Spring Security介绍(二)主要组件(2)

已于 2024-04-27 08:40:27 修改
阅读量507 收藏 7
点赞数 6
分类专栏: SpringSecurity+VUE 文章标签: java
于 2024-01-11 09:58:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/w_t_y_y/article/details/135519714
版权

二、HttpSecurity:

1、作用: 

 HttpSecurity 实际上对应了 Spring Security 命名空间配置方式中 xml 文件内的标签。允许我们为特定的 http 请求配置安全策略。HttpSecurity 首先被设计为链式调用,在执行每个方法后,都会返回一个预期的上下文,便于连续调用,除非使用 and() 方法结束当前标签,上下文才会回到 HttpSecurity ,否则链式调用的上下文将自动进入对应的标签域。

2、主要方法:

 HttpSecurity 提供了很多配置相关的方法,分别对应命名空间配置中的子标签 <http>,如:

(1)authorizeRequests():对应 <intercept-url>标签,该方法实际上返回了一个 URL 拦截注册器,我们可以调用它提供的 anyRequest()、antMatchers() 和 regexMatchers() 等方法来匹配系统的 URL ,并为其指定安全策略。

(2)formLogin():对应<form-login>,formLogin.loginPage("/myLogin.html") 指定自定义的登录页为 /myLogin.html ,同时,Spring Security 会用 /myLogin.html 注册一个 POST 路由,用于接收登录请求。

(3)httpBasic() :对应<http-basic>标签,formLogin() 和 httpBasic() 方法都声明了需要 Spring Security 提供的表单认证方式,分别返回对应的配置器。

(4) csrf() :对应 <csrf>标签 ,是 Spring Security 提供的跨站请求伪造防护功能,当我们继承 WebSecurityConfigurerAdapter 会默认开启 csrf() 方法

三、AuthenticationManager认证

1、介绍:

在前面的拦截器中也介绍了Spring Security中认证是由AuthenticationManager接口来负责的:

public interface AuthenticationManager { 
	Authentication authenticate(Authentication authentication) 
  														throws AuthenticationException;
}

  • 返回 Authentication 表示认证成功

  • 返回 AuthenticationException 异常,表示认证失败。

2、流程

// 调用链
AuthenticationManager.authenticate()  --> ProviderManager.authenticate() --> DaoAuthenticationProvider(AbstractUserDetailsAuthenticationProvider).authenticate()
// 处理
在最后的 authenticate() 方法中,调用了 UserDetailsService.loadUserByUsername() 并进行了密码校验,校验成功就构造一个认证过的 UsernamePasswordAuthenticationToken 对象放入 SecurityContext.

(1)认证入口

AuthenticationManager主要实现类是ProviderManager,这里看下ProviderManager的认证方法

public class ProviderManager implements AuthenticationManager, MessageSourceAware,
		InitializingBean {

	// authenticate 方法
	public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
    	
    	// getProviders() -> debug发现其实就一个 DaoAuthenticationProvider.class
		for (AuthenticationProvider provider : getProviders()) {
            // toTest == UsernamePasswordAuthenticationToken.class
            // 其实就是判断 toTest 是不是UsernamePasswordAuthenticationToken类,成立
			if (!provider.supports(toTest)) {
				continue;
			}

			try {
=========================================================================================
				// 最终 DaoAuthenticationProvider.authenticate()
    			result = provider.authenticate(authentication);
=========================================================================================
}

(2) 

3、使用
3.1、默认配置

springboot 对 security 进行自动配置时自动在工厂中创建一个全局 AuthenticationManager,默认找当前项目中是否存在自定义 UserDetailService 实例 自动将当前项目 UserDetailService 实例设置为数据源。

@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
  @Autowired
  public void initialize(AuthenticationManagerBuilder builder) {
    //builder..
  }
}
3.2、自定义配置 

一旦通过 configure 方法自定义 AuthenticationManager 实现,即覆盖默认配置,该方法需要在实现中指定认证数据源对象 UserDetaiService 实例。

综上,所以我们可以不覆写WebSecurityConfigurerAdapter的configure(AuthenticationManagerBuilder auth)方法,但是一定要实现UserDetaiService来自定义获取用户名密码。不过为了配置下面的passwordEncoder一般还是需要覆写。

四、用户认证服务接口UserDetailsService 

认证数据源

1、介绍:

Spring Security 支持各种来源的用户数据,包括内存、数据库、LDAP 等。它们被抽象为一个 UserDetailsService 接口,任何实现了 UserDetailsService 接口的对象都可以作为认证数据源。在这种设计模式下,Spring Security 显得尤为灵活。

package org.springframework.security.core.userdetails;

public interface UserDetailsService {
    UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException;
}
2、实现类:
(1)InMemoryUserDetailsManager 

