Java中的认证与授权机制

于 2024-07-23 14:43:33 发布
阅读量247 收藏 3
点赞数 1
文章标签: java 数据库 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44409190/article/details/140617395
版权

Java中的认证与授权机制

大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿! 今天我们将深入探讨Java中的认证与授权机制。这两个概念是现代应用程序安全的核心,涉及到用户身份验证和访问控制。认证是验证用户身份的过程,而授权是确定用户是否有权限访问特定资源的过程。本文将介绍在Java中实现这些机制的不同方式,包括使用Spring Security、OAuth2和OpenID Connect等技术。

一、认证与授权的基本概念

1. 认证(Authentication)

认证是确定用户身份的过程。用户通常通过用户名和密码、令牌或其他凭据进行认证。常见的认证方式包括:

  • 基本认证:用户通过用户名和密码进行认证。
  • 令牌认证:用户通过令牌进行认证,例如JWT(JSON Web Token)。
  • 多因素认证(MFA):用户需要提供多个验证因素进行认证,例如密码加上短信验证码。

2. 授权(Authorization)

授权是确定用户是否有权限访问某个资源的过程。授权控制可以基于角色、权限或自定义规则。常见的授权策略包括:

  • 基于角色的访问控制(RBAC):根据用户的角色授予访问权限。
  • 基于属性的访问控制(ABAC):根据用户属性和环境条件授予访问权限。
  • 基于策略的访问控制(PBAC):使用复杂的策略和规则来控制访问权限。

二、使用Spring Security实现认证与授权

Spring Security是一个功能强大的安全框架,提供了认证和授权的全面支持。以下是如何在Spring Boot应用中配置Spring Security来实现认证和授权的详细步骤。

1. 添加Spring Security依赖

pom.xml中添加Spring Security相关的依赖。

pom.xml

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
</dependencies>

2. 配置认证

Spring Security提供了多种认证方式,包括表单登录、HTTP Basic认证、OAuth2等。以下是一个简单的基于表单登录的认证配置示例。

SecurityConfig.java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();

        return http.build();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

3. 配置用户存储

使用内存存储或数据库存储用户信息。以下是一个基于内存的用户存储配置示例。

SecurityConfig.java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.InMemoryUserDetailsManager;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }

    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("user")
            .password(passwordEncoder().encode("password"))
            .roles("USER")
            .build());
        manager.createUser(User.withUsername("admin")
            .password(passwordEncoder().encode("admin"))
            .roles("USER", "ADMIN")
            .build());
        return manager;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

4. 配置授权

Spring Security允许基于角色的访问控制。以下是如何配置角色和权限的示例。

SecurityConfig.java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

三、使用OAuth2实现认证与授权

OAuth2是一种用于授权的框架,常用于第三方应用的授权访问。Spring Security提供了对OAuth2的支持,允许你配置OAuth2客户端和资源服务器。

1. 配置OAuth2客户端

以下示例展示了如何配置Spring Boot应用作为OAuth2客户端。

application.yml

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: YOUR_GOOGLE_CLIENT_ID
            client-secret: YOUR_GOOGLE_CLIENT_SECRET
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
            scope:
              - profile
              - email
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/auth
            token-uri: https://oauth2.googleapis.com/token
            user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo
            user-name-attribute: sub

2. 配置OAuth2资源服务器

配置Spring Boot应用作为OAuth2资源服务器,用于保护资源。

application.yml

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: https://your-issuer-uri.com

3. 配置OAuth2的安全

SecurityConfig.java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableResourceServer;

@Configuration
@EnableWebSecurity
@EnableResourceServer
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated();
    }
}

四、使用OpenID Connect实现身份验证

OpenID Connect是构建在OAuth2之上的身份层协议,支持用户身份验证。

1. 配置OpenID Connect

application.yml中配置OpenID Connect提供者。

application.yml

spring:
  security:
    oauth2:
      client:
        registration:
          okta:
            client-id: YOUR_OKTA_CLIENT_ID
            client-secret: YOUR_OKTA_CLIENT_SECRET
            authorization-grant-type: authorization_code
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
            scope:
              - openid
              - profile
              - email
            provider:
              okta:
                authorization-uri: https://{yourOktaDomain}/oauth2/default/v1/authorize
                token-uri: https://{yourOktaDomain}/oauth2/default/v1/token
                user-info-uri: https://{yourOktaDomain}/oauth2/default/v1/userinfo
                jwk-set-uri: https://{yourOktaDomain}/oauth2/default/v1/keys
                issuer-uri: https://{yourOktaDomain}/oauth2/default

