Spring Security(1)——入门程序

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量256 收藏 1
点赞数
分类专栏: 架构师之道 微服务 Spring Security 文章标签: java Spring Boot Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014437791/article/details/89424535
版权

之前我们对Shiro进行了了解,但是很多东西都是和Spring Security结合的,为了后续学习其他内容的方便, 我们在这里讲解下Spring自己的安全机制,Spring Security。

什么是Spring Security

Spring Security是专门针对基于Spring的项目的安全框架,充分的利用了依赖注入和AOP来实现安全功能。
安全框架有两个重要的概念,即认证(Authentication)和授权(Authorization)。认证就是确认用户可以访问当前系统;授权就是确定用户在当前系统下拥有的权限。

注意:

我们这里采取的是Spring Boot + Mybatis + Mysql + Spring Security进行构建演示的。

一,数据库数据的导入
CREATE TABLE `sys_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `name` varchar(255) NOT NULL,
  `password` varchar(255) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `sys_role` (
  `id` int(11) NOT NULL,
  `name` varchar(255) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

CREATE TABLE `sys_user_role` (
  `user_id` int(11) NOT NULL,
  `role_id` int(11) NOT NULL,
  PRIMARY KEY (`user_id`,`role_id`),
  KEY `fk_role_id` (`role_id`),
  CONSTRAINT `fk_role_id` FOREIGN KEY (`role_id`) REFERENCES `sys_role` (`id`) ON DELETE CASCADE ON UPDATE CASCADE,
  CONSTRAINT `fk_user_id` FOREIGN KEY (`user_id`) REFERENCES `sys_user` (`id`) ON DELETE CASCADE ON UPDATE CASCADE
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

INSERT INTO `sys_role` VALUES ('1', 'ROLE_ADMIN');
INSERT INTO `sys_role` VALUES ('2', 'ROLE_USER');

INSERT INTO `sys_user` VALUES ('1', 'admin', '123');
INSERT INTO `sys_user` VALUES ('2', 'zyf', '123');

INSERT INTO `sys_user_role` VALUES ('1', '1');
INSERT INTO `sys_user_role` VALUES ('2', '2');
  • 强调一点,我们的角色的格式是固定的,必须是ROLE_XXX的形式,不允许随便起

一般我们的权限控制分为三层

用户 角色 权限
其中三者中角色和权限是多对多,用户和角色是多对多。

这里我们的实验只考虑角色和用户,暂时不考虑权限

二, 程序:
  • 基础架构:
    在这里插入图片描述
  • pom文件
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.4.RELEASE</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.xiyou</groupId>
	<artifactId>test-security</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>test-security</name>
	<description>Demo project for Spring Boot</description>

	<properties>
		<java.version>1.8</java.version>
	</properties>

	<dependencies>

		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
			<version>1.16.18</version>
			<scope>provided</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>

		<dependency>
			<groupId>org.mybatis.spring.boot</groupId>
			<artifactId>mybatis-spring-boot-starter</artifactId>
		</dependency>

		<dependency>
			<groupId>mysql</groupId>
			<artifactId>mysql-connector-java</artifactId>
		</dependency>

	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>

</project>
  • application.xml
server.port=8080

#描述数据源
spring.datasource.url=jdbc:mysql://localhost:3306/security?useSSL=true&serverTimezone=UTC
spring.datasource.username=root
spring.datasource.password=05131004
spring.datasource.driver-class-name=com.mysql.jdbc.Driver

#开启Mybatis下划线命名转驼峰命名
mybatis.configuration.map-underscore-to-camel-case=true
# 自动映射map的时候 若值是null,则可以映射出具体的key
mybatis.configuration.call-setters-on-nulls=true
  • PO类
    (1)SysRole
package com.xiyou.testsecurity.po;

import lombok.Data;

import java.io.Serializable;

/**
 * 对应数据的角色表
 */
@Data
public class SysRole implements Serializable {
    static final long serialVersionUID = 1L;

    private Integer id;

    private String name;
}

(2)SysUser

package com.xiyou.testsecurity.po;

import lombok.Data;

import java.io.Serializable;

/**
 * 对应数据库的用户表
 */
@Data
public class SysUser implements Serializable {
    static final long serialVersionUID = 1L;

    private Integer id;

    private String name;

    private String password;
}

(3)SysUserRole

package com.xiyou.testsecurity.po;

import lombok.Data;

import java.io.Serializable;

