springSecurity安全

最新推荐文章于 2024-04-11 15:01:07 发布
最新推荐文章于 2024-04-11 15:01:07 发布
阅读量224 收藏
点赞数
分类专栏: springBoot 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48618320/article/details/116427307
版权

Security 原理分析

SpringSecurity 过滤器链
SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明:

pom文件

导入整合项目的依赖

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
    <modelVersion>4.0.0</modelVersion>
    <parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.9.RELEASE</version>
        <relativePath/> <!-- lookup parent from repository -->
    </parent>
    <groupId>com.kaung.w</groupId>
    <artifactId>spring-06-security</artifactId>
    <version>0.0.1-SNAPSHOT</version>
    <name>spring-06-security</name>
    <description>security 安保 for Spring Boot</description>
    <properties>
        <java.version>1.8</java.version>
    </properties>
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--Thymeleaf依赖开始 当前默认版本3.0.12-->

        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>
        <!--     安全 security  -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
            <version>2.3.9.RELEASE</version>
        </dependency>
        <!-- thymeleaf-springSecurity 整合包 -->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>

    </dependencies>

    <build>
        <plugins>
            <plugin>
                <groupId>org.springframework.boot</groupId>
                <artifactId>spring-boot-maven-plugin</artifactId>
            </plugin>
        </plugins>
    </build>
</project>

  • WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

  • SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。

  • HeaderWriterFilter:用于将头信息加入响应中。

  • CsrfFilter:用于处理跨站请求伪造。

  • LogoutFilter:用于处理退出登录。

  • UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。

  • DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。

  • BasicAuthenticationFilter:检测和处理 http basic 认证。

  • RequestCacheAwareFilter:用来处理请求的缓存。

  • SecurityContextHolderAwareRequestFilter:主要是包装请求对象request。

  • AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。

  • SessionManagementFilter:管理 session 的过滤器

  • ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。

  • FilterSecurityInterceptor:可以看做过滤器链的出口。

  • RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

启用security的实体类

package com.kaung.w.config;


import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


/**
 * @ClassName : MySecurityConfig  //类名
 * @Description : security安全配置  //描述
 * @Author : W //作者
 * @Date: 2021/4/29  11:33
 * @EnableWebSecurity Aop拦截器
 */

@EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        System.out.println ("进入了MySecurityConfig方法!");
        /**责任链式编程
         * 首页所有人可以访问,功能页只 有对应有权限的人才能访问
         * 请求授权的规则
         * */

        http.authorizeRequests ()
                .antMatchers ("/").permitAll ()

                .antMatchers ("/level1/**").hasRole ("vip1")
                .antMatchers ("/level2/**").hasRole ("vip2")
                .antMatchers ("/level3/**").hasRole ("vip3");
        //开启登录的页面  没有权限默认会到登录页面,http.formLogin ()
//定制登录页 loginPage ("/toLogin");
        http.formLogin ().loginPage ("/toLogin");

        // 开启了注销功能
        //防止攻击 springBoot 默认开启了防止网站攻击
        //关闭 springboot默认配置
        http.csrf ().disable ();
        http.logout ().logoutSuccessUrl ("/");
//开启记住我 自定义记住我的name值
        http.rememberMe ().rememberMeParameter ("rememberMe");
    }

    /**
     * //认证,springboot 2.1.X可以直接使用
     * //密码编码: PasswordEncoder
     * //在Spring secutiry 5.0+ 新增了很多的加密方法
     */

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication ().passwordEncoder (new BCryptPasswordEncoder ())
                //这些数据正常应该从数据库中读
                .withUser ("ww").password (new BCryptPasswordEncoder ().encode ("123")).roles ("vip1", "vip2")
                .and ()
                .withUser ("root").password (new BCryptPasswordEncoder ().encode ("123")).roles ("vip1", "vip2", "vip3")
                .and ()
                .withUser ("guest").password (new BCryptPasswordEncoder ().encode ("123456")).roles ("vip2");
    }
}

RouterController 配置类

package com.kaung.w.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

/**
 * @ClassName : RouterController  //类名
 * @Description : 页面跳转的配置 controller层  //描述
 * @Author : W //作者
 * @Date: 2021/4/29  10:48
 */
@Controller
public class RouterController {

    @RequestMapping({"/", "/index"})
    public String index() {
        return "index";
    }

    @RequestMapping({"/toLogin"})
    public String toLogin() {
        return "views/login";
    }

    @RequestMapping({"/level1/{id}"})
    public String toLevel1(@PathVariable("id") int id) {
        return "views/level1/" + id;
    }

    @RequestMapping({"/level2/{id}"})
    public String toLevel2(@PathVariable("id") int id) {
        return "views/level2/" + id;
    }

    @RequestMapping({"/level3/{id}"})
    public String toLevel3(@PathVariable("id") int id) {
        return "views/level3/" + id;
    }
}

