Spring Security 认证相关知识点总结

最新推荐文章于 2024-04-22 18:16:39 发布
最新推荐文章于 2024-04-22 18:16:39 发布
阅读量543 收藏 4
点赞数
分类专栏: spring boot spring 源码学习 笔记 文章标签: spring java 安全 spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42321034/article/details/111600205
版权

yml 配置

spring:
  security:
    user:
      name: 自定义用户名(不推荐)
      password: 自定义密码(不推荐)
      
 logging:
  level:
    # 打印 spring security 全部日志信息
    org.springframework.security: trace

web安全接口适配器

org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter

认证核心过滤器

org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter

用户核心信息接口

org.springframework.security.core.userdetails.UserDetails

获取用户信息核心服务

org.springframework.security.core.userdetails.UserDetailsService

获取当前线程中用户信息

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
 Object principal = authentication.getPrincipal();
 if(principal instanceof UserDetails){
 // 获取用户名
 		String userName = ((UserDetails)principal).getUsername();
 }else{
 		String userName = principal.toString();
 }

用户登陆存储信息对象

org.springframework.security.authentication.UsernamePasswordAuthenticationToken

基础属性

authenticated 为 true 时,认证通过
authenticated 为 false 时,未认证通过

基础方法

getCredentials()

获取用户对象,大多数时候未UserDetails实现类

getDetails()

获取认证时的一些信息,返回通常是org.springframework.security.web.authentication.WebAuthenticationDetails用于获取获取sessionId和ip

用户权限创建工具

org.springframework.security.core.authority.AuthorityUtils

用户密码加密核心接口

org.springframework.security.crypto.password.PasswordEncoder

用户密码加密工具集

org.springframework.security.crypto.factory.PasswordEncoderFactories


用户账户权限认证(冻结、激活等)

org.springframework.security.core.userdetails.UserDetailsChecker

默认用户账户权限认证(账户冻结、激活等)

org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.DefaultPreAuthenticationChecks


csrf 安全过滤器

org.springframework.security.web.csrf.CsrfFilter

认证管理器

org.springframework.security.authentication.AuthenticationManager

用户缓存接口

org.springframework.security.core.userdetails.UserCache
可以实现此接口,实现用户信息集中缓存,例如存储到redis中


/**
* 核心认证接口,传入的时待认证对象,认证成功或失败,都会返回该对象
* 
* @param authentication 认证对象,authenticated为false,表示未经过认证
* @return 传入的参数,authenticated为false,表示未经过认证,为true时,通过认证
*/
Authentication authenticate(Authentication authentication) throws AuthenticationException;

配置推荐使用的密码加密工具

  @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

配置自定义获取用户信息接口

package com.example.securitydemo.componet;

import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

/**
 * @author chunyang.leng
 * @date 2020/12/22 12:56 下午
 */
@Component("myUserDetailService")
public class MyUserDetailServiceImpl implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 执行数据库查询
        return null;
    }
}

重写配置并注入自己的相关配置

package com.example.securitydemo.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author chunyang.leng
 * @date 2020/12/21 1:18 下午
 */
@Configuration
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置自己的用户获取方式
     */
    @Autowired
    @Qualifier("myUserDetailService")
    private UserDetailsService myUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 在处理器中注入自己的获取用户实现类
        auth.userDetailsService(myUserDetailsService);
    }
		
     @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 自定义http相关安全配置,比如自定义登陆界面,跨域过滤器等
        http
        // 表单登陆
        .formLogin() 
        // 设置登陆页面
        .loginPage("/login.html")
        .loginProcessingUrl("/user/login")   // 对应自定义页面的登陆接口
        .defaultSuccessUrl("/main")  // 登陆成功跳转的url
        .failureForwardUrl("/loginError") // 登陆失败跳转url
        .usernameParameter("") // 账号属性(默认值user)
        .passwordParameter(""); // 密码属性(默认值 password)
        
        
        // 授权设置
        http
          .authorizeRequests()
          // 配置不需要权限的接口或者页面
          .antMatchers("接口1","/login.html").permitAll()
          // 其他任意请求,均需要授权
          .anyRequest().authenticated();
          
        // 关闭csrf保护
        http.csrf().disable();
    }
    
    /**
    * 使用的密码加密工具
    */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

鉴权使用注解:@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter
常用注解:@PreAuthorize
备注:该注解内部可以直接使用spring bean
示例:

   /**
     * 获取用户列表
     */
    @PreAuthorize("@auth.hasPermissionCode('system:user:list')")
    @GetMapping("/list")
    public TableDataInfo list(SysUser user) {
        return getDataTable(list);
    }