将用户数据源寄存在内存里,在一些不需要引入数据库这种重数据源的系统中很有帮助。

(2)JdbcUserDetailsManager:
(3)自定义实现类:

实现UserDetailsService接口。如

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;

@Service("jwtUserService")
public class JwtUserServiceImpl implements UserDetailsService {

    @Autowired
    private UserDOMapper userDOMapper;

    @Autowired
    private UserMenuMapper userMenuMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserDO userDO = userDOMapper.getNonFieldAccountByAccountOrPhone(username);
        if(userDO == null){
            throw new UsernameNotFoundException("用户不存在");
        }
        // 查询用户菜单权限
        List<MenuVO> menuVOList = userMenuMapper.listMenuByAccount(username,);
        return new JwtUser(userDO.getId(),userDO.getAccount()
                userDO.getName(), menuVOList);
    }

}

其中的用户对象也重写了:

package com.security.demo.dto;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.Collection;
import java.util.List;


public class JwtUser implements UserDetails {


    //用户id
    private String id;
    //用户账号
    private String account;
    //用户名
    private String name;
    //菜单
    private List<MenuVO> menuVOList;


    public JwtUser(){

    }

    public JwtUser(String id,String account,String name,List<MenuVO> menuVOList){
        this.id = id;
        this.account = account;
        this.name = name;
        this.menuVOList = menuVOList;
    }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return null;
    }

    @Override
    public String getUsername() {
        return name;
    }

    @Override
    public boolean isAccountNonExpired() {
        return false;
    }

    @Override
    public boolean isAccountNonLocked() {
        return false;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return false;
    }

    @Override
    public boolean isEnabled() {
        return false;
    }
}
 3、使用方法:

只需要为自定义UserDetailsService数据源类加上@bean 注解,便可被 Spring Security 发现并使用。

五、用户对象接口UserDetails 

1、介绍:
2、主要方法
public interface UserDetails extends Serializable {
 
    Collection<? extends GrantedAuthority> getAuthorities();
 
    String getPassword();
 
    String getUsername();
 
    boolean isAccountNonExpired();
 
    boolean isAccountNonLocked();
 
    boolean isCredentialsNonExpired();
 
    boolean isEnabled();
 }

(1)public boolean isAccountNonLocked() :

默认返回的是false,翻译成人话就是:是否不上锁,否,即上锁。上锁在认证时会抛出异常

org.springframework.security.authentication.LockedException: 用户帐号已被锁定

(2) public boolean isEnabled():

返回false,代表账号禁用。

(3)public boolean isAccountNonExpired()

返回false,代表账号过期。

3、使用方法:

使用时一般实现UserDetails,自定义业务字段即可。如上面的JWTUser。

六、密码编码器接口PasswordEncoder 

1、作用:

设置密码加密方式,明文 / 密文。

2、使用

如果用户登陆,表单输入的密码为明文,会抛出异常,即使UserDetailsService返回UserDetails时不返回密码也会抛异常:

需要在WebSecurityConfig的

configure(AuthenticationManagerBuilder auth)

中配置passwordEncoder对密码的处理方式:

2.1、设置加密:
2.2、设置明文:

设置可以使用明文密码

 @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
 
        auth.userDetailsService(userDetailsService).passwordEncoder(new MyPasswordEncoder());
 
    }



import org.springframework.security.crypto.password.PasswordEncoder;
 
public class MyPasswordEncoder implements PasswordEncoder {
 
    @Override
    public String encode(CharSequence charSequence){
        return charSequence.toString();
    }
 
    @Override
    public boolean matches(CharSequence charSequence,String s){
        return s.equals(charSequence.toString());
    }
}

