Spring Security 安全方案(form表单验证)

最新推荐文章于 2024-06-07 09:31:38 发布
最新推荐文章于 2024-06-07 09:31:38 发布
阅读量1.3k 收藏 2
点赞数
分类专栏: spring  Security 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46279293/article/details/106795991
版权

当我们创建一个新的web项目时,安全方案是必不可少的,主流的权限框架Spring Security、Apache shiro

本文代码源代码

Apache shiro 和 Spring Security 比较:

权限说明
Apache shiroJava安全框架,可以不依赖Spring 在java 项目中使用
Spring SecuritySpring 家族中的一个安全管理框架,非常容易和Spring整合

本例介绍的是Spring Security的SpringBoot 集成方式

form表单认证流程

通常通过 form 表单提交 Username/Password 验证

请求示例图:
在这里插入图片描述

这是一个安全过滤链 SecurityFilterChain 图解,

1、访问一个没有授权的请求

2、 Spring Security 的 FilterSecurityInterceptor 通过抛出一个 AccessDeniedException 的异常表明请求无效

3、 ExceptionTranslationFilter 捕获到异常,使用重定向到 AuthenticationEntryPoint 配置的登录页,表单认证通常使用 LoginUrlAuthenticationEntryPoint,是一个 AuthenticationEntryPoint 的实例

4、浏览器将请求重定向到登录页

5、反馈一些信息到登录页面

在这里插入图片描述

提交用户名密码

当用户密码被提交时, UsernamePasswordAuthenticationFilter 将对用户和密码进行认证. UsernamePasswordAuthenticationFilter` 继承 AbstractAuthenticationProcessingFilter,

UsernamePasswordAuthenticationFilter 内部工作流程类似如下图

在这里插入图片描述
1、当用户提交用户名密码时, UsernamePasswordAuthenticationFilter 通过从HttpServletRequest 获取 username and password,创建一个Authentication 类型的 UsernamePasswordAuthenticationToken

2、接下来将 UsernamePasswordAuthenticationToken 传递给AuthenticationManager 进行认证,AuthenticationManager如何去获取用户权限,依赖用户信息储存机制:

3、认证失败

  • SecurityContextHolder 删除安全上下文.
  • RememberMeServices.loginFail 被调用
  • AuthenticationFailureHandler 认证失败调用

4、认证成功

  • SessionAuthenticationStrategy 认证session处理
  • Authentication 认证信息设置到当前线程 SecurityContextHolder.
  • RememberMeServices.loginSuccess 调用记住用户.
  • ApplicationEventPublisher 分配成功发布一个事件 InteractiveAuthenticationSuccessEvent.
  • 成功之后处理 AuthenticationSuccessHandler 调用

Spring Security 的安全过滤链中的过滤器,每个过滤器都有各自的功能

在这里插入图片描述

FilterChainProxy   #过滤链代理, 请求会先经过此处,然后依次经过过滤链中的过滤器

LogoutFilter
DefaultLogoutPageGeneratingFilter
UsernamePasswordAuthenticationFilter  # 验证用户密码
FilterSecurityInterceptor   # 决定用户是否有权限访问资源

代码开发:

springboot 使用安全框架非常简单,在 maven 的pom.xml 中引入下面2个依赖,基本就完成了方案引入

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
			<version>2.1.1.RELEASE</version>
		</dependency>
		
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
			<version>2.1.1.RELEASE</version>
        </dependency>

通过配置文件配置用户和角色

#配置默认权限用户
spring.security.user.name=username
#配置默认权限密码
spring.security.user.password=user
#spring.security.user.roles=ADMIN
#spring.security.user.roles=USER
#
spring.security.user.roles=ADMIN,USER

配置一个资源和角色的映射

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        //admin 请求的需要ADMIN角色
        //其他的 只要身份验证通过就可以
        http.authorizeRequests().
                 mvcMatchers("/other/**").permitAll().
                 mvcMatchers("/admin/**").hasRole("ADMIN").
                 mvcMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
                .and()
                .formLogin().and()
                .httpBasic();


