SpringBoot+Spring Security基于内存用户认证

最新推荐文章于 2023-08-25 09:45:00 发布
置顶 最新推荐文章于 2023-08-25 09:45:00 发布
阅读量3.1k 收藏 5
点赞数
分类专栏: 认证 SpringSecurity SpringBoot SpringBoot+SpringCloud 文章标签: 安全认证 SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014553029/article/details/86685971
版权

一、Spring Security框架

1. 框架简介

        官方介绍:Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要求。

        Spring Security是一个为基于Spring的企业应用系统提供声明式的安全访问控制解决方式的安全框架(简单说是对访问权限进行控制),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。

        用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

        用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

特征:

  • 对身份验证和授权的全面和可扩展的支持
  • 防止会话固定,点击劫持,跨站点请求伪造等攻击
  • Servlet API集成
  • 可选与Spring Web MVC集成

2. 框架原理

        想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以Spring Security在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。

Spring Security 框架的主要过滤器(Filter) : 

  • WebAsyncManagerIntegrationFilter 
  • SecurityContextPersistenceFilter 
  • HeaderWriterFilter 
  • CorsFilter 
  • LogoutFilter
  • RequestCacheAwareFilter
  • SecurityContextHolderAwareRequestFilter
  • AnonymousAuthenticationFilter
  • SessionManagementFilter
  • ExceptionTranslationFilter
  • FilterSecurityInterceptor
  • UsernamePasswordAuthenticationFilter
  • BasicAuthenticationFilter

  Spring Security框架的核心组件:

  • SecurityContextHolder:提供对SecurityContext的访问
  • SecurityContext:持有Authentication对象和其他可能需要的信息
  • AuthenticationManager 其中可以包含多个AuthenticationProvider
  • ProviderManager对象为AuthenticationManager接口的实现类
  • AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
  • Authentication:Spring Security方式的认证主体
  • GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
  • UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
  • UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象 (可以在这里基于自身业务进行自定义的实现  如通过数据库,xml,缓存获取等)  

二、SpringBoot 整合Spring Security

1. 项目环境

(1)JDK版本:1.8

(2)Spring Boot:2.1.2.RELEASE

(3)Spring Security 5.1.3

(4)IntelliJ IDEA 2016.3.4

2. 添加依赖并配置

  在pom.xml文件中添加Spring Security的依赖:

<!--Spring Security-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency

  在application.yml中配置Spring Security的用户名密码:

server:
  port: 8082

# spring security
spring:
    security:
        user:
          name: ouyang
          password: 123456

3. 编写Controller

package com.oycbest.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Author: oyc
 * @Date: 2019/1/29 10:49
 * @Description: Hello 测试控制类
 */
@RestController
public class HelloController {
    @GetMapping("hello")
    public String hello(HttpServletRequest request, HttpServletResponse response) throws Exception {
        return "hello";
    }
}

三、测试效果

 

