SpringSecurity安全框架(权限管理)

最新推荐文章于 2024-04-15 09:29:19 发布
最新推荐文章于 2024-04-15 09:29:19 发布
阅读量592 收藏
点赞数
分类专栏: SpringSecurity 文章标签: java 后端 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48672332/article/details/108091490
版权

Spring Security安全框架

简介

  • Spring Security是 Spring提供的安全认证服务的框架(功能强大的权限管理框架)。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spring.io/projects/spring-security

  • 认证:系统提供的用于识别用户r身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁

  • 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。

  • 常用的权限框架除了Spring Security,还有Apache的shiro框架。

  • RBAC:Role-Based Access Control,基于角色的访问权限控制

  • 功能:登录/认证/鉴权/登出

Spring Security环境搭建

  • pom.xml文件导入maven依赖

    <dependency> 
    <groupId>org.springframework.security</groupId> 
    <artifactId>spring-security-web</artifactId> 
    <version>5.0.5.RELEASE</version> 
</dependency> 
<dependency> 
    <groupId>org.springframework.security</groupId> 
    <artifactId>spring-security-config</artifactId> 
    <version>5.0.5.RELEASE</version> 
</dependency>

  • web.xml文件主要配置SpringMVC的DispatcherServlet和用于整合第三方框架的DelegatingFilterProxy,用于整合Spring Security。 配置哪些请求需要让SpringSecurity来进行认证或鉴权自动管理

    <!--委派过滤器,用于整合其他框架-->
<filter>
    <!--
      DelegatingFilterProxy用于整合第三方框架
      整合spring security时,此过滤器的名称固定springSecurityFilterChain
      否则会抛出NoSuchBeanDefinitionException异常
     -->
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping> 
    <filter-name>springSecurityFilterChain</filter-name> 
    <url-pattern>/*</url-pattern>
</filter-mapping>

  • 在spring-security.xml中主要配置Spring Security的拦截规则和认证管理器

    <?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置哪些资源匿名可以访问(不登录也可以访问)-->
    <!--<security:http security="none" pattern="/pages/a.html"></security:http>
    <security:http security="none" pattern="/pages/b.html"></security:http>-->
    <!--<security:http security="none" pattern="/pages/**"></security:http>-->
    <security:http security="none" pattern="/login.html"></security:http>
    <security:http security="none" pattern="/css/**"></security:http>
    <security:http security="none" pattern="/img/**"></security:http>
    <security:http security="none" pattern="/js/**"></security:http>
    <security:http security="none" pattern="/plugins/**"></security:http>
    <!--
        auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
        use-expressions:是否使用spring security提供的表达式来描述权限
    -->
    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则,/** 表示拦截所有请求-->
        <!--
            pattern:描述拦截规则
			pattern:对哪些url进行权限控制
            asscess:指定所需的访问角色或者访问权限
                isAuthenticated(),登录即可访问
                hasAuthority('add'),需要有add权限,才可访问
                hasRole('admin'),需要有admin角色,才可访问
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/*"  access="isAuthenticated()" />

        <!--
			如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理
            form-login:定义表单登录信息L           
            login-page:指定登录页面访问URL
			default-target-url:登录成功后跳转的网页
			authentication-failure-url:访问网页权限不够时,跳转的网页
        -->
        <security:form-login
                login-page="/login.html"
                username-parameter="username"
                password-parameter="password"
                login-processing-url="/login.do"          
                default-target-url="/pages/main.html"
                authentication-failure-url="/login.html">
        </security:form-login>

        <!--
          csrf:对应CsrfFilter过滤器
          disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
        -->
        <security:csrf disabled="true"></security:csrf>

        <!--
          logout:退出登录
          logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
          invalidate-session:true销毁session
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" 
                         invalidate-session="true"/>

    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--
                user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息 
				{noop}:表示当前使用的密码为明文
            <security:user-service>
                <security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
            </security:user-service>
            -->
            <!--指定密码加密策略-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
    <!--配置SpringSecurityUserService对象,通过@Component注解配置了,这里不用写该对象的bean-->
    <!--<bean id="springSecurityUserService" class="com.itheima.service.SpringSecurityUserService"/>-->

