Spring boot整合Security

已于 2023-06-27 10:01:16 修改
阅读量1k 收藏
点赞数
分类专栏: 实践是检验真理的唯一标准 文章标签: spring boot java spring
于 2022-02-23 10:03:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44603464/article/details/123083439
版权

Spring boot整合Security

概述

Spring Security 是spring项目之中的一个安全模块

  • WebSecurityConfigurerAdapter: 自定义Security策略
  • AuthenticationManagerBuilder: 自定义认证策略
  • @EnableWebSecurity: 开启WebSecurity模式
    Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)
认证 [Authentication]

身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

授权 [Authorization]

授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。

添加依赖

<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置Security

创建security配置类 并继承 WebSecurityConfigurerAdapter

  • 密码加密相关配置
 @Autowired
    private UserDetailsService userDetailsService;
    /**
     * 指定加密方式
     * @return 使用BCrypt加密密码
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
    }
  • 静态资源配置
		 /**
     * 静态资源配置
     */
    @Override
    public void configure(WebSecurity web) throws Exception {
        //swagger相关请求,不做拦截
        //        web.ignoring().antMatchers("/v2/api-docs",
        //                "/swagger-resources/configuration/ui",
        //                "//webjars*/**",
        //                "/swagger-resources/configuration/security",
        //                "/swagger*//**","/configuration/ui");
        web.ignoring().antMatchers("/js/**", "/css/**","/images/**");
    }
  • 请求路径相关配置(拦截,授权)
 @Override
   protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //允许根路径url的访问
                .antMatchers("/").permitAll()
//                .antMatchers("/swagger-ui.html").permitAll()
                //其他请求拦截
                .anyRequest().authenticated()
                //
                .and().formLogin().permitAll()
                //登录成功后到swagger页面
                .defaultSuccessUrl("/swagger-ui.html").permitAll()
                //登出
                .and().logout()
                .logoutSuccessUrl("/login").permitAll()
                //关闭csrf
                .and().csrf().disable();
    }
  • 跨域处理
  /**
     * 跨域配置
     * @return
     */
    @Bean
    CorsConfigurationSource corsConfigurationSource() {
        CorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        /*
        同源配置,*表示任何请求都视为同源,
        若需指定ip和端口可以改为如“localhost:8080”,
        多个以“,”分隔;
        */
        corsConfiguration.addAllowedOrigin("*");
        //header,允许哪些header
        corsConfiguration.addAllowedHeader("*");
        //允许的请求方法,PSOT、GET等
        corsConfiguration.addAllowedMethod("*");
        //配置允许跨域访问的url
        ((UrlBasedCorsConfigurationSource) source).registerCorsConfiguration("/**", corsConfiguration);
        return source;
    }

UserDetailsService 接口

  UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
//该接口只提供了一个 loadUserByUsername (通过用户名来加载用户) 
//该方法用于将查询的用户加载到spring security中
//返回是 UserDetails
  • 实现 UserDetailsService 接口
//用户信息,角色信息,用户角色对应关系的dao
    @Autowired
    private SysUserDao userDao;
    @Autowired
    private SysRoleDao sysRoleDao;
    @Autowired
    private SysUserRoleDao sysUserRoleDao;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        SysUser user = userDao.selectByUserName(username);
        user.setSysRoles(sysUserRoleDao.selectByUserId(user.getId()));
        //   //在SysUser类中已经实现了 UserDetails 接口 
        return user;
    }

UserDetails 接口

从上面UserDetailsService 可以知道最终交给Spring Security的是UserDetails 。该接口是提供用户信息的核心接口。该接口实现仅仅存储用户的信息。后续会将该接口提供的用户信息封装到认证对象Authentication中去。
UserDetails 默认提供了一下方法:

//用户的权限集, 默认需要添加ROLE_ 前缀
Collection<? extends GrantedAuthority> getAuthorities();

//用户的加密后的密码, 不加密会使用{noop}前缀
String getPassword();

//应用内唯一的用户名
	String getUsername();

//账户是否 未过期
boolean isAccountNonExpired();

//账户是否 未锁定
	boolean isAccountNonLocked();

//凭证是否 未过期
	boolean isCredentialsNonExpired();

