spring cloud------spring security简单使用一

最新推荐文章于 2024-05-18 09:00:00 发布
最新推荐文章于 2024-05-18 09:00:00 发布
阅读量4.8k 收藏 5
点赞数 1
分类专栏: spring boot、spring cloud
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013825231/article/details/80468422
版权

spring security的简单原理:

使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。

首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲;还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲;但拦截器里面的实现需要一些组件来实现,所以就有了AuthenticationManager、accessDecisionManager等组件来支撑。

现在先大概过一遍整个流程,用户登陆,会被AuthenticationProcessingFilter拦截,调用AuthenticationManager的实现,而且AuthenticationManager会调用ProviderManager来获取用户验证信息(不同的Provider调用的服务不同,因为这些信息可以是在数据库上,可以是在LDAP服务器上,可以是xml配置文件上等),如果验证通过后会将用户的权限信息封装一个User放到spring的全局缓存SecurityContextHolder中,以备后面访问资源时使用。

访问资源(即授权管理),访问url时,会通过AbstractSecurityInterceptor拦截器拦截,其中会调用FilterInvocationSecurityMetadataSource的方法来获取被拦截url所需的全部权限,在调用授权管理器AccessDecisionManager,这个授权管理器会通过spring的全局缓存SecurityContextHolder获取用户的权限信息,还会获取被拦截的url和被拦截url所需的全部权限,然后根据所配的策略(有:一票决定,一票否定,少数服从多数等),如果权限足够,则返回,权限不够则报错并调用权限不足页面。

虽然讲得好像好复杂,读者们可能有点晕,不过不打紧,真正通过代码的讲解在后面,读者可以看完后面的代码实现,再返回看这个简单的原理,可能会有不错的收获。

在spring boot中使用security
首先导入spring security的包:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

在spring security中有一个非常重要的配置类需要编写
就是继承这个抽象类WebSecurityConfigurerAdapter,如下代码所示
这个bean的目的是将我们的用户存到内存中,这个用于调试还是可以的,但是我们开发中是不存在这样的

@Bean
        @Override
        protected UserDetailsService userDetailsService(){
            InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
            manager.createUser(User.withUsername("user_1").password("123456").authorities("USER").build());
            manager.createUser(User.withUsername("user_2").password("123456").authorities("USER").build());
            return manager;
        }

另一种方式就是实现UserDetailsService的接口,然后在loadUserByUsername里面写自己的逻辑方法,
如下:

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // TODO Auto-generated method stub
        if(username.equals("root")){
            return new User(username, "", true, true, true, true,
                    AuthorityUtils.NO_AUTHORITIES);
        }
        return null;
    }

返回user,这个user是实现了userdetail的接口,然后返回一个user,,这些参数你们可以自己去看下是什么意思,前面两个就是用户名和密码,主要是为了去进行比对
还有一个主角就是

  @Override
        protected void configure(HttpSecurity http) throws Exception {
            http.authorizeRequests()
//            .antMatchers("/**").permitAll()//spring security对路径不拦截
              .anyRequest().authenticated()//所有请求需要认证即登录后才能访问
              .and()
              .formLogin()
              .permitAll()
              .and()
          .logout()
              .permitAll();
            // @formatter:on
        }

看上面的就知道大概的意思吧,主要是为了鉴权,意思就是哪些接口是需要拦截的,而permitAll是代表放行的意思,就是这些接口不拦截,而我们这边设置了所有的接口都拦截,除了登录和登出。‘

上面这步完成后还需要我们将userdetail的类给添加到拦截器中,因为我们登录是需要进行验证用户的,所以可以直接

  @Autowired
        public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
            auth.userDetailsService(userDetailsService);
        }

这里面还可以设置其他参数,比如加密的方式以及其他等等。
在这个类中海可以设置一写忽略的拦截类,即不需要进行验证的
/**
* 忽略设置的接口
*/

@Override
  public void configure(WebSecurity web) throws Exception {
    String ignoring = env.getProperty("msi.auth.ignoring","/health|/info");
    web.ignoring().antMatchers(ignoring.split("\\|"));
  }

不管是使用哪种方式,将用户存到内存或者存到数据库操作,都需要将操作放到

  @Autowired
        public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
            auth.userDetailsService(userDetailsService);
        }这里面

