Spring Security安全框架——认证(登录)、密码加密、权限控制

最新推荐文章于 2024-05-14 21:17:00 发布
最新推荐文章于 2024-05-14 21:17:00 发布
阅读量1.1k 收藏 5
点赞数
分类专栏: Java 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44254005/article/details/111300829
版权

Spring Security——认证(登录)、密码加密、权限控制

认证(登录)

导入jar包或者依赖

导入spring-security所需要的jar包
在这里插入图片描述
或者Maven依赖

<dependencies>
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-web</artifactId>
		<version>5.0.1.RELEASE</version>
	</dependency>
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-config</artifactId>
		<version>5.0.1.RELEASE</version>
	</dependency>
</dependencies>

在web.xml文件中配置认证过滤器

<!--认证过滤器-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

创建spring-security.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不过滤的资源(静态资源及登录相关) -->
    <security:http security="none" pattern="/html/login.html" />

    <!-- 配置拦截的规则
        auto-config:是否使用框架提供的登录页面
        use-expressions:是否使用spel表达式
        如果使用spel表达式多个权限:hasAnyRole('ROLE_USER','ROLE_ADMIN')
        -->
    <security:http auto-config="false" use-expressions="true">

        <!--配置拦截的请求地址,任何请求地址都必须拥有ROLE_USER的权限
            access:默认配置时它应该是一个以逗号分隔的角色列表,如 "ROLE_USER,ROLE_ADMIN"
            请求的用户只需拥有其中的一个角色就能成功访问对应的URL
            使用spel表达式多个权限:hasAnyRole('ROLE_USER','ROLE_ADMIN')
        -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')" />
        <!-- auto-config为true,不需要在配置下面信息 <security:form-login /> -->
        <!--配置自己的登录页面-->
        <security:form-login login-page="/html/login.html" login-processing-url="/login" 
                             username-parameter="username" password-parameter="password"
                             authentication-failure-url="/html/login.html" default-target-url="/index.jsp"/>
        <!--配置退出-->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/html/login.html"></security:logout>
    </security:http>

    <!--配置认证(登录)信息:认证管理器-->
    <security:authentication-manager>
        <!--认证信息提供者
            user-service-ref:引入用户服务
        -->
        <security:authentication-provider user-service-ref="userService">
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

配置拦截的规则
在这里插入图片描述
认证管理器:
在这里插入图片描述

创建用户服务 UserService

UserService接口继承 UserDetailsService接口
在这里插入图片描述
UserService实现类实现 loadUserByUsername( ) 方法

@Service("userService")
public class UserServiceImpl implements UserService {
    @Autowired
    private UserMapper mapper;
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        //s 就是登录页面传来的username
        UserInfo info = mapper.selectUserAndRoleByUsername(s);
        //将用户的用户名、密码以及List<SimpleGrantedAuthority>填入security定义的user中 
        // org.springframework.security.core.userdetails.User;
        User user = new User(info.getUsername(),info.getPassword(),getRole(info.getRoles()));
        return user;
    }

    //将角色信息存入SimpleGrantedAuthority对象中,在封装进List集合中
    public List<SimpleGrantedAuthority> getRole(List<Role> roles){
            List<SimpleGrantedAuthority> l = new ArrayList<>();
        for (Role role:roles) {
            SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(role.getRoleName());
            l.add(simpleGrantedAuthority);
        }
        return l;
    }

在这里插入图片描述
运行结果:

不满足角色权限的用户,重新进入login.html

密码加密

1、配置 密码编码器passwordEncoder

在 springsecurity.xml中,配置passwordEncoder,交给Spring容器进行实例化

<!--实例化 密码编码器-->
<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean>

2、在认证管理器中引入 密码编码器

以便以在认证登录的时候,进行解密

<!--配置认证(登录)信息:认证管理器-->
<security:authentication-manager>
    <!--认证信息提供者
        user-service-ref:引入用户服务
    -->
    <security:authentication-provider user-service-ref="userService">
        <!--引入密码编码器,认证的时候,进行解密-->
        <security:password-encoder ref="passwordEncoder"></security:password-encoder>
    </security:authentication-provider>
</security:authentication-manager>