资源图示
在这里插入图片描述

cookie3_1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
详解spring security安全防护
08-27
主要介绍了详解spring security安全防护,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
SpringSecurity安全框架案例
09-23
完整的认证授权流程,没有验证码校验
SpringSecurity5-教程4-Cookie单点登录
zhouwenjun0820的博客
03-23 496
Cookie单点登录
Spring Security介绍
W211953332的博客
08-13 439
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
Spring Security Web安全性解决方案
最新发布
HideonHacker的博客
04-11 671
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是通过加入自定义过滤器的方式,对访问请求进行认证和鉴权,核心过滤器就是认证过滤器和鉴权过滤器。
使用Spring Security控制会话
weixin_30752377的博客
05-21 146
1.概述 在本文中,我们将说明Spring Security如何允许我们控制HTTP会话。此控件的范围从会话超时到启用并发会话和其他高级安全配置。 2.会话何时创建? 我们可以准确控制会话何时创建以及Spring Security如何与之交互: always - 如果一个会话尚不存在,将始终创建一个会话 ifRequired - 仅在需要时创建会话(默认) never - 框架永远不会创建会话本...
springsecurity oauth2.0 认证与授权会话管理7
健康平安的活着的专栏
08-14 833
一 会话 1.1 做会话原因 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。 1.2 实现会话的原理 1.spring security提供会话管 理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取 用户身份。 2.Spring Security获取当前登录用户信息的方法为: SecurityContextHolder.getContext().getAuthenticatio
【JavaWeb 用户认证】Cookie、Session、Token、JWT、Interceptor、SpringBoot、Spring Security
m0_46638350的博客
05-05 1082
Cookie的介绍Cookie的使用案例// 如果Cookie存在,则从Cookie中调取信息 if(cookies!= null) {System . out . println("cookie的时效: " + cookie . getMaxAge());System . out . println("cookie的Comment: " + cookie . getComment());
SpringSecurity安全框架基础Demo
01-02
SpringSecurity安全框架基础Demo,
spring security安全框架
10-25
spring security安全框架,简单的小demo
springsecurity安全框架源码
11-27
springsecurity安全框架下载 .
05 SpringSecurity-实现自动登录
01-19 2943
文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo 自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验 并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌: 用散列算法加密用户必要的登录信息并生成令牌。 数据库等持久性数据存储机制用的持久化令牌。 散列算法在Spring Security中是通过加密几个关键信息实现的: hashInfo = md5Hex(us
加入spring sesion redis后,cookie无法跨域请求
mouxiaoshi的博客
03-30 871
springsecurity + spring session redis 项目使用springsecurity来进行认证及鉴权 因项目每次部署登陆状态都会失效(session 认证机制) 故集成spring session redis将session保存在redis当中 当集成完成后,发现认证成功后返回的session-id跟登陆后携带的session-id不同导致无法认证成功 问题出在集成spring session redis 返回的响应头 set-cookie上 此时SameS...
【spring security】前后端分离,设置rememberMe后通过cookie自动登录(二)
Meditation_Crazy
10-08 1388
前言 使用前后端分离,前面已经实现了登录时把remember-me存到数据库,同时返回到前端。 但是测试关闭浏览器,再次直接调接口,发现提示未登录。 在调试的过程中看到有这个方法: 然后在它里面加断点,再次测试,发现携带cookie自动登录的过程中,会跑它里面的方法。所以算是找对对方了。 接下来就是查找为什么没有成功。 调试 在测试过程中,发现登录时候,也会跑这个方法:this.processAutoLoginCookie(cookieTokens, request, response)。但是在登录和自动
spring boot security 安全权限 ---4cookie自动登录
liwei10822的博客
01-02 1327
spring boot security 安全权限 ---4cookie自动登录
SpringBoot集成SpringSecurity(三)记住我及图形验证码
罗伯特是疯子丶
05-25 712
需求 为了增强用户体验,实现“记住我”功能; 为了提高csrf攻击门槛,增加图形验证码功能; 记住我 场景类比: 从用户体验来讲: 在用户登录系统一次访问首页后,在有效期内可以免登录访问首页;中间可以包括不小心电脑关机,关闭浏览器等场景… 从技术的角度来讲: 即便session过期,remember me还在有效期内也可以访问; 即便系统重启,remember me还在有效期内也可以访问。 验证码 对于csrf攻击,大家可自行百度详细内容,我在这里简单说一下: 要完成一次CSRF攻击,受
两个SpringSecurity本地项目登录冲突问题(Cookie不区分端口号)
a624193873的博客
05-29 1006
问题产生 因为最近要做资源认证服务器,就搞了两个集成SpringSecurity的项目,在开启了loginPage("/portal/login")后,登录的时候发现了一个问题:8085端口的项目A和8080端口的项目B不可以同时登录,A登录了,B再登录就会把A的登录状态刷新掉。 问题原因 经过一番研究,原因是session会在浏览器保存一个cookie用来识别session,看上去没什么问题,但是cookie是不区分端口号的,在同一个ip下cookie是共享的。 也就是说,我们本地项目都是localhos
Spring Boot 解决跨域Cores问题
岚殿的代码笔记
08-09 1258
import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.CorsRegistry; import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; @Configuration public class CorsConfig implemen.
SpringSecurity小笔记
又逢乱世
05-15 344
security认证流程 1. 用户提交用户名、密码被SecurityFilterChain中的 UsernamePasswordAuthenticationFilter 过滤器获取到, 封装为请求Authentication,通常情况下是UsernamePasswordAuthenticationToken这个实现类。 2. 然后过滤器将Authentication提交至认证管理器(AuthenticationManager)进行认证 3. 认证成功后, Authenticatio
springsecurity安全框架
09-23
Spring Security允许用户通过提供配置信息来定制安全策略,并提供了两个主要的配置对象:WebSecurity和HttpSecurity。它可以轻松扩展以满足自定义需求。Spring Security是Java应用程序中最常用的身份验证和授权框架...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

cookie3_1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值