/**
 * 对应数据库的角色和权限表
 */
@Data
public class SysUserRole implements Serializable{
    static final long serialVersionUID = 1L;

    private Integer userId;

    private Integer roleId;
}
  • dao层
    (1)SysRoleMapper
package com.xiyou.testsecurity.dao;

import com.xiyou.testsecurity.po.SysRole;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

@Mapper
public interface SysRoleMapper {
    @Select("SELECT * FROM sys_role WHERE id = #{id}")
    SysRole selectById(Integer id);
}

(2)SysUserMapper

package com.xiyou.testsecurity.dao;

import com.xiyou.testsecurity.po.SysUser;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

@Mapper
public interface SysUserMapper {
    @Select("SELECT * FROM sys_user WHERE id = #{id}")
    SysUser selectById(Integer id);

    @Select("SELECT * FROM sys_user WHERE name = #{name}")
    SysUser selectByName(String name);
}

(3)SysUserRoleMapper

package com.xiyou.testsecurity.dao;

import com.xiyou.testsecurity.po.SysUserRole;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;

import java.util.List;

@Mapper
public interface SysUserRoleMapper {
    @Select("SELECT * FROM sys_user_role WHERE user_id = #{userId}")
    List<SysUserRole> listByUserId(Integer userId);
}
  • Service层
    (1)SysRoleService
package com.xiyou.testsecurity.service;

import com.xiyou.testsecurity.dao.SysRoleMapper;
import com.xiyou.testsecurity.po.SysRole;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class SysRoleService {
    @Autowired
    private SysRoleMapper roleMapper;

    public SysRole selectById(Integer id){
        return roleMapper.selectById(id);
    }
}

(2)SysUserRoleService

package com.xiyou.testsecurity.service;

import com.xiyou.testsecurity.dao.SysUserRoleMapper;
import com.xiyou.testsecurity.po.SysUserRole;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class SysUserRoleService {
    @Autowired
    private SysUserRoleMapper userRoleMapper;

    public List<SysUserRole> listByUserId(Integer userId) {
        return userRoleMapper.listByUserId(userId);
    }
}

(3)SysUserService

package com.xiyou.testsecurity.service;

import com.xiyou.testsecurity.dao.SysUserMapper;
import com.xiyou.testsecurity.po.SysUser;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Service;

@Service
public class SysUserService {
    @Autowired
    private SysUserMapper userMapper;

    public SysUser selectById(Integer id) {
        return userMapper.selectById(id);
    }

    public SysUser selectByName(String name) {
        return userMapper.selectByName(name);
    }
}
  • Controller层
package com.xiyou.testsecurity.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;

@Controller
public class HelloController {

    @ResponseBody
    @RequestMapping("/sayHello")
    public String sayHello(){
        return "Hello ~ ";
    }

    @ResponseBody
    @RequestMapping("/showUser")
    public String showUsere(){
        // 获取当前登录者的名字
        String name = SecurityContextHolder.getContext().getAuthentication().getName();
        return name;
    }

    @RequestMapping("/login")
    public String login(){
        return "login.html";
    }

    @ResponseBody
    @RequestMapping("/admin")
    // 访问该方法需要admin权限
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public String printAdmin(){
        return "This is Admin Page";
    }

    @ResponseBody
    @RequestMapping("/user")
    // 访问该方法需要user权限
    @PreAuthorize("hasRole('ROLE_USER')")
    public String printUser(){
        return "This is user page";
    }
}

这里简单的介绍下这个Controller层。
(1)看下这里的login方法,该方法返回的是一个html页面,因为我们并未标注@ResponseBody注解,返回的是一个html页面,该页面存放在resources/static目录下。
在这里插入图片描述

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登陆</title>
</head>
<body>
<h1>登陆</h1>
<form method="post" action="/login">
    <div>
        用户名:<input type="text" name="username">
    </div>
    <div>
        密码:<input type="password" name="password">
    </div>
    <div>
        <button type="submit">立即登陆</button>
    </div>
</form>
</body>
</html>

(2)showUser方法中

String name = SecurityContextHolder.getContext().getAuthentication().getName();

这行代码的意思是获取当前登录者的名字,获取当前登陆者的信息。
(3)注解@PreAuthorize

@PreAuthorize("hasRole('ROLE_USER')")

这个注解的意思是若想执行当前的方法,必须要满足当前的登录用户角色是ROLE_USER , 若不满足则无法正常执行这个方法。

  • 启动函数
package com.xiyou.testsecurity;

import org.mybatis.spring.annotation.MapperScan;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