3、 在UserService实现类中进行加密

在这里插入图片描述
添加用户的时候,进行加密
在这里插入图片描述

权限控制

服务器端 方法级别权限控制

springmvc.xml中,开启权限控制——面向切面的自动代理

<!--开启权限控制 面向切面的自动代理-->
<aop:aspectj-autoproxy proxy-target-class="true"></aop:aspectj-autoproxy>

在这里插入图片描述

@Secured注解方式

springsecurity.xml文件中,开启Secured方法注解

<!--开启服务器端secured方法注解-->
<security:global-method-security secured-annotations="enabled"></security:global-method-security>

对删除商品进行权限控制:

@Secured("ROLE_ADMIN")//@Secured注解,方法级别的控制

只有ROLE_ADMIN角色才可以调用该方法
在这里插入图片描述

JSR250注解方式

导入jar包
在这里插入图片描述
springsecurity.xml文件中,开启JSR250方法注解

<!--开启服务器端JSR250方法方法注解-->
<security:global-method-security jsr250-annotations="enabled"></security:global-method-security>

对删除商品进行权限控制:

@RolesAllowed("ROLE_ADMIN")// JSR250注解方式
@PermitAll //允许所有角色访问
@DenyAll  //拒绝所有角色访问

在这里插入图片描述

表达式注解

开启服务器端表达式方法注解

<!--开启服务器端表达式方法注解-->
<security:global-method-security pre-post-annotations="enabled"></security:global-method-security>

对对删除商品进行权限控制:

@PreAuthorize("hasAnyRole('ROLE_ADMIN')") //表达式注解

@PreAuthorize("authentication.principal.username == 'wang'") //只有用户名为"wang"的用户,才可以调用

在这里插入图片描述

页面端标签权限控制

导入jar包
在这里插入图片描述
在JSP页面导入taglib 标签库

<%@taglib prefix="security" uri="http://www.springframework.org/security/tags"%>

使用authentication获取用户信息

<security:authentication property="principal.username"></security:authentication>

在这里插入图片描述
在这里插入图片描述
使用authorize控制标签的显示

<security:authorize access="hasAnyRole('ROLE_ADMIN')">标签</security:authorize>

例如:

<security:authorize access="hasAnyRole('ROLE_ADMIN')">

	<li id="system-setting"><a
		href="${pageContext.request.contextPath}/product/findAll">
		<i class="fa fa-circle-o"></i> 产品管理
	</a></li>
	
