SpringSecurity-入门(1)执行流程

最新推荐文章于 2024-01-22 21:46:10 发布
最新推荐文章于 2024-01-22 21:46:10 发布
阅读量474 收藏
点赞数
文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45723088/article/details/124478042
版权

了解Security安全框架,首先要了解它的执行流程(过滤链)

在不引入Security依赖的情况下
下面这个接口就是一个没有任何限制的接口,可以任意的访问。

@RestController
@RequestMapping(value = "/admi")
public class AdminDemoController {

    @RequestMapping(value = "/demo")
    public String run() {
        return "successfully";
    }

}

引入依赖之后,就已经开始整合了SpringSecurity安全框架

        <!-- security-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

此刻你再访问/admi/demo接口,你就会发现如图(此时的账号是user,密码是一个随机的字符串)

密码在打印到控制台上

实战演练
回到文章最开始的部分提到的流程图
第一个过滤器就是UsernamePasswordAuthenticationFilter

源码如下↓

先判断是否是Post请求

再将username和password封装成UsernamePasswordAuthenticationToken对象

并生成Authentication对象返回(此时Authentication并没有通过认证)

    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }

接下来就会调用我们自己实现UserDetailsService接口的实现类,调用loadUserByUsername方法

返回UserDetails对象

@Service
public class UserService implements UserDetailsService {

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException 
        if (!"yuwenwen".equals(username)) {
            throw new UsernameNotFoundException("user is not fount");
        }
        String password = passwordEncoder.encode("123456");

        return new User(username, password, AuthorityUtils.commaSeparatedStringToAuthorityList("Role_vip"));
    }
}

此处的BCryptPasswordEncoder是spring推荐的加码方式(还有很多其他的加码方式)

(密码必须得加密,没有见过数据库存名码的)

此刻再取访问接口时(用我们自己定义的用户名和密码)

 

成功访问接口

这样一来这个接口就是一个需要认证成功才能调用的接口

当然我们可以自定义认证配置

首先要继承WebSecurityConfigurerAdapter
重写configure方法时可以自己定义逻辑

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            // 所有请求都需要认证
            .anyRequest().authenticated()
            .and()
            .formLogin()
            // 认证成功后跳转url
            .successForwardUrl("/admi/demo");
        // 跨域失效
        http.csrf().disable();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //调用自己写的认证逻辑
        auth.userDetailsService(userService);
    }
}