//用户是否 可用
	boolean isEnabled();
  • 自定义class实现 UserDetails 接口对应的方法
    /**
     * 权限集
     * 重写 getAuthorities 方法,将用户的角色作为权限
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        List<GrantedAuthority> auths = new ArrayList<>();
        List<SysRole> sysRoleList = this.sysRoles;
       //将自定义的角色作为权限
        if (!CollectionUtils.isEmpty(sysRoleList)) {
            sysRoleList.forEach(role -> {
                auths.add(new SimpleGrantedAuthority(role.getCode()));
            });
        }
        return auths;
    }
    @Override
    public String getPassword() {
        return this.password;
    }
    @Override
    public String getUsername() {
        return this.username;
    }
    /**
     * 账户是否未过期
     * @return true: 未过期
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }
    /**
     * 账户是否未锁定
     * @return true: 未锁定
     */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }
    /**
     * 凭证是否未过期
     * @return true: 未过期
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }
    /**
     * 用户是否可用
     * @return true: 可用
     */
    @Override
    public boolean isEnabled() {
        return true;
    }

如果以上的信息满足不了你使用,你可以自行实现扩展以存储更多的用户信息。比如用户的邮箱、手机号等等。通常我们使用其实现类:

org.springframework.security.core.userdetails.User

该类内置一个建造器UserBuilder 会很方便地帮助我们构建 UserDetails 对象

UserDetailsServiceAutoConfiguration

源码:

@Configuration
@ConditionalOnClass(AuthenticationManager.class)
@ConditionalOnBean(ObjectPostProcessor.class)
@ConditionalOnMissingBean({ AuthenticationManager.class, AuthenticationProvider.class, UserDetailsService.class })
public class UserDetailsServiceAutoConfiguration {

    private static final String NOOP_PASSWORD_PREFIX = "{noop}";

    private static final Pattern PASSWORD_ALGORITHM_PATTERN = Pattern.compile("^\\{.+}.*$");

    private static final Log logger = LogFactory.getLog(UserDetailsServiceAutoConfiguration.class);

@Bean
@ConditionalOnMissingBean(type = "org.springframework.security.oauth2.client.registration.ClientRegistrationRepository")
@Lazy  //添加该注解表示该bean要延迟加载
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
        SecurityProperties.User user = properties.getUser();
        List<String> roles = user.getRoles();
        return new InMemoryUserDetailsManager(
                User.withUsername(user.getName()).password(getOrDeducePassword(user, passwordEncoder.getIfAvailable()))
                        .roles(StringUtils.toStringArray(roles)).build());
    }
private String getOrDeducePassword(SecurityProperties.User user, PasswordEncoder encoder) {
        String password = user.getPassword();
        if (user.isPasswordGenerated()) {
            logger.info(String.format("%n%nUsing generated security password: %s%n", user.getPassword()));
        }
        if (encoder != null || PASSWORD_ALGORITHM_PATTERN.matcher(password).matches()) {
            return password;
        }
        return NOOP_PASSWORD_PREFIX + password;
    }
}

分析:
这个类只初始化了一个UserDetailsManager 类型的Bean。UserDetailsManager 类型负责对安全用户实体抽象UserDetails的增删查改操作。同时还继承了UserDetailsService接口。
明白了上面这些让我们把目光再回到UserDetailsServiceAutoConfiguration 上来。该类初始化了一个名为InMemoryUserDetailsManager 的内存用户管理器。该管理器通过配置注入了一个默认的UserDetails存在内存中,就是我们上面用的那个user ,每次启动user都是动态生成的。

