Spring security 速学

最新推荐文章于 2024-06-02 09:24:44 发布
最新推荐文章于 2024-06-02 09:24:44 发布
阅读量218 收藏
点赞数
分类专栏: 速学系列 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46603441/article/details/127744364
版权

一. spring security 的概述

        Spring Security 是 Spring 家族中的一个安全管理框架,是Spring采用AOP思想,基于servlet过滤器实现的安全框架。一般Web应用的需要进行认证和授权。而 认证(验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户) 授权(经过认证后判断当前用户是否有权限进行某个操作) 也是SpringSecurity作为安全框架的核心功能。

1. 认证

        1.1 完整流程

        Security原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。通过Debug查看当前系统中SpringSecurity过滤器链中有哪些过滤器及它们的顺序。(展示核心过滤器)

UsernamePasswordAuthenticationFilter: 负责处理我们在登陆页面填写了用户名密码后的登陆请求。入门案例的认证工作主要有它负责。

ExceptionTranslationFilter: 处理过滤器链中抛出的任何AccessDeniedException和AuthenticationException 。

FilterSecurityInterceptor: 负责权限校验的过滤器。

        1.2 登录校验流程

        1.3 认证流程详解

Authentication接口: 它的实现类,表示当前访问系统的用户,封装了用户相关信息。

AuthenticationManager接口:定义了认证Authentication的方法

UserDetailsService接口:加载用户特定数据的核心接口。里面定义了一个根据用户名查询用户信息的方法。

UserDetails接口:提供核心用户信息。通过UserDetailsService根据用户名获取处理的用户信息要封装成UserDetails对象返回。然后将这些信息封装到Authentication对象中。

2. 授权

        2.1 授权基本流程

        Security中会使用默认的FilterSecurityInterceptor进行权限校验。FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取权限信息。当前用户是否拥有访问当前资源所需的权限。所以在项目中只要把当前登录用户的权限信息存入Authentication。然后设置我们的资源所需要的权限即可。

        2.2 RBAC权限模型

        RBAC权限模型(Role-Based Access Control)即:基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。

3. 自定义失败处理

        在SpringSecurity中,如果认证或授权的过程中出现异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint 对象的方法去进行异常处理。如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理。所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。

4. 跨域

        浏览器出于安全的考虑,使用 XMLHttpRequest对象发起 HTTP请求时必须遵守同源策略,否则就是跨域的HTTP请求,默认情况下是被禁止的。 同源策略要求源相同才能正常进行通信,即协议、域名、端口号都完全一致。前后端分离项目,前端项目和后端项目一般都不是同源的,所以肯定会存在跨域请求的问题。所以我们就要处理一下,让前端能进行跨域请求。

二. 快速入门

搭建一个简单的SpringBoot工程,添加依赖

    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.5.0</version>
    </parent>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
    </dependencies>

创建启动类

@SpringBootApplication
public class SecurityApplication {

    public static void main(String[] args) {
        SpringApplication.run(SecurityApplication.class,args);
    }
}

创建Controller

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HelloController {

    @RequestMapping("/hello")
    public String hello(){
        return "hello";
    }
}

引入SpringSecurity

        引入依赖后我们在尝试去访问之前的接口就会自动跳转到一个SpringSecurity的默认登陆页面,默认用户名是user,密码会输出在控制台。必须登陆之后才能对接口进行访问。

