SpringSecurity系列(二) Spring Security入门

最新推荐文章于 2024-05-22 00:46:35 发布
最新推荐文章于 2024-05-22 00:46:35 发布
阅读量399 收藏 2
点赞数 1
分类专栏: Spring Security 文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42201180/article/details/115722121
版权

1. 新建项目

1.1 新建并启动项目

新建 Spring Boot 项目,添加 Spring Web 和 Spring Security 依赖:
在这里插入图片描述
其中 Spring Security 依赖中主要的是这两个:
在这里插入图片描述
项目创建成功后,添加一个测试接口:

package com.javaboy.vms;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;

/**
 * @author: gaoyang
 * @date: 2021-04-14 17:47
 * @description: 启动类
 */
@SpringBootApplication
public class VmsServerApplication {

    public static void main(String[] args) {
        SpringApplication.run(VmsServerApplication.class, args);
    }

}

然后启动项目:
在这里插入图片描述
我们可以在控制台看到一串UUID,这个就是 Spring Security默认的登录密码,默认用户名是:user。
在这里插入图片描述
登录以后我们就可以看到返回的数据了。

在 Spring Security 中,默认的登录页面和登录接口,都是 /login ,只不过一个是 get 请求(登录页面),另一个是 post 请求(登录接口)。

1.2 默认用户名和密码是如何生成的

和用户相关的自动化配置类在 UserDetailsServiceAutoConfiguration 里,在该类的getOrDeducePassword 方法中,我们可以看到打印密码的代码:logger.info()

private String getOrDeducePassword(User user, PasswordEncoder encoder) {
        String password = user.getPassword();
        if (user.isPasswordGenerated()) {
            logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
        }

        return encoder == null && !PASSWORD_ALGORITHM_PATTERN.matcher(password).matches() ? "{noop}" + password : password;
    }

控制台的密码就是从这打印来的,打印的条件是 isPasswordGenerated 方法返回 true,即密码是默认生成的。

获取密码的方法 user.getPassword() 在 SecurityProperties 类中,在 SecurityProperties 中我们可以看到 User 内部类有如下定义:

/**
 * Default user name.
 */
private String name = "user";

/**
 * Password for the default user name.
 */
private String password = UUID.randomUUID().toString();
private boolean passwordGenerated = true;

可以看到,默认的用户名就是 user,默认的密码则是 UUID,而默认情况下,passwordGenerated 也为 true。

2. 用户配置

默认的密码有一个明显的缺陷就是:每次重启密码都会改变,这很不方便,在未连接到数据库以前,我们先来学习一下两种非主流的用户名/密码配置方案,分别为配置文件、配置类。

2.1 配置文件配置用户

我们可以在 application.yml 中配置默认的用户名密码。

spring:
  security:
    user:
      name: javaBoy
      password: 123

这里是怎么覆盖默认配置的呢?我可以看到 SecurityProperties 定义是这样的:

@ConfigurationProperties(prefix = "spring.security")
public class SecurityProperties {

而默认的用户就定义在 SecurityProperties 的 User 静态内部类里,并通过 set 方法注入到属性中去:

public void setName(String name) {
	this.name = name;
}

public void setPassword(String password) {
	if (!StringUtils.hasLength(password)) {
		return;
	}
	this.passwordGenerated = false;
	this.password = password;
}

从这里我们可以看出,如果传输的密码长度 == 0,则返回,此时用默认生成的 UUID 作为密码;否则,则使用传入的密码,并且把 passwordGenerated 置为 false,此时控制台就不会打印密码了。

再重启项目,就可以用配置好的用户名/密码登录。

2.2 配置类配置用户

先上代码,然后我们再一起解释:

package com.javaboy.vms.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author: gaoyang
 * @date: 2021-04-15 16:35
 * @description: Spring Security 配置类
 */
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("javaBoy_1024")
                .password("123")
                .roles("admin");
    }

}
  1. 首先我们自定义 SecurityConfig 继承自 WebSecurityConfigurerAdapter,重写里边的configure 方法。

configure 方法中,我们通过 inMemoryAuthentication 来开启在内存中定义用户,withUser 中是用户名,password 中则是用户密码,roles 中是用户角色。

  1. 提供了一个 PasswordEncoder 的实例,因为目前的案例还比较简单,因此我暂时先不给密码进行加密,所以返回NoOpPasswordEncoder 的实例即可。

PasswordEncoder 中提供了三个方法:

public interface PasswordEncoder {
    String encode(CharSequence var1);

    boolean matches(CharSequence var1, String var2);

    default boolean upgradeEncoding(String encodedPassword) {
        return false;
    }
}
  • encode 方法用来对明文密码进行加密,返回加密之后的密文。
  • matches 方法是一个密码校对方法,在用户登录的时候,将用户传来的明文密码和数据库中保存的密文密码作为参数,传入到这个方法中去,根据返回的 Boolean 值判断用户密码是否输入正确。
  • upgradeEncoding 是否还要进行再次加密,这个一般来说就不用了。

3. 密码加密

3.1 密码为什么要加密?

