java security 详解_Spring和Security整合详解

最新推荐文章于 2024-05-09 14:34:12 发布
最新推荐文章于 2024-05-09 14:34:12 发布
阅读量451 收藏
点赞数
文章标签: java security 详解
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36365795/article/details/114553629
版权

Spring和Security整合详解

官方主页

概述

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

Git地址:

Gitee

品茗IT:提供在线快速构建Spring项目工具。

开始搭建

依赖Jar包

org.springframework.security

spring-security-core

${spring.security.version}

org.springframework.security

spring-security-web

${spring.security.version}

org.springframework.security

spring-security-config

${spring.security.version}

Security的安全配置

Spring整合Security需要配置Security的安全控制策略,这里先以form登录控制为例,后面文章会讲token系列。

FormSecurityConfig依赖于其他组件,后面会一一列出:

package com.cff.springwork.security.config;

import javax.servlet.http.HttpServletRequest;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.beans.factory.annotation.Qualifier;

import org.springframework.context.annotation.Configuration;

import org.springframework.security.authentication.AuthenticationDetailsSource;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;

import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;

import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

import org.springframework.security.web.authentication.WebAuthenticationDetails;

import com.cff.springwork.security.ajax.AjaxAuthFailHandler;

import com.cff.springwork.security.ajax.AjaxAuthSuccessHandler;

import com.cff.springwork.security.ajax.AjaxLogoutSuccessHandler;

import com.cff.springwork.security.ajax.UnauthorizedEntryPoint;

import com.cff.springwork.security.service.SimpleAuthenticationProvider;

@EnableWebSecurity

public class FormSecurityConfig {

@Configuration

public static class FormLoginWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {

@Autowired

private SimpleAuthenticationProvider simpleAuthenticationProvider;

@Autowired

@Qualifier("formAuthenticationDetailsSource")

private AuthenticationDetailsSource authenticationDetailsSource;

@Autowired

public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {

auth.authenticationProvider(simpleAuthenticationProvider);

}

@Override

public void configure(HttpSecurity http) throws Exception {

http.csrf().disable().exceptionHandling()

.authenticationEntryPoint(new UnauthorizedEntryPoint())

.and().headers()

.frameOptions().disable().and().authorizeRequests()

.antMatchers("/favicon.ico").permitAll()

.antMatchers("/login").permitAll()

.antMatchers("/login.html").permitAll()

.antMatchers("/css/**").permitAll()

.antMatchers("/pub/**").permitAll()

.antMatchers("/user/**").hasAnyRole("USER","ADMIN")

.anyRequest().authenticated()

.and()

.formLogin()

.usernameParameter("userName").passwordParameter("userPwd")

.authenticationDetailsSource(authenticationDetailsSource)

.loginProcessingUrl("/login")

.successHandler(new AjaxAuthSuccessHandler())

.failureHandler(new AjaxAuthFailHandler())

.and()

.logout()

.logoutUrl("/logout").logoutSuccessHandler(new AjaxLogoutSuccessHandler());

}

}

}

Security的校验逻辑

SimpleAuthenticationProvider对form登录校验做了简单的控制:

package com.cff.springwork.security.service;

import java.util.Collection;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.authentication.AuthenticationProvider;

import org.springframework.security.authentication.BadCredentialsException;

import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;

import org.springframework.security.core.Authentication;

import org.springframework.security.core.AuthenticationException;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.stereotype.Component;

import org.springframework.util.StringUtils;

import com.cff.springwork.security.detail.FormAddUserDetails;

import com.cff.springwork.security.detail.FormUserDetails;

@Component

public class SimpleAuthenticationProvider implements AuthenticationProvider {

@Autowired

private FormUserDetailsService formUserDetailsService;

@Override

public Authentication authenticate(Authentication authentication) throws AuthenticationException {

// 验证码等校验

FormAddUserDetails details = (FormAddUserDetails) authentication.getDetails();

System.out.println(details.getToken() + "+++++++++++++++++" + details.getSessionToken());

if (!details.getIsAjax() && !StringUtils.isEmpty(details.getSessionToken())) {

if (!details.getToken().equalsIgnoreCase(details.getSessionToken())) {

throw new BadCredentialsException("验证码错误。");

}

}

// 用户名密码校验

FormUserDetails formUserDetails = (FormUserDetails) formUserDetailsService

.loadUserByUsername(authentication.getName());

System.out.println(authentication.getName() + "+++++++++++++++++" + authentication.getCredentials());

if (!formUserDetails.getUserName().equals(authentication.getName())

|| !formUserDetails.getPassword().equals(authentication.getCredentials())) {

throw new BadCredentialsException("用户名或密码错误。");

