SpringSecurity学习 day1

最新推荐文章于 2024-09-16 20:08:29 发布
最新推荐文章于 2024-09-16 20:08:29 发布
阅读量1.9k 收藏
点赞数 1
分类专栏: SpringSecurity 文章标签: java spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_47277897/article/details/122103324
版权

认识SpringSecurity

Spring Security 是针对 Spring 项目的安全框架,也是 Spring Boot 底层安全模块默认的技术选型,他可以实现强大的Web安全控制进行少量的配置,即可实现强大的安全管理!
记住几个类:
WebSecurityConfigurerAdapter : 自定义 Security 策略
AuthenticationManagerBuilder :自定义认证策略
@EnableWebSecurity :开启 WebSecurity 模式
Spring Security 的两个主要目标是 认证 授权 (访问控制)。
认证 Authentication
身份验证是关于验证您的凭据,如用户名 / 用户 ID 和密码,以验证您的身份。
身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用
授权 Authorization
授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置, 几乎任何内容)的完全权限。
这个概念是通用的,而不是只在 Spring Security 中存在。
参考官网: https://spring.io/projects/spring-security
查看我们自己项目中的版本,找到对应的帮助文档:
https://docs.spring.io/spring-security/site/docs/5.3.0.RELEASE/reference/html5 #servlet
applications 8.16.4
SpringSecurity 特点:
和 Spring 无缝整合。
全面的权限控制。
专门为 Web 开发而设计。
旧版本不能脱离 Web 环境使用。
新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独
引入核心模块就可以脱离 Web 环境。
重量级。

入门案例

添加一个配置类: 
@EnableWebSecurity
public class websecurity extends WebSecurityConfigurerAdapter {


    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() // 表单登录
                .and()
                .authorizeRequests() // 认证配置
                .anyRequest() // 任何请求
                .authenticated(); // 都需要身份验证
    }
}

Controller 
package com.example.security1.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller

public class RouterController {

    @RequestMapping({"/", "/index"})
    public String index() {
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin() {
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id) {
        return "views/level1/" + id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id) {
        return "views/level2/" + id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id) {
        return "views/level3/" + id;
    }


}

访问默认到达登录界面

基本原理

SpringSecurity 本质是一个过滤器链: 从启动是可以获取到过滤器链:

UserDetailsService 接口讲解

当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中
账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。
如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下 

// 表示获取登录用户所有权限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户名
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();

以下是 UserDetails 实现类,以后我们只需要使用 User 这个实体类即可!

PasswordEncoder 接口讲解

// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回
false。默认返回 false。
default boolean upgradeEncoding(String encodedPassword) {
return false; }

接口实现类

BCryptPasswordEncoder Spring Security 官方推荐的密码解析器,平时多使用这个解析
器。
BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单
向加密。可以通过 strength 控制加密强度,默认 10 
@Test
public void test01(){
// 创建密码解析器
BCryptPasswordEncoder bCryptPasswordEncoder = new 
BCryptPasswordEncoder();
// 对密码进行加密
String atguigu = bCryptPasswordEncoder.encode("atguigu");
// 打印加密之后的数据
System.out.println("加密之后数据:\t"+atguigu);
//判断原字符加密后和加密之前是否匹配
boolean result = bCryptPasswordEncoder.matches("atguigu", atguigu);
// 打印比较结果
System.out.println("比较结果:\t"+result);
}

如何加载

 

