SecurityConfiguration安全认证与授权

已于 2023-07-06 20:54:54 修改
阅读量502 收藏 1
点赞数 1
文章标签: 安全
于 2023-07-06 11:48:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49302930/article/details/131571527
版权

添加Security依赖项在pom.xml中

<!-- Spring Boot中的Spring Security的依赖项,用于处理认证与授权 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

SecurityConfiguration

  • 通常情况下,我们会通过重写configure(AuthenticationManagerBuilder auth)方法来配置身份验证,添加自定义的用户认证逻辑。因为源码中this.disableLocalConfigureAuthenticationBldr = true; 这一行代码的作用是禁用本地的身份验证配置。
package cn.tedu.tea.admin.server.core.config;

import cn.tedu.tea.admin.server.common.web.JsonResult;
import cn.tedu.tea.admin.server.common.web.ServiceCode;
import cn.tedu.tea.admin.server.core.filter.JwtAuthorizationFilter;
import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * Spring Security的配置类
 *
 * @author java@tedu.cn
 * @version 1.0
 */
@Slf4j
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启基于方法的安全检查
// @EnableWebSecurity(debug = true) // 开启调试模式,在控制台将显示很多日志,在生产环境中不宜开启
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {//继承WebSecurityConfigurerAdapter类才算是Security配置类

    @Autowired
    private JwtAuthorizationFilter jwtAuthorizationFilter;

    public SecurityConfiguration() {
        log.debug("创建配置类对象:SecurityConfiguration");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        // return NoOpPasswordEncoder.getInstance();
        return new BCryptPasswordEncoder();
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 配置Security框架不使用Session
        // SessionCreationPolicy.NEVER:从不主动创建Session,但是,Session存在的话,会自动使用
        // SessionCreationPolicy.STATELESS:无状态,无论是否存在Session,都不使用
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

        // 将自定义的解析JWT的过滤器添加到Security框架的过滤器链中
        // 必须添加在检查SecurityContext的Authentication之前,具体位置并不严格要求
        http.addFilterBefore(jwtAuthorizationFilter, UsernamePasswordAuthenticationFilter.class);

        // 允许跨域访问,本质上是启用了Security框架自带的CorsFilter
        http.cors();

        // 处理“无认证信息却访问需要认证的资源时”的响应
        http.exceptionHandling().authenticationEntryPoint(new AuthenticationEntryPoint() {
            @Override
            public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) throws IOException, ServletException {
                log.warn("{}", e);
                response.setContentType("application/json; charset=utf-8");
                String message = "操作失败,您当前未登录!";
                JsonResult jsonResult = JsonResult.fail(ServiceCode.ERROR_UNAUTHORIZED, message);
                PrintWriter writer = response.getWriter();
                writer.println(JSON.toJSONString(jsonResult));
                writer.close();
            }
        });

        // 白名单
        String[] urls = {
                "/favicon.ico",//浏览器某个图标
                "/doc.html",
                "/**/*.css",
                "/**/*.js",
                "/swagger-resources",//需要加上,要不然是白板
                "/v2/api-docs",//需要加上,要不然是白板
                "/resources/**", // 静态资源文件夹,通常是上传的文件,请与配置文件中的"tea-store.upload.base-dir-name"一致
                "/account/users/login" // 用户登录
        };

        // 禁用“防止伪造的跨域攻击的防御机制”
        http.csrf().disable();

        // 配置请求授权
        // 如果某个请求被多次配置,按照“第一匹配原则”处理
        // 应该将精确的配置写在前面,将较模糊的配置写在后面
        http.authorizeRequests()//获取一个用于配置请求授权的对象
                .mvcMatchers(urls) // 匹配某些请求
                .permitAll() // 许可,即不需要通过认证就可以访问
                .anyRequest() // 任何请求,从执行效果来看,也可以视为:除了以上配置过的以外的其它请求
                .authenticated(); // 需要通过认证才可以访问

        // 是否调用以下方法,将决定是否启用默认的登录页面
        // 当未通过认证时,如果有登录页,则自动跳转到登录,如果没有登录页,则直接响应403
        // http.formLogin();

