SpingSecurity的使用详解

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量376 收藏 2
点赞数
分类专栏: springSecurity 文章标签: spring java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44223435/article/details/104000168
版权

SpingSecurity的那些事

一、什么是springSecurity

Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求
因此其核心就有两块,1:认证,2:授权

二、一些概念性解释

  1. 认证管理器(AuthenticationManager),认证管理器下有许多认证器(AuthenticationProvider),具体的认证逻辑由AuthenticationProvider实现提供。
    在这里插入图片描述

  2. 决策管理器(AccessDecisionManager),里面由许多投票器,默认为WebExpressionVoter,由投票器进行投票。
    在这里插入图片描述

  3. 过滤链(Filter):每个过滤链都实现一些功能而且也是扩展点的入口:
    img
    因此要学习springSecurity,首先要知道他有那些过滤链,这些过滤链都实现了什么功能,整明白过滤链,就能自己实现自定义的过滤功能了。结合上图,这里有一些过滤链的解释:

3.1. WebAsyncManagerIntegrationFilter: 将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。
3.2. SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。
3.3. HeaderWriterFilter:用于将头信息加入响应中。
3.4. CsrfFilter:用于处理跨站请求伪造。
3.5. LogoutFilter:用于处理退出登录。
3.6. UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 usernamepassword,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。
3.7. DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。
3.8. BasicAuthenticationFilter:检测和处理 http basic 认证。
3.9. RequestCacheAwareFilter:用来处理请求的缓存。
3.10. SecurityContextHolderAwareRequestFilter:主要是包装请求对象request
3.11. AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。
3.12. SessionManagementFilter:管理 session 的过滤器
3.13. ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。
3.14. FilterSecurityInterceptor:可以看做过滤器链的出口,也是在这一步进行策略投票表决的。其使用的决策器默认为AffirmativeBased,默认的投票器为WebExpressionVoter。
3.15. RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

三、配置详解

由于springSecurity在实现是是一条过滤链,springSecurity将所有的配置都集中的WebSecurityConfigurerAdapter中进行配置管理,WebSecurityConfigurerAdapter中提供了一个配置入口方法:在这里插入图片描述
下面是一些 常用的http. 配置项的详解:

  1. .authorizeRequests() //url 匹配规则:
  1. .requestMatchers() 配置一个request Mather数组,参数为
  2. .RequestMatcher 对象,其match 规则自定义,需要的时候放在最前面,对需要匹配的的规则进行自定义与过滤
  3. .authorizeRequests() URL权限配置
  4. .antMatchers() 配置一个request Mather 的 string数组,参数为 ant 路径格式, 直接匹配url
  5. .anyRequest 匹配任意url,无参 ,最好放在最后面
  1. .authorizeRequests() //url保护配置
  1. .authenticated() 保护UrL,需要用户登录
  2. .permitAll() 指定URL无需保护,一般应用与静态资源文件
  3. .hasRole(String role) 限制单个角色访问,角色将被增加 “ROLE_” .所以”ADMIN” 将和 “ROLE_ADMIN”进行比较. 另一个方法是hasAuthority(String authority)
  4. .hasAnyRole(String… roles) 允许多个角色访问. 另一个方法是hasAnyAuthority(String… authorities)
  5. .access(String attribute) 该方法使用 SPEL, 所以可以创建复杂的限制 例如如access(“permitAll”), access("hasRole(‘ADMIN’)
  6. .and hasIpAddress(‘123.123.123.123’)")
  7. .hasIpAddress(String ipaddressExpression) 限制IP地址或子网
  1. .formLogin() //基于表单登录的配置
  1. .formLogin() 基于表单登录
  2. .loginPage() 登录页
  3. .defaultSuccessUrl 登录成功后的默认处理页
  4. .failuerHandler登录失败之后的处理器
  5. .successHandler登录成功之后的处理器
  6. .failuerUrl登录失败之后系统转向的url,默认是this.loginPage + “?error”
  1. logout() //登出logout配置
  1. .logoutUrl 登出url , 默认是/logout, 它可以是一个ant path url
  2. .logoutSuccessUrl 登出成功后跳转的 url 默认是"/login?logout"
  3. .logoutSuccessHandler 登出成功处理器,设置后会把logoutSuccessUrl 置为null
  1. .exceptionHandling() //异常处理配置
  1. .accessDeniedHandler 授权异常处理
  2. .authenticationEntryPoint 认证异常的处理点
  3. .accessDeniedPage :设置被拒绝访问的错误页面(比如 /errors/401) accessDeniedUrl : 1. 如果 accessDeniedUrl 为 null,则返回 403 给浏览器端 2. 如果 accessDeniedUrl 不为 null,是某个 / 开头的有效路径,则 foward 用户到相应的错误页面
  4. .defaultAccessDeniedHandlerFor 设置一个默认的授权异常处理该处理程序首选为所提供的RequestMatcher调用
  5. .defaultAuthenticationEntryPointFor 设置默认的认证异常处理,其将优先被RequestMatcher调用
  1. .sessionManagement() 配置
  1. .invalidSessionUrl 设置session id无效时的跳转URL。如果设置了该属性,浏览器端提供了无效的session id时,服务器端会将其跳转到所设置的URL。
  2. .invalidSessionStrategy 设置session id无效时要应用的策略InvalidSessionStrategy。如果设置了该属性,浏览器端提供了无效的session id时,服务器端会调用该策略对象。Security内置地对该接口仅提供了一个实现就是SimpleRedirectInvalidSessionStrategy。
  3. .invalidSessionStrategy和#invalidSessionUrl都被调用时,#invalidSessionStrategy会生效;
  4. .sessionAuthenticationErrorUrl 定义session异常处理抛出异常时要跳转的URL。如果未设置该属性,SessionAuthenticationStrategy抛出异常时,会返回402给客户端。
  5. .sessionAuthenticationFailureHandler 定义session认证抛出异常时要应用的认证失败处理器AuthenticationFailureHandler。如果未设置该属性,SessionAuthenticationStrategy抛出异常时,会返回402给客户端。
  6. .enableSessionUrlRewriting true,允许将HTTP session信息重写到URL中。该方法对应的属性enableSessionUrlRewriting缺省为false,不允许Http session重写到URL。
  7. .sessionCreationPolicy 设置会话创建策略
  8. .sessionAuthenticationStrategy 允许设置一个会话认证策略。如果不设置,会使用缺省值。默认是SessionFixationProtectionStrategy
  9. .maximumSessions 设置每个用户的最大并发会话数量。此方法返回一个ConcurrencyControlConfigurer,这也是一个安全配置器,设置每个用户会话数量超出单用户最大会话并发数时如何处理。ConcurrencyControlConfigurer的配置能力如下
    9.1 .expiredUrl 设置一个URL。如果某用户达到单用户最大会话并发数后再次请求新会话,则将最老的会话超时并将其跳转到该URL。
    9.2 .expiredSessionStrategy 设置一个会话信息超时策略对象。如果某用户达到单用户最大会话并发数后再次请求新会话,则调用该策略超时哪个会话以及进行什么样的超时处理。
    9.3 .maxSessionsPreventsLogin 设置属性maxSessionsPreventsLogin.如果设置为true,则某用户达到单用户最大会话并发数后再次请求登录时会被拒绝登录。
    缺省情况下maxSessionsPreventsLogin为false。则某用户达到单用户最大会话并发数后再次请求登录时,其最老会话会被超时并被重定向到#expiredUrl所设置的URL(或者被#expiredSessionStrategy所设置策略处理)。
  10. .sessionRegistry 设置所要使用的SessionRegistry,不设置时的缺省值为一个SessionRegistryImpl。
    .sessionFixation 方法返回一个SessionFixationConfigurer,这也是一个安全配置器,专门对Session Fixcation保护机制做出设置。
    SessionFixationConfigurer的配置能力如下
    10.1 .newSession 设置固定会话攻击保护策略为SessionFixationProtectionStrategy,该策略会在用户会话认证成功时创建新的会话,但不会复制旧会话的属性。
    10.2 .migrateSession 设置固定会话攻击保护策略为SessionFixationProtectionStrategy,该策略会在用户会话认证成功时创建新的会话,并且复制旧会话的属性。
    10.3 .changeSessionId 设置固定会话攻击保护策略为ChangeSessionIdAuthenticationStrategy,仅针对Servlet 3.1+,在用户会话认证成功时调用Servlet时变更会话ID并保留所有会话属性
  1. .addFilter 添加过滤器Filter
  1. addFilter 添加过滤器
  2. .addFilterAfter() 在指定的过滤器之后添加新的过滤器
  3. .addFilterBefore()在指定的过滤器之间添加新的过滤器
  4. .addFilterAt();在 atFilter 相同位置添加 filter, 此 filter 不覆盖 filter