于问问
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
「技术原理」Spring Security的核心功能和加载运行流程的原理分析
weixin_64314555的博客
12-27 711
SpringSecurity的架构总览 Spring Security的简介说明 Spring Security对认证、授权和常见漏洞保护提供了全方位支持。使用的版本为:Spring Security 5.5.2。 概念释义 认证(Authentication):认证就是对试图访问资源的用户进行验证。 认证的场景就是 登录 流程,常见的方式就是要求提供用户名和密码,当验证通过的时候,就可以执行授权操作。 授权(Authority):授权就是对资源进行权限设置,只有用户具...
spring-security3入门教程
04-04
Spring Security 使用一系列预定义的过滤器,如 ChannelProcessingFilter、SecurityContextPersistenceFilter、LogoutFilter 和 UsernamePasswordAuthenticationFilter,它们在请求处理过程中拦截并执行相应的安全...
您必须先调用“WebSecurity.InitializeDatabaseConnection”方法,然后再调用"WebSecurity"类的任何其他方法。...
weixin_33836223的博客
12-15 76
今天调试程序的时候出现了这个是,可惜没截图! 您必须先调用“WebSecurity.InitializeDatabaseConnection”方法,然后再调用"WebSecurity"类的任何其他方法。 这个问题以前似乎出现过,但是忘记怎么解决了。本来好好的运行正常,怎么会出现这个问题呢?网上一搜,一下就凌乱了。 忽然想起,是不是没有初始化?在VS里没有点击“启动调试”按钮,是不是点击一下就...
SpringSecurity详细执行流程
qq_52066082的博客
01-22 1330
SpringSecurity的执行流程超详细讲解,SpringSecurity两大功能认证、授权。
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5345
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
spring security执行流程
m0_38105216的博客
01-25 4349
启动的时候把userRespository注入进来 执行流程 首先我们配置SecurityConfiguration它继承WebSecurityConfiguraterAdpter 并且实现 configure是释放静态资源 还实现了configure(HttpSecurity http)主要是对于url请求资源的拦截处理 主要是通过UsernamePasswordAuthe...
spring-security3 入门
03-27
入门篇将介绍Spring Security的基础知识,包括其核心概念、配置以及如何在实际项目中使用。 1. **核心概念** - **Authentication(认证)**: 用户身份验证是Spring Security的基础,它确认用户的身份是否合法。...
HAP框架-SpringSecurity入门手册.zip
10-04
"HAP框架-SpringSecurity入门手册.docx"应包含了详细的步骤和示例,指导开发者如何在HAP框架下配置和使用SpringSecurity。建议仔细阅读并结合实际项目进行实践,以加深理解和掌握。 总的来说,SpringSecurity在HAP...
springsecurity入门实例
11-20
在"TestSecurity"这个实例中,你将会看到一个简单的 Spring Security 配置和运行流程,包括登录、权限控制以及可能的错误处理。通过学习这个实例,你将对 Spring Security 有一个基础的认识,并能将其应用到实际项目...
springsecurity3 入门案例
06-09
入门案例将引导你逐步了解并掌握SpringSecurity3的基本使用和执行流程。在这个过程中,我们将探讨以下核心概念和步骤: 1. **配置SpringSecurity**: - 在Spring项目中引入SpringSecurity依赖,通常通过Maven或...
Spring Security 初识(五)--保护方法应用
只有变秃 才能变强
12-30 2071
Spring Security 初识(五)–保护方法应用在Spring Securoty实现方法级别的安全性最常见的方法是使用特定的注解.将这些注解应用到需要保护的方法上.Spring Security 提供了三种不同方式的安全注解. Spring 自带的 @Security 注解. JSR-250 的 @RolesAllow 注解. 表达式驱动的注解: @PreAythorize , @PostA
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 1945
Spring Security运行流程的简单理解
SpringSecurity流程
Zhang_hao_r的博客
04-07 713
springsecurity执行大概流程
Spring-Security 运行流程
u012156496的博客
12-06 1万+
Spring-Security 运行流程首先在web.xml中配置如上图所示的过滤器,但这其实不是spring-security包下的类,而是spring-web下面的一个类,从名字上可以看出,这个类是一个过滤器的代理,根据我查阅资料,这样做的原因是:spring-security的过滤器链中的每一个都必须被注入来自 Spring 应用程序上下文的其他 Bean. 但 Servlet 规范并没有使得
Spring Security 工作原理概览
热门推荐
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是一位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
安全框架 了解过程
qq_35306443的博客
04-21 253
Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。 官网 链接学习 从外部来看Shiro吧,即从应用程序角度的来观察如何使用Shiro完成工作。如下图: Subject:主体,代表了当前“用户”,这个用户不一定是一个具体的人,与当前应用交互的任何东西都是 Subject,如网络爬虫,机器人等;即一个抽象概念;所有Subject都绑...
前后端分离SpringBoot集成shiro权限安全框架搭建和执行流程
adminDemo的博客
11-18 539
1.首先导入pom.xml的依赖(主要看shiro的就行) <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.2.4.RELEASE</version> </parent> <properties>
Spring security配置顺序
积累与备忘
08-30 900
上面两个地址,第二个包含第一个。所以这里需要注意先后顺序,匹配的原则就是使用第一个匹配到的地址来判断权限。
springSecurity工作流程学习
qq_15042899的专栏
06-19 4235
springSecurity执行流程 整个程序执行的过程如下: 1、容器启动时    通过MyInvocationSecurityMetadataSource # loadResourceDefine 加载系统资源与权限列表resourceMap(一个Map结构,资源[url]为key,权限[auth]为value )     2、WEB服务器启动,加载security内置的
spring-boot-starter的执行流程
最新发布
04-15
它的执行流程如下所示[^1]: 1. 引入spring-boot-starter依赖:在项目的pom.xml文件中,通过添加spring-boot-starter依赖来引入该模块。这个依赖会自动管理其他相关的依赖项,以及提供默认的配置。 2. 自动配置:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值