项目-Spring Boot Security

于 2025-05-15 10:40:38 发布
阅读量1k 收藏 14
点赞数 27
分类专栏: 项目 文章标签: spring boot 后端 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45226668/article/details/147976261
版权

项目-Spring Boot Security

一、Spring Boot Security 简介

1. Spring Security 概述

Spring Security 是一个专为 Spring 应用提供认证和授权功能的框架,它广泛应用于 Web 应用、RESTful 服务以及微服务架构中。Spring Security 提供了身份验证(Authentication)、授权(Authorization)、会话管理、CSRF 防护、CORS 支持等功能。Spring Security 的强大之处在于其灵活性,开发者可以通过配置、扩展或者自定义实现具体的安全需求。

2. Spring Boot 集成 Spring Security

Spring Boot 提供了开箱即用的 Spring Security 集成。只需要添加 Spring Security 依赖,Spring Boot 会自动配置默认的安全设置。然而,开发者可以根据实际需求进行定制化配置。

<!-- pom.xml -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

添加上述依赖后,Spring Boot 会自动为我们配置一个默认的安全框架,它提供了默认的登录页面、认证机制、HTTP 安全策略等。

二、Spring Security 核心功能

1. 身份验证(Authentication)

身份验证是 Spring Security 的核心功能之一,它用于验证用户的身份是否正确。身份验证可以通过多种方式进行,例如通过表单登录、HTTP Basic 认证、OAuth 2.0 或 JWT。

Spring Security 中的身份验证工作主要由 AuthenticationManager 和 AuthenticationProvider 实现。

示例代码:表单登录认证

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated();
    }
}

在上面的代码中,formLogin() 方法配置了表单登录方式,用户可以通过 /login 页面进行认证。authorizeRequests() 配置了不同角色访问不同路径的权限。

2. 授权(Authorization)

授权是指基于用户的身份信息,判断其是否有权限访问某一资源或执行某一操作。Spring Security 提供了两种常用的授权方式:基于角色的授权(RBAC)和基于方法的授权。

基于角色的授权

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated();
    }
}

3. CSRF 防护机制

跨站请求伪造(CSRF)攻击是攻击者通过伪造用户请求来执行不法操作的一种攻击方式。Spring Security 提供了默认的 CSRF 防护机制,来保护 Web 应用免受此类攻击。

示例代码:禁用 CSRF

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .anyRequest().authenticated();
    }
}

在这段代码中,我们禁用了 CSRF 防护,但一般情况下不建议禁用 CSRF 防护,除非在特定的应用场景下(例如开发 RESTful API 时)。

三、Spring Security 配置详解

1. 基本配置

Spring Security 采用默认配置来确保安全性,但你可以根据需求进行个性化配置。例如,你可以配置登录、登出、密码编码方式等。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
            .loginPage("/login")
            .permitAll()
            .and()
            .logout()
            .permitAll();
    }
}

在这里,我们自定义了登录页面,并允许所有用户访问登录和登出接口。

2. 使用 @EnableWebSecurity 注解

@EnableWebSecurity 注解开启了 Spring Security 的 Web 安全功能。通过继承 WebSecurityConfigurerAdapter 类,可以重写其方法进行定制化配置。

3. 自定义 SecurityConfig 配置

Spring Security 的配置类通常继承自 WebSecurityConfigurerAdapter,并通过 @Configuration 注解将其标识为配置类。你可以在这个类中配置 HTTP 请求的访问规则、用户的认证方式、密码加密方式等。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin().permitAll()
            .and()
            .logout().permitAll();
    }
}

四、Spring Security 认证与授权

1. 用户认证方式

Spring Security 支持多种认证方式,包括但不限于:

  • 表单登录:基于用户输入的用户名和密码进行认证。
  • HTTP Basic 认证:通过 HTTP 头部传递用户名和密码进行认证。
  • JWT 认证:通过 JWT 令牌进行认证。

2. 基于角色的授权(RBAC)

RBAC 是一种常见的授权模型,基于用户角色来进行权限控制。在 Spring Security 中,我们可以通过 hasRole 或 hasAuthority 来控制不同角色的访问权限。

http.authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")
    .antMatchers("/user/**").hasRole("USER")
    .anyRequest().authenticated();

3. 基于表达式的授权(Method Security)

Spring Security 还提供了基于方法的授权机制,可以通过 @PreAuthorize 注解来为方法添加权限控制。

@PreAuthorize("hasRole('ADMIN')")
public void deleteUser() {
    // 删除用户
}

五、JWT 与 Spring Security 集成

1. JWT 概述

JWT(JSON Web Token)是一种轻量级的身份验证方法,广泛应用于单点登录(SSO)和分布式应用中。JWT 包含了用户信息、权限、有效期等信息,且自包含,适合在无状态的应用中传递身份信息。

