Spring Security介绍(一)

已于 2024-04-26 16:52:59 修改
阅读量802 收藏 8
点赞数 8
分类专栏: SpringSecurity+VUE 文章标签: spring java 后端
于 2024-01-10 15:23:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_t_y_y/article/details/135504650
版权

  一、Spring Security:

1、简介:

Spring Security 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。

1.1、用户认证:

指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。

1.2、用户授权:

指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。

此外,Spring Security自动为我们做了安全防护。

安全这一块从来都有说不完的话题,一个简单的注册登录很好做,但是你要是考虑到各种各样的攻击,XSS、CSRF 等等,一个简单的注册登录也能做的很复杂。幸运的是,即使你对各种攻击不太熟悉,只要你用了 Spring Security,就能自动避免掉很多攻击了,因为 Spring Security 已经自动帮我们完成很多防护了。

2、结构:

通过继承

org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter

实现权限配置,登录验证成功后初始化org.springframework.security.core.userdetails.UserDetails,存储当前登录用户。默认(可缺省)登录接口:/login。

Spring Security其实就是用filter,多请求的路径进行过滤。

(1)如果是基于Session,那么Spring-security会对cookie里的sessionid进行解析,找到服务器存储的sesion信息,然后判断当前用户是否符合请求的要求。

(2)如果是token,则是解析出token,然后将当前请求加入到Spring-security管理的权限信息中去。

如果系统的模块众多,每个模块都需要就行授权与认证,所以我们选择基于token的形式进行授权与认证,用户根据用户名密码认证成功,然后去数据库获取当前用户角色的一系列权限值,并以用户名为key,权限列表为value的形式存入redis缓存中,根据用户名相关信息生成token返回,浏览器将token记录到cookie中,每次调用api接口都默认将token携带到header请求头中,Spring-security解析header头获取token信息,解析token获取当前用户名,根据用户名就可以从redis中获取权限列表,这样Spring-security就能够判断当前请求是否有权限访问。

二、 spring security 依赖:

1、pom依赖:
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>2.1.14.RELEASE</version>
	</parent>
	
	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-aop</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
		</dependency>
	</dependencies>
 
	<build>
		<plugins>
			<plugin>
				<groupId>org.apache.maven.plugins</groupId>
				<artifactId>maven-compiler-plugin</artifactId>
				<configuration>
					<source>1.8</source>
					<target>1.8</target>
				</configuration>
			</plugin>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
			</plugin>
		</plugins>
	</build>
2、springBoot 和 spring security 版本对应关系:

springboot 版本     spring security版本
2.3.12.RELEASE    5.3.9.RELEASE
2.3.11.RELEASE    5.3.9.RELEASE
2.3.10.RELEASE    5.3.9.RELEASE
2.3.9.RELEASE    5.3.8.RELEASE
2.3.8.RELEASE    5.3.6.RELEASE
2.3.7.RELEASE    5.3.6.RELEASE
2.3.6.RELEASE    5.3.5.RELEASE
2.3.5.RELEASE    5.3.5.RELEASE
2.3.4.RELEASE    5.3.4.RELEASE
2.3.3.RELEASE    5.3.4.RELEASE
2.3.2.RELEASE    5.3.3.RELEASE
2.3.1.RELEASE    5.3.3.RELEASE
2.3.0.RELEASE    5.3.2.RELEASE
2.2.13.RELEASE    5.2.8.RELEASE
2.2.12.RELEASE    5.2.8.RELEASE
2.2.11.RELEASE    5.2.7.RELEASE
2.2.10.RELEASE    5.2.6.RELEASE
2.2.9.RELEASE    5.2.5.RELEASE
2.2.8.RELEASE    5.2.5.RELEASE
2.2.7.RELEASE    5.2.4.RELEASE
2.2.6.RELEASE    5.2.2.RELEASE
2.2.5.RELEASE    5.2.2.RELEASE
2.2.4.RELEASE    5.2.1.RELEASE
2.2.3.RELEASE    5.2.1.RELEASE
2.2.2.RELEASE    5.2.1.RELEASE
2.2.1.RELEASE    5.2.1.RELEASE
2.2.0.RELEASE    5.2.0.RELEASE
2.1.18.RELEASE    5.1.13.RELEASE
2.1.17.RELEASE    5.1.12.RELEASE
2.1.16.RELEASE    5.1.11.RELEASE
2.1.15.RELEASE    5.1.11.RELEASE
2.1.14.RELEASE    5.1.10.RELEASE
2.1.13.RELEASE    5.1.8.RELEASE
2.1.12.RELEASE    5.1.7.RELEASE
2.1.11.RELEASE    5.1.7.RELEASE
2.1.10.RELEASE    5.1.7.RELEASE
2.1.9.RELEASE    5.1.6.RELEASE
2.1.8.RELEASE    5.1.6.RELEASE
2.1.7.RELEASE    5.1.6.RELEASE
2.1.6.RELEASE    5.1.5.RELEASE
2.1.5.RELEASE    5.1.5.RELEASE
2.1.4.RELEASE    5.1.5.RELEASE
2.1.3.RELEASE    5.1.4.RELEASE
2.1.2.RELEASE    5.1.3.RELEASE
2.1.1.RELEASE    5.1.2.RELEASE
2.1.0.RELEASE    5.1.1.RELEASE
2.0.9.RELEASE    5.0.12.RELEASE
2.0.8.RELEASE    5.0.11.RELEASE
2.0.7.RELEASE    5.0.10.RELEASE
2.0.6.RELEASE    5.0.9.RELEASE
2.0.5.RELEASE    5.0.8.RELEASE
2.0.4.RELEASE    5.0.7.RELEASE
2.0.3.RELEASE    5.0.6.RELEASE
2.0.2.RELEASE    5.0.5.RELEASE
2.0.1.RELEASE    5.0.4.RELEASE
2.0.0.RELEASE    5.0.3.RELEASE
1.5.22.RELEASE    4.2.13.RELEASE
1.5.21.RELEASE    4.2.12.RELEASE
1.5.20.RELEASE    4.2.12.RELEASE
1.5.19.RELEASE    4.2.11.RELEASE
1.5.18.RELEASE    4.2.10.RELEASE
1.5.17.RELEASE    4.2.9.RELEASE
1.5.16.RELEASE    4.2.8.RELEASE
1.5.15.RELEASE    4.2.7.RELEASE
1.5.14.RELEASE    4.2.7.RELEASE
1.5.13.RELEASE    4.2.6.RELEASE
1.5.12.RELEASE    4.2.5.RELEASE
1.5.11.RELEASE    4.2.5.RELEASE
1.5.10.RELEASE    4.2.4.RELEASE
1.5.9.RELEASE    4.2.3.RELEASE
1.5.8.RELEASE    4.2.3.RELEASE
1.5.7.RELEASE    4.2.3.RELEASE
1.5.6.RELEASE    4.2.3.RELEASE
1.5.5.RELEASE    4.2.3.RELEASE
1.5.4.RELEASE    4.2.3.RELEASE
1.5.3.RELEASE    4.2.2.RELEASE
1.5.2.RELEASE    4.2.2.RELEASE
1.5.1.RELEASE    4.2.1.RELEASE
1.5.0.RELEASE    4.2.1.RELEASE
1.4.7.RELEASE    4.1.4.RELEASE
1.4.6.RELEASE    4.1.4.RELEASE
1.4.5.RELEASE    4.1.4.RELEASE
1.4.4.RELEASE    4.1.4.RELEASE
1.4.3.RELEASE    4.1.4.RELEASE
1.4.2.RELEASE    4.1.3.RELEASE
1.4.1.RELEASE    4.1.3.RELEASE
1.4.0.RELEASE    4.1.1.RELEASE
1.3.8.RELEASE    4.0.4.RELEASE
1.3.7.RELEASE    4.0.4.RELEASE

 三、核心组件:

1、Authentication 认证:

Authentication接口就是用来携带认证信息的。认证信息包括用户身份信息,密码,及权限列表等;

2、UsernamePasswordAuthenticationFilter:

账号密码认证过滤器,用于认证用户信息,认证方式是由 AuthenticationManager 接口提供。

3、AuthenticationManager:

认证管理器,是认证相关的核心接口,也是发起认证的出发点。实际业务中可能根据不同的信息进行认证,所以Spring推荐通过实现 AuthenticationManager 接口来自定义自己的认证方式。Spring 提供了一个默认的实现 ProviderManager。

4、ProviderManager:

认证提供者管理器,该类中维护了一个认证提供者列表,只要这个列表中的任何一个认证提供者提供的认证方式认证通过,认证就结束。

5、AuthenticationProvider:

认证提供者,这是一个接口,具体如何认证,就看如何实现该接口。Spring Security 提供了 DaoAuthenticationProvider 实现该接口,这个类就是使用数据库中数据进行认证。

6、UserDetailsService:

根据用户名获取用户详细信息

7、UserDetails:

用户的详细信息,主要用于登录认证。

8、SecurityContextHolder:

是最基本的对象,它负责存储当前 SecurityContext 信息。SecurityContextHolder默认使用 ThreadLocal 来存储认证信息,意味着这是一种与线程绑定的策略。在Web场景下的使用Spring Security,在用户登录时自动绑定认证信息到当前线程,在用户退出时,自动清除当前线程的认证信息。

9、SecurityContext:

负责存储认证通过的用户信息(Authentication对象),保存着当前用户是什么,是否已经通过认证,拥有哪些权限等等。

10、AuthenticationSuccessHandler:

主要用于认证成功后的处理,比如返回页面或者数据。

11、AuthenticationFailureHandler:

主要用于认证失败后的处理,比如返回页面或者数据。

12、AccessDecisionManager:

主要用于实现权限,决定请求是否具有访问的权限。

13、AccessDeniedHandler:

主要用于无权访问时的处理
 

w_t_y_y
关注
  • 8
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Maven依赖的移除以SpringSecurity为例
Mingyue_hurt的博客
03-17 392
本篇博客仅记录作者解决这个问题的流程,希望能给同样遇到这个问题的朋友一些帮助。欢迎前辈批评指正,解决疑惑!!😀😀。
MavenSpring Security
最佳 Java 编程
05-15 1540
1.概述 本文将说明如何使用Maven设置Spring Security,并介绍使用Spring Security依赖项的特定用例。 最新的Spring Security版本可以在Maven Central上找到。 这是上一篇有关MavenSpring的后续文章 ,因此对于非安全性Spring依赖项,这是开始的地方。 2.使用MavenSpring Security 2.1。 S...
新版SpringSecurity5.x使用与配置
最新发布
Alphamilk的博客
07-21 1579
了解SpringSecurity,并进行简单使用与配置
Spring SecurityMaven教程
最佳 Java 编程
06-08 2867
1.简介 在这篇文章中,我们将演示如何针对非常特定的用例将Maven依赖项用于Spring Security。 我们使用的所有库的最新版本都可以在Maven Central上找到。 在项目中,了解Maven依赖项的工作方式和管理方式对于有效的构建周期非常重要,并且对于我们在项目中使用的各种库之间的版本之间应有清晰的定义,这很重要。 这是由于我们经常在多个项目中重复一组依赖项的原因,并且当...
SpringSecuritymaven项目中的应用
mycsdnhh的博客
05-31 1764
1.导入坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <version>5.0.5.RELEASE</version> <dependency> <groupId>
SpringSecurity中文文档(前置-Maven导入SpringSecurity
znjy111的博客
06-13 952
SpringSecurity中文文档(前置-Maven导入SpringSecurity
使用Maven构建Spring Security应用
weixin_30835923的博客
05-17 166
1.概述 本文将解释如何使用Maven构建Spring Security应用程序。将讨论使用Spring Security依赖项的特定用例。最新的Spring Security版本可以在Maven Central上找到。 这是前一篇SpringMaven文章的后续内容,因此对于非安全性的Spring依赖项,这是开始的地方。 2. MavenSpring Security 2.1. spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
Spring Security 自动踢掉前一个登录用户的实现代码
08-19
Spring Security 自动踢掉前一个登录用户的实现代码 Spring Security 是一个功能强大且流行的 Java 认证和授权框架,提供了许多实用的功能来保护 Web 应用程序。今天,我们将探讨如何使用 Spring Security 实现自动...
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBoot、SpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
maven spring security框架搭建
06-02
maven spring-security框架搭建
Spring Security 新手入门级maven实例
07-02
官方spring-security-samples-tutorial 实例;maven工程 导入后工程科直接运行。角色账户放于applicationContext-security.xml
spring security maven 例子
09-07
spring security 官方的 maven 例子
springmvc4.1+spring4.1+mybatis3.2+spring-security3.2的maven环境搭建
12-21
最近项目中用到了ssi+spring-security 的结构,自己在家搭建了一下这套环境。仅作记录。
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1260
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
Maven项目 springsecurity配置
zhangxiaoyuBK的博客
06-03 1689
**Spring Security简介** Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Depende...
Spring Security权限框架的简易入门
Tiger_Paul的博客
04-13 402
Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。
springsecurity介绍
04-15
Spring Security是一个基于Spring框架的安全性解决方案,用于保护Java应用程序的安全性。它提供了一套全面的安全性功能,包括身份验证、授权、密码管理和会话管理等。 Spring Security的主要特点包括: 1. 身份...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_t_y_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值