</security:authorize>
叫小盾牌怎么了
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决There is no PasswordEncoder mapped for the id “null“问题
Aibedoo的博客
09-15 3147
默认情况下与4.2版本不同的是,springsecurity5.0密码加密方式采用了bcrypt的方式,而且密码直接配置在xml文件中,不光是需要使用BCryptPasswordEncoder来加密,还需要指定一个encodingId,如果不指定,就会报出如题所示的错误。不管是哪种方式,我们如果使用默认的加密方式,就需要在xml中配置密码为如下的样子。1、密码加密,和springsecurity4.2一样,使用明文密码,那就需要配置密码验证方式为noop,配置如下。知道了用什么方式,我们就可以来改进了。
如何利用SpringSecurity进行认证与授权
qq_63218110的博客
02-14 3635
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(1)
最新发布
2401_84102759的博客
05-14 906
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取//放行register接口“)
如何使用Spring Security进行身份验证和授权
u013749113的博客
09-25 330
Spring Security 是一个功能强大的框架,用于处理身份验证、授权和安全性。它构建在 Spring 框架之上,提供了一套灵活的安全性解决方案,可轻松集成到 Spring 应用程序中。Spring Security 可用于保护 Web 应用程序、REST API 和方法级别的安全性。确定用户是谁,通常需要用户名和密码的验证。确定用户是否具有执行特定操作或访问特定资源的权限。防止常见的 Web 安全威胁,如 CSRF(跨站请求伪造)、XSS(跨站脚本攻击)和SQL注入。
SpringSecurity
小白的博客
03-23 1568
一、导入依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、在yml中设置自定义密码spring: security: u
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 5115
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
Spring_Security权限管理_学习笔记
08-01
Spring SecurityJava企业级应用中广泛使用的权限管理框架,它为应用程序提供了强大的访问控制安全功能。在本学习笔记中,我们将深入探讨Spring Security的核心概念和配置,以及如何设计数据库表来支持权限管理。...
springboot+security+mybatis-plus实现自定义认证用户数据源的接口开发
05-12
通过在`pom.xml`或`build.gradle`中引入相关依赖,我们可以轻松地在项目中引入Spring Boot的安全模块——Spring SecuritySpring SecuritySpring生态中的安全框架,它提供了全面的身份验证和授权机制。在这个...
springboot项目——基于springSecurity实现的前后端分离的企业级人事管理系统
10-03
接着,SpringSecurity作为安全模块,主要负责用户的登录验证、权限控制以及会话管理。在本项目中,SpringSecurity可以实现用户登录时的身份验证,例如通过用户名和密码进行认证。同时,它还支持基于角色的访问控制...
Spring Security 中文教程.pdf
12-06
5.5. Spring Security中的访问控制(验证) 5.5.1. 安全和AOP建议 5.5.2. 安全对象和AbstractSecurityInterceptor 5.5.2.1. 配置属性是什么? 5.5.2.2. RunAsManager 5.5.2.3. AfterInvocationManager ...
springboot+shrio安全框架密码加密与校验
weixin_39059447的博客
10-22 249
pom.xml文件 <!-- hutool-crypto --> <dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-crypto</artifactId> <version>5.4.4</version> </dependency&g
【使用springsecurity实现登录认证、授权】
qq_39445235的博客
09-22 460
使用springsecurity实现登录认证、授权
Spring Security安全框架---认证登陆
qq_32923295的博客
04-19 393
上一章说了Spring Security的概念以及入门的代码,这一章整体说一下,Spring Security认证登陆,基于spring boot 我们想回忆一下认证的流程 Spring Security进行验证的步骤如下: 1.用户使用用户名和密码登陆 2.过滤器(UsernamePasswordAuthenticationFilter)获取到用户名、密码,然后封装成Authentication. 3.AuthenticationManager认证token(Authentication的实现
SpringSecurity +Jwt 使用用户名密码登录
qq_45524787的博客
07-23 2178
SpringSecurity +Jwt 使用用户名密码登录
SpringSecurity系列 - 13 SpringSecurity 密码加密认证 PasswordEncoder
你今天真好看呀
09-18 1384
最早我们使用类似 SHA-256 、SHA-512 、MD5等这样的单向 Hash 算法。用户注册成功后,保存在数据库中不再是用户的明文密码,而是经过 SHA-256 加密计算的一个字行串,当用户进行登录时,用户输入的明文密码用 SHA-256 进行加密加密完成之后,再和存储在数据库中的密码进行比对,进而确定用户登录信息是否有效。如果系统遭遇攻击,最多也只是存储在数据库中的密文被泄漏。这样就绝对安全了吗?
Spring Security 实战干货:UsernamePasswordAuthenticationFilter 源码分析
码农小胖哥
07-16 1530
1. 前言欢迎阅读Spring Security 实战干货系列文章,在集成Spring Security安全框架的时候我们最先处理的可能就是根据我们项目的实际需要来定制注册登录了,尤其...
SpringSecurity用户密码验证过程
caijibaindashen的博客
04-27 5077
SpringSecurity过滤链当中的UsernamePasswordAuthenticationFilter负责登陆密码验证 AbstractAuthenticationProcessingFilter是UsernamePasswordAuthenticationFilter的父接口,接口当中就有一个this.getAuthenticationManager()方法,获取AuthenticationManager对象。 AuthenticationManager对象当中有一个方法:Authentica
Spring Secuirty 密码加密认证讲解
weixin_52834606的博客
08-27 3337
spring Securiy 密码加密 深度讲解
spring权限框架教程
06-29
Spring Security是一个功能强大的权限框架,可以帮助开发人员实现各种权限控制安全管理。本教程将从介绍Spring Security的基本原理和分类使用开始,逐步深入到实际应用的演示和示例,旨在帮助读者全面了解和掌握...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值