}

Collection extends GrantedAuthority> authorities = formUserDetails.getAuthorities();

return new UsernamePasswordAuthenticationToken(formUserDetails.getUsername(), formUserDetails.getPassword(),

authorities);

}

@Override

public boolean supports(Class> arg0) {

return true;

}

}

这里用到了两个实体FormAddUserDetails和FormUserDetails,分别是额外信息处理实体和校验实体,下面会介绍下两个实体。

SimpleAuthenticationProvider控制校验,需要数据库配合查询用户名密码,和前台传过来的用户名密码做对比,因此,需要一个UserDetailsService:

FormUserDetailsService:

package com.cff.springwork.security.service;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.security.core.userdetails.UserDetails;

import org.springframework.security.core.userdetails.UserDetailsService;

import org.springframework.security.core.userdetails.UsernameNotFoundException;

import org.springframework.stereotype.Service;

import com.cff.springwork.model.security.AppUser;

import com.cff.springwork.mybatis.service.AppUserService;

import com.cff.springwork.security.detail.FormUserDetails;

@Service("formUserDetailsService")

public class FormUserDetailsService implements UserDetailsService {

@Autowired

private AppUserService appUserService;

@Override

public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {

AppUser user;

try {

user = appUserService.findByName(userName);

} catch (Exception e) {

throw new UsernameNotFoundException("user select fail");

}

if(user == null){

throw new UsernameNotFoundException("no user found");

} else {

try {

return new FormUserDetails(user);

} catch (Exception e) {

throw new UsernameNotFoundException("user role select fail");

}

}

}

}

FormUserDetailsService仅能将用户名密码做校验,如果需要额外的校验信息,需要配置AuthenticationDetailsSource,将HttpServletRequest传递给给WebAuthenticationDetails:

FormAuthenticationDetailsSource:

package com.cff.springwork.security.service;

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.authentication.AuthenticationDetailsSource;

import org.springframework.security.web.authentication.WebAuthenticationDetails;

import org.springframework.stereotype.Component;

import com.cff.springwork.security.detail.FormAddUserDetails;

@Component("formAuthenticationDetailsSource")

public class FormAuthenticationDetailsSource implements AuthenticationDetailsSource {

@Override

public WebAuthenticationDetails buildDetails(HttpServletRequest context) {

return new FormAddUserDetails(context);

}

}

下面是需要用到的安全实体。

安全控制实体

FormUserDetails负责存储用户名密码和权限相关信息:

package com.cff.springwork.security.detail;

import java.util.Collection;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.AuthorityUtils;

import org.springframework.security.core.userdetails.UserDetails;

import com.cff.springwork.model.security.AppUser;

public class FormUserDetails extends AppUser implements UserDetails{

public FormUserDetails(AppUser appUser) {

super(appUser);

}

/**

*

*/

private static final long serialVersionUID = 6272869114201567325L;

@Override

public Collection extends GrantedAuthority> getAuthorities() {

return AuthorityUtils.createAuthorityList("USER");

}

@Override

public String getUserType() {

return super.getUserType();

}

@Override

public String getUsername() {

return super.getUserName();

}

@Override

public boolean isAccountNonExpired() {

return true;

}

@Override

public boolean isAccountNonLocked() {

return true;

}

@Override

public boolean isCredentialsNonExpired() {

return true;

}

@Override

public boolean isEnabled() {

return true;

}

}

AppUser是我自定义的一个实体,是从数据里查询的,这个仅贴出AppUser的代码,查询过程就不写了。

AppUser:

package com.cff.springwork.model.security;

import java.util.UUID;

public class AppUser {

private String uuid;

private String userName;

private String password;

private String userType;

private String userNo;

public AppUser() {

}

public AppUser(String userName, String password) {

this.userName = userName;

this.password = password;

this.uuid = UUID.randomUUID().toString();

this.userType = "1";

}

public AppUser(AppUser appUser) {

this.userName = appUser.userName;

this.password = appUser.password;

this.uuid = appUser.uuid;

this.userType = appUser.userType;

}

public String getUuid() {

return uuid;

}

public void setUuid(String uuid) {

this.uuid = uuid;

}

public String getUserName() {

return userName;

}

public void setUserName(String userName) {

this.userName = userName;

}

public String getPassword() {

return password;

}

public void setPassword(String password) {

this.password = password;

}

public String getUserType() {

return userType;

}

public void setUserType(String userType) {

this.userType = userType;

}

public String getUserNo() {

return userNo;

}

public void setUserNo(String userNo) {

this.userNo = userNo;