2. 配置OpenID Connect的安全

SecurityConfig.java

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.config.annotation.web.configuration.EnableOAuth2Client;

@Configuration
@EnableWebSecurity
@EnableOAuth2Client
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
            .and()
            .oauth2Login()
            .loginPage("/login")
            .defaultSuccessURL("/home", true);
    }
}

五、安全最佳实践

1. 使用HTTPS

始终使用HTTPS加密传输,以保护敏感信息不被窃听。

2. 定期更新依赖

定期检查和更新依赖库,以避免使用存在已知漏洞的库。

3. 保护密钥和令牌

对存储和使用的密钥、令牌等敏感信息进行加密,避免硬编码在源代码中。

4. 实施最小权限原则

授予客户端应用所需的最小权限,避免过度授权。

5. 监控和审计

实施监控和审计,以便及时发现和响应潜在的安全问题。

六、总结

在Java中实现认证和授权机制对于确保应用的安全性至关重要。使用Spring Security,可以有效地配置基于表单登录的认证、OAuth2授权以及OpenID Connect身份验证。同时,通过遵循安全最佳实践,可以确保应用程序免受常见的安全威胁。无论是实现基础的认证机制,还是集成复杂的OAuth2和OpenID Connect协议,Spring Security都提供了丰富的支持,帮助开发者构建安全的应用程序。

本文著作权归聚娃科技微赚淘客系统开发者团队,转载请注明出处!