@Service("auth")
public class PermissionService {
	// 检查是否有权限
	public boolean hasPermissionCode(String permissionCode){
		return true;
	}
}
北漂的菜小白
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
Sping认证相关总结 day1(知识点和题库)
weixin_52178425的博客
11-17 111
Spring Spring 核心功能:IOC和AOP IOC: 控制反转 AOP: 面向切面编程 ApplicationContext 直接翻译为应用程序上下文: 是Spring的核心,简单理解ApplicationContext就是Spring容器 所有IOC管理的JavaBean组件都在ApplicationContext对象中 可以通过ApplicationContext的API方法获取任何被Spring管理的Bean对象
第3章 Spring Security 认证Authentication
Shiro框架02
10-13 532
Spring SecurityAuthentication 对象代表认证用户的数据对象,包含一些用户基本信息(用户名、密码)。 Authentication接口 public interface Authentication extends Principal, Serializable { // 获取用户权限 Collection<? extends GrandtedAuthoriry> getAuthorities(); // 获取用户凭证,一般就是密码
Spring专业认证考试知识点汇总
风铃x的博客
07-15 365
Spring核心技术栈需要掌握的东西 1.Container,Dependency,AOP和IOC 1.1 Container 什么是DI(dependency injection)以及有什么优点? 什么是一个接口?他们在Java中使用有什么优点? 为什么推荐使用Spring Beans? application-context 应用程序上下文是什么意思? 如何创建一个新的ApplicationContext 实例? 能否在ApplicationContext中描述Spring Bean的生命周期 如何
Spring Security(学习笔记)-SecurityContextHolder!
最新发布
TONGZHOUGONGDU的博客
04-22 843
匿名访问,多线程获取用户信息。
Spring 基础知识
Lyndon的专栏
10-21 1041
Spring 基础知识
Spring的重点知识
ggggggzzzzz的博客
05-22 537
springjava应用程序开发的框架,使用此框架可以创建性能更好、易于测试、可重用的代码* Spring是一个开源的java平台* spring是轻量级的框架* spring框架的核心特性是可以用于开发任何java应用程序,但是在java EE平台上构建web应用程序是需要扩展的数据库事务就是一种SQL语句执行的缓存机制,不会单条执行完毕就更新数据库数据,最终根据缓存内的多条语句执行结果统一判定。* 一个数据库内所有语句成功,可以触发commit提交事务来结束事务,更新数据。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合了SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
解析SpringSecurity+JWT认证流程实现
08-18
主要介绍了解析SpringSecurity+JWT认证流程实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
springboot+ spring security实现登录认证
05-04
springboot+ spring security实现登录认证
Spring Security Oauth2.0认证授权专题
06-19
Spring boot+Spring Security Oauth2.0,Sprint cloud+Spring Security Oauth2集成。四种认证方式。附带有代码,和案例,案例,还有视频链接。我保证看完就回,如果视频链接失效,评论回复我,我单独再给你一份。
Spring Security认证之登录用户数据获取
大后生大大大的博客
11-17 3182
AuthenticationSecurityContextSecurityContextHolder
Springboot +spring security,登录用户数据获取
weixin_40991408的博客
05-21 1236
Springboot +spring security,登录用户数据获取
SecurityContextHolder.getContext().getAuthentication()为null解决方案
qq_53600812的博客
05-18 6162
SecurityContextHolder.getContext().getAuthentication();为null解决方案 SpringSecurity。之前想用SecurityContextHolder.getContext().getAuthentication()这玩意获取登录后的用户名但是一直空指针。换了各种方案,最后发现是这玩意好像不能放在成员变量的位置,要在方法内部使用。好像是因为这个上下文是和线程相关的。 修改前: @Api(tags="后台首页") @RestController pu
SpringBoot集成SpringSecurity(七)简单分析认证流程
xinshengdelei的专栏
03-31 840
认证流程 用户提交后,默认走用户密码认证过滤器UsernamePasswordAuthenticationFilter,其继承了一个抽象的认证过滤器AbstractAuthenticationProcessingFilter。 AbstractAuthenticationProcessingFilter的doFilter方法负责认证流程,其关键过程包括: UsernamePasswordAuthenticationFilter.attemptAuthentication方法,认证过程。 succ
Web安全安全日志记录和监控故障详解及预防
路多辛的所思所想
02-15 294
没有安全日志记录和监控并不会直接导致安全问题的发生,但是日志记录和监控非常重要,它们的缺失或故障会直接影响系统可观测性、故障发现时间和故障排查进度,进而给客户和公司造成更多的损失。因此,拥有日志系统和监控系统来收集日志并在发生故障或错误时及时警报并排查问题是非常重要的。是不是恨自己之前为什么没做日志记录,为什么没有上监控系统?没有记录关键的操作记录,例如用户登录记录、关键操作记录、审计记录等。监控系统的监控任务设置不正确,不能及时报警或报警信息模糊。确保日志系统和监控系统的安全性,做好访问控制。
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链中,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
Spring security 获取当前用户的登录信息
码农鸡窝
08-18 9240
@Controller @RequestMapping("/operate") public class OperateController extends BaseController { @RequestMapping("/allot") public String allotOrder(Model model){ Object object = Securi
Spring Security简单的登陆验证授权
shanying0324的博客
07-28 1902
Spring Security的介绍就省略了,直接记录一下登陆验证授权的过程。 Spring Security的几个重要词 1.SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限…这些都被保存在SecurityContextHolder中。 Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal()...
SpringSecurity认证知识点
10-24
SpringSecurity是一个基于Spring框架的Web应用安全性解决方案,其中认证是其核心功能之一。在SpringSecurity中,认证是指身份校验,即验证用户是否是系统中的合法用户。SpringSecurity提供了一套完整的认证机制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

北漂的菜小白

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值