SpringSecurity小结

最新推荐文章于 2024-05-21 18:10:02 发布
最新推荐文章于 2024-05-21 18:10:02 发布
阅读量210 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44226752/article/details/118734846
版权

认证(Authentication)和授权(Authorization)

  • 认证(Authentication):验证某个用户是否是系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码,系统通过校验用户名和密码来完成认证过程。
  • 授权(Authorization):发生在认证之后,指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对于一个文件来说,有的用户只能读取 ,有的用户可以修改。一般来说,系统会为不同的用户分配不同的角色,每个角色会对应一系列权限。

RBAC模型

  • 系统权限控制最常使用的访问控制模型就是RBAC模型
  • RBAC即基于角色的权限访问控制(Role-Base Access Control) ,这是一种通过角色关联权限,角色又关联用户的授权方式。
  • 简单的说就是一个用户拥有多个角色,每个角色又被分配若干权限。就构成了用户-角色-权限的授权模型。在这种模型中,用户与角色,角色与权限构成了多对多的关系。

RBAC

  • 在RBAC中,权限与角色相关联,用户通过成为适当的角色的成员而得到这些角色的权限,极大简化了权限的管理
  • 通常来说,如果系统对权限控制要求比较严格的话,一般都会选择使用RBAC模型来做权限控制。

什么是SpringSecurity

  • SpringSecurity是 一个功能强大且高度可定制的用户认证和用户授权框架
  • 在用户认证方面,springsecurity框架支持主流的认证方式,包括HTTP基本认证,http表单认证,http摘要认证,OpenID和LDAP等。在用户授权方面,SpringSecurity提供了基于角色的访问控制和访问控制列表(Access Control List ,ACL),可以对应用中的领域对象进行细粒度的控制。

如何使用SpringSecurity

  1. 在pom中导入Spring Security模块。

spring-boot-starter-security

  1. 编写Spring Security配置类
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurity ConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

@EnableWebSecurity //开启webSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	//定制请求的授权规则
	@Override
    protected void configure(HttpSecurity http) throws Exception {
        /*
        定制请求规则,请求url:'/'所有人都可以访问
        	请求url:'/level1/**' 有角色vip1才可以访问
        	请求url:'/level2/**' 有角色vip2才可以访问
        	.........
        */
        http.authorizeRequests().antMatchers("/").permitAll()
            .antMatchers("/level1/**").hasRole("vip1")
            .antMatchers("/level2/**").hasRole("vip2")
            .antMatchers("/level3/**").hasRole("vip3");  
        
/********************************************************************************************/
        
        //开启自动配置的登录功能:如果没有权限,就会跳转到登录页面!
        // /login?error 重定向到这里表示登录失败
        http.formLogin()
            .usernameParameter("username")// 接收登录的用户名和密码
            .passwordParameter("password")
            .loginPage("/toLogin")
            .loginProcessingUrl("/login"); // 登陆时跳转到指定的url:/login,前提是url已经写好了,且登录页面的请求方法为post
       
        //开启自动配置的注销的功能
        http.csrf().disable();//关闭csrf功能:跨站请求伪造,默认只能通过post方式提交logout请求
        http.logout().logoutSuccessUrl("/"); // .logoutSuccessUrl("/"); 注销成功后会访问url:'/'
        //记住我
        /*springsecurity自动实现了一个cookie,登录时会带上它,当注销时,就会删除那个cookie,cookie的名字是remember-me,可以在浏览器控制台看看*/
        http.rememberMe().rememberMeParameter("remember");
    }
    
    
 /********************************************************************************************/
    
    //给用户相应的角色权限,用户可以从数据库或者内存中取
    //定义认证规则,重写configure(AuthenticationManagerBuilder auth)方法
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //在内存中定义,也可以在jdbc中去拿....
        //Spring security 5.0中新增了多种加密方式,也改变了密码的格式。
        //要想我们的项目还能够正常登陆,需要修改一下configure中的代码。我们要将前端传过来的密码进行某种方式加密
        //spring security 官方推荐的是使用bcrypt加密方式。
   		 auth.inMemoryAuthentication()
            .passwordEncoder(new BCryptPasswordEncoder())
            .withUser("kuangshen").password(new BCryptPasswordEncoder()
            .encode("123456")).roles("vip2","vip3")
            .and()
            .withUser("root").password(new BCryptPasswordEncoder()
            .encode("123456")).roles("vip1","vip2","vip3")
            .and()
            .withUser("guest").password(new BCryptPasswordEncoder()
            .encode("123456")).roles("vip1","vip2");
    }
}

SpringSecurity 整合Thymeleaf

  • SpringSecurity 整合Thymeleaf可以实现根据不同权限显示不同的内容。

    步骤

  1. 导入maven依赖
thymeleaf-extras-springsecurity5
  1. 导入命名空间:
xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5"
  1. 在代码中使用:
sec:authorize="isAuthenticated()":
sec:authorize="hasRole('vip1'):
用来包裹代码,如果包裹的代码当前用户没有权限访问就不显示它,反之亦然。

举例:

<!--登录注销-->
<div class="right menu">
<!--如果未登录-->
	<div sec:authorize="!isAuthenticated()">
		<a class="item" th:href="@{/login}">
			<i class="address card icon"></i> 登录
		</a>
	</div>
<!--如果已登录-->
	<div sec:authorize="isAuthenticated()">
		<a class="item">
		<i class="address card icon"></i>
			用户名: <span sec:authentication="principal.username">
				</span>
			角色:<span sec:authentication="principal.authorities">
				</span>
		</a>
	</div>
	<div sec:authorize="isAuthenticated()">
		<a class="item" th:href="@{/logout}">
		<i class="address card icon"></i> 注销
		</a>
	</div>
</div>