2. JWT 的认证流程

JWT 的认证流程包括用户登录、生成 Token、携带 Token 访问受保护资源等步骤。

登录并生成 Token

@PostMapping("/login")
public String login(@RequestBody UserLogin userLogin) {
    Authentication authentication = authenticationManager.authenticate(
        new UsernamePasswordAuthenticationToken(userLogin.getUsername(), userLogin.getPassword())
    );
    SecurityContextHolder.getContext().setAuthentication(authentication);
    String jwt = jwtTokenProvider.createToken(authentication);
    return jwt;
}

3. JWT 在 Spring Boot 中的实现

生成和解析 JWT

public class JwtTokenProvider {
    private String secretKey = "yourSecretKey";
 
    public String createToken(Authentication authentication) {
        // 生成 JWT
    }
 
    public Authentication getAuthentication(String token) {
        // 从 Token 中提取用户信息
    }
 
    public boolean validateToken(String token) {
        // 校验 Token 是否有效
    }
}

六、Spring Security 自定义过滤器与拦截器

1. 自定义认证过滤器

Spring Security 允许开发者自定义认证过滤器,例如,基于 JWT 的认证过滤器。

public class JwtAuthenticationFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = getTokenFromRequest(request);
        if (token != null && jwtTokenProvider.validateToken(token)) {
            Authentication authentication = jwtTokenProvider.getAuthentication(token);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        filterChain.doFilter(request, response);
    }
}

2. 自定义授权过滤器

类似地,我们可以创建自定义授权过滤器,来根据 JWT 或角色进行访问控制。

public class JwtAuthorizationFilter extends OncePerRequestFilter {
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        // 权限控制
    }
}

七、防止跨站请求伪造(CSRF)

1. CSRF 攻击概述

跨站请求伪造(CSRF)是攻击者通过伪造用户请求的方式,执行恶意操作的攻击手段。Spring Security 提供了 CSRF 防护机制,防止此类攻击。

2. Spring Security 的 CSRF 防护

默认情况下,Spring Security 会启用 CSRF 防护。在表单提交时,Spring 会自动生成一个 token,并验证 token 是否有效。

http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

八、测试 Spring Security 配置

1. 单元测试与集成测试

Spring Security 的配置可以通过集成测试和单元测试进行验证。使用 @WebMvcTest 或 @SpringBootTest 注解可以启动应用进行安全性测试。

@RunWith(SpringRunner.class)
@WebMvcTest
public class SecurityTest {
    @Autowired
    private MockMvc mockMvc;
 
    @Test
    public void testLogin() throws Exception {
        mockMvc.perform(post("/login").param("username", "user").param("password", "password"))
            .andExpect(status().isOk());
    }
}

2. MockMvc 测试 Spring Security 配置

MockMvc 可以用于测试 Spring Security 配置,模拟 HTTP 请求并验证权限控制。

@Test
public void testRoleBasedAccess() throws Exception {
    mockMvc.perform(get("/admin"))
           .andExpect(status().isForbidden());
}

总结

本文详细介绍了 Spring Boot 中 Spring Security 的配置、认证、授权、JWT 集成、CSRF 防护等关键技术,并结合实际代码进行了详细的讲解。通过这些知识,您将能够掌握如何在 Spring Boot 应用中实现全面的安全策略,提高应用的安全性。如果你在实际开发中有更多安全需求,Spring Security 的高度定制性和扩展性将帮助你快速应对。

