spring security的学习笔记(一)

最新推荐文章于 2024-03-23 18:36:29 发布
最新推荐文章于 2024-03-23 18:36:29 发布
阅读量172 收藏
点赞数
分类专栏: java 文章标签: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43870813/article/details/88240982
版权

spring security的学习(一)

Spring Security是功能强大的并高度可定制的认证和访问控制框架。

一、简介

一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如我们所熟知的普通用户和管理员,能访问的资源不同。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

认证:识别并构建用户对象,如:根据请求中的username,获取登录用户的详细信息,判断用户状态,缓存用户对象到请求上下文等。
决策:判断用户能否访问当前请求,如:识别请求url,根据用户、权限和资源(url)的对应关系,判断用户能否访问当前请求url。

二、SpringSecurity框架(一)xml方式

1.在pom.xml文件引入以下依赖

<!--spring Security/身份验证-->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
    </dependency>

2.配置web.xml文件
spring Security 安全认证 监听器,读取配置文件,创建security容器

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring/spring-security.xml</param-value>
</context-param>
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!--   spring Security 安全认证 监听器,过滤器链在web中注册 
   这些过滤器实际是在spring容器中管理,这里只是代理注册给web容器   -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

3.添加配置文件 spring-security.xml

<!--1、设置放行资源,如登录注册页面,静态资源css、js等等
        security="none" 设置此资源不被拦截。 -->
<http pattern="/login.html" security="none"></http>
<http pattern="/loginerror.html" security="none"></http>
<http pattern="/css/**" security="none"></http>
<http pattern="/img/**" security="none"></http>
<http pattern="/js/**" security="none"></http>
<http pattern="/plugins/**" security="none"></http>

<http>
    <!-- 2、拦截所有(除放行资源外) -->
    <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
    <!-- 
        3、登录表单设置
        1)login-page:指定登录页面;
        2)login-processing-url:指定登录请求路径;
        3)default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面;
        4)always-use-default-target:指定了是否在身份验证通过后总是跳转到; 
                                   default-target-url 属性指定的 URL。
        5)authentication-failure-url:指定了身份验证失败时跳转到的页面; -->
    <form-login login-page="/login.html" 
                login-processing-url="/login"
                always-use-default-target="true" 
                default-target-url="/admin/index.html"
                authentication-failure-url="/loginerror.html"      />
    <!--   4、注销设置
              1)logout-url:指定注销的url;
              2)logout-success-url:注销成功后登录返回的页面。 -->         
    <logout logout-url="/logout" logout-success-url="/login.html"/>          
    <!-- 
        5、跨站请求设置(我们这里关闭)
           1)csrf disabled="true" 关闭 csrf ,如果不加会出现错误

           2)CSRF(Cross-site request forgery):跨站请求伪造,
             也被称为“One Click Attack”或者 SessionRiding,
             通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。 -->            
    <csrf disabled="true" />

    <!-- 6、iframe 框架结构展示 -->
    <headers>
        <frame-options policy="SAMEORIGIN" />
    </headers>
</http>

4.新建一个类命名为SecurityConfig,主要用于开启spring security和创建测试角色。

@EnableWebSecurity  // 此注解用于开启Spring Security的功能
public class SecurityConfig {
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
                 // 内存中创建了一个用户,该用户的名称为user,密码为password,用户角色为USER
                  auth
                      .inMemoryAuthentication()
                          .withUser("user").password("password").roles("USER");
              }
}

5.启动项目,输入所创建的用户名和密码,如图。

三、SpringSecurity框架(二)基于java配置

1.在pom.xml文件引入以下依赖

<!--spring Security/身份验证-->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
    </dependency>

2.开启Spring Security:在配置类头上加注解@EnableWebSecurity
3.自定义登录界面

 @EnableWebSecurity  // 此注解用于开启Spring Security的功能
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
                 http //支持基于http验证
                     .authorizeRequests()
                         .antMatchers("/", "/index").permitAll()  // 允许"/", "/index"的请求访问
//                         .antMatchers("/resources/**").permitAll() //验证每个请求,除了以“/resources/”开头的URL
                         .anyRequest().authenticated()
                         .and()
                     .formLogin() //支持基于表单验证,登录页面为“/login”对应的文件
                         .loginPage("/login")//请求验证时被重定向到 /login
                                             // 验证失败失败时被重定向到 /login?error
                                             // 登出成功时会被重定向到 /login?logout
                         .permitAll() //允许在未验证时任何访问到的资源和URL,如果不加则连访问/login 都会一直被重定向
                         .and()
                     .logout()
                         .permitAll();
             }
             }

