SpringbootSecurity简单通俗易懂

最新推荐文章于 2023-12-20 22:38:13 发布
最新推荐文章于 2023-12-20 22:38:13 发布
阅读量429 收藏
点赞数
分类专栏: security springBoot java 文章标签: spring boot java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50098749/article/details/125842727
版权
java 同时被 3 个专栏收录
16 篇文章 0 订阅
订阅专栏
springBoot
2 篇文章 0 订阅
订阅专栏
security
1 篇文章 0 订阅
订阅专栏

在web开发中 ,安全第一位!过滤器,拦截器

shiro、springbootsecurity:很像除了类不一样名字不一样

认证、授权

  • 功能权限
  • 访问权限
  • 菜单权限
  • 拦截器过滤器:大量的原生代码·冗余

1、认证和授权
1.1、认识SpringSecurity
Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!

记住几个类:

  • WebSecurityConfigurerAdapter:自定义Security策略
  • AuthenticationManagerBuilder:自定义认证策略
  • @EnableWebSecurity:开启WebSecurity模式

Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。

“认证”(Authentication)

身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。

“授权” (Authorization)

授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。

这个概念是通用的,而不是只在Spring Security 中存在。

实战

首先 springboot版本2.0.9||2.0.7

1.导入依赖

 <dependencies>
        <!--web -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <!--security-thymeleaf整合包 -->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity4</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>
        <!-- security权限依赖-->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
        <!--thymeleaf模板 -->
        <dependency>
            <groupId>org.thymeleaf</groupId>
            <artifactId>thymeleaf-spring5</artifactId>
        </dependency>
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-java8time</artifactId>
        </dependency>
    </dependencies>

2.配置config

根据自己需求取拿

登录都是基于内存账户密码的改数据库的你们自行百度一下就好

示例

package com.shen.springbootsecurity.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

/**
 * @program: springBoot-security
 * @description: security权限的配置类
 * @author: Mr.shen
 * @create: 2022-07-17 22:31
 **/

/***
 *security是以aop切面实现的
 */
@EnableWebSecurity
public class SecuityConfig extends WebSecurityConfigurerAdapter {


    /***
     * @loginPage:定制登录页
     * 用链式编程写的
     * @configure:请求页面的规则(授权)
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        /**@http.logout():默认跳login
         * @http.logout().deleteCookies("remove").invalidateHttpSession(true):清空cookies和session
         * @permitAll:代表所有人都可以访问
         * @hasAnyRole("规定某某才可以访问"):里面的参数规定某某才可以访问
         */
        //首页所有人可以访问,功能页只有对应有权限的人才能访问
        http.authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasAnyRole("vip1")
                .antMatchers("/level2/**").hasAnyRole("vip2")
                .antMatchers("/level3/**").hasAnyRole("vip3");

        //没有权限默认进入登录页面
        //loginPage定制登录页
        //.usernameParameter("user").passwordParameter("pwd"):自定义参数默认是接收username和password参数  如果是别的就会报错这里自定义改成你表单所提交的
        //loginProcessingUrl 登录提交的表单
        http.formLogin().loginPage("/toLogin").usernameParameter("user").passwordParameter("pwd").loginProcessingUrl("/login");
        //防止网站攻击:get post
        http.csrf().disable();//关闭 登出失败可能存在的原因
        //默认注销成功跳到首页
        //注销。开启了注销功能
        http.logout().logoutSuccessUrl("/");
        //开启记住我功能 cookie默认保存2周   rememberMeParameter("remember"):自定义接收前端参数
        http.rememberMe().rememberMeParameter("remember");
    }

    /***
     * @configure:认证规则
     * @param auth
     * @throws Exception
     * @PasswordEncoder:密码编码 (意思是我们的密码没有加密)
     * 在spring secutiry5.0+ 新增了很多加密方法
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //这些数据正常应该从数据库取
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("shenjian").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3")
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1");
    }

}

3.前台操作

使用 sec:authorize=“!isAuthenticated()” 等等标签是需要导入整合thymeleaf整合springsecurity4依赖的

  • sec:authorize=“!isAuthenticated()”:判断是否登录
  • sec:authorize=“hasRole(‘vip1’)”:判断角色

示例

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, maximum-scale=1">
    <title>首页</title>
    <!--semantic-ui-->
    <link href="https://cdn.bootcss.com/semantic-ui/2.4.1/semantic.min.css" rel="stylesheet">
    <link th:href="@{/qinjiang/css/qinstyle.css}" rel="stylesheet">
</head>
<body>

