SpringSecurity(3)

已于 2022-04-28 17:51:32 修改
阅读量305 收藏
点赞数 1
分类专栏: 笔记 文章标签: java
于 2022-04-26 22:31:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44971379/article/details/124392433
版权

认证后用户信息获取

//获取当前用户信息
    private String getUsername(){
        String username = null;
        //当前认证通过的用户身份
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        //用户身份
        Object principal = authentication.getPrincipal();
        if(principal == null){
            username = "匿名";
        }
        if(principal instanceof org.springframework.security.core.userdetails.UserDetails){
            UserDetails userDetails = (UserDetails) principal;
            username = userDetails.getUsername();
        }else{
            username = principal.toString();
        }
        return username;
    }

授权

  • 通过 url拦截进行授权
authenticated() 保护URL,需要用户登录 
permitAll() 指定URL无需保护,一般应用与静态资源文件 
hasRole(String role) 限制单个角色访问,角色将被增加 “ROLE_” .所以”ADMIN” 
		将和 “ROLE_ADMIN”进行比较. 
hasAuthority(String authority) 限制单个权限访问 
hasAnyRole(String… roles)允许多个角色访问. 
hasAnyAuthority(String… authorities) 允许多个权限访问. 
access(String attribute) 该方法使用 SpEL表达式, 所以可以创建复杂的限制.
hasIpAddress(String ipaddressExpression) 限制IP地址或子网
  • 通过 方法拦截进行授权
1: @EnableGlobalMethodSecurity(securedEnabled = true) 注解开启
2@Secured("ROLE_TELLER")
3@PreAuthorize
4@PostAuthorize

分布式系统认证方案

  • 流程

在这里插入图片描述

Spring Cloud Security OAuth2

  • 图解
    在这里插入图片描述
授权服务 uaa
客户端进行认证,返回token信息

public class AuthorizationServerConfigurerAdapter implements AuthorizationServerConfigurer {
    public AuthorizationServerConfigurerAdapter() {
    }

    public void configure(AuthorizationServerSecurityConfigurer security) throws Exception {
    }

    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
    }

    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
    }
}
  • ClientDetailsServiceConfigurer
用来配置客户端详情服务(ClientDetailsService),客户端详情信息在 这里进行初始化,
你能够把客户端详情信息写死在这里或者是通过数据库来存储调取详情信息

默认实现从 oauth_client_details 表中获取客户端信息
  • AuthorizationServerEndpointsConfigurer
用来配置令牌(token)的访问端点和令牌服务(token services)

令牌管理包括:
令牌可否刷新
令牌有效期
令牌存储策略

/oauth/authorize:授权端点。 
/oauth/token:令牌端点。 
/oauth/confirm_access:用户确认授权提交端点。 
/oauth/error:授权服务错误信息端点。 
/oauth/check_token:用于资源服务访问的令牌解析端点。 
/oauth/token_key:提供公有密匙的端点,如果你使用JWT令牌的话。
  • AuthorizationServerSecurityConfigurer
用来配置令牌端点的安全约束
资源服务
校验token 返回资源