    }
}

新建立一个测试的Controller

@RestController
public class IndexController {

    /**
     * 只要登录就可以访问
     * @return
     */
    @RequestMapping(value = {"/index" }, method = RequestMethod.GET)
    public ResponseEntity index(){
        return ResponseEntity.ok().data("Hello,index");
    }

    /**
     * ADMIN 角色就可以访问
     * @return
     */
    @RequestMapping(value = {"/admin" }, method = RequestMethod.GET)
    public ResponseEntity admin(){
        return ResponseEntity.ok().data("Hello,admin");
    }

    /**
     * USER 角色就可以访问
     * @return
     */
    @RequestMapping(value = {"/user" }, method = RequestMethod.GET)
    public ResponseEntity user(){
        return ResponseEntity.ok().data("Hello,user");
    }

    /**
     * 无需权限就可以访问
     * @return
     */
    @RequestMapping(value = {"other" }, method = RequestMethod.GET)
    public ResponseEntity other(){
        return ResponseEntity.ok().data("Hello,other");
    }
}

目前演示的是使用内存的方式进行用户名和角色的设置,后续关系可以放在数据库中

角色CODE资源角色名字
ADMIN/admin/**超级管理员
USER/user/**普通用户

然后就可以访问测试了,访问 http://127.0.0.1:9300/sync/index 会跳转到 http://127.0.0.1:9300/sync/login