    <!--开启spring注解使用,在springmvc.xml配置,使用import导入springmvc.xml中-->
    <!--<context:annotation-config></context:annotation-config>-->
    <!--<mvc:annotation-driven></mvc:annotation-driven>-->
    <!--<context:component-scan base-package="com.it.controller"></context:component-scan>-->

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />
</beans>

  • 从数据库动态查询用户信息,必须按照spring security框架的要求提供一个实现UserDetailsService接口的实现类,并按照框架的要求进行配置即可。框架会自动调用实现类中的方法并自动进行密码校验。

    import org.springframework.security.core.userdetails.User;


@Component("springSecurityUserService")
public class SpringSecurityUserService implements UserDetailsService {

    @Reference//通过dubbo远程调用UserService
    private UserService userService;

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //远程调用用户服务,根据用户名查询用户信息
        com.ith.POJO.User user = userService.findByUsername(username);
        if(user == null){
            return null;
        }
        //动态为当前用户授权
        List<GrantedAuthority> list = new ArrayList<>();
        Set<Role> roles = user.getRoles();
        for (Role role : roles) {
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            Set<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        UserDetails userDetails = new User(username, user.getPassword(), list);
        return userDetails;
    }
}

  • controller加上注解进行权限控制

    import org.springframework.security.core.userdetails.User;

@RestController
@RequestMapping("/user")
public class UserController {
    @Reference//通过dubbo远程调用UserDao
    private UserDao userDao;
    //从上下文中获取当前登录人的信息和权限
    @RequestMapping("/getUsername")
    public Result getUsername(){
        //当Spring security完成认证后,会将当前用户信息保存到框架提供的上下文对象
        User user = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        if(user != null){
            String username = user.getUsername();
            return new Result(true, MessageConstant.GET_USERNAME_SUCCESS,username);
        }