以上是关于 项目-Spring Boot Security 的部分见解

SpringBoot-Security
05-26
springboot security,两种配置一个是用config类,一个是用注解方式。数据库两个用户 admin/admin,neusoft/neusoft
JAVA学习篇——Spring Boot Security
zhang19971014的博客
04-20 8538
1. 关于Spring Boot Security Spring Boot Security是在Spring Boot中使用的,基于Spring Security的依赖项,其本质就是Spring Security框架加上了应用于Spring Boot工程的自动配置。 Spring Security是一款主要解决了认证和授权相关处理的安全框架。 认证:验证用户的身份,例如在登录过程中验证用户名与密码是否匹配。 授权:使得用户允许访问服务器端的某些资源,或禁止访问某些资源,例如管理员可以执行一些数据删除
Spring Boot Security 详解
程序员果果的博客
03-20 509
简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 工作流程 从网上找了一张Spring Security 的工作流程图,如下。 图中标记的MyXXX,就是我们项目中需要配置的。 快速上手 建表 表结构 建表语句 DROP TABLE IF EXIST...
SpringBootSpringSecurity(安全)
热门推荐
爱学习的大雄的博客
03-16 1万+
SpringSecurity(安全) Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @Enabl
SpringBootSecurity
Amazing66的博客
07-21 4048
认证和授权 首先导入Srcurity依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 创建config包结构并创建Security类 在Secu.
justauth-spring-boot-security-starter:spring security 集成 JustAuth 实现第三方授权登录
05-11
Spring security 集成 JustAuth 实现第三方授权登录脚手架: 一、特性 : 此项目从 用户管理脚手架(UMS): | ) 项目中分离. ... <artifactId>justAuth-spring-security-starter <version>latest </dep
jasypt-spring-boot-starter 3.0.5依赖的pom及jar
05-19
4. **易于集成**:与其他Spring Boot组件无缝集成,如Spring Security,使得加密操作与整个应用流程更加协调。 5. **灵活的加密算法选择**:支持多种加密算法,如BasicEncryptionProvider和...
spring-boot-starter-security-2.1.3.RELEASE.jar
02-27
java运行依赖jar包
dbApi-spring-boot-starter-demo:dbApi-spring-boot-starter案例代码
03-15
"dbApi-spring-boot-starter-demo-master"是一个完整的实例项目,它展示了如何集成和使用dbApi-spring-boot-starter。主要包含以下几个部分: 1. 主配置:分析项目的主配置文件,了解如何配置数据库连接以及启动器...
spring-boot-security-saml, Spring Security saml与 Spring Boot的集成.zip
09-17
spring-boot-security-saml, Spring Security saml与 Spring Boot的集成 spring-boot-security-saml这个项目在处理 spring-security-saml 和 Spring Boot 之间的平滑集成的同时,在处理内部的配置的gritty和锅炉板的...
Spring Boot】配置 Spring Security
书山有路,学海无涯。记录成长,追逐梦想
08-02 4337
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringBootSpringSecurity
雨后是冰雹
06-19 1590
Spring Security 是一个基于 Spring 的企业应用系统提供声明式的安全访问控制接口方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的Bean,充分利用了Spring核心组件 IoC,DI 和 AOP ,为应用系统提供声明书的安全访问控制功能,减少了企业系统安全控制大量重复代码的编写。新建一个SpringBoot项目,添加如下依赖 2.2 启动访问 重启访问即可跳转到对应的登录界面 注意:系统启动的时候会自动创建一个账号是 user,密码随机的用户(密码显示在控制台) 使用
深入解析Spring Boot Security:从基础到进阶的全面指导
一碗黄焖鸡三碗米饭的博客
03-12 1083
Spring Security 是一个专为 Spring 应用提供认证和授权功能的框架,它广泛应用于 Web 应用、RESTful 服务以及微服务架构中。Spring Security 提供了身份验证(Authentication)、授权(Authorization)、会话管理、CSRF 防护、CORS 支持等功能。Spring Security 的强大之处在于其灵活性,开发者可以通过配置、扩展或者自定义实现具体的安全需求。
Spring BootSpring Security
暗星涌动
06-05 3049
Spring Security是一个基于Spring框架的安全框架,它提供了一套完整的安全解决方案,包括认证、授权、攻击防护等功能,可以轻松地集成到Spring应用程序中,保护应用程序的安全性。Spring Security的主要作用是保护Web应用程序的安全性,包括用户身份验证、授权、防止跨站请求伪造(CSRF)、防止会话固定攻击等。在使用Spring Security时,我们可以配置安全策略、用户角色、访问控制等,从而实现对Web应用程序的安全保护。
Spring BootSpring 的安全框架:Spring Security
书山有路,学海无涯。记录成长,追逐梦想
07-28 2356
Spring Security 提供了声明式的安全访问控制解决方案(仅支持基于 Spring 的应用程序),对访问权限进行认证和授权,它基于 Spring AOP 和 Servlet 过滤器,提供了安全性方面的全面解决方案。
SpringBoot 安全篇 - 整合 SpringSecurity
SongYu的博客
08-09 1万+
前言 Spring Security 是针对 Spring 项目的安全框架,也是 Spring Boot 底层安全模块默认的技术选型。他可以实现强大的 web 安全控制。对于安全控制,我们仅需引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理。 记住几个类: WebSecurityConfigurerAdapter:自定义 Security 策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecu
SpringBoot+Spring security
FlyAway的博客
06-06 1293
SpringBoot+Spring security 前言 搭建步骤 总结 1.前言 学习使用SpringBoot 结合spring security 搭建一个登录拦截和跳转的demo。 2.搭建步骤 (1)springboot 搭建项目,先新建TestController 测试springboot项目是否成功 (2)引入mybatis ...
Spring Boot 安全性:使用 Spring Security 实现用户认证与权限管理!
最新发布
**My Coding Family**
04-27 731
🏆 本文精选收录于《滚雪球学SpringBoot》专栏,专为零基础学习者量身打造。从Spring基础到项目实战,手把手带你掌握核心技术,助力你快速提升,迈向职场巅峰,开启财富自由之路🚀!无论你是刚入门的小白,还是已有基础的开发者,都能在这里找到适合自己的学习路径!    🌟 关注、收藏、订阅,持续更新中!和我们一起高速成长,突破自我!💡
Spring boot security
咖啡男孩之SRE之路
08-23 2309
本案例通过mybatis为持久层,自定义了用户和配套权限,在请求Spring boot web的controller方法时做不同权限的控制。代码在https://github.com/yejingtao/forblog.git的mydemo-security项目。   用户权限初始化脚本: --create schema create schema schema3; --create s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值