        // super.configure(http); // 不要调用父类的同名方法,许多默认的效果都是父类方法配置的
    }

}

http.csrf().disable();这行代码的作用

这段代码是在使用Spring Security配置CSRF(跨站请求伪造)保护时的一个配置方法。具体来说,http.csrf().disable()方法用于禁用CSRF保护。

CSRF是一种常见的Web攻击,攻击者通过利用用户在访问恶意网站时的身份验证信息,发送伪造的请求来执行非法操作。为了防止CSRF攻击,Spring Security默认启用CSRF保护。

调用http.csrf().disable()方法可以禁用CSRF保护机制。这意味着在配置中关闭CSRF保护后,应用程序将不会验证请求是否包含有效的CSRF令牌。禁用CSRF保护可能会有一定的风险,因此在禁用之前应该仔细评估应用程序的安全需求。

禁用CSRF保护通常用于以下情况之一:

  • 应用程序不使用表单提交,或者不以表单方式进行操作;
  • 应用程序已经通过其他方式(如使用令牌)保护了对敏感操作的访问。

需要注意的是,在禁用CSRF保护时,我们需要确保应用程序有其他有效的安全措施来防止CSRF攻击。例如,可以使用双重身份验证、验证码、限制敏感操作的访问权限等。

死磕java的啦啦啦
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
spring security 配置类——SecurityConfigration
qq_45947664的博客
10-12 558
/权限注解,访问服务需要的权限@PrePostEnabled("hasAuthority('admin')")//创建BCryptPasswordEncoder注入容器@Bean}//// @Bean//// throw new RuntimeException("手机号或者密码错误");//// }//// //查用户权限//// //把数据封装成UserDetails返回// };// }
SpringBoot安全认证Security的实现方法
08-25
SpringBoot 安全认证 Security 的实现方法 在本文中,我们将详细介绍 SpringBoot 安全认证 Security 的实现方法。Security 是一个非常重要的组件,它可以帮助我们保护应用程序免受未经授权的访问。下面我们将一步步...
SeaweedFS安全配置(Security Configuration
HOKING的专栏
06-28 1458
SeaweedFS安全配置(Security Configuration
WebSecurityConfiguration
awds18338701279的博客
07-06 2154
WebSecurityConfiguration 当我们使用注解@EnableWebSecurity启用Spring Security时,其实导入了一个配置类WebSecurityConfiguration,如下所示: 该配置类WebSecurityConfiguration使用一个WebSecurity对象基于用户指定的或者默认的安全配置,创建一个FilterChainProxy bean来对用户请求进行安全过滤。这个FilterChainProxy bean的名称为springSecurityFilte
SecurityConfiguration配置类
qq_38624193的博客
10-17 69
【代码】SecurityConfiguration配置类。
SpringBootWebSecurityConfiguration
weixin_33832340的博客
12-01 987
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Java课程实验 Spring Security 实现用户认证授权管理
07-07
要在Spring Boot中实现用户认证授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
Spring Security基于数据库实现认证过程解析
08-18
3. 认证成功:如果角色验证通过,Spring Security认证用户的身份,并将其授权给对应的角色。 四、示例代码 以下是使用Spring Security基于数据库实现认证的示例代码: ```java @Service public class ...
基于java config的springSecurity的基本集成配置(二)--自定义认证
01-11
基于java config的springSecurity的基本集成配置(二)--自定义认证,详细介绍:http://blog.csdn.net/xiejx618/article/details/42609497
Spring Security --SecurityConfig的详细配置
热门推荐
cristianoxm的博客
04-05 1万+
一、SecurityConfig 在之前的文章中,我们从底层源码的层面了解到,要接管Spring Security的配置,就必须继承WebSecurityConfigurerAdapter,并加上@EnableWebSecurity注解。 一个比较完整的SecurityConfig配置如下: @Configuration //开启判断用户对某个控制层的方法是否具有访问权限的功能 @EnableGlobalMethodSecurity(prePostEnabled = true) @EnableWebSecu
SpringSecurity------HttpSecurityConfiguration配置类
豢龙先生
12-27 2070
SpringSecurity------HttpSecurityConfiguration配置类一、WebSecurityConfiguration是怎样被加载的二、WebSecurityConfiguration主要做了什么三、WebSecurityConfiguration的源码分析1、属性字段2、核心方法3、使用@Autowired注入了一些Bean4、使用@Bean初始化一些Bean 一、WebSecurityConfiguration是怎样被加载的 二、WebSecurityConfigurati
SpringSecurity------WebSecurityConfiguration配置类
ywb201314的专栏
03-15 1576
