java web安全框架_7.1 SpringSecurity安全框架

最新推荐文章于 2021-03-15 09:55:00 发布
最新推荐文章于 2021-03-15 09:55:00 发布
阅读量189 收藏
点赞数
文章标签: java web安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33602738/article/details/114391431
版权

一.SpringSecurity概述

1.什么是安全

在web开发中,安全第一位!之前使用的过滤器和拦截器都是为了安全的目的。

不是网站的功能性需求

应该在网站设计之初就考虑安全,防止隐私泄露等安全问题

shiro、SpringSecurity框架:除了类不同和名字不一样,基本很像都是认证和授权等。

2.Spring Security简介

(1)SpringSecurity是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。

(2)几个重要的类

WebSecurityConfigurerAdapter:自定义Security策略

AuthenticationManagerBuilder:自定义认证策略

@EnableWebSecurity:开启WebSecurity模式,@Enablexxxx开启某个功能

(3)SpringSecurity的两个主要目标是“认证”和“授权”(访问控制)

“认证”(Authentication)

“授权”(Authorization)

这个概念是通用的,而不是只在SpringSecurity中存在

(4)springsecurity网址

官网:https://spring.io/projects/spring-security

JavaConfig配置:https://docs.spring.io/spring-security/site/docs/5.2.2.RELEASE/reference/htmlsingle/#jc

3.使用Spring Security

(0)步骤:项目根据用户权限显示不同权限用户所能见的内容

新建springboot项目,添加springmvc,springsecurity,thymeleaf等模块(略)

pom.xml导入依赖thymeleaf-extras-springsecurity5

导入静态资源和页面并配置管理thymeleaf缓存

编写路由控制器

以Java Config方式编写配置文件

前端页面使用thymeleaf-extras-springsecurity5

测试

(1)pom.xml导入依赖thymeleaf-extras-springsecurity5

thymeleaf-extras-springsecurity5是thymeleaf和springsecurity所整合的包

org.thymeleaf.extras

thymeleaf-extras-springsecurity5

3.0.4.RELEASE

(2)导入静态资源和页面并配置管理thymeleaf缓存

8da23989fe1103ce4ad75b5651591ff4.png

spring.thymeleaf.cache=false

(3)编写路由控制器

建立controller文件夹并在其下建立RouterController.java

1 importorg.springframework.stereotype.Controller;2 importorg.springframework.web.bind.annotation.PathVariable;3 importorg.springframework.web.bind.annotation.RequestMapping;4

5 @Controller6 public classRouterController {7

8 @RequestMapping({"/", "/index"})9 publicString index() {10 return "index";11 }12

13 @RequestMapping("/toLogin")14 publicString toLogin() {15 return "views/login";16 }17

18 @RequestMapping("/level1/{id}")19 public String level1(@PathVariable("id") intid) {20 return "views/level1/" +id;21 }22

23 @RequestMapping("/level2/{id}")24 public String level2(@PathVariable("id") intid) {25 return "views/level2/" +id;26 }27

28 @RequestMapping("/level3/{id}")29 public String level3(@PathVariable("id") intid) {30 return "views/level3/" +id;31 }32 }

(4)以Java Config方式编写配置文件

在controller同一级添加config文件夹并在其下建立SecurityConfig.java文件

重写授权方法:

此处设置了四个授权:首页所有人可访问,level1目录下的页面等级vip1可访问,level2目录下的页面等级vip2可访问,level3目录下的页面等级vip3可访问

如果没有权限访问默认跳转到springsecurity的登陆页面

定义登出页面为首页

关闭跨站脚本攻击

重写认证方法

设置了三个用户以及这三个用户的权限

1 importorg.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;2 importorg.springframework.security.config.annotation.web.builders.HttpSecurity;3 importorg.springframework.security.config.annotation.web.configuration.EnableWebSecurity;4 importorg.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;5 importorg.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;6

7 //AOP

8 @EnableWebSecurity9 public class SecurityConfig extendsWebSecurityConfigurerAdapter {10

11 //授权

12 @Override13 protected void configure(HttpSecurity http) throwsException {14

15

16 //首页所有人可以访问,功能页只有对应有权限的人才可以访问17 //请求授权的规则,链式编程

18 http.authorizeRequests()19 .antMatchers("/").permitAll()20 .antMatchers("/level1/**").hasRole("vip1")21 .antMatchers("/level2/**").hasRole("vip2")22 .antMatchers("/level3/**").hasRole("vip3");23