忧伤夏天的风
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java项目:人才管理系统(java+SpringBoot+FreeMarker+jpa+Mysql)
12-04
项目介绍 基于SpringBoot框架开发的求职招聘管理系统。 本项目分三种角色:管理员、招聘人员、求职者。 用户可以以两种身份注册登录,一种是求职者,另一种是招聘者。 求职者可以浏览查询公司信息、职位信息,并且可以填写自己的简历,然后给自己心仪的职位投递简历。招聘者可以填写自己公司的信息,然后进行认证申请, 申请通过后,就可以进行发布职位,接收求职者投递来简历,并且进行审核和通知。 除此之外,该项目还附带后台管理功能,管理员可以登录后台管系统,进行职位类别添加、管理用户信息、通过审核来更改公司、职位的状态等。 项目功能:注册(引入邮箱验证码功能)、登录、修改密码、按条件查询、填写我的简历、填写公司信息、投递简历、发布职位、接收简历等等功能。 环境需要 1.运行环境:最好是java jdk 1.8,我们在这个平台上运行的。其他版本理论上也可以。 2.IDE环境:IDEA,Eclipse,Myeclipse都可以。推荐IDEA; 3.硬件环境:windows 7/8/10 1G内存以上;或者 Mac OS; 4.数据库:MySql 5.7版本; 5.是否Maven项目:是; 技术
玩转SpringBoot安全管理:SpringSecurity介绍及入门、自定义用户认证及授权管理、MVC Security安全配置介绍(内存和JDBC身份认证实现)
Xmumu_的博客
08-02 2062
进来玩转spring安全管理
Spring Boot整合Spring Security(七)基于内存用户认证
时雨吹雪的博客
02-09 611
关于Spring Security中如何使用内存管理用户名和密码的
SpringBoot SpringSecurity 介绍(基于内存的验证)
最新发布
woisking2的博客
08-25 234
SpringBoot已经为用户采用默认配置,只需要引入pom依赖就能快速启动Spring Security。目的:验证请求用户的身份,提供安全访问优势:基于Spring,配置方便,减少大量代码。
SpringBootSpring Security(2):基于内存实现多用户认证
可耳(keer)的博客
04-08 717
如果饿了就吃,困了就睡,渴了就喝,人生就太无趣了 作者:可耳 更新时间 : 2020年04月07日 源码地址:https://github.com/keer123456789/springbootstudy/tree/master/sercurity_demo_2 1 Spring Security 配置 1.1 创建SecurityConfig配置类 此类继承WebSecurityConf...
springboot整合security(二)之配置内存用户
qq_20780563的博客
07-25 435
maven所需要的依赖上章已经说过这章不做解释 所谓的内存用户就是将用户账号密码写死在代码中,这种方法适合刚接触security的同学,毕竟学习是需要徐徐渐进的嚒。 好了话不多说直接撸代码 1.新建WebSecurityConfig.java 并继承WebSecurityConfigurerAdapter类 代码如下 package com.hutian.security.config; import org.springframework.beans.factory.annotation.Autowir
Spring Security 6.x 系列【2】认证篇之使用数据库存储用户
记录知识、锤炼自我
03-23 4209
用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,支持多种存储机制:内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储本篇文档主要学习使用数据库存储用户信息。
Spring Security4企业权限管理视频教程(三套整合方案)
04-19
Spring Security4教程,该视频课程主要讲解Spring Security4实现用户权限访问控制,Spring Security与SSM,Spring Boot等框架整合使用。学完即可应用与实际的企业开发。
[后端开发] Spring boot Security开发安全的REST服务 视频教程 完整压缩包
01-19
[后端开发] Spring boot Security开发安全的REST服务 视频教程 系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者 我的CSDN博客地址: http://blog.csdn.net/mimica247706624/article/details/78617419
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
Maven构建多项目,如何前后端,B/S A/S分离,代码结构清晰。 SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是老鸟,觉得能得到收获
Spring Security 3多用户登录实现之九 基于持久化存储的自动登录
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1727761
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
IDEA + SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证security过滤请求资源,用户登录获取用户角色权限,过滤用户非法请求等
Springboot+SpringSecurity+JWT实现用户登录和权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录和权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
SpringBoot +JDBC连接Mysql数据库
热门推荐
oyc的博客
07-09 6万+
SpringBoot 使用JDBC连接Mysql数据库     Spring连接Mysql的方式有很多,例如JDBC,Spring JPA,Hibeirnate,Mybatis等,本文主要介绍使用最简单、最底层的JDBC方式来连接Mysql数据库,JDBC连接数据库,主要是注入JdbcTemplate,使用JdbcTemplate来操作数据库。 一、在mysql中的test库中建立user表,...
请帮我用SpringBoot+Spring Security做一个登录拦截的demo
06-01
好的,下面是一个简单的基于 SpringBootSpring Security 的登录拦截 Demo: 1. 首先,需要添加 SpringBootSpring Security 的依赖,例如在 Maven 中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 在 SpringBoot 主类中,添加 `@EnableWebSecurity` 注解和继承 `WebSecurityConfigurerAdapter` 类,并实现其中的 `configure(HttpSecurity http)` 方法,例如: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/secure/**").authenticated() .anyRequest().permitAll() .and() .formLogin().loginPage("/login").defaultSuccessURL("/secure/home").permitAll() .and() .logout().logoutUrl("/logout").logoutSuccessUrl("/login").permitAll(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("admin").password("{noop}123456").roles("USER"); } } ``` 上面的代码中,`@EnableWebSecurity` 注解开启了 Spring Security 的 Web 安全功能。`configure(HttpSecurity http)` 方法定义了 HTTP 请求的安全配置,`.antMatchers("/secure/**").authenticated()` 定义了需要认证的 URL,`.formLogin().loginPage("/login").defaultSuccessURL("/secure/home").permitAll()` 定义了登录页面的 URL 和登录成功后的默认页面,`.logout().logoutUrl("/logout").logoutSuccessUrl("/login").permitAll()` 定义了退出登录后的跳转页面。`configure(AuthenticationManagerBuilder auth)` 方法定义了用户认证方式,这里使用内存中的用户信息。 3. 添加登录页面和安全页面: 在 `login.html` 中,添加登录表单: ```html <form method="post" action="/login"> <input type="text" name="username" placeholder="Username" /> <input type="password" name="password" placeholder="Password" /> <button type="submit">Login</button> </form> ``` 在 `home.html` 中,添加安全页面的内容。 4. 在 application.properties 中添加用户名和密码加密方式: ```properties spring.security.user.password.encoder=noop ``` 这样就完成了一个简单的基于 SpringBootSpring Security 的登录拦截 Demo。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值