简单的说,这个类的作用就是用来创建FilterChainProxy,FilterChainProxy是一个Servlet Filter,他是一组SecurityFilterChain的代理,用于管理这些SecurityFilterChain。这个方法是接口ImportAware的方法,当前配置类是通过@EnableWebSecurity注解上的@Import注解引入的,实现该接口的方法使得当前配置类可以获取到@EnableWebSecurity的debug属性值。
注解开发
Major_S的博客
03-30 392
月宫一号中的若干数学问题
Spring Security—配置(Configuration
最新发布
Java毕设项目分享
04-08 1323
下一步是在WAR文件中注册 springSecurityFilterChain。你可以在Servlet 3.0以上的环境中通过 Spring的 WebApplicationInitializer 支持 在Java配置中完成。毫不奇怪,Spring Security提供了一个基类(AbstractSecurityWebApplicationInitializer)来确保 springSecurityFilterChain 为你注册。
javaConfig方式配置spring security
neweastsun的专栏
01-10 4576
javaConfig方式配置spring security 本文介绍javaConfig方式配置spring security,通过阅读可以了解无需xml配置且较容易地配置使用spring security。 从spring framework3.1开始并支持javaConfig方式,spring security3.2中扩展了该功能,通过使用@Configuration注解方式配置
Java Spring Security 详细配置与使用
董嵩杰的博客
09-26 474
Java Spring Security 详细配置与使用
springBoot security怎么写认证授权
04-05
Spring Boot Security是基于Spring Security安全框架,提供了一些快速启动的安全配置。下面是Spring Boot Security认证授权方式: 1. 基于内存的认证授权 在application.properties文件中配置用户和角色信息: ``` spring.security.user.name=user1 spring.security.user.password=password1 spring.security.user.roles=USER spring.security.user.name=admin spring.security.user.password=password2 spring.security.user.roles=ADMIN ``` 这些用户信息将被自动注入到Spring Security中,并在应用程序启动时进行身份验证。 2. 基于数据库的认证授权 使用Spring Data JPA从数据库中读取用户和角色信息。可以使用Spring Security提供的JdbcUserDetailsManager类来管理用户信息。 在application.properties文件中配置JDBC连接: ``` spring.datasource.url=jdbc:mysql://localhost:3306/mydb spring.datasource.username=root spring.datasource.password=password spring.datasource.driver-class-name=com.mysql.jdbc.Driver ``` 创建一个用户表和角色表,并使用JPA实体类表示它们。例如: ``` @Entity @Table(name = "users") public class User { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(name = "username") private String username; @Column(name = "password") private String password; @ManyToMany(fetch = FetchType.EAGER) @JoinTable( name = "user_roles", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "role_id") ) private Set<Role> roles; // getters and setters } @Entity @Table(name = "roles") public class Role { @Id @GeneratedValue(strategy = GenerationType.IDENTITY) private Long id; @Column(name = "name") private String name; // getters and setters } ``` 创建一个UserDetailsService实现类来从数据库中读取用户信息: ``` @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), getAuthorities(user.getRoles()) ); } private Collection<? extends GrantedAuthority> getAuthorities(Set<Role> roles) { return roles.stream() .map(role -> new SimpleGrantedAuthority(role.getName())) .collect(Collectors.toList()); } } ``` 在WebSecurityConfigurerAdapter中配置Spring Security: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } } ``` 在这个例子中,我们将/admin/**路径限制为ADMIN角色,/user/**路径限制为USER角色。任何其他请求都需要身份验证。我们还启用了基于表单和HTTP基本身份验证的登录。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值