@SpringBootApplication
@MapperScan(value = {"com.xiyou.testsecurity.dao"})
public class TestSecurityApplication {

	public static void main(String[] args) {
		SpringApplication.run(TestSecurityApplication.class, args);
	}

}

通过上面的程序我们基本上就已经搭建出了一个具体的环境提供我们实验Spring Security,我们之后的实验都是在这个基础上进行的。

三,配置SpringSecurity(重要)

我们这里进行的配置是直接从我们的数据源中获取用户信息,还有两种获取方式,这里不做讲解,分别是内存中的用户和指定JDBC中的用户。
我们若想实现自己的数据源来对接Spring Security则必须自定义UserDetailsService接口

package com.xiyou.testsecurity.service;

import com.xiyou.testsecurity.po.SysRole;
import com.xiyou.testsecurity.po.SysUser;
import com.xiyou.testsecurity.po.SysUserRole;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

/**
 * 验证的方法,需要实现指定的接口
 * 重写该方法
 */
@Service("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {

    // 注入我们自己实现的service层的相关信息
    @Autowired
    private SysRoleService sysRoleService;

    @Autowired
    private SysUserService sysUserService;

    @Autowired
    private SysUserRoleService sysUserRoleService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 用来存储该username对应的所有的角色
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        // 根据传来得到username, 从数据库中取出sys_user对象
        SysUser sysUser = sysUserService.selectByName(username);
        // 判断该user是否为空
        if(sysUser == null){
            throw new UsernameNotFoundException("该用户不存在");
        }
        // 为该用户添加权限
        // 得到sysuser对应的所有的sysrole的id列表
        List<SysUserRole> userRoles = sysUserRoleService.listByUserId(sysUser.getId());
        for(SysUserRole sysUserRole : userRoles){
            SysRole sysRole = sysRoleService.selectById(sysUserRole.getRoleId());
            // 添加到最先定义的列表中
            authorities.add(new SimpleGrantedAuthority(sysRole.getName()));
        }

        // 返回UserDetails的实现类
        // 该User类是security定义的,将当前用户的用户名密码,角色传入进去
        return new User(sysUser.getName(), sysUser.getPassword(), authorities);
    }
}
  • 分析上面的程序
    (1)该类实现了UserDetailsService接口
    (2)重写loadUserByUsername方法,该方法的参数是一个String类型的,默认会将客户登录的用户名传进来
    (3)定义一个List,其泛型是GrantedAuthority
Collection<GrantedAuthority> authorities = new ArrayList<>();

该list是用来存储当前用户所对应的所有的角色名。
(4)我们首先会根据传进来的名字对数据库进行查找,若数据库中没有该对象则抛出异常。
(5)若数据库中有该name对应的对象,则从数据库中取出该对象对应的所有的Role的信息。
(6)将其role的name进行封装,并保存在上面的list中

// 添加到最先定义的列表中
authorities.add(new SimpleGrantedAuthority(sysRole.getName()));

(7)返回一个User对象,注意该对象是Security的对象,该对象有三个参数,分别是当前用户的name,password,以及封装好的authorities列表,存储着其对应的角色信息。

  • 注意一点:

这里我们只是根据name属性进行匹对,有的人可能有疑惑,那密码不正确怎么办呢?其实我们这里可以用username和password共同查找或者在这里进行判断密码是否正确,但是我们也可以在配置类中进行匹对。下面我们就会对其进行分析

  • WebSecurityConfig配置类

代码如下:

package com.xiyou.testsecurity.config;

import com.xiyou.testsecurity.service.CustomUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
// 开启安全的注解形式,默认是关闭的
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDetailsService;

    /**
     * 定制登陆行为
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin().loginPage("/login")
                .defaultSuccessUrl("/sayHello").permitAll()
                .and()
                .logout().permitAll();

        // 关闭CSRF
        http.csrf().disable();
    }

    /**
     * 该方法用来校验
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // boot2.0版本之后需要添加passwordEncoder否则会报错的。
        auth.userDetailsService(userDetailsService).passwordEncoder(
                new PasswordEncoder() {

                    @Override
                    public String encode(CharSequence charSequence) {
                        return charSequence.toString();
                    }

                    /**
                     *
                     * @param charSequence 用户登录时候传入的密码
                     * @param s 数据库中的密码,如果数据库没有该对象则赋值为"userNotFoundPassword"
                     * @return
                     */
                    @Override
                    public boolean matches(CharSequence charSequence, String s) {
                        // s是数据库中的密码,charSequence是用户输入的密码,如果返回是false,依旧不会登录成功,返回true才可以。
                        return s.equals(charSequence.toString());
                    }
                }
        );
    }