<!--主容器-->
<div class="ui container">

    <div class="ui segment" id="index-header-nav" th:fragment="nav-menu">
        <div class="ui secondary menu">
            <a class="item" th:href="@{/index}">首页</a>

            <!--登录注销-->
            <div class="right menu">
                <!--未登录-->
                <div sec:authorize="!isAuthenticated()">
                    <a class="item" th:href="@{/toLogin}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>
                <div sec:authorize="isAuthenticated()">
                    <!--注销-->
                    <a class="item">
                        用户名:<span sec:authentication="name"></span>
<!--                        角色:<span sec:authentication="principal.getAuthorities()"></span>-->
                    </a>
                </div>
                <div sec:authorize="isAuthenticated()">
                    <!--注销-->
                    <a class="item" th:href="@{/logout}">
                        <i class="sign-out icon"></i> 注销
                    </a>
                </div>
                <!--已登录-->


            </div>
        </div>
    </div>

    <div class="ui segment" style="text-align: center">
        <h3>Spring Security Study by 秦疆</h3>
    </div>

    <div>
        <br>
        <div class="ui three column stackable grid">
            <!-- 菜单根据用户的角色动态的实现-->
            <div class="column" sec:authorize="hasRole('vip1')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 1</h5>
                            <hr>
                            <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
                            <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
                            <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column"  sec:authorize="hasRole('vip2')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 2</h5>
                            <hr>
                            <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
                            <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
                            <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column"  sec:authorize="hasRole('vip3')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 3</h5>
                            <hr>
                            <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                            <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                            <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

        </div>
    </div>

</div>


<script th:src="@{/qinjiang/js/jquery-3.1.1.min.js}"></script>
<script th:src="@{/qinjiang/js/semantic.min.js}"></script>

