聊一聊Spring Security的那些事

最新推荐文章于 2024-05-30 18:28:42 发布
最新推荐文章于 2024-05-30 18:28:42 发布
阅读量1.4k 收藏 4
点赞数 3
分类专栏: 基础扎实 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_53742691/article/details/131056934
版权

在这里插入图片描述

一.什么是Spring Security

S[ing Security是一个基于Java EE框架Spring的安全性框架,它提供了身份认证和授权功能,用于保护应用程序中的资源。同时,它也支持许多常见的身份验证机制,并提供了预防常见攻击,如跨站请求伪造(CSRF)和会话固定等。通过集成到Spring中,Spring Security可以轻松地与其他Spring技术一起使用,如Spring MVC、Spring Boot和Spring Data等。

Spring Security具有以下特点:

  1. 灵活性:Spring Security提供了多种认证和授权方式,可以根据应用程序的需求进行选择和配置。
  2. 安全性:Spring Security提供了多层安全防护,包括认证、授权、加密等,可以有效地保护Web应用程序的安全。
  3. 可扩展性:Spring Security提供了丰富的插件和扩展点,可以根据应用程序的需求进行自定义和扩展。
  4. 易用性:Spring Security提供了简单易用的API和文档,可以快速地实现安全功能。

总之,Spring Security是一个功能强大、灵活、安全、可扩展和易用的Web应用程序安全框架。由于其灵活、开放和可扩展性,Spring Security已成为Java企业级应用程序中最受欢迎的安全框架之一。

二. Spring Security可以具体做哪些事

Spring Security可以做如下安全性保障:

  1. 身份认证:提供多种认证方式(如基于表单、HTTP基本认证、OpenID、LDAP等),以确保用户是可信的并且已通过验证。
  2. 授权访问控制:定义访问规则和权限,对不同用户或角色给予不同程度的访问权限。例如,可以限制某些URL或页面仅允许特定用户或角色访问。
  3. 防止会话固定攻击(Session Fixation):避免黑客拦截来自合法用户的会话ID,并利用该ID发起攻击。
  4. 防止跨站点请求伪造(CSRF):在Web应用程序中添加额外的保护层来防止攻击者向受信任的网站发送伪装成合法请求的恶意请求。
  5. LDAP:集成LDAP服务来进行身份认证、用户管理和权限控制。
  6. 实现单点登录(SSO)功能:允许用户仅使用一组凭证即可访问多个应用程序。
  7. Spring Boot安全性启动器(Starter):简化配置和使用,使开发人员能够更快地构建安全的应用程序。

三.Spring Security与Shiro优缺点对比

Spring Security 和 Shiro 都是常用的安全框架,以下是它们的优缺点对比:

Spring Security 的优点:

  1. 大受欢迎:由于其在大量企业级项目中的广泛应用,因此相对来说更受欢迎。
  2. 更强大的功能:Spring Security支持OAuth2、OpenID Connect等现代安全性协议和标准,以及与LDAP等其他存储接口的深度整合。
  3. 完全集成:Spring Security是Spring框架的一部分,开发人员可以通过使用类似Java配置的方式轻松配置和扩展它。
  4. 易于使用:Spring Security提供了很多已经实现好的安全过滤器、过滤器链等,使得开发人员可以快速构建出具有高度保护能力的安全环境。

Spring Security 的缺点:

  1. 繁琐的配置:由于Spring Security拥有完善的安全认证、授权、防护等功能,所以需要进行繁琐的配置,并且会带来一些笨重的实现细节。
  2. 学习曲线较陡峭:由于Spring Security 比Shiro涵盖范围更广,因此学习曲线可能更陡峭。

Shiro 的优点:

  1. 更小巧灵活:Shiro集成容易、学习曲线较浅,且可以轻松地与Spring无缝集成。
  2. 活跃的社区:尽管Shiro目前的使用量相对于Spring Security较少,但它仍然有一个强大的开源社区,并持续地发展和改善中。
  3. 易于定制:Shiro的设计原则之一是可扩展性,因此开发人员可以通过自定义实现或拦截器来完全控制身份验证、授权等。

Shiro 的缺点:

  1. 功能不如 Spring Security 强大:Shiro虽然也具备认证、授权、防护等功能,但是由于使用范围相比较小,其本身提供的功能相对不够强大。
  2. 社区可能相对活跃度不足:尽管Shiro社区活跃,但相较于Spring Security还是会显得不足。

