private String usercode;

    private String username;

    private String password;

    private String salt;

    private String locked;

    public String getId() {
        return id;
    }

    public void setId(String id) {
        this.id = id == null ? null : id.trim();
    }

    public String getUsercode() {
        return usercode;
    }

    public void setUsercode(String usercode) {
        this.usercode = usercode == null ? null : usercode.trim();
    }

    public String getUsername() {
        return username;
    }


    public void setUsername(String username) {
        this.username = username == null ? null : username.trim();
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password == null ? null : password.trim();
    }

    public String getSalt() {
        return salt;
    }

    public void setSalt(String salt) {
        this.salt = salt == null ? null : salt.trim();
    }

    public String getLocked() {
        return locked;
    }

    public void setLocked(String locked) {
        this.locked = locked == null ? null : locked.trim();
    }

    @Override //返回用户的权限信息
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override //判断账号是否过期
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override //判断 账号是否被锁定
    public boolean isAccountNonLocked() {
        return this.locked.equals("0");
    }

    @Override 
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}
  • 实现业务类(UserDetailsService接口)
@Service
public class SysUserService implements UserDetailsService {

    @Autowired
    private SysUserMapper userMapper;

    //根据账号查找用户的方法;账号名是唯一约束
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("验证(Service): " + username);
        SysUserExample example = new SysUserExample();
        SysUserExample.Criteria criteria = example.createCriteria();
        criteria.andUsercodeEqualTo(username);
        List<SysUser> list = userMapper.selectByExample(example);
        if(list!=null && list.size()==0) { //找不到用户,抛异常
            throw new UsernameNotFoundException("账号不存在");
        }
        return list.get(0);
    }
}
  • springsecurity配置
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private SysUserService userService;

    //指定加密算法  springsecurity必须要用加密,推荐BCrypt算法,64位的长度
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(); //盐放在密文中
    }

    //指定用户的验证业务对象
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
       auth.userDetailsService(userService);
    }

    //框架的安全性配置(重要)
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置是一种链式风格
        http.authorizeRequests()
            .anyRequest()
            .authenticated()  //所有请求都要被验证
            .and()
            .formLogin()
            .usernameParameter("username")
            .passwordParameter("password")  //框架会提供默认的登录表单页
            .successHandler(new AuthenticationSuccessHandler() {//登录成功后的回调接口
                @Override
                public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
                    response.setContentType("application/json;charset=utf-8");
                    //返回json数据
                    PrintWriter out = response.getWriter();
                    //获取用户的身份信息(类型:UserDetails)
                    SysUser user = (SysUser) authentication.getPrincipal();
                    RespBean respBean = RespBean.ok("登录成功",user);
                    //把respBean转成json对象,返回到前端
                    String json = new ObjectMapper().writeValueAsString(respBean);
                    System.out.println("成功返回json对象:" + json);
                    
                    out.write(json);
                    out.flush();
                    out.close();
                }
            })
            .failureHandler(new AuthenticationFailureHandler() { //登录失败后的回调接口
                @Override
                public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                    response.setContentType("application/json;charset=utf-8");
                    //返回json数据
                    PrintWriter out = response.getWriter();
                    //登录失败,主要是处理异常
                    RespBean respBean = RespBean.error("登录失败");
                    if(e instanceof LockedException) {
                        respBean.setMsg("账号被锁定");
                    } else if(e instanceof CredentialsExpiredException) {
                        respBean.setMsg("密码过期");
                    } else if(e instanceof DisabledException) {
                        respBean.setMsg("账号被禁用");
                    } else if(e instanceof BadCredentialsException) {
                        respBean.setMsg("账号或密码错误");
                    }
                    
                    String json = new ObjectMapper().writeValueAsString(respBean);
                    System.out.println("登录失败返回的json: " + json);
                    
                    out.write(json);
                    out.flush();
                    out.close();
                }
            })
            .permitAll()
            .and()
            .logout()
            .logoutSuccessHandler(new LogoutSuccessHandler() {
                @Override
                public void onLogoutSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