在这里面还可以使用这种方式

@Autowired
        public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
            DaoAuthenticationProvider au=new DaoAuthenticationProvider();
            au.setUserDetailsService(userDetailsService);
            au.setPasswordEncoder(pd);
            au.setSaltSource(salt);
            auth.authenticationProvider(au);
//          auth.userDetailsService(userDetailsService);
        }

这种的目的是为了进行多种方式验证,比如可以通过账号和密码,或者是手机号码和密码等等,这里面可以自定义加密.
DaoAuthenticationProvider这里面有密码的比对

俊哥66
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity常见简单应用
qq_43784314的博客
03-02 290
文章目录SpringSecurity简介一、搭建SpringSecurity环境二、认证和授权1、添加授权2.添加认证3、SpringSecurity整合thymeleaf在前端展示问题 SpringSecurity简介 SpringSecuritySpringBoot中集成的权限框架,可定制身份验证和权限控制。侧重于为java应用程序提供身份验证和授权。解决之前关于权限的代码十分繁琐,冗余的问题。SpringSecurity主要有两个目标:认证(Authentication)和授权(Authoriza
spring-cloud-security例子
04-04
在微服务架构中,安全问题尤为重要,而Spring Cloud Security作为Spring Cloud生态的一部分,为开发者提供了强大的安全管理和身份验证功能。本文将深入探讨Spring Cloud Security在用户身份认证和权限管理方面的应用...
Spring Cloud实战|4.SpringCloud 整合security.实现认证中心
11-27 3881
手把手教你从0开始搭建spring cloud alibaba 脚手架,关注公众号“AI码师” 获取项目完整源码
初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
最新发布
fudaihb的博客
05-18 1219
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
spring cloud------spring security简单使用
java线程池
05-27 977
上一篇博客是基于内存存用户信息的,但是在我们实际的开发中是不可能通过这种方式的,在实际开发中对用户的账号和密码有各种各样的处理,同时还会对用户的权限也有各种各样的处理。 而本节会讲一下如何对用户密码进行加密以及如何获取权限等 在上一节中我们看到有一个这样的方法 @Autowired public void configureGlobal(AuthenticationMan...
Spring Cloud Security:Oauth2使用入门
macrozheng的专栏
11-04 2079
Spring Cloud Security 为构建安全的SpringBoot应用提供了一系列解决方案,结合Oauth2可以实现单点登录、令牌中继、令牌交换等功能,本文将对其结合Oauth2入门使用进行详细介绍。OAuth2 简介 OAuth 2.0是用于授权的行业标准协议。OAuth 2.0为简化客户端开发提供了特定的授权流,包括Web应用、桌面应用、移动端应用等。OAuth2 相关名词解释 Re...
Spring Cloud 入门 ---- Security 权限管理【随笔】
qq_39668819的博客
12-05 1225
Spring Cloud Security Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是 Spring 生态系统中的一员,因此他伴随着整个 Spring 生态系统不断修正、升级,在 Spring boot 项目中加入 Spring Security 更是十分简单使用 Spring Security 减少了企业系统安全控制编写大量重复代码的工作。 官网:https://spring.io/projects/spring-
(七)Spring Securityspring-cloud-starter-oauth2)应用详解------认证授权服务------授权码模式和密码模式
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-30 5278
OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过于复杂,2.0版本已得到广泛应
springcloud-learn01
03-30
springcloud-learning ├── eureka-server -- eureka注册中心 ├── eureka-security-server -- 带登录认证的eureka注册中心 ├── eureka-client -- eureka客户端 ├── user-service -- 提供User对象CRUD接口...
springcloud-oauth2-security.rar
04-25