嘀嘀嗒嘀嘀嗒铃儿响叮当
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合Security
会飞的鱼
12-04 3146
SpringBoot整合Security 目前市面上主流的权限控制框架有:shiro和Spring Security,本人更青睐Spring Security,因此下面为大家讲解下springboot与这个权限框架的整合! RBAC权限模型 首先先来介绍下什么是RBAC?RBAC(Role-Based Access Control)从字面意思上来看,是基于角色的访问控制,简单来说就是,一个用户拥有...
Spring Boot整合JWT
10-16
**Spring Boot整合JWT详解** Spring Boot作为Java领域中流行的微服务框架,因其便捷的配置和快速的开发体验,被广大开发者所喜爱。而JWT(JSON Web Token)则是一种轻量级的身份验证机制,广泛用于现代Web应用的...
springBoot 整合 security
愿青春不负梦想
08-19 210
springBoot 整合 security
从零开始学Spring Boot系列-集成Spring Security实现用户认证与授权
最新发布
欢迎来到“代码匠心”!我是您的博客主,一名专注于后端技术的程序员。在这里,我将与您分享我在Java、大数据和系统架构等领域的学习心得、实践经验以及技术前沿动态。
06-29 1043
在Web应用程序中,安全性是一个至关重要的方面。Spring SecuritySpring框架的一个子项目,用于提供安全访问控制的功能。通过集成Spring Security,我们可以轻松实现用户认证、授权、加密、会话管理等安全功能。本篇文章将指导大家从零开始,在Spring Boot项目中集成Spring Security,并通过MyBatis-Plus从数据库中获取用户信息,实现用户认证与授权。
springboot整合security
qq_43634655的博客
09-06 1038
springboot整合security
Springboot - 13.spring-boot-starter-security集成
yueerba126的博客
09-04 801
使用方法,你可以定义哪些 URL 需要被保护、哪些不需要被保护、需要哪种角色等。@Overridehttp.antMatchers("/public/**").permitAll() // 公共路径,任何人都可以访问.antMatchers("/admin/**").hasRole("ADMIN") // 只有ADMIN角色的用户可以访问/admin/路径下的所有资源.anyRequest().authenticated() // 任何请求都需要经过身份验证.and()
spring boot jpa security
05-08
Spring Boot JPA与Security是两个在Java开发领域中极为重要的技术框架,它们分别专注于数据访问和应用程序的安全管理。本文将深入探讨这两个框架的核心概念、如何整合使用以及在实际项目中的应用。 Spring Boot是由...
Spring Boot整合Spring Security的示例代码
08-27
主要介绍了Spring Boot整合Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot整合CAS配置详解
08-30
要在 Spring Boot整合 CAS,需要引入相关的依赖项,包括 CAS 客户端依赖项和 Spring Security 依赖项。下面是一个基本的示例配置: 首先,需要在 `pom.xml` 文件中添加以下依赖项: ```xml <groupId>org....
spring boot整合JWT 2
10-17
**Spring Boot 整合 JWT 2** 在现代Web应用程序中,安全性和权限管理是至关重要的。Spring Security作为Spring生态系统中的安全框架,为开发者提供了强大的工具来处理这些需求。本示例将详细介绍如何在Spring Boot...
springboot整合springSecurity
m0_65111173的博客
07-14 435
攻击防范(Attack Protection):Spring Security提供了一系列的攻击防范机制,包括跨站点脚本攻击(XSS)、跨站请求伪造(CSRF)、点击劫持(Clickjacking)等。上面的意思是,“lllllc”这个用户(正常需要连接jdbc,在数据库中获取),可以访问vip1和vip3页面,需要设置密码加密,否则页面会错。重写configure方法,这个方法是会涉及到重载,有很多方法名相同的,我们需要重写参数为http的方法。这个的意思是请求的url,我们没有填,所以是主页。
SpringBoot整合springsecurity
Guizy
05-03 732
一、pom文件 <dependencies> <dependency> <groupId>org.thymeleaf.extras</groupId> <artifactId>thymeleaf-extras-springsecurity5</artifactId> </d...
Spring Boot整合Spring Security
shehuinikaige的博客
12-05 187
Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。
Spring Boot:整合Spring Security
2401_83384536的博客
05-09 855
Spring SecuritySpring 社区的一个顶级项目,也是 Spring Boot 官方推荐使用的安全框架。除了常规的认证(Authentication)和授权(Authorization)之外,Spring Security还提供了诸如ACLs,LDAP,JAAS,CAS等高级特性以满足复杂场景下的安全需求。另外,就目前而言,Spring Security和Shiro也是当前广大应用使用比较广泛的两个安全框架。
springboot整合springsecurity
weixin_48524739的博客
08-02 1035
springsecurity
Spring boot项目集成security
AnNanDu的博客
06-30 1104
在进行框架选型时最常用的选择就是在Spring security 和Shiro中进行抉择,Spring security 和 shiro 一样,都具有认证、授权、加密等用于权限管理的功能。但是对于Springboot而言,Spring Security比Shiro更合适一些,他们都是Spring生态里的内容,并且在使用上Spring boot只需要引入Security就可以实现基础的登陆验证。spring boot的依赖版本:2.7.1 添加Security的依赖版本为:2.6.7 这样就简单集成了secu
Springboot整合SpringSecurity
weixin_44044929的博客
07-23 629
springboot整合springSecurity实现RBAC模型权限控制,动态使用数据库来配置权限
Springboot——整合SpringSecurity
qq_41297145的博客
12-30 2956
认证过程主要是实现AuthenticationManager, AuthenticationManager最重要的实现类是ProviderManager, 通过ProviderManager,可以管理AuthenticationProvider, 每个AuthenticationProvider都对应一种认证方式, 当所有认证方式不支持时,调用ProviderManager的parent认证。如果想要自定义配置,如自定义登录界面、自定义验证过程,或者想要整合一些工具,如Jwt,这个时候需要在。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值