2011 年 12 月 21 日,有人在网络上公开了一个包含 600 万个 CSDN 用户资料的数据库,数据全部为明文储存,包含用户名、密码以及注册邮箱。事件发生后 CSDN 在微博、官方网站等渠道发出了声明,解释说此数据库系 2009 年备份所用,因不明原因泄露,已经向警方报案,后又在官网发出了公开道歉信。在接下来的十多天里,金山、网易、京东、当当、新浪等多家公司被卷入到这次事件中。整个事件中最触目惊心的莫过于 CSDN 把用户密码明文存储,由于很多用户是多个网站共用一个密码,因此一个网站密码泄露就会造成很大的安全隐患。由于有了这么多前车之鉴,我们现在做系统时,密码都要加密处理。

这次泄密,也留下了一些有趣的事情,特别是对于广大程序员设置密码这一项。人们从 CSDN 泄密的文件中,发现了一些好玩的密码,例如如下这些:

  • ppnn13%dkstFeb.1st 这段密码的中文解析是:娉娉袅袅十三余,豆蔻梢头二月初。
  • csbt34.ydhl12s 这段密码的中文解析是:池上碧苔三四点,叶底黄鹂一两声

等等不一而足,你会发现很多程序员的人文素养还是非常高的,让人啧啧称奇。

3.2 加密方案

密码加密我们一般会用到散列函数,又称散列算法、哈希函数,这是一种从任何数据中创建数字“指纹”的方法。散列函数把消息或数据压缩成摘要,使得数据量变小,将数据的格式固定下来,然后将数据打乱混合,重新创建一个散列值。散列值通常用一个短的随机字母和数字组成的字符串来代表。好的散列函数在输入域中很少出现散列冲突。在散列表和数据处理中,不抑制冲突来区别数据,会使得数据库记录更难找到。我们常用的散列函数有 MD5 消息摘要算法、安全散列算法(Secure Hash Algorithm)。

但是仅仅使用散列函数还不够,为了增加密码的安全性,一般在密码加密过程中还需要加盐,所谓的盐可以是一个随机数也可以是用户名,加盐之后,即使密码明文相同的用户生成的密码密文也不相同,这可以极大的提高密码的安全性。但是传统的加盐方式需要在数据库中有专门的字段来记录盐值,这个字段可能是用户名字段(因为用户名唯一),也可能是一个专门记录盐值的字段,这样的配置比较繁琐。

Spring Security 提供了多种密码加密方案,官方推荐使用 BCryptPasswordEncoder,BCryptPasswordEncoder 使用 BCrypt 强哈希函数,开发者在使用时可以选择提供 strength 和 SecureRandom 实例。strength 越大,密钥的迭代次数越多,密钥迭代次数为 2^strength。strength 取值在 4~31 之间,默认为 10。