三、自定义过滤器(实现自定义登录)

上面的一些概念性解释中已经大致解释了一下过滤链,其中有个UsernamePasswordAuthenticationFilter:的过滤链,这个事官方默认提供的对/login ,post请求的访问进行拦截。首先先对源码进行分析。其实现逻辑大致分析图如下:
在这里插入图片描述
因此我们需要继承父类AbstractAuthenticationProcessingFilter,并在里面注入认证管理器:ProviderManager,并在认证管理的认证器列表中添加一个认证器AuthenticationProvider,最后在认证器中注入获取用户信息和密码加解密等对象即可。
我的代码如下:
代码太多我只贴放了主体结构代码,具体的实现还需根据自己需要,弄懂认证过滤链,认证器管理器,认证器的关系,代码就好写了。

  1. 过滤链实现类:

```java
@Component
public class MyUsernamePwdAuthenticationFilter extends AbstractAuthenticationProcessingFilter  {

    private static final String KEY_USERNAME = "username";
    private static final String KEY_PASSWORD = "password";
    private static final String KEY_VALIDATECODE = "validateCode";
    private static final String KEY_VALIDATE_TYPE = "validateType";

    //提供一个默认值,可通过配置文件更改
    /**用户名*/
    private String usernameParameter = KEY_USERNAME;
    /**用户密码*/
    private String passwordParameter = KEY_PASSWORD;
    /**验证码*/
    private String validateCodeParameter = KEY_VALIDATECODE;
    /**是否需要验证码校验 (默认不需要,1需要,0不需要)*/
    private String isValidate = "1";

    /**仅支持post提交标识*/
    private boolean postOnly = true;


    /**
     * 自定义登录成功处理器
     */
    @Autowired
    private UserLoginSuccessHandler userLoginSuccessHandler;
    /**
     * 自定义登录失败处理器
     */
    @Autowired
    private UserLoginFailureHandler userLoginFailureHandler;

    /**
     * 自定义的认证管理器
     */
    @Autowired
    private AuthenticationManager myProviderManager;

    public MyUsernamePwdAuthenticationFilter() {
        // 设置默认的拦截的请求路径和提交方式
        super(new AntPathRequestMatcher("/loginSvc/login.json", "POST"));

    }

    @Override
    public void afterPropertiesSet() {
        // 填充父类中的一些私有属性
        super.setAuthenticationManager(myProviderManager);
        // 初始化bean时,重写父类中登录成功,登录失败的异常处理对象
        super.setAuthenticationFailureHandler(userLoginFailureHandler);
        super.setAuthenticationSuccessHandler(userLoginSuccessHandler);
        super.afterPropertiesSet();
    }


    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException( "MyUsernamePwdAuthenticationFilter method not supported: " + request.getMethod());
        }

        String username = obtainUsername(request);
        String password = obtainPassword(request);
        String validateCode = obtainPassword(request);
        String validateType = request.getParameter(KEY_VALIDATE_TYPE);

        HttpSession session = request.getSession();

        if(StringUtils.isBlank(username.trim()) || StringUtils.isBlank(password.trim())){
            throw new AuthenticationServiceException( "MyUsernamePwdAuthenticationFilter 参数不能为空!");
        }

        if(StringUtils.isNotBlank(validateType) && isValidate.equals(validateType)){
            String sessioId =session.getId();
            //验证码判断
            if(!VerificationCodeUtils.isRight(validateCode,sessioId)){
                throw new AuthenticationServiceException( ExcepEnum.ERROR_12_03.getExcepDes());
            }
        }

        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                username, password);

        setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }

    protected String obtainPassword(HttpServletRequest request) {
        return request.getParameter(passwordParameter);
    }

    protected String obtainUsername(HttpServletRequest request) {
        return request.getParameter(usernameParameter);
    }

    protected void setDetails(HttpServletRequest request,
                              UsernamePasswordAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }

    public void setUsernameParameter(String usernameParameter) {
        Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
        this.usernameParameter = usernameParameter;
    }

    public void setPasswordParameter(String passwordParameter) {
        Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
        this.passwordParameter = passwordParameter;
    }

    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String getUsernameParameter() {
        return usernameParameter;
    }

    public final String getPasswordParameter() {
        return passwordParameter;
    }
  1. 自定义认证管理器