根据项目的需要和场景来选择哪种框架更加合适。如果你是一个 Spring 应用程序开发人员,Spring Security 是较好的选择;如果需要一个更灵活的安全框架并且不需要应付复杂业务需求,则 Shiro 较适合。

四. Spring Security的基本原理

image-20230605171104130

Spring Security 基本原理包括以下几个方面:

  1. 认证(Authentication):验证用户身份是否正确。Spring Security 提供了多种认证方式,例如用户名密码认证、基于 SSO 的认证、OAuth2 认证等。
  2. 授权(Authorization):控制用户对系统资源的访问权限。授权可以通过角色授权、基于 URL 路径的授权、表达式授权实现等,确保只有获得授权的用户才能访问系统受保护的资源。
  3. 过滤器链(Filter Chain):Spring Security 将一系列安全过滤器链接到 web 应用程序上下文中的每个请求中,来保证安全功能得以按需执行。安全过滤器是由 WebSecurityConfigurerAdapter 配置统一管理的。
  4. 用户详细信息(User Details):是 Spring Security 认证过程中必需的数据模型。包含关键信息,如用户名、密码、角色、权限等,可与内存、数据库等不同存储介质进行整合。
  5. 安全上下文(Security Context):Spring Security 采用线程本地存储(ThreadLocal)方法,将访问者的 Authentication 、 Authorization 等安全相关内容保存起来并一起交给安全管理器管理。无论何时,都可以通过 SecurityContextHolder 来获取当前访问者的安全上下文。

Spring Security 通过这些基本原理设计了一套高度可配置和易扩展的安全框架,可以灵活适应各种不同类型的应用程序。

五.SpringSecurity Web 权限方案

image-20230605171306321

此处,我们主要了解如何快速使用Spring Security这一套框架完成系统的登录鉴权功能,咋们先不说高大上的鉴权,就一步一步先慢慢来,先来做到登录成功,然后来设置权限!套用Spring Security这套安全框架,要想完成登录功能,主要有以下实现途径,稍微列举一下:

第一种:直接在配置文件中进行配置

第二种:拦截过滤器,进行配置

第三种:自定义编写实现类

1.设置登录系统的账号、密码

注:如果不进行设置,将会采用系统默认的用户名user,而且会随机生成密码,可用性不高!

image-20230605170635123

server:
    port: 9191
spring:
    security:
        user:
            name: poria
            password: poria

2.通过配置类进行配置

@Configuration
public class Secturityconfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        //原始密码
        String originPwd = "poria";
        //密码加密
        String Spassword = passwordEncoder.encode("poria");
        //密码校验
        auth.inMemoryAuthentication().withUser(originPwd).password(Spassword).roles("admin");
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

3.自定义实现类(重中之重)

@Configuration
public class Secturityconfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }
    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}


@Service
public class UserInfoDetailService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<GrantedAuthority> authorities= AuthorityUtils.commaSeparatedStringToAuthorityList("admin");
        return new User("poria",new BCryptPasswordEncoder().encode("poria"),authorities);
    }
}