        return new Result(false, MessageConstant.GET_USERNAME_FAIL);
    }
    
    @PreAuthorize("hasAuthority('DELETE')")//权限校验
    @RequestMapping("delete")
    public Result delete(Integer id) {
        try {
            userService.delete(id);
        } catch (Exception e) {
            e.printStackTrace();
            return new Result(false, MessageConstant.DELETE_USER_FAIL);
        }
        return new Result(true, MessageConstant.DELETE_USER_SUCCESS);
    }
}
gmx_holic
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity权限框架(入门篇)
每日小新
11-04 2658
SpringSecurity权限管理框架 ✧ 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 ✧ 常用的权限管理框架:        ✧Spring Security:Spring系列的权限管理框架,内部带有AOP,DI,IOC的功能,约定大于配置的特点,大大的提高了对权限的代码效率,主要是**认证**,和**授权**两个模块。  
实现权限框架——Spring-Security的使用
我的博客
07-17 364
实现权限框架——Spring-Security的使用基本概念操作步骤 基本概念 Spring-Security 是spring 项目组中提供安全认证服务的框架,它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 操作步骤 1. 导入jar包 将下列代码加入到pom.xml中 (pom.xml主要描述了项目的maven坐标,依赖关系,开发者需要遵循的规则,缺陷管理系统...
【Spring Security系列】一文带你了解权限框架与Spring Security核心概念
最新发布
小威的博客
04-15 1万+
权限框架是软件开发中用于管理用户权限和访问控制的工具。在企业或者我们毕设复杂的系统中,不同的用户或角色需要拥有不同的访问和操作权限,以确保系统的安全性和数据完整性。今天我们就讨论一下Java中的安全框架
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3308
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理框架
安全框架Spring Security是什么?如何理解Spring Security的权限管理
知识记录
08-04 7749
Spring Security是⼀个功能强大、可高度定制的身份验证和访问控制框架。从这一篇文章开始学习Spring Security吧~
【第七篇】SpringSecurity中的权限管理
波波烤鸭的博客
05-07 2043
SpringSecurity中的权限管理   SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。 一、权限管理的实现   服务端的各种资源要被SpringSecurity权限管理控制我们可以通过注解和标签两种方式来处理。 放开了相关的注解后我们在Controller中就可以使用相关的注解来控制了 /** * JSR250 */ @Controller @RequestMapping("/user".
SpringSecurity安全框架案例
09-23
在这个"SpringSecurity安全框架案例"中,我们将探讨其核心概念和实现细节,特别关注的是没有验证码校验的完整认证授权流程。 **1. 认证流程** 在Spring Security中,认证过程通常涉及以下步骤: - **用户尝试访问...
SpringSecurity安全框架基础Demo
01-02
这个"SpringSecurity安全框架基础Demo"旨在帮助开发者快速理解和实践Spring Security的核心功能。 **1. 用户认证** 在Spring Security中,用户认证主要由Authentication对象负责。当用户尝试访问受保护的资源时,...
Springsecurity安全框架案例+多页面登录+redis+token
12-08
Spring Security 提供了全面的安全管理组件,包括用户认证、授权和会话管理。它通过AOP(面向切面编程)拦截请求,根据预定义的规则进行身份验证和授权。配置Spring Security通常涉及创建自定义`...
spring security安全框架
10-25
Spring Security 是一个强大的且高度可定制的 Java 安全框架,用于解决 Web 应用程序的安全问题。这个框架提供了一套全面的解决方案,包括身份验证、授权、会话管理以及跨站请求伪造(CSRF)防护等核心功能。在本文...
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
最新SpringBoot框架后台管理模板(带权限控制)
12-22
最新SpringBoot框架后台管理模板 本SpringBoot框架采用零xml配置,全部动态启动、支持热部署 框架结构清晰明了! 框架管理:maven 框架: 1.核心框架---------Spring-boot 2.数据源框架-------mybatis、HikariCP(据说效率最高的数据源) 3.数据库-----------mysql 4.权限管理框架-----spring-security 5.监控框架---------actuator、remote-shell 6.日志-------------logback 7.前台框架---------thymeleaf 8.生成工具---------generator(自动生成bean、mapper、SQL) 9.分页插件---------pagehelper 功能: 1.后台登陆 2.用户资料编辑 3.权限分配 4.角色定义 5.自定义菜单 前端框架运用:h-ui.admin 超级管理员 账号:admin 密码:123456
现基于Spring框架应用的权限控制系统
10-08
有关于ACL之间的权限管控问题
springboot权限管理
03-26
一般系统都会有多个角色,不同角色可访问的系统功能不同,通过给用户分配不同角色,决定用户可访问的系统功能。
1.Spring Security权限管理概念、整体架构
一个双子座的Java攻城狮
12-04 705
spring security
springsecurity权限管理
lanlan112233的博客
03-23 237
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot 后台权限框架搭建(一)—后台框架搭建
jin07430119的专栏
02-22 3207
主要实现后端权限管理系统,包括用户管理、角色管理、部门管理、菜单管理等。项目采用前后端分离模式开发,后端使springboot+shiro+mybatis+MySQL等;前端选用Element UI框架,直接基于vue-element-admin的基础上扩展开发。
SpringBoot狂神20-(权限框架Shiro)
Java后端技术栈
08-14 1278
文章目录 1. 概述 1. 简介 2. 功能 3. 从外部看 4. 外部架构 5. 认证流程 2. 快速入门 1. 拷贝案例 2. 分析案例 3. SpringBoot 集成 Shiro 1. 编写配置文件 2. 搭建简单测试环境 3. 使用 1. 登录拦截 2. 用户认证 3. 退出登录 1. 概述 1. 简介 Apache Shiro是一个强大且易用的Java安全框架 可以完成身份验证、授权、密码和会话管理 Shiro 不仅可以用在 JavaSE 环境中,也可以用在 JavaEE 环境中 官网:
springmvc整合mybatis框架源码 bootstrap html5 mysql oracle
fhadmin17的博客
09-14 920
 获取【下载地址】   QQ: 313596790   【免费支持更新】 A 代码生成器(开发利器);    B 阿里巴巴数据库连接池druid;   数据库连接池  阿里巴巴的 druid。Druid在监控、可扩展性、稳定性和性能方面都有明显的优势 C 安全权限框架shiro ;  D ehcache 自定义二级缓存; E 微信接口开发(后续会加入Activiti5 工作流 )
springsecurity安全框架
09-23
Spring Security是一种功能强大且高度可定制的身份验证和访问控制框架。它是Spring全家桶的一员,旨在保护基于Spring的应用程序。...Spring Security是Java应用程序中最常用的身份验证和授权框架之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值