                }
            })
            .permitAll()
            .and()
            .csrf().disable(); //禁用跨域攻击


    }
}

loongson2018
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Security 安全框架
07-14
Spring restful + My Batis 里面有一个实体,自己创建即可运行。 安全框架入门,
Security 安全框架1
Yoroshiku IT
04-11 384
security 过滤器链 检查请求是否有请求信息-主要校验规则 UsernamePasswordAuthenticationFilter: 处理表单登录, 请求是否带用户名密码 BasicAuthenticationFilter: 是否有Basic码信息, 有会进行解码认证 FilterSecurityInterceptor: 最后一部, 决定当前请求能不能继续, 根据不过的原因会抛出异...
SpringSecurity安全框架
最新发布
CSDNlele666的博客
02-21 622
springSecurity安全框架,连接数据库,将用户权限与资源绑定
安全框架Spring Security安全框架
weixin_42428778的博客
02-09 2565
Spring Security 是针对Spring项目的安全框架,仅需要引入 spring-boot-starter-sercurity 模块。 WebSecurityConfigurerAdapter:自定义Security策略。 AuthenticationManagerBuilder:自定义认证策略。 @EnableWevSecurity:开启WebSecurity模式。 Spring Security的两个主要目标是“认证”和“授权”(访问控制)。 ”认证“(Authentication)、”授
spring security安全框架
10-25
spring security安全框架,简单的小demo
SpringSecurity安全框架案例
09-23
完整的认证授权流程,没有验证码校验
SpringSecurity安全框架基础Demo
01-02
SpringSecurity安全框架基础Demo,
SpringSecurity安全框架企业中应用
06-13
涉及到目前互联网项目中最常用的高并发解决方案技术, 如 dubbo,redis,solr,freemarker,activeMQ,springBoot框架,微信支付,nginx负载均衡,电商活动秒杀,springSecurity安全框架,FastDFS分布式文件服务器,还会涉及到...
springsecurity安全框架源码
11-27
springsecurity安全框架下载 .
Spring Security安全框架入门篇
weixin_30421809的博客
02-04 840
一、Spring Security相关概念 1.1.、Spring Security介绍: Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架(简单说是对访问权限进行控制嘛)。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Con...
springSecurity安全框架
聪聪
02-11 3254
SpringSecurity 是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 官网地址 一般后台管理系统的权限认证,都需要大量的逻辑处理验证,.
Spring安全框架 Spring Security
qq19930130的专栏
04-13 733
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中
spring安全框架_Spring安全
cunfen0516的博客
01-10 246
spring安全框架 身份验证机制很多(基本,摘要,形式,X.509等),凭据和权限信息(内存中,数据库,LDAP等)的存储选项也很多。 授权取决于身份验证,并确定您是否具有所需的权限。 决策过程通常基于角色(例如ADMIN,MEMBER,GUEST等)。 在Web环境中,可以通过三个步骤来设置和配置Spring Security: 设置过滤器链:实现是由Spring配置的过滤器链(Spr...
Spring Security 4.0.0.RC2/3.2.6 发布
weixin_33716557的博客
06-02 80
Spring Security 4.0.0.RC2 发布,此版本解决了大约 50 tickets。 主要改进: Support for enforcing Same Origin for WebSocket connections Refinements in WebSocket Configuration (SEC-2827 SEC-2833 SEC-...
Spring Security安全框架
weixin_53455615的博客
11-03 1439
利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。导入依赖后默认会有一个登录页,并且没有登录时访问其他资源会自动跳到登录页,用户名为user,密码会打印在控制台。认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。应用程序确认用户身份的过程,常见认证:登录。Spring Security所有功能都是。用户认证过程中的依据之一。判断用户具有哪些权限或角色。
SpringSecurity安全框架简介
xsgnzb的专栏
03-29 1531
我们介绍了Spring Security的基本概念和常见功能,分析了Spring Security扩展机制的实现原理,最后对比了Spring Security6.0的一些改动。可见,使用Spring Security我们通过提供自己的业务过滤器,很容易实现功能的扩展。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值