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

10JQK炸
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security
追风_CJJ的博客
04-13 1129
Spring Security 文章目录Spring Security前言一、Spring Security框架简介二、JWT三、Java基于JWT实现登录功能1.引入pom依赖2.编写JWT工具类3.编写登录接口4.Java后端校验Token测试5.Vue登录页面中的存储Token方法6.Vue前端每次请求资源携带Token方法总结 前言 本文将介绍一个功能强大且高度可定制性的身份验证和访问控制框架——Spring Security。 一、Spring Security框架简介 Spring 是非常
spring security
qq_40378508的博客
11-18 488
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想习如何使用Mar
Idea中查看SpringSecurity各Filter信息
Rosen's
08-17 1737
SpringSecurity的认证逻辑是通过Filter Chain实现的,一个项目中Filter是链式执行,其中一环校验不通过,则可终止后续Filter以及Api的调用。在平时debug时,如果list中的数据很多,凭肉眼去找肯定很难找,通过右键对象出来的filter很难用,可以通过Evaluate进行代码过滤,方便又快捷。在Filter的实现类中,doFilter方法里调用chain的doFilter方法,表示当前过滤器通过,继续FilterChain的下一个Filter。...
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3944
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
Spring (32)Spring Security的过滤器链
最新发布
qq_43012298的博客
06-02 418
Spring Security 的安全模型核心之一是一系列过滤器,这些过滤器组成了一个链。这个过滤器链负责处理进入应用的每个HTTP请求,实现认证、授权等安全功能。每个过滤器都有其特定的责任,它们按照特定的顺序执行。
浅析Spring Security 的认证过程及相关过滤器
Innocence_0的博客
02-18 297
浅析Spring Security 的认证过程及相关过滤器
SpringSecurity是如何玩弄过滤器链的
m0_53157173的博客
10-05 932
本文适合在对SpringSecurity有基本认识,并且会基础使用的,想要进阶研究源码的小伙伴。
SpringBoot整合Spring Security过滤器链加载执行流程源码分析
02-21 1157
Spring Boot项目之中,我们引入 Spring Security依赖,什么也没做,启动项目 Spring Security 就会生效,访问请求就进行了拦截。 Spring Boot 对于 Spring Security 提供了自动化配置方案,可以使用更少的配置来使用 Spring Security。 那么这个过滤器链是怎么加载和实现拦截的呢?
Spring Security 入门
weixin_43593829的博客
04-09 165
<h2 id="前言">前言</h2> <p>Spring Security 是一套基于Spring框架,旨在为基于javaEE的企业应用程序提供一个全面的解决方案。Spring Security在w
springboot+jwt+spring-security.rar
05-20
在本项目中,我们主要探讨的是如何在Spring Boot框架下集成JWT(JSON Web Tokens)以及Spring Security,同时利用Redis作为存储来实现API的鉴权功能。这是一个完整的安全认证解决方案,适用于构建RESTful API服务。 ...
spring习资料,精心总结,不可错过,领!.zip
10-30
这个"spring习资料,精心总结,不可错过,领!.zip"压缩包显然是为那些想要深入理解Spring框架的人准备的。以下是压缩包内可能包含的一些关键知识点,以及它们在实际开发中的应用和重要性: 1. **IoC...
springboot+druid+redis+swagger+security
01-28
标题 "springboot+druid+redis+swagger+security" 提示了这个项目或者教程是关于使用Spring Boot框架,Druid数据源,Redis缓存,Swagger API文档,以及Spring Security安全框架的集成。以下是对这些技术的详细介绍:...
springMVC注解+ security + redis 实例
04-10
在IT行业中,Spring MVC、Spring Security和Redis是三个非常重要的技术组件,它们分别在Web开发、权限管理和数据缓存方面发挥着关键作用。下面将详细解释这三个技术以及它们如何协同工作。 **Spring MVC** Spring ...
spring-session+spring的依赖包
03-20
- 使用Spring Session时,需要注意与Spring Security的集成,确保会话安全。 总结来说,这个项目是一个实用的示例,展示了如何结合Spring Session和Redis Cluster实现在分布式系统中的session共享。通过习和理解...
Spring Security内置过滤器详解_springsecurity过滤器,2024年最新大数据开发开发入门教程
2401_84166896的博客
04-17 1045
/设置SecurityContextHolderStrategy context。//当前请求是否是logoutSuccessUrl指定的地址。//是否是登录请求,是否是重定向的错误请求,是否是登出地址。//该请求已经运行过该过滤,跳过,执行下一个过滤器。//当前请求是否是failureUrl指定的地址。//生成一个默认的登录页。//否则执行下一个过滤器。//地址是/logout。//获取当前的权限配置。//生成一个登出页面。
SpringSecurity过滤器链
qq_53318060的博客
09-14 2534
SpringSecurity过滤器链
三、Spring Security过滤器链
付之一笑的专栏
08-22 3057
一、Spring Security常用过滤器介绍 过滤器是一种典型的AOP思想,关于什么是过滤器,就不再赘述了。 Spring Security中过滤器的介绍: org.springframework.security.web.context.SecurityContextPersistenceFilter 首当其冲的一个过滤器,作用之重要,自不必多言。 SecurityContextPersistenceFilter主要是使用SecurityContextRepository在session中保存或更新
查找已注册的 Spring Security 过滤器
allway2的博客
09-06 465
每个过滤器都有特定的职责,根据配置,添加或删除过滤器。在这篇快文章中,我们探讨了如何以编程方式和使用日志来查找已注册的 Spring Security 过滤器。这样,当我们向服务器发送请求时,所有的请求信息都会被记录下来。请注意,从 Spring Security 3.1 开始,首先,我们将启用安全调试,它将记录每个请求的详细安全信息。现在,我们将了解如何以编程方式获取已注册的安全过滤器。的日志记录来找到我们的安全过滤器。接下来,我们将此对象强制转换为。接下来,我们将通过启用。首先,让我们自动装配。
SpringBoot_过滤器(Filter)
骑大马挎大刀
02-27 3807
通过过滤器(Filter),可以实现用户访问某个资源前,对访问的请求和响应进行过滤。 一:原理:在实现上基于函数回调,可以对几乎所有请求进行过滤,但是缺点是一个过滤器实例只能在容器初始化时调用一次。使用过滤器的目的是用来做一些过滤操作,获取我们想要的数据。比如在过滤器中修改字符编码;在过滤器中修改HttpServletRequest的一些参数,包括低俗文字,危险字段等。 二:过滤器调用顺序: Filter——>Interceptor——>Aspect——>Controller 当Contr
springSecurity
05-05
Spring Security 是一款基于 Spring 框架的安全框架,提供了一系列的安全解决方案,例如身份验证、授权、攻击防护等。在使用 Spring Security 时,可以很方便地集成到 Spring 应用程序中,提供安全保护。 下面是 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

10JQK炸

如果对您有所帮助,请给点鼓励吧

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值