```java
/**
 * @author: liukj
 * @date: 2020/1/17
 * @description: 自定义认证管理器
 */
@Component("myProviderManagerConfig")
public class MyProviderManager implements InitializingBean {


    private MyProviderManager(){}

    @Autowired
    private MyAuthProvider myAuthProvider;

    private List<AuthenticationProvider> providerList = new ArrayList<>(10);

    @PostConstruct
    public void init(){
        this.getProviderList().add(myAuthProvider);
    }

    /**
     * 产生一个认证管理器
     * @return
     */
    @Bean(name = "myProviderManager")
    public AuthenticationManager generateProviderManager(){
        AuthenticationManager myProviderManager = new ProviderManager(this.getProviderList());
        return myProviderManager;
    }

    public List<AuthenticationProvider> getProviderList() {
        return providerList;
    }

    public void setProviderList(List<AuthenticationProvider> providerList) {
        this.providerList = providerList;
    }


    @Override
    public void afterPropertiesSet() throws Exception {
        Assert.notEmpty(this.getProviderList(),"认证管理器中必须指定一个认证器!");
    }
}
  1. 自定义认证器
/**
 * @author: liukj
 * @date: 2020/1/17
 * @description: 自定义认证器
 */
@Component("myAuthProvider")
public class MyAuthProvider extends DaoAuthenticationProvider {


    /**
     * 密码加解密服务
     */
    @Autowired
    private PasswordEncoder passwordEncoder;

    /**
     * 加载用户详细信息服务
     */
    @Autowired
    @Qualifier("userDetailServiceImpl")
    private UserDetailsService userDetailsService;

    /**
     * 修改用户密码服务
     */
    @Autowired
    @Qualifier("userDetailsPasswordServiceImpl")
    private UserDetailsPasswordService userDetailsPasswordService;

    /**
     * 会在bean初始化完成之前由BeanInitialization接口中的 afterPropertiesSet调用,
     * 在这里重写父类中的密码加密、用户信息加载等对象
     * @throws Exception
     */
    @Override
    protected void doAfterPropertiesSet() throws Exception {
        super.setPasswordEncoder(passwordEncoder);
        super.setUserDetailsPasswordService(userDetailsPasswordService);
        super.setUserDetailsService(userDetailsService);
        super.doAfterPropertiesSet();
    }


}
  1. 密码加解密判断
/**
 * @author: liukj
 * @date: 2019/12/17
 * @description: 密码加密和判断
 */
@Component
public class PasswordEncoderImpl implements PasswordEncoder {

    private static final Logger logger = LoggerFactory.getLogger(PasswordEncoderImpl.class);

    /**
     *  密码的加密
      * @param rawPassword 明文
     * @return 密文
     */
    @Override
    public String encode(CharSequence rawPassword) {
        String encryptText = EncryptOfMd5Utils.md5DigestAsHex(rawPassword.toString());
        return encryptText;
    }

    /**
     *  明文和密文的对比
     *
     * @param rawPassword 明文
     * @param encodedPassword 加密后的密文
     * @return true 密码相等,否正不相等
     */
    @Override
    public boolean matches(CharSequence rawPassword, String encodedPassword) {
        if(null == rawPassword || rawPassword.length()==0){
            logger.warn("Empty encoded password!");
            return false;
        }
        String encryptText = EncryptOfMd5Utils.md5DigestAsHex(rawPassword.toString());
        return encryptText.equals(encodedPassword);
    }
}
  1. 用户信息查询获取的提供者
/**
 * @author: liukj
 * @date: 2019/12/17
 * @description: 用户信息详情查询服务
 */
@Component("userDetailServiceImpl")
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    IUserInfoSvc iUserInfoSvc;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        if(StringUtils.isBlank(username)){
            return new UserDetailInfo();
        }
        UserAuthority userAuthority = iUserInfoSvc.queryUserAuthority(null,username);

        if(null == userAuthority || StringUtils.isBlank(userAuthority.getUserId())){
            throw new MyException(ExcepEnum.ERROR_12_01.getExcepCode(),ExcepEnum.ERROR_12_01.getExcepDes(username));
        }

        if(StatusEnums.INVALID.status.equals(userAuthority.getUserInfo().getUserStatus())){
            throw new MyException(ExcepEnum.ERROR_12_01.getExcepCode(),ExcepEnum.ERROR_12_01.getExcepDes(username));
        }