不同于 Shiro 中需要自己处理密码加盐,在 Spring Security 中,BCryptPasswordEncoder 就自带了盐,处理起来非常方便。

而 BCryptPasswordEncoder 就是 PasswordEncoder 接口的实现类。

奥特迦
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
权限框架SpringSecurity(一)——自定义登录
m0_67402564的博客
07-31 1764
提供的默认表单登录页面有点简单,如果想使用自己的登录页该怎么办?继续关注类,继续重写它的和@Override}@Override.and().and()}用来配置忽略掉的URL地址,一般对于静态文件采用此操作and方法表示结束当前标签,上下文回到,开启新一轮的配置formLogin表示开启表单登录loginPage指定自定义登录页面permitAll表示登录相关的页面/接口不要被拦截关闭csrf当自定义了登录页面为时,也会自动注册一个接口,这个接口是POST项目的时,POST为。...
SpringSecurity(一)
hangkhang的博客
08-13 7588
在我们的业务处理中,对于安全的管理是必不可少的,也就是认证以及权限,在Spring横行的今天,学习如何使用SpringSecurity是必不可少的,所以最近想深入学习一下SpringSecurity并分享一下自己的学习历程,此次的学习主要以实践+部分源码为主,完成认证+权限+Oauth2+JWT+oos等,最后会做一个demo,来完成此次的SpringSecurity之旅。 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供
Spring Security系列 用户登录认证数据库实现
m0_59448100的博客
09-28 266
我们来把用户的登录认证修改成贴近实际的数据库获取。
Spring Security系列
qq_34800986的博客
06-01 293
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求
Spring Security
m0_49532843的博客
09-09 198
Spring Security的架构设计中,认证(Authentication)和授权(Authorization)是分开的,无论使用什么样的认证都不影响授权,这是两个独立的存在,这种独立带来的好处之一,就是Spring Security可以非常方便的整合一些外部的认证方案。在Spring Security中,用户的认证信息主要由Authentication的实现类来保存,Authentication接口定义如下: 当用户使用用户名/密码登录或使用Remember-me登录时,都会对应一个不同的Authe
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
全套Spring Security入门到项目实战课程
03-21
Spring Security框架介绍 Spring Security认证与授权机制 Spring Security安全性解决方案 Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 ...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
浅谈spring security入门
08-18
主要介绍了浅谈spring security入门,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springboot+springsecurity入门
12-06
springboot+springsecurity入门,自定义表单登录
spring security 入门demo
08-11
spring security 入门demo 非常不错 主要是完整
Spring Security学习总结
weixin_33670713的博客
04-16 60
注:本文转载,尊重原创,原创地址:[url]http://www.blogjava.net/redhatlinux/archive/2008/09/01/226010.html[/url] 前一篇文章里介绍了Spring Security的一些基础知识,相信你对Spring Security的工作流程已经有了一定的了解,如果你同时在读源代码,那你应该可以认识的更深刻。...
SpringSecurity权限管理框架系列()-Spring Security框架实现用户登录认证流程详解
最爱嫣夜来
03-21 1623
1、Spring Security登录认证的核心 Spring Security框架完成用户登录认证的核心就在与org.springframework.security.core.userdetails包下的UserDetailsService接口 2、UserDetailsService接口详解 2.1 UserDetailsService接口的定义 UserDetailsService接口只有一个抽象方法就是loadUserByUsername(String username), UserDetail
Spring BootSpringBoot 如何优雅地定制JSON响应数据返回
永远保持随时离开的技术能力!
05-16 1844
SpringBoot 如何优雅地定制JSON响应数据返回
Guns框架:基于主流技术Spring Boot2 + Vue3 + Antd Vue的现代Java应用开发新纪元
最新发布
chenchuang0128的博客
05-22 558
Guns是一个现代化的Java应用开发框架,基于主流技术Spring Boot2 + Vue3 + Antd Vue,Guns基于插件化架构,通过灵活组装插件,可以进行集成和拓展相关功能。Guns v7.3.1已经发布,前后端代码以及核心包源码,均可在如下Gitee仓库可找到:前端代码:https://gitee.com/stylefeng/guns-vue3-admin后端代码:https://gitee.com/stylefeng/guns。
[AIGC ]详解MinIO:特性,Docker部署和Spring Boot集成
程序员三木的博客
05-19 727
MinIO是高性能对象存储服务器,适合大规模数据存储。它的数据管理非常简单而且快速,可以存储在本地(例如,硬盘)或网络(例如,S3兼容的存储服务)上。
Spring Boot:异常处理
啊Q老师
05-15 5949
Spring Boot异常处理介绍
Spring Boot集成testcontainers快速入门Demo
HBLOG
05-20 256
是一个用于创建临时 Docker 容器进行单元测试的 Java 库。当我们想要避免使用实际服务器进行测试时,它非常有用。,官网介绍称支持50多种组件。​编辑。
springsecurity入门
09-13
Spring Security是一个用于身份验证和授权的框架,在Spring项目中提供了一套强大的安全性解决方案。以下是你入门Spring Security的步骤: 1. 添加Spring Security依赖:在你的项目中,通过Maven或Gradle添加Spring Security的依赖。例如,在Maven中,你可以添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 配置Spring Security:创建一个配置类来配置Spring Security。这个配置类需要继承`WebSecurityConfigurerAdapter`类,并覆盖`configure`方法。例如,你可以创建一个类叫做`SecurityConfig`: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 允许公共访问的URL .anyRequest().authenticated() // 其他URL需要身份验证 .and() .formLogin() // 启用表单登录 .loginPage("/login") // 自定义登录页面URL .permitAll() .and() .logout() // 启用注销 .permitAll(); } } ``` 上述配置中,我们定义了哪些URL是公开访问的,哪些URL需要身份验证,以及自定义了登录和注销的相关配置。 3. 创建用户服务:在上面的配置类中,你需要定义一个用户服务来获取用户的身份验证信息。这可以通过实现`UserDetailsService`接口来完成。你可以创建一个类叫做`UserService`来实现这个接口,并重写`loadUserByUsername`方法: ```java @Service public class UserService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { // 从数据库或其他数据源中获取用户信息 // 然后返回一个实现了UserDetails接口的类,代表用户的身份验证信息 // 例如,你可以使用Spring Security提供的User类 return User.builder() .username(username) .password("password") .roles("USER") .build(); } } ``` 上述代码中,我们简单地返回了一个固定的用户信息,实际应用中你需要从数据库或其他数据源中获取真实的用户信息。 4. 配置密码编码器:为了安全起见,你需要对用户密码进行编码。在上述的配置类中,通过重写`configure`方法来配置密码编码器。例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserService userService; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userService).passwordEncoder(passwordEncoder()); } // 其他配置... } ``` 上述代码中,我们使用了`BCryptPasswordEncoder`来对密码进行编码。 这些是入门Spring Security的基本步骤。当你完成了上述配置后,你的应用程序将需要进行身份验证,并且可以通过URL保护来限制访问。你可以根据需要进一步自定义和扩展Spring Security的功能。希望这能帮助到你!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奥特迦

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值