此文待完。。。。。。

IT小辉同学
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
为什么越来越多程序员使用SpringSecurity,这些原因你都知道吗?
uuuyy_的博客
12-08 3983
1|2 什么是安全框架 安全框架顾名思义,就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式。不使用安全框架之前,我们需要手动处理每个资源的访问控制,针对不同的项目都需要做不同的处理,此时就会显得非常麻烦,并且低效率引起的额外开销会延缓开发周期。使用安全框架,使开发团队能够选择最适合这些需求的框架,可以通过配置的方式实现对资源的访问限制,使得开发更加的高效。 1|2常用的安全框架 Spring Security: Spring 家族一员,是一个
SpringBoot之整合Spring Security代码
05-08
SpringBoot之整合Spring Security,SpringBoot之整合Spring SecuritySpringBoot之整合Spring SecuritySpringBoot之整合Spring Security
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4483
Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
SpringSecurity安全管理框架-(一)初识SpringSecurity
2301_79351943的博客
05-08 718
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;Spring Security是一个的框架。它是用于保护基于Spring的应用程序的实际标准;Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求。
Spring Boot 中的 Spring Security 是什么,如何使用
程序员徐师兄的博客
07-06 1333
如果默认的认证和授权方式无法满足我们的需求,我们可以自定义认证和授权。例如,我们可以创建一个实现了} }} }} }} }} }} }在上面的服务类中,我们使用来查询用户信息,并将用户信息转换为对象返回。在返回对象时,我们可以使用方法将用户角色转换为授权列表。类似地,我们也可以创建一个实现了return;return;> clazz) {} }在上面的服务类中,我们使用接口的decide方法来判断用户是否有访问资源的权限。
初识spring security
qq_21134059的博客
12-28 555
这里写目录标题1.前言2.简介2.1 什么是 spring security 1.前言 我们在日常的项目开发过程中经常会开发登录认证,授权等基础功能。这些功能看上去简单,实际上也简单,但是它却在我们项目中有着举足轻重的地位,是一切业务的根本。为了统一解决这一根本问题,软件行业的巨头公司出了一些框架, 如: apache shiro, spring security, Sa-Token。那么今天我们就来聊聊 spring security。 2.简介 2.1 什么是 spring security sprin
SpringSecurity的作用
最新发布
m0_56277423的博客
05-30 1471
/ 返回自定义的登录页面视图名称并创建一个名为login.html的视图文件,作为自定义登录页面。
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
sample-java-spring-genericdao:使用 Spring MVC 4.1、Hibernate 4.3 + Generic DAO、Spring Security、Freemarker 的项目示例
06-16
这是一个使用 Spring 4.1 MVC、Core、Security、Generic DAO over Hibernate 4 的示例。目标是展示一个使用 Spring 与 Hibernate 集成的安全 MVC 应用程序,并使用 Generic DAO 框架抽象 DAO 层。 跑前小贴士: ...
spring3.2.9源码
06-29
9. **Spring Security**:这是一个用于身份验证和授权的安全框架,可以与Spring应用程序无缝集成,保护Web应用免受攻击。 10. **Spring Batch**:针对批量处理任务的模块,提供了处理大量数据的高级功能,如跳过...
caiji:spring boot spring mvc 搭建系统
04-27
Spring Boot致力于简化Spring应用的初始搭建以及开发过程,而Spring MVC则是Spring框架的一部分,专门用于处理Web应用程序的请求-响应模式。下面我们将深入探讨这两个框架以及如何使用它们来搭建一个系统。 **...
websotcket 聊天(单聊,群聊,视频)
08-30
在本文中,我们将深入探讨如何利用Spring MVC和WebSocket技术实现一个功能丰富的聊天应用,包括单聊、群聊以及视频聊天。 首先,让我们从基础开始。WebSocket协议是基于TCP的,它通过握手过程在HTTP/1.1协议之上...
SpringInAction
03-07
8. **Spring Security**:这是Spring的一个安全模块,提供了全面的安全服务,包括身份验证、授权等,为Web应用提供了强大的安全保障。 9. **Spring Integration**:Spring Integration提供了许多企业集成模式,如...
springcloud配置
02-10
SpringCloud Config 是一个分布式系统配置中心,它允许开发者在服务器端集中管理和动态更新应用的配置,而无需重新部署应用。这个服务提供了客户端和服务器端两个组件,使得微服务架构中的配置管理变得更加简单和...
spring所需的jar包
06-13
10. **Spring Security**:这是一个强大的安全框架,用于处理身份验证和授权。它提供了多种安全机制,如HTTP基本认证、OAuth2、JWT等。 这些jar包包含了Spring框架的基础库,可能包括了`spring-core`、`spring-...
Spring Security介绍
CutelittleBo的博客
11-18 497
简介 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的实上的标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义要求 摘自:spring官网 spring security和OAuth2的关系? 根据之前对OAuth2的介绍,OAuth2只是一种协议,规则。而spring s
Spring security详解——学习笔记
m0_61943950的博客
05-09 319
Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。用户认证就是判断用于身份是否合法的过程授权: 授权是用户认证通过后,根据用户的权限来控制用户访问资源的过程。拥有资源的访问权限则正常访问,没有权限则拒绝访问。Spring Security是一个能够为基于Spring的企业应用系统声明式(注解)安全访问控制解决方案的安全框架
java之路——带你了解SpringSecurity安全框架与基本应用
m0_68987535的博客
06-26 1127
*Spring Security是一个功能强大的开源框架,用于在Java应用程序中实现身份验证和授权功能。它提供了一套全面的安全性解决方案,可用于保护Web应用程序、REST API和其他类型的应用程序。**Spring Security提供了多种身份验证机制,包括基于表单、基于HTTP基本身份验证、基于OAuth等。它可以与各种身份验证提供者(如数据库、LDAP、OAuth服务器等)集成,以验证用户的身份。
SpringSecurity教学讲义.docx
12-04
SpringSecurity教学讲义

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT小辉同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值