关于Spring Security

已于 2022-08-08 19:14:04 修改
阅读量545 收藏 1
点赞数 1
分类专栏: SpringBoot框架技术 文章标签: spring java spring boot
于 2022-08-07 23:00:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43816557/article/details/126212995
版权

文章目录

前言

提示:这里可以添加本文要记录的大概内容:

Spring Security是主要解决认证(Authenticate)和授权(Authorization)的框架。

提示:以下是本篇文章正文内容,下面案例可供参考

一、使用步骤

1.添加依赖

在Spring Boot项目中,添加spring-boot-starter-security依赖项。

注意:以上依赖项是带有自动配置的,一旦添加此依赖,整个项目中所有的访问,默认都是必须先登录才可以访问的,在浏览器输入任何此服务的URL,都会自动跳转到默认的登录页面。

默认的用户名是user,默认的密码是启动项目时自动生成的随机密码,在服务器端的控制台可以看到此密码。当登录后,会自动跳转到此前尝试访问的页面。

Spring Security默认使用Session机制保存用户的登录状态,所以,重启服务后,登录状态会消失。在不重启的情况下,可以通过 /logout 访问“退出登录”页面,确定后也可以清除登录状态。

2. 关于BCrypt

在Spring Security中,内置了BCrypt算法的工具类,此工具类可以实现使用BCrypt算法对密码进行加密、验证密码的功能。

BCrypt算法使用了随机盐,所以,多次使用相同的原文进行加密,得到的密文都将是不同的,并且,使用的盐值会作为密文的一部分,也就不会影响验证密码了。

重点:在Spring Security框架中,定义了PasswordEncoder接口,表示“密码编码器”,并且使用BCryptPasswordEncoder实现了此接口。

3.创建PasswordEncoder对象

通常,应该自定义配置类,在配置类中使用@Bean方法,使得Spring框架能创建并管理PasswordEncoder类型的对象,在后续使用过程中,可以自动装配此对象。

在根包下创建config.SecurityConfiguration类:

@Configuration
@Slf4j
public class SecurityConfiguration {
   
    
    @Bean
    public PasswordEncoder passwordEncoder(){
   
        log.info("创建密码编码器:BCryptPasswordEncoder");
        return new BCryptPasswordEncoder();
    }
}

然后,在需要使用此对象的类中,自动装配即可,例如,在AdminServiceImpl类中添加:

@Autowired
private PasswordEncoder passwordEncoder;

在此类中,就可以使用到以上属性,例如:

String rawPassword = admin.getPassword();
String encodedPassword = passwordEncoder.encode(rawPassword);
admin.setPassword(encodedPassword);

注意:一旦在Spring容器中已经存在PasswordEncoder对象,Spring Security会自动使用它,所以,会导致默认的随机密码不可用(你提交的随机密码会被加密后再进行对比,而Spring Security默认的密码并不是密文,所以对比会失败)。