Ezio的学习之旅
关注
专栏目录
SpringSecurity安全框架整理
qq_41951891的博客
12-15 3202
一:简单介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 spring security 的核心功能主要包
spring-security 学习参考网站
weixin_33674976的博客
01-06 156
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security
HAN_789的博客
01-05 203
springsecurity 前置知识: spring springboot javaweb Spring Security 简介 Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Aut.
SpringSecurity安全框架
热爱编写程序的药学在读书
10-16 236
1、这篇文章资源来源于尚硅谷,不太适合入门者。 2、有了一定的基础再来。 第一部分 一、了解部分 1、SpringSecurity简介 这么说吧,它是一款非常牛皮的安全框架,主要是干两个事情,认证(Authentication) 和授权(Authorization) 2、历史 它的历史,自己可以去搜索看一下,不讲了 3、优点 SpringSecurity 特点: 和 Spring 无缝整合。 全面的权限控制。 专门为 Web 开发而设计。 旧版本不能脱离 Web 环境使用。 新版本对整个框架进行了分层抽
学习SpringSecurity这一篇就够了
怪咖@的博客
05-25 7167
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
SpringSecurity学习 day2
weixin_47277897的博客
12-28 2658
SpringSecurity Web 权限方案 设置登录系统的账号、密码 方式一:在 application.properties spring.security.user.name=ezio spring.security.user.password=1234 方式二:编写类实现接口 @Service("userDetailsService") public class UserDetailServiceImpl i..
[Spring Security]安全框架学习Day02
qq_54048083的博客
01-29 508
安全框架学习笔记
spring security学习与使用
littleyy666的博客
11-05 2107
参考链接:spring security——基本介绍(一):https://blog.csdn.net/qq_22172133/article/details/86503223 手把手带你入门 Spring Security!:https://www.cnblogs.com/lenve/p/11242055.html 1 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就
品优购_day04_Spring Security_V1.31
08-08
1. **Spring Security 的基本概念** - **声明式安全**:Spring Security 允许开发者通过注解或配置文件来声明哪些资源是受保护的,以及哪些用户或角色可以访问这些资源,避免编写大量的安全控制代码。 - **控制...
spring_day02
01-10
"spring_day02"这个标题可能表示我们正在深入学习Spring框架的第二天内容,着重于Spring的核心特性和实际应用。 首先,Spring的核心组件包括IoC(Inversion of Control,控制反转)容器和AOP(Aspect-Oriented ...
SpringSecurity系列——基于SpringBoot2.7的登录接口(内有惊喜)day2-1
m0_67401270的博客
09-08 846
深知大多数初中级Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则近万的费,着实压力不小。自己不成体系的自效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《Java开发全套学习资料》送给大家,初衷也很简单,就是希望能够帮助到想自提升又不知道该从何起的朋友,同时减轻大家的负担。
学习笔记】手写 Tomcat 三
LearnTech_123的博客
09-12 1114
响应动态资源不需要写文件名了,只需要写功能的名称即可。比如登录功能,可以定义名称为 doLogin
Gradle
xiaocaij_icai的博客
09-15 156
");
计算机毕业设计 基于SpringBoot的课程教平台的设计与实现 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试
weixin_19164791635
09-12 920
本文介绍了一款基于JavaSpringBoot和Vue.js技术的课程教平台。该平台服务于管理员、生和教师,提供教资源管理、课程信息浏览、作业提交与批改等功能,旨在优化教流程,提升教育质量,促进教育资源的数字化共享,推动教育信息化发展。
spring security中几大组件的作用和执行顺序
阿信今天的代码没bug的博客
09-11 347
spirng security中的几大组件的差异和执行顺序
计算机毕业设计 网上书店系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试
最新发布
weixin_19164791635
09-16 841
本文介绍了一款基于JavaSpringBoot和Vue.js技术的网上书店系统。该系统为管理员、用户和卖家提供了图书信息浏览、订单管理、个人中心管理等功能,旨在打造一个便捷、高效的在线购书平台。系统通过优化图书销售流程,提升用户体验,推动出版行业的数字化转型,促进知识传播和文化交流。
模拟面试后端开发复盘
Java小白的博客 致力分享每一天学到的知识
09-11 1197
一般来说系统的开发和设计思路的话,就是一般现在的项目基本上都是前后端分离架构来实现的,所以在项目的设计时,要分层次结构来划定。前后端分离架构中,前端一般是有专业的前端工程师来写的,因此我们步需要过分的关注前端,可以在github上找到相关的前端项目即可。
使用API有效率地管理Dynadot域名,查看域名服务器(NS)信息
Dynadot_tech的博客
09-12 1069
Dynadot是通过ICANN认证的域名注册商,自2002年成立以来,服务于全球108个国家和地区的客户,为数以万计的客户提供简洁,优惠,安全的域名注册以及管理服务。Dynadot.com提供的API是专为效率而构建的高级域名管理和获取工具包。使用Dynadot API,可以查看某一域名DNS设置的域名服务器(Name server)信息。
springSecurity 学习
05-05
1. 官方文档:Spring Security 官方文档提供了详细的使用说明和示例代码,是学习 Spring Security 的不二之选。 2. Spring Security 中文文档:中文翻译的 Spring Security 官方文档,对于英文不好的同来说是个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值