注意:设置了PasswordEncoder ,因为涉及到pasword参数的引用,所以UserDetails的

public String getPassword()方法需要返回password参数,否则会报空指针。
w_t_y_y
关注
  • 6
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件
Spring-Security:安全攻击对策
05-13
Spring Security模块配置 模组名称 解释 Spring安全核心 由核心组件组成,以实现身份验证和授权功能 Spring安全网 包含实现Web应用程序安全功能的组件 弹簧安全配置 由组件组成,以支持每个模块提供的组件配置(支持...
SpringSecuryty中的常用配置类
CHENFU_ZKK的博客
10-14 824
SpringSecuryty中的常用配置类
SpringSecurity的配置类
victoyr的博客
03-12 3782
@EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法安全设置 public class SecurityConfig extends WebSecurityConfigurerAdapter { private static final String KEY = "edward"; @...
SpringBoot3】Spring Security 常用配置总结
最新发布
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 1926
1、记住我 rememberMe 2、退出处理 3、持久化登录令牌 4、并发登录控制,后登录踢掉前面登录 5、主动踢人下线 6、允许跨域处理 7、跨域攻击防护
SpringSecurity安全框架(配置类版)
武汉小喽啰
07-18 3258
1. 前言 1.1SpringSecurity 框架用法简介 用户登录系统时我们协助 SpringSecurity 把用户对应的角色、权限组装好,同时把各个 资源所要求的权限信息设定好,剩下的“登录验证”、“权限验证”等等工作都交给 SpringSecurity 1.2权限管理过程中的相关概念 1.2.1 主体 英文单词:principal 使用系统的用户或设备或从其他系统远程登录的用户等等。简单说就是谁使用系统 谁就是主体 1.2.2认...
SpringSecurity配置类--常用配置
qq_52211542的博客
10-07 3235
SpringSecurity配置类--常用配置
WebSecurityConfigurerAdapter详解
热门推荐
wh柒八九的博客
10-18 7万+
本文来详细说下security中的WebSecurityConfigurerAdapter 文章目录概述 概述
浅谈 SpringSecurity使用方式——WebSecurityConfigurerAdapter的三大方法(二)
小爽帅到拖网速的博客
09-10 1万+
上一章节我们简单介绍SpringSecurity使用方式及自动配置原理,这一节我们会着重阐述SpringSecurity的配置,并且会基于配置类WebSecurityConfigurerAdapter的三个方法的使用方式及原理向大家介绍 2.4、基于配置类WebSecurityConfigurerAdapter 创建 WebSecurityConfig配置类,继承 WebSecurityConfigurerAdapter抽象类,实现 Spring Security在 Web 场景下的自定义配置。 @Con
关于Spring Boot 2.7后WebSecurityConfigurerAdapter的过期问题,SpringSecurity的最新最全配置
m0_61346425的博客
11-29 1850
进入springboot 2.7 后,一个重要的类WebSecurityConfigurerAdapter过期了。
Spring Security】—— WebSecurityConfigurerAdapter
qq_33471737的博客
06-20 3879
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurityConfigurerAdapter 继承关系图 Adapter 谷歌翻译:n. 【机】转接器 【网络】 适配器;适配器模式;接头。通过类名了解功能:我的理解,这个类是一个Web应用安全配置“接头”,及用户可通过这个“接头”接到自己的配置,也就是用户可以利用这个类来定制化安全配置。 SecurityBuilder 接口 对这个接口暂时没有细看,先根据官网了解了一下这个接口想要实
Spring Security 配置类
2301_76424979的博客
06-05 333
【代码】Spring Security 配置类。
Spring Security
05-05
Spring Security是什么? 历史 发布版本号 Getting Spring Security Spring Security 4.1新特性 Java 配置提升 Web应用程序安全性提升 授权改进 密码模块的改进 测试的改进 一般的改进 样品和指南 (Start Here) Java ...
SpringSecurity的Web应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题时,通常会采用两个非常流行的安全框架,Shiro和SpringSecurity。Shiro配置简单,上手快,满足一般应用的安全需求,但是...本文将介绍SpringSecurity的架构设计、核心组件,在
spring security 参考手册中文版
02-01
2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 Gradle存储库 23 使用Spring 4.0.x和Gradle 24 2.4.3...
SpringSecurity的配置
qq_45733154的博客
10-19 8020
SpringSecurity配置与使用
SpringBoot - WebSecurityConfigurerAdapter的作用是什么?
记录并分享
08-11 4081
Spring Security提供了一个抽象类WebSecurityConfigurerAdapter,它实现了默认的认证和授权,允许用户自定义一个WebSecurity类,重写其中的三个configure来实现自定义的认证和授权。
Spring Security : HTTP请求安全构建器 HttpSecurity
Details Inside Spring
05-13 5178
HttpSecuritySpring Security Config用于配置http请求安全控制的安全构建器(类似于Spring Security XML配置中的http命名空间配置部分),它的构建目标是一个SecurityFilterChain,实现类使用DefaultSecurityFilterChain。该目标SecurityFilterChain最终会被Spring Security的安...
怎么介绍SpringSecurity
08-23
Spring Security 是一个功能强大且灵活的身份验证和访问控制框架,专门为 Java 应用程序提供安全性。它为应用程序提供了一套丰富的安全功能,包括身份验证、授权、密码管理、会话管理等。 Spring Security 提供了一...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

w_t_y_y

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值