    /**
     * 设置过滤静态资源
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**");
    }

    /**
     * @Override
     * 如果密码要加密的话
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService)
    .passwordEncoder(new BCryptPasswordEncoder());
    }
     */
}
  • 该类上面有三个注解
    (1)@Configuration:表示的是该类是一个类似xml文件的配置类
    (2)@EnableWebSecurity表示开启Security服务
    (3)@EnableGlobalMethodSecurity表示对是开启Security的注解,默认是关闭的,只有开启才能使用类似@PreAuthorize(“hasRole(‘ROLE_USER’)”)的注解
  • 继承WebSecurityConfigureAdapter类,继承该类用来配置相关的操作。
    该类重写了三个方法:
    (1)protected void configure(HttpSecurity http)
    该方法用来定制登陆行为
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin().loginPage("/login")
                .defaultSuccessUrl("/sayHello").permitAll()
                .and()
                .logout().permitAll();

        // 关闭CSRF
        http.csrf().disable();
    }

表示的是针对任意请求用户都需要进行登录,并且其登录页面是访问/login(controller层定义的),默认的成功action是/sayHello(controller层定义的)

注意:

这里强调几点

  • http.authorizeRequests()用来配置请求权限,调用该方法来开始请求权限的配置
  • Spring Security使用以下匹配器来匹配请求路径
    antMatchers:使用Ant风格的路径匹配(类似于/admin/**这种的)
    regexMatchers:使用正则表达式匹配路径
方法用途
anyRequest匹配所有的请求路径
access(String)Spring EL表达式结果为true时可以访问
anonymous()匿名可以访问
denyAll()用户不能访问
fullyAuthenticated()用户完全认证可访问(非remember下自动登录)
hasAnyAuthority(String…)如果用户有参数,则其中任一权限可以访问
hasAnyRole(String…)如果用户有参数,则其中任一角色可以访问
hasAuthority(String)如果用户有参数,则其权限可以访问
hasRole(String)若用户参数中的角色,可以访问
hasIpAddress(String)如果用户来自参数中的IP,则可以访问
permitAll()用户可以任意访问
rememberMe()允许通过remember-me登录的用户访问
authenticated()用户登录后可以访问

(2)protected void configure(AuthenticationManagerBuilder auth)

  • 该方法用来做登陆校验
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // boot2.0版本之后需要添加passwordEncoder否则会报错的。
        auth.userDetailsService(userDetailsService).passwordEncoder(
                new PasswordEncoder() {

                    @Override
                    public String encode(CharSequence charSequence) {
                        return charSequence.toString();
                    }

                    /**
                     *
                     * @param charSequence 用户登录时候传入的密码
                     * @param s 数据库中的密码,如果数据库没有该对象则赋值为"userNotFoundPassword"
                     * @return
                     */
                    @Override
                    public boolean matches(CharSequence charSequence, String s) {
                        // s是数据库中的密码,charSequence是用户输入的密码,如果返回是false,依旧不会登录成功,返回true才可以。
                        return s.equals(charSequence.toString());
                    }
                }
        );
    }

上面的方法,将我们自己写的CustomUserDetailsService的类的对象,注入进来。这里注意一点,因为我们使用的是springboot2所以我们在注入这个对象后,还应该定义passwordEncoder

  • 这里重点看下上面的matches方法
/**
                     *
                     * @param charSequence 用户登录时候传入的密码
                     * @param s 数据库中的密码,如果数据库没有该对象则赋值为"userNotFoundPassword"
                     * @return
                     */
                    @Override
                    public boolean matches(CharSequence charSequence, String s) {
                        // s是数据库中的密码,charSequence是用户输入的密码,如果返回是false,依旧不会登录成功,返回true才可以。
                        return s.equals(charSequence.toString());
                    }

像我们注释中的一样,这里有两个参数
CharSequence 和 一个String ,其中charSequence 用户登录时候传入的密码,String参数就是数据库中的密码,如果数据库没有该对象则赋值为"userNotFoundPassword"
注意

我们之前只比较了用户名是否在数据库中存在,若存在直接将数据库中的用户名和密码以及角色封装成User对象进行返回,当时并没有比较密码是否相等,其实,我们的密码比较就在这里。若传入的密码和数据中的密码一致,返回true才能表示验证成功,否则不一致返回false表示的是验证不通过。