面试知识点总结

  • SpringSecurity 是面向切面编程AOP的体现
  • https://blog.csdn.net/mmmmhello/article/details/114702063
coder chen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity
weixin_45450412的博客
02-01 369
Spring Security 一、 Spring Security 简介 1 概括 Spring Security 是一个高度自定义的 安全框架。利用 Spring IoC/DI和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环
security】java springboot项目中使用springSecurity安全框架
m0_66998390的博客
08-23 1942
java springboot项目中使用springSecurity安全框架
Spring Security框架配置及使用
m0_72106802的博客
09-08 587
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。像所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义需求。Spring Security框架是目前认证和授权的主流应用框架,用以划分用户管理员权限,自身也提供BCrypt算法用于密码的加密处理,并且这种算法更加安全。
Spring Authorization Server的使用
最新发布
zzy7075的专栏
05-21 472
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张三是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
SpringSecurity认证添加pom.xml依赖,实现MP代码生成,创建配置Controller,自定义MD5加密,BCryptPasswordEncoder密码编码器,以及CSRF防御
qq_73126462的博客
01-22 1164
创建自定义MD5加密类并实现@Override//对密码进行 md5 加密​@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库中的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5加密密码保存到数据库表中。CSRF,跨站请求伪造)是一种利用用户已登录的身份在用户不知情的情况下发送恶意请求的攻击方式。
Spring Security 基础使用
奇妙的代码
11-23 746
Spring Security 是基于 Spring 应用的框架,具有功能强大且高度可定制的身份验证和访问控制的特点。
Spring security实现记住我下次自动登录功能过程详解
08-24
Spring Security 实现记住我...小结 在本文中,我们详细介绍了如何使用 Spring Security 实现记住我下次自动登录功能。我们讨论了简单实现方式和数据库实现方式,并分析了它们的优缺点。希望本文能够对您有所帮助。
Spring Security 中文教程.pdf
12-06
5.2.4. 小结 5.3. 验证 5.3.1. 什么是Spring Security的验证呢? 5.3.2. 直接设置SecurityContextHolder的内容 5.4. 在web应用中验证 5.4.1. ExceptionTranslationFilter 5.4.2. ...
spring security 配置文件小结(逐步深化到url级别)
05-25
在本文中,我们将深入探讨Spring Security的配置文件小结,逐步深化到URL级别的保护。 首先,我们需要理解Spring Security的核心组件。这些包括`WebSecurityConfigurerAdapter`,这是自定义安全配置的主要入口点;`...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
5.2.4. 小结 5.3. 验证 5.3.1. 什么是Spring Security的验证呢? 5.3.2. 直接设置SecurityContextHolder的内容 5.4. 在web应用中验证 5.4.1. ExceptionTranslationFilter 5.4.2. AuthenticationEntryPoint ...
SpringSecurity与shiro的使用
10-07
Spring Security与Shiro的使用 Spring Security和Shiro都...小结 Shiro是一个功能强大且灵活的安全框架,提供了许可、认证、加密和会话管理功能。通过自定义Realm,我们可以实现自己的认证逻辑,满足不同的业务需求。
使用SpringSecurity
bluemoon_0的博客
02-20 224
使用SpringSecurity
SpringSecurity框架
Mr_Jin的博客
06-20 4932
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
SpringSecurity使用详细讲解,附源码详细每一步的引导
m0_53464000的博客
08-23 377
权限认证的思路其实非常简单,我在登录的时候根据用户查询到权限信息,然后交给SpringSecurity框架,并且存到reids中就可以。截止到这一步,简单的登录校验就做好了,sucrity会根据返回的user自己比较密码,注意密码存储数据库时一定要加密,否则比对不成功。截至这里我们测试,登录成功之后,拿到返回的token,将token放在请求头中,成功访问,如果没有token就说明请求非法。前面我们说到了,当用户登录成功之后,我们会把生成的jwt返回给前端,然后前端在每次请求的时候都要带上这个token,
SpringSecurity入门
qq_56113699的博客
08-31 160
1.SpringSecurity简介 1.安全框架概述 什么是安全框架概述?解决系统安全问题的框架,如果没有安全框架,我们需要说动的处理每个资源的访问控制,非常的烦恼,使用安全框架我们可以通过配置的方式实现对资源的访问控制 2.常用的安全框架 SpringSecurity:Spring家族的一员,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架他提供了一组可以在Spring应用上下文中配置的Bean,**充分利用了Spring IOC (控制反转)DI(依赖注入)和AO
Spring Security 5.7 的简单搭建流程
qq_43670559的博客
04-17 2075
Spring Security 5.7 的简单搭建流程 1 环境搭建 1.1 pom 文件中依赖的引入 该流程搭建的是一个前后端分离的项目,环境搭建使用 Spring boot 2.7.10 和 Spring Security 5.7,数据库使用 MySQL8、druid、 MyBatis-Plus 具体pom文件的引入为: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/
springsecurity配置及使用
又菜又爱玩的博客
08-29 1266
学习时是看b站狂神说java讲解的springsecurity发现WebSecurityConfigurerAdapter类已经被弃用(2.7.0以下版本可继续使用,2.7.0以上已被启用),于是看官方文档写的一个新版本的配置,新旧对比学习。
SpringSecurity教学讲义.docx
12-04
SpringSecurity教学讲义是一份针对Spring Security 3.0的教程,它涵盖了Spring Security在Java Web开发中的重要角色。Spring Security是一个基于Spring框架的高级安全框架,它结合了AOP(面向切面编程)和Servlet...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值