        List<RoleInfo> roleInfoList = userAuthority.getRoleInfoList();

        UserDetailInfo userDetails = new UserDetailInfo();
        //设置用户基本信息
        userDetails.setUserAuthority(userAuthority);
        Collection<GrantedAuthority> authoritiesList = new ArrayList<>();

        for(RoleInfo roleInfo : roleInfoList){
            GrantedAuthority simpleAuthority  = new SimpleGrantedAuthority(roleInfo.getRoleCode());
            authoritiesList.add(simpleAuthority);
        }
        //设置用户角色信息
        userDetails.setAuthorities(authoritiesList);

        return userDetails;
    }
}
  1. 密码更新提供者
/**
 * @author: liukj
 * @date: 2019/12/17
 * @description: 密码更新
 */
@Component("userDetailsPasswordServiceImpl")
public class UserDetailsPasswordServiceImpl implements UserDetailsPasswordService {

    @Override
    public UserDetails updatePassword(UserDetails user, String newPassword) {
        return null;
    }
}
  1. 配置文件

关于配置,主要参考第二点中配置详解,然后这里投票表决采用的都是默认的,只需在要访问的资源后面加上.hasRole(role);即可控制住某些角色可访问那些资源。

/**
 * @author: liukj
 * @date: 2019/9/22
 * @description: springSecurity配置
 */
@Configuration
@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    private static final Logger logger = LoggerFactory.getLogger(MySecurityConfig.class);

    /**
     * 资源权限加载服务
     */
    @Autowired
    private LoadResourceSvc loadResourceSvc ;

    /**
     * 自定义注销成功处理器
     */
    @Autowired
    private UserLogoutSuccessHandler userLogoutSuccessHandler;
    /**
     * 自定义暂无权限处理器
     */
    @Autowired
    private UserAuthAccessDeniedHandler userAuthAccessDeniedHandler;
    /**
     * 自定义未登录的处理器(认证失败的处理点)
     */
    @Autowired
    private UserAuthenticationEntryPointHandler userAuthenticationEntryPointHandler;

    @Autowired
    private MyUsernamePwdAuthenticationFilter myUsernamePwdAuthenticationFilter;

    private String[] append(List<String> resources){
        StringBuffer resorceStr = new StringBuffer();
        for (int i = 0; i < resources.size(); i++) {
            String resource = resources.get(i);
            resorceStr.append(resource).append(",");
        }
        if(StringUtils.isNotBlank(resorceStr)){
            return resorceStr.substring(0,resorceStr.length()-1).split(",");
        }
        return null;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        List<String> roleModulePermitList = loadResourceSvc.getRoleModulePermitList();

        // 添加无需授权的请求配置
        String[] permitList = append(roleModulePermitList);
        if(null != permitList){
            http.authorizeRequests().antMatchers(permitList).permitAll();
        }

        //添加认证的请求列表
        Map<String, List<String>> roleModuleAuthMap = loadResourceSvc.getRoleModuleAuthMap();
        for(Map.Entry entry : roleModuleAuthMap.entrySet()){
            String role = (String) entry.getKey();
            String[] authList = append(roleModuleAuthMap.get(role));
            if(null != authList){
                http.authorizeRequests().antMatchers(authList).hasRole(role);
            }
        }

        http.authorizeRequests()
                .anyRequest()
                .authenticated()
                .and()
                //异常处理配置
                .exceptionHandling()
                //授权失败的处理逻辑
                .accessDeniedHandler(userAuthAccessDeniedHandler)
                //自定义认证失败的处理逻辑
                .authenticationEntryPoint(userAuthenticationEntryPointHandler)
                .and()
                // 开启跨域
                .cors()
                .and()
                // 取消跨站请求伪造防护
                .csrf().disable()
                //session管理配置
                .sessionManagement()
                //基于Token不需要session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .headers()
                //禁用缓存
                .cacheControl().disable()
                .and()
                //添加自定义过滤器
                .addFilterBefore(myUsernamePwdAuthenticationFilter,JWTAuthenticationTokenFilter.class)
                .addFilter(new JWTAuthenticationTokenFilter(authenticationManager()));
    }

}

自己在学习整理这个太不容易了,希望大家在引用的时候标注一下。多谢了,共同学习,共同进步!