</body>
</html>
小申ee
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot整合SpringSecurity超详细入门教程
2401_83916435的博客
03-31 897
就写到这了,也算是给这段时间的面试做一个总结,查漏补缺,祝自己好运吧,也希望正在求职或者打算跳槽的 程序员看到这个文章能有一点点帮助或收获,我就心满意足了。多思考,多问为什么。希望小伙伴们早点收到满意的offer!越努力越幸运!金九银十已经过了,就目前国内的面试模式来讲,在面试前积极的准备面试,复习整个 Java 知识体系将变得非常重要,可以很负责任的说一句,复习准备的是否充分,将直接影响你入职的成功率。
Spring BootSpringSecurity学习
缘友一世的博客
01-27 2169
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,可以实现强大的Web安全控制,对于安全控制,仅需要引入 spring-boot-starter-secu
Spring Boot 中的 Spring Security 是什么,如何使用
程序员徐师兄的博客
07-06 1250
如果默认的认证和授权方式无法满足我们的需求,我们可以自定义认证和授权。例如,我们可以创建一个实现了} }} }} }} }} }} }在上面的服务类中,我们使用来查询用户信息,并将用户信息转换为对象返回。在返回对象时,我们可以使用方法将用户角色转换为授权列表。类似地,我们也可以创建一个实现了return;return;> clazz) {} }在上面的服务类中,我们使用接口的decide方法来判断用户是否有访问资源的权限。
Spring Boot整合Spring Security--学习笔记
tigerhhzz的博客
05-08 395
Spring Boot:整合Spring Security(待续中....)
SpringBoot整合SpringSecurity
qq_44749491的博客
06-28 8411
SpringSecurity整合基础
SpringBoot 集成 SpringSecurity 从入门到深入理解
Wayfreem的博客
09-13 599
从最简单的工程开始了解Spring Security,到逐渐深入,并且有源码提供可以方便于搭建自己的Spring Security项目
通俗易懂的随机森林模型讲解
02-20
大家好,我是你们的好朋友小木。对于随机森林的模型,网上已经有灰常灰常多的讲解,大家讲的也非常的不错。但绝大多数大神讲解都是注重于理论,把算数的地方都给忽略了,我这次要以举例子的方法来讲解,这样可以让...
通俗易懂之Flink DataStream API开发
02-07
通过该资源您将 l 了解流处理的基本概念 l 掌握DataStream的算子操作(source、transformation、sink) l 掌握水印使用及其原理 l 掌握状态和容错机制 l 掌握异步io的使用和原理 l 掌握端对端一次性语义的使用和原理...
groovy 经典入门 通俗易懂
12-20
groovy 经典入门 通俗易懂,groovy 经典入门 通俗易懂,groovy 经典入门 通俗易懂
python教程简单易懂通俗易懂
03-10
python教程简单易懂通俗易懂python教程简单易懂通俗易懂python教程简单易懂通俗易懂python教程简单易懂通俗易懂python教程简单易懂通俗易懂python教程简单易懂通俗易懂python教程简单易懂通俗易懂python教程简单易懂...
通俗易懂的详细介绍Springboot如何集成/整合JWT
01-18
文章大体结构如下,若对你有启发,请点赞支持一下!谢谢 1.定义 2.优点 3.缺点 4.组成 4.1.头部(header) 4.2.载荷(payload) 4.3.签证(signature) 5.应用 ...(2)实现跳过认证(AuthAccess)或需要认证(USERLOGINTOKEN...
SpringBoot Security简单的例子
01-31
SpringBoot Security简单的例子,基于内存的用户名和密码,密码明文,可登录。SpringBoot Security简单的例子,基于内存的用户名和密码,密码明文,可登录。SpringBoot Security简单的例子,基于内存的用户名和密码,密码明文,可登录。
SpringBoot - 安全管理框架Spring Security使用详解(9)-密码加密配置
Andy's Blog
06-06 860
在之前的文章中密码都是使用明文的方式进行存储,但这样会有很大的安全隐患。所以正常做系统时,密码都要加密处理。而在Spring Boot中配置密码加密非常容易,下面通过样例进行演示。 九、密码加密配置 1,样例代码 (1)要配置密码加密只需要修改两个地方。首先要修改HttpSecurity配置中的PasswordEncoder这个Bean的实现,这里我们采用BCryptPasswordEncoder加密方案。 Spring Security提供了多种密码加密方案,官方推荐使用...
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1572
以上是10月31日对29日的Security学习进行日常总结。
SpringBoot】之Security集成使用(入门级)
最新发布
weixin_74352229的博客
12-20 1189
上一期的博客中我们一起学习了关于在项目中的接口测试的相关的依赖插件,可以大大提高我们的开发效率,便于我们的接口测试。今天给大家的分享是一个安全框架——。安全框架是一种软件框架,旨在帮助开发人员轻松地集成安全性功能到他们的应用程序中。这些框架通常提供一系列的工具、库、API 和规范,用于处理应用程序的安全需求,包括身份验证、授权、数据保护、防御性编程等方面。安全框架的目标是简化安全性实施,提供一致的安全性管理和保护机制,从而减少开发人员在应对常见安全问题时的工作量。
Security详解
myli92的博客
05-12 1049
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
SpringSecurity学习(一)权限管理概念简介、整体架构、环境搭建
Huathy的博客
02-26 1392
SpringSecurity的权限管理与整体架构【认证(AuthenticationManager、Authentication、SecurityContextHolder)、授权(AccessDecisionManager、AccessDecisionVoter、ConfigAttribute)】 SpringSecurity的环境搭建
Spring Boot:一文搞懂 Spring Security 是如何工作的?
Java技术攻略的博客
03-02 298
Nullable@Nullable这里的 delegate 就是前面架构图中的 Bean Filter0。那 Spring 为什么要设计这样一层代理呢?从前面的分析过程中我们知道,向 ServletContext 中注册 Filter 的时间发生的其实非常早,甚至这个时候 ApplicationContext 都还没有实例化完毕,更别说其中的 Filter Bean了。
Spring boot+Spring Security 4配置整合实例
热门推荐
code__code的专栏
12-26 9万+
本例所覆盖的内容: 1. 使用Spring Security管理用户身份认证、登录退出 2. 用户密码加密及验证 3. 采用数据库的方式实现Spring Security的remember-me功能 4. 获取登录用户信息。 5.使用Spring Security管理url和权限   本例所使用的框架: 1. Spring boot 2. Spring MVC 3. Sprin
通俗易懂Springboot启动原理
05-12
Spring Boot 是一个基于 Spring 框架的快速开发框架,它的启动原理可以概括为以下几个...以上是 Spring Boot 启动的大致过程,通过自动化配置和约定优于配置的方式,使得 Spring Boot 项目的开发变得简单、快速、高效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值