weixin_46279293
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring security 自定义密码验证(一)
料峭春风吹酒醒,微冷, 山头斜照却相迎。 回首向来萧瑟处,归去, 也无风雨也无晴!
04-25 8249
搞了好几天,大概总结下。我找到的自定义密码验证有两种方式,按照网上的去写,确实能做到密码验证,但是密码对不上,抛出BadCredentialsException,并不能阻止用户进入权限页面,感觉好像Spring Security对抛出的BadCredentialsException没处理还是咋的,就是没反应,最后改为抛出DisabledException,Spring Security才反应正常,...
认证篇:Spring Security 表单登录认证源码解析
小奇学编程的博客
09-26 476
认证(二):表单登录的源码解析 原理讲解 接上回分解,上回我们聊到了《基于表单登录认证模式》【todo: 这里做一个文章的超链接】,正所谓:“知其然,然后知其所以然”;就让我们来一探究竟,瞅瞅 Spring Security到底是怎么实现表单登录的。 首先我们先来回顾一下上篇文章我们制作的 Spring Security的表单认证的流程图: 从流程图中我们可以简单的了解到,整个认证流程大致上分为3个模块: 登录信息的封装 认证 收尾处理(成功&失败处理) 核心模块为 认证模块,
No4.搭建基本的授权码模式请求token(一):实现授权服务端的授权码模式操作
键上艺术家
10-08 2619
我们要做的是:一个第三方登录端,一个前后端分离的客户端;第三方登录端就相当于提供授权的开放平台,客户端就相当于使用开放平台的第三方应用; (只做前后端分离的后端部分) 前几篇文章我们只是使用OAuth2的密码模式,实现了一个微服务环境(还不算真正的微服务,就是实现不同服务之间的调用而已)下的sso单点登录,现在是要将这个sso单点登录系统作为一个开放平台,去开放授权码认证模式,让其他第三方应用可以通过它授权使用。
[spring-security]添加form表单通过post前期 提交到后端,请求提示403
qubes的专栏
12-30 648
添加form表单通过post前期 提交到后端,请求提示403 problem 使用了spring-security,添加form表单通过post前期 提交到后端,请求提示403 solution1 禁止csrf可以解决问题 config/SecurityConfiguration.java @Configuration @EnableWebSecurity public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
SpringSecurity6从入门到实战之登录表单的提交(源码级讲解,耐心看完)
最新发布
helloworld工程师的博客
06-07 462
文接上回,当SpringSecurity帮我们生成了一个默认对象.本文继续对登录流程进行探索,我们如何通过账号密码进行表单的提交,SpringSecurity在这过程中又帮助我们做了什么。
Spring Security 做token形式登录 和 动态权限管理
weixin_46135502的博客
03-23 2504
文章目录一、登录二、动态权限管理 一、登录 1.实现登录成功后处理器 @Service("authenticationSuccessHandler") public class AuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler { @Autowired private JwtUtils jwtUtils; @Override public void onA
Spring Security系列教程05--实现Form表单认证
一一哥
09-07 2049
一. Form表单认证 1. 认证方式 我们从前文中得知,Spring Security中的认证方式可以分为HTTP层面和表单层面,常见的认证方式如下: ①. HTTP基本认证; ②. Form表单认证; ③. HTTP摘要认证; 在本文中,我们来学习Form表单认证。 2. 表单认证简介 其实在SpringBoot开发环境中,只要我们添加Spring Security的依赖包,就会自动实现表单认证。我们可以在WebSecurityConfigurerAdapter类的config(HttpS
spring security 实现自定义认证登录(4):使用token进行验证
qq_45691577的博客
03-06 3575
前面我们实现了给客户端下发token,虽然客户端拿到了token,但我们还没处理客户端下一次携带token请求时如何验证,我们想要实现拿得到token之后,只需要验证token,不需要用户再携带用户名和密码了。
SpringSecurity 自定义表单登录的实现
08-25
SpringSecurity 是一个功能强大且灵活的安全框架,用于保护基于 Spring 的应用程序。其中,自定义表单登录SpringSecurity 中的一个重要组件,本文将详细介绍如何在 SpringSecurity 中实现自定义表单登录。 一、 ...
spring Security Json 数据库登录验证
01-21
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Spring Boot提供了全面的身份验证和授权服务。在前后端分离的架构中,Spring Security能够帮助我们处理JSON Web Token(JWT)认证,确保...
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
spring security自定义登录页面
08-29
这将告诉 Spring Security 不要验证我们的登录页面。 总结 今天,我们讨论了如何自定义 Spring Security登录页面,达到我们自己的需求。自定义登录页面可以使我们的应用程序更加灵活和可扩展。同时,我们也讨论...
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
java表单token_form 表单提交,防止重复提交,加token
weixin_35179649的博客
02-28 1007
大体步骤分为:1.通过java 生成随机数放在http 的header 里面String token = IdentityUtil.uuid32();getRequest().getSession().setAttribute("server_token", token);2.把生成token 放到隐藏域中,String html = "";try {ctx.byteWriter.writeStr...
spring security起步三:自定义登录配置与form-login属性详解
小鱼儿的专栏
07-12 9万+
spring security 自定义登录spring security custom login 404 Not Found spring security 自定义登录 405 method not supported
SpringSecurity认证流程详解(附源码)
weixin_50205273的博客
11-22 574
盐值加密 1. 原理概述 SpringSecurity使用地是随机盐值加密 随机盐是在对密码摘要之前随机生成一个盐,并且会把这个盐的明文和摘要拼接一起保存 举个例子:密码是pwd,随机盐是abc,pwd+abc摘要后的信息是xyz,最后保存的密码就是abcxyz 随机盐 同一个密码,每次摘要后的结果都不同,但是可以根据摘要里保存的盐来校验摘要和明文密码是否匹配 在hashpw函数中, 我们可以看到以下这句 real_salt = salt.substring(off + 3, off + 25
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4575
实现token 认证
Spring Security Oauth2 认证(获取token/刷新token)流程(password模式)
热门推荐
凶猛的小蜜蜂
05-11 17万+
1.本文介绍的认证流程范围 本文主要对从用户发起获取token的请求(/oauth/token),到请求结束返回token中间经过的几个关键点进行说明。 2.认证会用到的相关请求 注:所有请求均为post请求。 获取access_token请求(/oauth/token) 请求所需参数:client_id、client_secret、grant_type、username、passwo...
SpringSecurity(一)表单登录登录认证
黄沙客栈
08-17 558
SpringSecurity(一)表单登录登录认证 springsecurityspring推荐的安全权限框架,今天我们来看看它的原理,后面会放github地址 springsecurity包含了两部分:登录认证和访问授权 1.登录认证 –首先我们来看看表单登录,表单登录需要在security配置类里面配置HttpSecurityformLogin @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnable
spring security提交表单报错302
01-20
Spring Security中,当用户提交表单进行身份验证时,如果验证成功,系统会将用户重定向到之前请求的页面,而不是返回200状态码。 要解决这个问题,你可以检查以下几个方面: 1. 确保表单的提交地址正确。在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值