加班不撒缰的小野码~
关注
专栏目录
Sping Security 入门
a17712875660的博客
06-04 237
SpringSecurity入门 Spring Security介绍: “认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系 统中执行动作的其他系统。 “授权”指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由 身份验证过程建立了。 使用步骤 导入Maven依赖 <dependencies> <dependency> <groupId>org.springframework.security</gr
SpringSecurity
iiiis的博客
08-31 1178
::: tip SpringSecurity是什么Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。Spring Security致力于为Java应用程序提供身份验证和授权的能力。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。::: 2.创建接口 3.访问接口 ​ 2.通过创建配置类实现设置 3.编写自定义实现类(常用) 第一步:编写UserDetailsService实现类,可以从数据库中获取用户
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 5011
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 772
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
SpringSpringSecurity使用
Evan_QB的博客
12-18 4901
Spring Security是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1301
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
Spring Security使用详解(基本用法 )
顶顶顶顶顶顶顶顶顶顶顶顶
07-16 9475
1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置方案,可以让Spring Security使用更加便捷。 2,安装配置 <dependency> <groupId&gt...
详解spring security之httpSecurity使用示例
08-27
详解 Spring Security 之 HttpSecurity 使用示例 Spring Security 是一个功能强大且广泛使用Java 安全框架,旨在提供身份验证、授权和其他安全功能。HttpSecuritySpring Security 中的一个重要组件,负责...
详解Spring Boot 使用Spring security 集成CAS
08-30
Spring Boot 使用 Spring Security 集成 CAS Spring Boot 是一个基于 Java 的开源框架,用于快速构建生产级别的应用程序。Spring Security 是一个基于 Spring安全框架,提供了身份验证、授权和访问控制等功能。...
SpringSecurity 授权详解
流楚丶格念的博客
09-18 1769
在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。url 匹配规则 . 权限控制方法通过上面的格式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法
weixin_42642782的博客
02-01 1784
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法 一般的微服务架构下,auth服务都是单独的只做token颁发和校验的模块,所以当在进行用户登录或其他操作的时候,都需要调用其他的服务进行用户信息的查询和密码比对。 那么其他服务的这个接口的隐蔽性就会受到挑战。 但是发现在springsecurity的权限控制当中,有一个方法很好用: hasIpAddress() @Value(value = "${auth.address}") private Str
Spring Security】如何设置hasIpAddress及获取客户端请求的IP进行有效配置
yidragon88xx的专栏
08-06 3249
首先第一个问题,设置hasIpAddress的方法为: 在实现WebSeurityConfig配置文件中的WebSecurity部分设置,例如 http.authorizeRequests().antMatchers("/admin/user/getByUserName").access("hasIpAddress('127.0.0.1')... 当通过服务发现方式来调用时,由于客户机可能存在多个网卡的情况,导致这个配置IP不准确的情况,这个时候需要通过Spring Security Web源.
springsecurity详解
热门推荐
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
OAuth2资源访问控制 OAuth2.0认证服务器配置和资源服务器配置(OAuth2.0学习第二天)
tianlong1569的专栏
09-03 4755
本文代码接着第一天的内容进行更新。(OAuth2.0基础配置信息,OAuth2.0学习第一天地址-https://blog.csdn.net/tianlong1569/article/details/108366395) 在前文中我们已经获得了access_token,但是当通过access_token调用相关的接口的时候报出下面异常 { "timestamp": "2020-09-03T06:57:33.443+0000", "status": 401, "error": "
Spring Cloud OAuth2 认证流程
偶尔记一下 - mybatis.io
09-24 3万+
Spring Cloud OAuth2 认证流程本文基于官方提供的示例进行讲解,文中部分源码使用的 5.0 版本,基本上没太大差别。建议配合本文提供的关键代码和官方示例结合查看,可以运行官方示例查看效果。 认证服务器:https://github.com/spring-cloud-samples/authserver SSO客户端:https://github.com/spring-c
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
Spring Security 框架详解与应用
Spring Security是一个广泛使用安全框架,起源于著名的ACEGI Security System,后被纳入Spring框架家族,提供了多种安全策略,易于集成,因此在许多系统中被用来实施安全管理。在本文中,我们将深入探讨Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值