授权模式

  • 授权码模式
    在这里插入图片描述
  • 简化模式
    在这里插入图片描述
  • .密码模式
    在这里插入图片描述
knowledge are power
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security3
07-02
Spring Security3
spring security3 demo配置分析
caozuiba
02-29 163
在源码分析之前补充了一些知识,详见上三篇文章的转载,我感觉比较有用。 下面是servlet的加载顺序。 web.xml 中 对象的加载顺序为:先 listener >> filter >> servlet >> spring 在spring security demo例子中,所有的配置文件有几个: 1、web.xml 这个是web项目的标准配置文件...
Spring Security3配置使用
白强
07-30 275
  使用Spring Security3的几种方法概述       一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过。       二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现。       三种我使用的是第三种 第三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自...
Spring Security三
qq_34800986的博客
06-01 458
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求
SpringMVC4+Spring Security3
02-05
开发环境:MyEclipse 10 + Tomcat 7 + JDK 7 + MySQL 5.6 框架搭建:Spring 4 + SpringMVC 4 + Hibernate 4 静态页面模板:Ace 1.4 数据库文件:SunFlower/target/maven-site/update-sql/sunflower-init.sql
spring security3动态权限
06-15
struts2 + spring3 + hibernate3 + spring security3 + mysql + tomcat sys_users;sys_roles;sys_authorities;sys_resources;sys_users_roles;sys_roles_authorities;sys_authorities_resources; PS:此项目运行不...
spring security 3
09-22
《Spring Security 3》这本书是针对Java开发者的安全指南,主要介绍了如何使用Spring Security框架来保护Web应用程序。Spring Security是一个强大的、高度可定制的身份验证和访问控制框架,它旨在为各种类型的网络...
Spring Security(3)
xbcai1的博客
07-28 223
记住我 ,过滤器
Spring Security3 张卫滨(译)
04-04
Spring Security3 张卫滨(译)
springsecurity(三)
qq_34172041的博客
03-05 276
5.security filter @Service public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter { private static final Logger LOG = LoggerFactory.getLogger(MyFilterSecurityInterceptor.class); @Autowired private Filte
Spring Security3 - MVC 整合教程 (初识Spring Security3)
BOUBING112的专栏
07-13 436
最终的目标是整合Spring Security + Spring3MVC 完成类似于SpringSide3中mini-web的功能. Spring Security是什么? 引用 Spring Security,这是一种基于Spring AOP和Servlet过滤器的安全框架。它提供全面的安全性解决方案,同时在Web请求级和方法调用级处理身份确认和授权。在Spring Framew
Spring Security3的搭建使用
running_snail_的专栏
12-28 4940
最近接触项目,发现项目用到了很多新鲜东西,也不能说是新鲜,只能说自己没有接触过,于是闲的无聊一项一项学习学习,别人问到也说上个七七八八。 今天可算是把spring-security搭建了出来并且运行了起来,主要是自己太菜,其实最后看来也就那么回事。 1.数据库的设计和搭建 用户 、角色、权限、资源以及关联表 用户--角色、角色--权限、权限--资源 总共七张表。 用户表 cr
Spring Security3系列
03-01
Spring Security 为基于J2EE企业应用提供全面安全服务。Spring Security3是最新的J2EE安全解决方案。 课程探讨如何对WEB请求做安全控制,内容如下:1.轻松入门:构建基于security的权限控制工程基于用户名和密码的用户验证基于默认、自定义数据库表结构的用户验证开启rember-me功能URL的匿名访问控制自定义的登录页面。 2.深入探讨web请求的安全控制:过滤器链机制默认过滤器的作用自定义的过滤器链。3.,1常见的网站攻击及预防1:SQL注入攻击,用户密码加强保护,XSS漏洞3.2常见的网站攻击及预防2会话劫持、回话固定等攻击预防,机器人登录预防,登录出错次数限制4.简简单单完成CAS单点登录:CAS单点登录的工作原理搭建CAS中央服务器CAS服务端配置搭建CAS客户端服务器CAS客户端配置CAS客户端及服务端交互原理部署及验证。5.登录及特殊访问控制获取当前用户信息标签库的使用带权限、匿名、自动、单一登录控制6.URL访问控制和各种认证:URL安全访问URL匹配规则表单认证Basic认证Digest认证X509认证预先认证7.授权策略和方法访问保护:授权策略投票机制Spring-EL特定请求授权方法保护拦截器视频原创,多年经验总结,精选最具价值实用技法,短小精干。
spring security 3.0配制
ystar9的博客
08-12 488
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
spring-Security(三):记住我,实现下次免登录
liyu121的博客
05-12 7544
记住我基本原理用户认证成功之后调用RemeberMeService根据用户名名生成Token由TokenRepository写入到数据库,同时也将Token写入到浏览器的Cookie中重启服务之后,用户再次登入系统会由RememberMeAuthenticationFilter拦截,从Cookie中读取Token信息,与persistent_logins表匹配判断是否使用记住我功能。最中由User...
【Spring实战】----spring security4.1.3配置以及踩过的坑
honghailiang的专栏
12-08 9872
spring security完全可以作为一个专门的专题来说,有一个专题写的不错http://www.iteye.com/blogs/subjects/spring_security,我这里主要是针对4.1.3进行配置说明 一、所需的库文件 //spring-security compile 'org.springframework.security:spring-security-
spring security3教程系列
最新发布
09-15
我可以为您提供关于 Spring Security 3 的教程系列。Spring Security 是一个功能强大的安全框架,用于保护 Spring 应用程序免受各种安全威胁。下面是一些您可以学习的主题: 1. 基本概念和架构:了解 Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值