}

}

FormAddUserDetails是存储一些额外的验证信息,如验证码等。

FormAddUserDetails:

package com.cff.springwork.security.detail;

import java.util.Collection;

import javax.servlet.http.HttpServletRequest;

import org.springframework.security.core.GrantedAuthority;

import org.springframework.security.core.authority.AuthorityUtils;

import org.springframework.security.core.userdetails.UserDetails;

import

weixin_36365795
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springboot+jjwt+security完美解决restful接口无状态鉴权
梦想修补师
08-19 1万+
微服务大行其道的现在,如果我们还在用wsdl之类的提供接口,给人的感觉就会很low,虽然说不能为了炫技而炫技,但是既然restful接口已经越来越流行,必然有它的道理。 本文我们不讨论restful接口的好处,旨在解决使用restful时候的权限控制问题。 springboot本身已经提供了很好的spring security的支持,我们只需要实现(或者重写)一部分接口来实现我们的...
SpringSecurity框架
Mr_Jin的博客
06-20 4871
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
SpringBoot整合SpringSecurity+JWT实现web应用中的认证和授权
最新发布
weixin_61779644的博客
05-09 1043
Spring Security 是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更 丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。一般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
史上最简单的Spring Security教程(五):成功登录SuccessHandler高级用法
银河架构师的博客
06-25 7878
在了解了如何简单的配置成功登录后调转的页面、如何始终指定系统跳转到某一地址后,我们可能会庆幸,原来如此简单。是的,确实如此简单,Spring Security框架协助我们完成了大部分的工作,而我们只需稍微配置,即可使用。 但是,业务场景,又何尝会如此简单。举个例子,我们在登录某个网站之后,微信、短信、邮箱可能会接受到一条这样的信息/邮件。 还有,比如这样的。 甚至于,我要记录每一次的登录信息到数据库、到日志文件等等,方便后续做审计、分析。 其实,Spring Security框架也...
java security 详解_java中Spring Security的实例详解
weixin_39875675的博客
02-13 684
java中Spring Security的实例详解spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案。并且可以很好与目前主流的认证框架(如CAS,中央授权系统)集成。使用spring security的初衷是解决不同用户登录不同应用程序的权限问题,说到权限包括两部分:认证和授权。认证是告诉系统你是谁,授权是指知道你是谁后是否有权限访问系统(...
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 1568
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
详解springSecurityjava配置篇
08-18
Spring SecurityJava 配置篇 Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring SecurityJava 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序时,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
Spring Security整合Oauth2实现流程详解
09-07
Spring Security 是一个强大的安全框架,它为Java应用程序提供了全面的安全管理解决方案。而OAuth2则是一种开放标准,用于授权第三方应用访问用户的数据。在前后端分离的架构中,OAuth2常常用于处理用户登录验证,...
java中Spring Security的实例详解
08-29
主要介绍了java中Spring Security的实例详解的相关资料,spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案,需要的朋友可以参考下
JSP 开发之Spring Security详解
10-19
主要介绍了JSP 开发之Spring Security详解的相关资料,spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架,需要的朋友可以参考下
springSecurityOAuth2例子分析
01-23
springSecurityOAuth2例子分析,详细参考readme.md文档或http://blog.csdn.net/xiejx618/article/details/50570901
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
Java后端安全开发Spring Security开发REST服务》4章-1——spring security
weiguixm1847的博客
02-05 303
1. 起步 扩展WebSecurityConfigurerAdapter类 配置路由、密码加密类等 package com.wxm.spring.security.browser; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotati...
SpringBoot集成Spring Security实现登陆和简单权限验证
不经意的博客
09-21 7157
1.数据库配置好 2.导依赖 <!-- spring security 安全认证 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependen
java安全框架——Spring Security安全框架
weixin_41933719的博客
08-10 7066
spring Security是一个能够为基于spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在spring应用上下文中配置的bean,充分利用了springioc(控制反转),di(依赖注入)和aop(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制 编写大量重复代码的工作。 入门小demo: pom.xml: &...
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecurity 在 Spring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
Security简介
p354262的博客
02-28 335
然后通过PasswordEncoder对比UserDtails中的密码是否正确,如果正确就把UserDetails中的权限信息设置到Authentication对象中,并返回Authentication对象,时,security会将用户名和密码封装到Authentication对象中,并将对象传递给AuthenticationManager对象,调用Authentica方法进行认证,这个方法会调用DaoAuthenticationProvider对象的authticate方法,可验证同一时间重复登录。
spring security详解
07-27
Spring Security是一个功能强大且灵活的身份验证和访问控制框架,用于保护基于Java的应用程序。它提供了一套全面的安全解决方案,可用于保护Web应用程序、RESTful API、方法级别的安全等。 Spring Security的核心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值