24 //没有权限默认会到登录页面,需要开启登录的页面login

25 http.formLogin();26

27 //注销,开启注销功能,注销后会跳转到/logout28 //可以清空Cookie和Session29 //http.logout().deleteCookies("remove").invalidateHttpSession(true);

30 http.logout().logoutSuccessUrl("/");31

32 //防止跨站脚本攻击关闭

33 http.csrf().disable();34 }35

36 //认证,在Spring Security 5.0+中需要对密码加密passwordEncoder

37 @Override38 protected void configure(AuthenticationManagerBuilder auth) throwsException {39

40 //这些数据正常从数据库中读,此处使用inMemoryAuthentication从内存中读

41 auth.inMemoryAuthentication().passwordEncoder(newBCryptPasswordEncoder())42 .withUser("wzh").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")43 .and()44 .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")45 .and()46 .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");47 }48 }

(5)前端页面使用thymeleaf-extras-springsecurity5

定义命名空间: xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4"

判断是否登录: sec:authorize="!isAuthenticated()"

获得登录用户名: sec:authentication="name"

获得登录用户权限: sec:authentication="principal.authorities"

判断是否有xxx权限: sec:authorize="hasRole('vip1')"

首页

首页

登录

塔塔君Minkun
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
shiro 和 springsecurity_web应用安全框架选型:Spring Security与Apache Shiro
weixin_39616287的博客
01-21 257
一、 SpringSecurity 框架简介官网:https://projects.spring.io/spring-security/源代码: https://github.com/spring-projects/spring-security/Spring Security 是强大的,且容易定制的,基于Spring开发的实现认证登录与资源授权的应用安全框架SpringSecurity 的核心...
spring security 参考手册中文版
02-01
Web - spring-security-web.jar 25 配置 - spring-security-config.jar 26 LDAP - spring-security-ldap.jar 26 ACL - spring-security-acl.jar 26 CAS - spring-security-cas.jar 26 OpenID - spring-security-...
java安全框架作用,Shiro安全框架
weixin_39973416的博客
03-15 185
Shiro安全框架,什么是Shiroshiro是一个强大易用的java安全框架,执行身份校验,授权,密码和会话管理。使用shiro的API。可以轻松的快速的获得任何应用程序,从最小移动程序到最大的网络和企业应用程序。shiro的首要目标就是易于理解和使用,安全有时候是很复杂的,甚至是痛苦的,但是没有必要这样。框架的作用就是尽可能的掩盖复杂的地方,暴露出可以直接使用的直观的API,来简化开发人员在...
SPRING SECURITY JAVA配置:Web Security
飞鸟
03-02 2135
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。 Hello Web Security 在这个部分,我们对一个基于websecurity作一些基本的配置。可以分成四个部分: 更新依赖 – 我们已经在前一篇文章中用Mav
Javaweb安全框架之Shiro基础知识
qq_43060759的博客
05-19 710
综述:之前做过一些小项目,都是手动进行安全和权限验证,相当的麻烦,而且权限验证又是实际开发时必不可少的步骤,因此我们可以借助一些框架来实现,今天开始学习Shiro权限框架 一、Shiro简介 Apache Shiro 是 Java 的一个安全框架,Shiro 可以帮助我们完成:认证、授权、加密、会话管理、与 Web 集成、缓存等。这不就是我们想要的嘛,而且 Shiro 的 API 也是非常简单;其...
Java Web:主动和被动方式检测安全框架
weixin_34162401的博客
02-05 128
对于某些敏感的系统例如支付、交易需要为其加固,有必要将可能的攻击情况考虑进来加以防范,于是有了这么一个简易的安全框架。在前辈的代码上( 详见 :http://blog.csdn.net/zhongweijian/article/details/8680737)我大幅度重构,更好地理解 Java Web 安全实施措施。 源代码在:http://git.os...
Spring Security 中文教程.pdf
12-06