4.为了便于页面之间的相互跳转,我在这里使用了thymeleaf模板引擎

<!--thymeleaf模板引擎-->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-thymeleaf</artifactId>
    </dependency>

5.再编写一个controller类,用于页面跳转

@Controller
public class HelloController {

@GetMapping("/")
public String index() {
    return "index";
}

@GetMapping("/hello")
public String hello() {
    return "hello";
}

@RequestMapping("/login")
public String login() {
    return "login";
    }
}

6.启动项目,登陆,输入对用的用户名和密码,进入主页
登陆:
在这里插入图片描述
主页:
在这里插入图片描述

weixin_43870813
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity笔记
weixin_42437610的博客
11-07 943
1. Spring Security学习 1.1 简介 安全框架就是解决系统安全的框架。如果没有安全框架,我们需要手动的处理每个资源的访问控制,这是非常麻烦的。使用了安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.2 核心功能 认证 (你是谁) 认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名密码。系统通过校验用户名密码来完成认证过程。通俗点说就是系统认为用户是否能登录 授权 (你能干什么) 授权指的是验证某个用户是否有权限执行
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
Spring Security学习笔记
Shawn的个人博客
05-09 1869
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
Spring security详解——学习笔记
m0_61943950的博客
05-09 312
Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。用户认证就是判断用于身份是否合法的过程授权: 授权是用户认证通过后,根据用户的权限来控制用户访问资源的过程。拥有资源的访问权限则正常访问,没有权限则拒绝访问。Spring Security一个能够为基于Spring的企业应用系统声明式(注解)安全访问控制解决方案的安全框架
肝到头秃!阿里爆款的顶配版Spring Security笔记,值得收藏
最新发布
weixin_58134620的博客
03-23 636
小编在这里分享些我自己平时的学习资料,由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!开源分享:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】程序员代码面试指南 IT名企算法与数据结构题目最优解这是” 本程序员面试宝典!书中对IT名企代码面试各类题目的最优解进行了总结,并提供了相关代码实现。
SpringSecurity学习笔记
m0_60394632的博客
01-01 184
SpringSecurity前后端分离需求的学习笔记,包括登录登出逻辑,密码加密,权限管理,异常处理;b站师从三更,他视频讲的很好,强烈推荐
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security笔记.rar
05-07
Spring Security学习笔记
Spring学习笔记+学习源码.zip
05-12
文件内附有学习源码及“四万多字的学习笔记”,本学习笔记中涵盖了,Spring中所学的全部知识点,以及还有一些小的知识点。(笔记很详细,笔记很详细。属于本人舍得删系列)。
SpringSecurity之原理总结
hcyxsh的博客
04-07 202
SpringSecurity之原理总结 一 过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明 WebAsyncManagerIntegrationFilter 将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter 在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityC
Spring Security4 学习笔记——01
逍遥绝情的博客
07-24 995
Spring Security4 学习笔记 Spring Security是什么? Spring Security提供了基于Java EE的企业应用软件全面的安全服务。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向...
Spring Security学习笔记
DingZuoHeng的博客
02-23 355
说明:本文是在上篇入门的基础上的强化。包含了Spring Security的核心类信息、怎么才能使用自定义UserDetailsService、AuthenticationProvider、怎样对密码进行加密、怎样缓存 UserDetails 。AuthenticationAuthentication 是一个接口,用来表示用户认证信息的,在用户登录认证之前相关信息会封装为一个 Authentica...
SpringSecurity学习笔记
我就是我的博客
10-25 569
基于用户名密码的"记住我"功能 SpringBoot 2.2.0.RELEASE <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</art...
基于spring的用户登录验证
在怀疑和自我怀疑中迷失
04-03 1863
这个案例也是《精通Spring 4.x 企业应用开发实战》的快速入门案例。 包结构 域对象层 package com.ruansongyun.domain; import java.io.Serializable; import java.util.Date; public class User implements Serializable { private int userId; private String userName; private String passwo
springsecurity笔记
08-17
Spring Security一个用于实现 Web 应用程序权限管理的框架。在 Spring Security 中,有三种方式可以配置用户认证信息,一种是直接在配置文件中配置用户名密码,例如:spring.security.user.name=beim,spring.security.user.password=123。从 Spring Security 4.0 开始,默认情况下会启用 CSRF 保护来防止 CSRF 攻击,特别是对于 PATCH、POST、PUT 和 DELETE 方法。而授权则是系统判断用户是否具有进行某些操作的权限。使用 Spring Security 的好处是可以提供强大的身份验证和授权功能,保护应用程序免受潜在的安全威胁。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值