(3)public void configure(WebSecurity web)
该方法是用来过滤静态资源,使其可以正常访问,不用进行校验。

    /**
     * 设置过滤静态资源
     * @param web
     * @throws Exception
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**");
    }
声明一点:

我们在这里并没有对用户的密码进行加密,如果要进行加密操作的比较,则修改方法,改为:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
     auth.userDetailsService(userDetailsService)
         .passwordEncoder(new BCryptPasswordEncoder());
 }

上面的实验结果就是:
在这里插入图片描述

参考博文:https://www.cnblogs.com/ryelqy/p/10290740.html

参考资料:Spring Boot实战

红烧咸鱼丶
关注
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
SpringSecurity实战入门——认证
GSON的博客
06-19 401
Spring 家族中的一个安全管理框架。相比与另外一个安全框架,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行和。而认证和授权也是SpringSecurity作为安全框架的核心功能。
Spring Security
热门推荐
qq_42953529的博客
07-18 2万+
Spring Security 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面 向切面...
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 3545
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
spring security入门
iteye_6930的博客
07-04 230
SpringSecurity能用于保护各种Java应用程序(权限管理框架),但在基于Web的应用程序中使用得最为广泛。 SpringSecurity能以声明的方式来保护Web应用程序的URL访问,只需简单的配置即可实现。 SpringSecurity通过一系列Servlet过滤器为Web应用程序提供了多种安全服务。        HelloWorld!               我...
快速入门SpringSecurity
weixin_38641763的博客
02-06 104
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户经过认证后判断当前用户是否有权限进行某个操作。
SpringSecurity简单入门
EndlessProcess的专栏
05-11 1044
Spring SecuritySpring家族中历史比较悠久的框架之一,具备完整而强大的功能体系。对于日常开发过程中常见的单体应用、微服务架构,以及响应式系统,Spring Security都能够进行无缝集成和整合,并提供多种常见的安全性功能。其核心主要包括:用户信息管理、敏感信息加解密、用户认证、权限控制、跨站点请求伪造保护、跨域支持、全局安全方法、单点登录等。
SpringSecurity基础——快速入门
程序无言
09-26 951
一. 初始SpringSecurity 1. 简介 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 2. 主要jar包 spring-security-core.jar: 核心包 spring-security-web.jar: web工程必备,包含过滤器 spring-security-config.jar: 用于解析xml配置文件 spring-security-tagli
Spring Security 3系列文章——入门篇(一)
04-02
**Spring Security 3 系列文章——入门篇(一)** Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,广泛应用于Java企业级应用和Spring Boot项目中。本篇将作为Spring Security 3的入门介绍,帮助...
SpringSecurity系列——简单配置上手day4-3(源于官网5.7.2版本)
qq_51553982的博客
07-23 1060
本片开启SpringSecurity入门上手实例,基于官方5.7.2的最新稳定版,springboot2.7.2版,jdk17,我对官方实例进行了一定程度上的修改,增加了其他一些实例代码。
SpringSecurity入门(一)
恒哥的博客
04-05 1582
项目开发视频: SpringCloud微服务开发入门 手把手开发基于SpringBoot的员工管理系统 亿度云盘~Java小白入门实战 超详细的Java知识点汇总 Spring Security简介 SpringSecurity是一个强大且高效的安全框架,能够提供用户验证和访问控制服务,能够很好地整合到以Spring为基础的项目中。 SpringBootSpringSecurity进行了大量的自动配置,使开发者通过少量的代码和配置就能完成很强大的验证和授权功能,下面我们就体验下SpringSecuri
Spring Security简单入门
谢萌新
08-21 262
随着程序的开发,安全性也越来越值得被注重,以前没有spring security这个框架的时候,我们要想实现权限页面拦截,都采用的拦截器(interceptor)或者过滤器(filter),特别的麻烦,在使用SpringSecurity后,一切都变的很简单,只需要几个简单的配置就能实现权限身份认证已经对数据进行加密等,非常的方便,无需自己去写复杂的逻辑来实现以前采用拦截器和过滤器才能实现的功能,S...
SpringSecurity入门
凉茶铺的博客
07-15 890
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
Spring Security入门与实战
在第二章中,作者深入讲解了Spring Security的核心概念——认证和授权,以及如何在三步之内将应用配置为安全的。这一章节还涵盖了Spring Security的XML配置文件、web.xml的配置以及安全web请求的处理流程。 第三章...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值