Web - spring-security-web.jar 1.4.1.3. Config - spring-security-config.jar 1.4.1.4. LDAP - spring-security-ldap.jar 1.4.1.5. ACL - spring-security-acl.jar 1.4.1.6. CAS - spring-security-cas-...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
Web - spring-security-web.jar 1.4.1.3. Config - spring-security-config.jar 1.4.1.4. LDAP - spring-security-ldap.jar 1.4.1.5. ACL - spring-security-acl.jar 1.4.1.6. CAS - spring-security-cas-...
Spring Security-3.0.1中文官方文档(翻译版)
03-08
Web - spring-security-web.jar 1.4.1.3. Config - spring-security-config.jar 1.4.1.4. LDAP - spring-security-ldap.jar 1.4.1.5. ACL - spring-security-acl.jar 1.4.1.6. CAS - spring-security-cas-...
SpringBoot(2.0.5)+MybatisPlus(3.0.7)项目骨架,支持SpringSecurity+.zip
最新发布
02-04
- **安全框架**:SpringSecurity是一个强大的且高度可定制的身份验证和访问控制框架,用于保护Web应用。 - **身份验证**:支持多种认证方式,如用户名/密码、OAuth2、JWT等。 - **授权**:基于角色的访问控制...
Security 安全框架
07-14
Spring restful + My Batis 里面有一个实体,自己创建即可运行。 安全框架入门,
Javaweb各种基础框架
08-20
总计50G,包括的基础框架Spring+SpringMVC+MyBatis+MySQL+Redis+Oracle+Struct+Hibernate都是最新的框架使用和学习(2018年出的视频),资源中内含相关软件和开发包。以及三个实战项目。一套学完,牛逼哄哄
统一WEB系统中的安全权限模块设计
06-30
为了统一WEB系统中的安全权限模块,以满足不同系统用户的需求并将该模块部分设计成统一的、稳定的、标准的、功能完善的后台配置权限管理工具,降低多个软件项目及多个项目组的开发成本、维护成本、项目实施成本,项目管理成本,提高工作效率,节省开发周期及开发费用投入,减少相应的测试维护改进功能的时间成本,同时可以减少由于开发人员变动带来的项目风险。通过不断对其完善,力争形成一套通用、灵活、完全可复用且易嵌入应用系统的组件模块。
使用SpringSecurity完成JavaWeb应用的登录与退出
tsxiong123的博客
07-02 828
1.SpringSecurity的概述 Spring Security 是一个专注于向 Java 应用程序提供身份验证和授权的安全框架,与所有 Spring 项目一样,Spring Security 的真正优势在于它可以很容易地扩展以满足定制需求。目前,Spring SecuritySpring 官网的顶级项目,与 spring boot、spring data、spring cloud 等...
JAVA安全控制框架 —— Shiro
X-rapido的专栏
04-05 2862
查看原文:http://ibloger.net/article/126.htmlApache Shiro官网:http://shiro.apache.org/什么是Shiro? Apache组织下的名媛 —— Shiro 一个强大且易用的轻量级Java安全框架, 执行身份验证(Authentication)、(Authorization)授权、(Cryptography)
简单web安全框架
dawuafang
03-16 221
web安全框架,主要用servlet filter方式覆盖httpServletRequest和HttpServletResponse方式增加一些输入输出的过滤,github地址:https://github.com/zhwj184/webSecurity 主要实现的安全包括: XSS过滤(获取用户输入参数和参数值进行XSS过滤,对Header和cookie ...
Java框架安全
Exploit的小站~
05-10 8624
(一)Mybatis注入问题 Mybatis是目前比较常用的ORM的框架,一般与SpringMVC框架整合较多,但使用不当会有SQL注入的风险。 Mybatis里mapper中SQL语句的写法支持两种形式的占位符,一种是#{value}一种是${value}. 使用#进行占位时,如: <selectid="selectUsername"resultType="com.example....
java web安全 架构师_Java架构师方案——Spring Security(一)快速入门(附完整项目代码)...
weixin_31763817的博客
02-24 109
1. 导读1.读完这篇文章你将免费获得一个SpringSecurity测试demo项目源码(可直接运行)。2.你将学到如何快速创建一个SpringSecurity项目,实现简单的登入功能,很方便的集成到Springboot项目。3.查看demo项目的运行测试效果,更具体地了解SpringSecurity功能。。2. 快速认识Spring Security什么是Spring SecuritySpri...
ilspy_binaries_7.1.0.6543
08-31
ilspy_binaries_7.1.0.6543是一个软件工具,用于反编译和分析.NET框架下的可执行文件和程序集。通过使用这个工具,用户可以查看和理解编译后的代码,以获得关于程序运行的更多信息。 ilspy_binaries_7.1.0.6543是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值