省赚客app开发者
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java websocket 认证,Spring的Websocket身份验证和授权
weixin_42511602的博客
02-16 2004
I've been struggling a lot to properly implement Stomp (websocket) Authentication and Authorization with Spring-Security. For posterity i'll answer my own question to provide a guide.The ProblemSpring...
Java认证授权服务笔记代码
02-19
Java认证授权服务(Java Authentication and Authorization Service,简称JAAS)是Java平台提供的一种安全机制,用于处理用户身份验证和权限管理。它为开发者提供了一种标准的方式来集成各种安全策略和认证机制,...
java认证授权(Spring Security)
Relievedz的博客
03-16 2239
认证功能几乎是每个项目都要具备的功能,并且它与业务无关,市面上有很多认证框架,如:Apache Shiro、CAS、Spring Security等。由于本项目基于Spring Cloud技术构建,Spring Security是spring家族的一份子且和Spring Cloud集成的很好,所以本项目选用Spring Security作为认证服务的技术框架。Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是一个专注于为 Java 应用程序提供身份验证和授权的框架。
Spring Security+JWT实现认证授权
weixin_44196561的博客
03-29 5112
目录 一、登录校验流程 3、 整合JWT大致流程 前端响应类 JWT工具类 重写UserDetailsService的方法 重写登录接口 认证过滤器 授权基本流程 封装权限信息 RBAC权限模型 自定义失败处理 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、登录校验流程 1、Spring Security 完整流程 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供
简单介绍Spring Security 的认证机制授权机制
www_tlj的专栏
02-04 1078
Spring Security 的认证机制提供了一个强大而灵活的框架,支持多种认证方式,并允许通过自定义扩展来满足各种安全需求。通过正确配置和使用Spring Security,开发者可以为应用程序建立一个可靠的认证和安全模型。Spring Security的授权机制提供了灵活强大的访问控制能力,从简单的基于URL的安全规则到复杂的方法级安全和ACL。通过组合使用这些授权策略,开发者可以构建出既安全又灵活的应用程序,确保只有授权的用户才能访问敏感资源。
如何利用SpringSecurity进行认证授权
qq_63218110的博客
02-14 3994
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
Java2环境下身份认证授权机制的研究
06-23
针对目前 Java技术的广泛应用, 特别是很多基于 J2EE 平台的电子商务系统的开发, 文介绍了 Java2下的一种身 ...由于身份认证授权与安全机制密切相关, 同时也对 Java的安 全及权限访问控制做了一些阐述
java基于OAuth2的授权认证系统
05-23
OAuth2是一种广泛使用的开放标准,...通过理解OAuth2的核心概念、流程以及Spring Security OAuth2的实现,我们可以构建出符合行业标准且可靠的认证授权机制。同时,采用JWT令牌可以进一步增强系统的安全性和效率。
第5章 认证授权v3.1
10-29
综上所述,认证授权v3.1章节关注的是如何在实际项目实施高效、安全的用户认证授权机制,特别是通过Spring Security框架实现这一目标。理解和掌握这些知识对于构建安全的、用户友好的IT系统至关重要。
mima.rar_java 认证
09-23
四、Java认证机制 Java认证机制主要由Java Authentication and Authorization Service (JAAS) 实现。JAAS为应用程序提供了一种标准的方式来验证用户身份,并根据验证结果执行授权。在Java,可以定义自定义的身份...
12. Hibernate 模板设计模式
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-22 586
如何运用模板设计模式重构 Hibernate 操作流程;持久化对象与序列化接口;OOP有一个编码原则 :写仅写一次。翻译过来就是,不要重复,要重用。答案是:使用模板设计模式进一步封装Hibernate的操作。在真实项目,Hibernate仅仅只是完成项目的一部分工作,需要和其它,如Spring等框架联合工作,一起承担整体项目的开发。Spring框架就提供的有Hibernate模板对象。一个常规的、频繁的操作代码,大部分代码不需要变动,只有小部分代码需要根据需求变动。
Java内存模型
weixin_44267758的博客
07-19 707
此处的变量不是指java编程的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存。每条线程有自己的工作内存,工作内存保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。
Promise 详解(原理篇)
山重水复疑无路,柳暗花明又一村。
07-20 683
Promise 是一种异步编程的解决方案。在异步操作,callback 会导致回调地狱的问题,Promise 解决了这个问题。一个 Promise对象有以下三种状态:pending:初始状态,既不是成功,也不是失败状态。:意味着操作成功完成。rejected:意味着操作失败。当 new Promise() 被实例化后,即表示 Promise 进入 pending 初始化状态,准备就绪,等待运行。
接口防刷!利用redisson快速实现自定义限流注解
架构师小吴的博客
07-18 1220
如登录接口,当用户使用手机号+验证码登录时,一般我们会生成6位数的随机验证码,并将验证码有效期设置为1-3分钟,如果对登录接口不加以限制,理论上,通过技术手段,快速重试100000次,即可将验证码穷举出来。解决思路:对登录接口加上限流操作,如限制一分钟内最多登录5次,登录次数过多,就返回失败提示,或者将账号锁定一段时间。在日常开发,一些重要的对外接口,需要加上访问频率限制,以免造成资��损失。ok,通过以上两步,即可完成我们的限流注解了,下面通过一个接口验证下效果。
JVM-垃圾回收与内存分配
m0_50846237的博客
07-19 1231
JVM-垃圾回收与内存分配
Java算法】前缀和 下
2302_79806056的博客
07-18 1104
这段代码实现了一个寻找数组具有相等数量的0和1的最长子数组长度的算法。具体来说,它使用了前缀和(prefix sum)的概念以及哈希映射(HashMap)来优化查找过程。初始化哈希映射:计算前缀和:检查相等数量的0和1:更新哈希映射:返回结果:这种方法的时间复杂度为O(n),因为我们只遍历数组一次,并且对每个元素执行常数时间的操作。空间复杂度也是O(n),最坏情况下需要存储n个前缀和值。 初始化阶段:开始遍历数组:继续
淘客返利系统的服务发现与注册机制详解
技术研究中心
07-22 1065
通过服务注册心,服务提供者可以将自己注册到注册心,服务消费者可以从注册心获取服务提供者的地址,以实现服务调用。本文详细介绍了淘客返利系统服务发现与注册机制的实现,包括Eureka的配置与代码示例。通过Eureka,我们可以轻松实现服务的注册与发现,确保分布式系统各个服务之间的通信。在本文,我们将深入探讨淘客返利系统的服务发现与注册机制,并结合Java代码进行详细讲解。在我们的淘客返利系统,我们采用Eureka作为服务发现与注册的工具。在我们的淘客返利系统,首先需要配置Eureka服务器。
Java实现拼图小游戏
最新发布
Aishangyuwen的博客
07-22 818
Java实现拼图小游戏
华为OD机试 - 分披萨 - 递归(Java 2024 D卷 200分)
学Java,找哪吒
07-21 751
递归算法通过函数调用自身解决问题,每次递归调用都处理问题的一个子部分,直到达到基准条件,从而构建最终解。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值