这个压缩包“springcloud-oauth2-security.rar”提供了一个实际的OAuth2认证服务示例,包括必要的配置和SQL脚本。你可以快速将这个示例应用到自己的项目中,进行学习和参考。具体步骤如下: 1. 解压文件,导入到IDE...
SpringCloud-使用路由网关统一访问接口示例代码.zip
10-23
在"SpringCloud-使用路由网关统一访问接口示例代码.zip"中,我们可以预期找到一个简单Spring Boot应用,该应用集成了Spring Cloud的Zuul依赖。这个应用会配置一个或多个路由规则,将请求转发到对应的微服务。例如...
spring-cloud-securitySpring中实现的分布式应用程序的安全性问题
01-30
Spring生态系统中,Spring Cloud Security是一个关键组件,它专注于为微服务架构提供安全解决方案。本文将深入探讨Spring Cloud Security在处理分布式应用程序安全性方面所涉及的关键知识点。 首先,Spring Boot...
SpringCloudsecurity的用法
男人要霸气的博客
08-19 2158
导入依赖 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-security</artifactId> </dependency> 使用随...
使用Spring Security 资源服务器来保护Spring Cloud 微服务
码农小胖哥
10-19 871
我在上一篇对资源服务器进行了简单的阐述资源服务器改造以Spring Security实战干货所需依赖在Spring Security的基础上,我们需要加入新的依赖来支持OAuth2 Res...
SpringCloud使用Security认证框架
qwczf的博客
03-07 623
springcloud
SpringCloud系列三:SpringSecurity 安全访问(配置安全验证、服务消费端处理、无状态 Session 配置、定义公共安全配置程序类)...
weixin_34270865的博客
04-11 249
声明:本文来源于MLDN培训视频的课堂笔记,写在这里只是为了方便查阅。 1、概念:SpringSecurity 安全访问 2、具体内容 所有的 Rest 服务最终都是暴露在公网上的,也就是说如果你的 Rest 服务属于一些你自己公司的私人业务,这样的结果会直接 导致你信息的泄漏,所以对于 Rest 访问,安全性是首要的因素。 2.1、配置安全验证 如果要想进行安全的验证处理,那么首先一定要先在服务...
springcloud 基于security 进行接口安全认证
du_senge的博客
05-28 3258
1 spring cloud 开发一定要导入的两个 maven 依赖,要不会报乱七八糟的错误 <dependency> <!-- 进行SpringCloud依赖包的导入处理 --> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud...
SpringCloudSpring Security实现登录认证的思路与具体实现过程
See_Star的博客
04-03 5117
SpringSecurity实现登录、认证的思路,准备工作、具体的事项方法等。
spring-cloud-starter-securityspring-cloud-starter-oauth2
热门推荐
qq_30359369的博客
12-02 2万+
之前学过spring-security,最近又在学习spring-cloud-starter-securityspring-cloud-starter-oauth2, 脑子里顿时冒出一个问题: 之前学的spring-security和最近学的spring-cloud-starter-security有什么关系, spring-cloud-starter-securityspring-clou......
springsecurity springcloud
08-03
SpringSecuritySpringCloud是两个独立的框架,但它们可以一起使用来构建安全的分布式系统。SpringSecurity是一个用于身份验证和授权的框架,可以帮助我们保护应用程序的安全性。而SpringCloud是一个用于构建分布式系统的框架,它提供了一系列的工具和组件,用于处理分布式系统中的各种问题,例如服务发现、负载均衡、配置管理等。 在引用[1]中提到的文章中,作者介绍了他对SpringSecurity的深入研究和源码分析的经历。他从最初只会简单接入SpringSecurity,到深入了解整个体系,深入源码,逐步提升了自己的技能。这也说明了SpringSecurity的重要性和价值。 在引用[2]中提到了SpringSecurity OAuth2的默认过滤器链和自定义过滤器链。默认的过滤器链只处理特定的请求,而自定义的过滤器链则处理其他请求。需要注意的是,自定义过滤器链中并没有解析Token的过滤器,这可能导致即使加了Token,权限满足的情况下,仍然返回403未授权的错误。在SpringSecurity OAuth2体系中,SpringSecurity主要负责授权操作,而认证操作通常由资源服务器处理。 在引用[3]中提到了整合SpringCloudSpringSecurity OAuth2的搭建流程。作者通过这篇文章梳理了整个流程,帮助读者理清思路。这对于那些想要构建安全的分布式系统的开发者来说是非常有价值的。 综上所述,SpringSecuritySpringCloud是两个独立的框架,但可以一起使用来构建安全的分布式系统。SpringSecurity负责身份验证和授权,而SpringCloud提供了一系列工具和组件来处理分布式系统中的各种问题。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值