<

最低0.47元/天 解锁文章
小易说码
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Spring Security实现用户登录以及权限控制,那么在每次请求的时候都会创建一个SecurityContextHolder对象存储用户信息吗...
weixin_35756624的博客
01-09 407
是的,在使用 Spring Security 时,每次请求都会创建一个 SecurityContextHolder 对象来存储用户信息。SecurityContextHolder 是一个全局的单例对象,它的作用是存储当前用户的认证信息,并且在整个应用的生命周期内都可以访问到这些信息。它使用了持有者模式来存储用户信息,因此可以在任何地方访问到当前用户的认证信息。 ...
Spring Boot+Spring Security 实现自动登录功能(实战+源码分析)
weixin_47083537的博客
04-28 821
自动登录是我们在软件开发时一个非常常见的功能,例如我们登录 QQ 邮箱: 很多网站我们在登录的时候都会看到类似的选项,毕竟总让用户输入用户名密码是一件很麻烦的事。 自动登录功能就是,用户在登录成功后,在某一段时间内,如果用户关闭了浏览器并重新打开,或者服务器重启了,都不需要用户重新登录了,用户依然可以直接访问接口数据。 作为一个常见的功能,我们的 Spring Security 肯定也提供了相应...
Spring Security 两种资源放行策略,千万别用错了!
Python毕设源码程序王哥
04-02 481
什么是ActiveMQ?ActiveMQ服务器宕机怎么办?丢消息怎么办?持久化消息非常慢怎么办?消息的不均匀消费怎么办?死信队列怎么办?ActiveMQ中的消息重发时间间隔和重发次数吗?
Spring Security访问控制
zongzhibin117的博客
09-15 698
访问控制构成: url匹配规则 + 权限控制方法 url匹配规则: 1、anyRequest:匹配所有请求 2、antMatchers: ? :匹配一个字符 * : 匹配0或者多个字符 **:匹配0个或者多个目录 如释放静态资源: .antMatchers( HttpMethod.GET, "/*.html", ...
Spring Security 使用自带的 formLogin
qq_44131750的博客
04-17 2843
Session、Cookie 登陆认证 就是认证是否为合法用户,简单的说是登录。一般为匹对用户名和密码,即认证成功。 在 Spring Security 认证中,只要解决如下几个问题: 哪个类表示用户? 哪个属性表示用户名? 哪个属性表示密码? 怎么通过用户名取到对应的用户? 密码的验证方式是什么? 所有的自定义行为都是围绕这几个问题展开的 认证的执行流程就是 它会拿到用户输入的用户名密码; 根据用户名通过 UserDetailsService 的 loadUserByUsername(usernam
SpringSecurity入门使用——登录认证
a_lllk的博客
11-10 2099
项目使用IDEA创建。 一、工程目录如下 二、导入对应的jar包 &lt;dependencies&gt; &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-st...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
spring security 官方文档
10-08
Spring Security 是一个强大的安全框架,用于为Java应用提供全面的安全管理解决方案。它是Spring生态系统的组成部分,专注于身份验证、授权和访问控制。Spring Security的核心特性包括: 1. **身份验证...
SpringSecurity.md
07-21
SpringSecurity.md
SpringSecurity.pdf
05-24
SpringSecurity入门到进阶到高级,是我们老师给我们讲课用的,我们都照着配就没有问题,可以跑通,
spring-security
02-29
spring-sceurity做安全方面的jar包支持
Java开发 - 单点登录初体验(Spring Security + JWT)
CodingFire的博客
03-02 5807
登录这东西很奇怪哎,你说它难吗?好像客户端只需要调接口就行,那有啥难的?当你多多少少对登录的后台有些了解,又觉得好难啊,session,token,cookie,等等一堆东西,有老的大家都不喜欢用的,有新的一些框架的,根据公司项目规模不同,还要考虑成本的问题,真是有些头疼。博主今天推荐的一种登陆方式便是Spring Security + JWT的结合使用,为什么要两者结合呢?
spring security
qinglangee的专栏
10-18 182
第 10 章 判断用户是否登录 有些情况,只要用户登录就可以访问某些资源,而不需要具体要求用户拥有哪些权限,这时候可以使用IS_AUTHENTICATED_FULLY,配置如下所示: 这样除了/admin.jsp之外所有的URL,只要是登录用户就可以访问了...
登录用户访问受Spring Security保护的Web页面/API时发生了什么 ?
Details Inside Spring
08-07 4644
在应用Spring Security的Web应用中,假定全部采用缺省配置,如果用户在未登录状态试图访问一个受保护的HTTP资源,可能是我们的一个页面,也可能是一个Restful API,此时: Spring Security会抛出异常AuthenticationException; ExceptionTranslationFilter过滤器捕获到该异常,调用其属性authenticationE...
SpringBoot集成Spring Security
码到成功
07-05 1282
1、Spring Security介绍 Spring security,是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准 ——来自官方参考手册 Spring security 和 shiro 一样,具有认证、授权、加密等用于权限管理的功能。和 shiro 不同的是,Spring security拥有比shiro更丰富的功能,并且,对于Springboot而言,Spring Security比Shiro更合适一些,因为都是Spring家族成员。今天,我们来为
一篇文章带你搞定 Spring Security登录流程
南淮北安的博客
09-14 3892
为什么想和大家捋一捋 Spring Security 登录流程呢?这是因为之前小伙伴们的一个提问:如何在 Spring Security 中动态修改用户信息? 如果你搞清楚了 Spring Security 登录流程,这其实不是问题。 先来大致描述一下问题场景: 你在服务端的安全管理使用了 Spring Security,用户登录成功之后,Spring Security 帮你把用户信息保存在 Session 里,但是具体保存在哪里,要是不深究你可能就不知道, 这带来了一个问题,如果用户在前端操作修改了当前
SpringSecurity学习笔记(三)- 静态资源过滤配置(无需登录即可获取)
nuaa042216的博客
11-20 1167
3.在项目的resources/static 目录下新建images和jpgs目录(此处为举例,实际上上述两个目录只需与第一步的目录对应即可,注意必须放在resources/static 目录下),并准备好几张图片。1.启动项目,使用浏览器访问 http://localhost:8088/jpgs/1.jpg,此时因为未配置静态资源过滤,应该会跳转到指定登录页面。在一个实际项目中,并非所有请求都需要SpringSecurity过滤,像图片等静态资源很多是不需要登录即可访问的,那我们可以怎么配置呢。
SpringSecurity
qq_27295923的博客
09-05 720
SpringBoot下使用SpringSecurity (一)基本 1.SpringSecurityJWT学习博客 https://blog.csdn.net/larger5/article/details/81047869 https://blog.csdn.net/larger5/article/details/81063438 2.设置不需要登录就能访问接口 在SpringSecurityC...
关于Spring Security的描述
最新发布
06-07
Spring Security是一个基于Spring框架的安全性认证和授权的框架。它提供了一系列的安全性解决方案,包括用户认证、访问控制、加密、攻击防范等等。Spring Security可以很方便地与Spring框架集成,也可以与其他框架...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值