springSecurity用户认证和授权

原创 已于 2024-04-17 20:54:01 修改 · 646 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #前端 #服务器

于 2024-04-17 20:52:29 首次发布
本文介绍了SpringSecurity框架在JavaWeb应用中的用户认证与授权实现,包括依赖导入、代码示例以及基于内存和数据库的用户管理。重点讲解了如何配置权限控制和使用formLogin功能进行表单登录。

一,框架介绍


  1. Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。

    (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。

    (2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

    Spring Security其实就是用filter,多请求的路径进行过滤。

    (1)如果是基于Session,那么Spring-security会对cookie里的sessionid进行解析,找到服务器存储的sesion信息,然后判断当前用户是否符合请求的要求。

    (2)如果是token,则是解析出token,然后将当前请求加入到Spring-security管理的权限信息中去

  2. 认证与授权实现思路

二 ,如何实现

1 ,导入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2,代码

        

package com.demo.config;

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

@EnableWebSecurity
public class Security extends WebSecurityConfiguration {
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/public/**").permitAll() // 允许访问公开路径
                .antMatchers("/public/index").hasRole("vip") // 需要指定用户在可以使用
                .antMatchers("/admin/**").hasRole("admin") // 需要指定用户在可以使用
                .anyRequest().authenticated() // 其他请求需要认证
                .and()
                .formLogin() // 使用表单登录
                .loginPage("/login") // 指定登录页面
                .permitAll() // 允许所有用户访问登录页面
                .and()
                .logout() // 配置注销
                .logoutUrl("/logout") // 注销路径
                .logoutSuccessUrl("/login?logout") // 注销成功后跳转的页面
                .permitAll();

    }
    //缓存中
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                //添加  名字为 admin  密码 为 admin123 的用户 基于权限 ADMIN
                .withUser("admin").password("admin123").roles("ADMIN")
                .and()
                .withUser("user").password("user123").roles("USER");
    }
    //从数据库中
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库或其他数据源加载用户信息
        // 这里简单起见,直接使用内存中的用户信息
        if ("admin".equals(username)) {
            return org.springframework.security.core.userdetails.User.builder()
                    .username("admin")
                    .password("{noop}admin") // {noop}表示不加密,实际项目中应该使用加密的密码
                    .roles("ADMIN")
                    .build();
        } else if ("user".equals(username)) {
            return org.springframework.security.core.userdetails.User.builder()
                    .username("user")
                    .password("{noop}user")
                    .roles("USER")
                    .build();
        } else {
            throw new UsernameNotFoundException("User not found");
        }
    }
}

import org.springframework.security.access.annotation.Secured;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class MyController {

    @GetMapping("/user")
    @Secured("ROLE_USER") // 要求用户具有ROLE_USER角色才能访问
    public String userPage() {
        return "user";
    }
}
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class MyController {

    @GetMapping("/admin")
    @PreAuthorize("hasRole('ADMIN')") // 要求用户具有ROLE_ADMIN角色才能访问
    public String adminPage() {
        return "admin";
    }

    @GetMapping("/user")
    @PreAuthorize("hasRole('USER')") // 要求用户具有ROLE_USER角色才能访问
    public String userPage() {
        return "user";
    }
}

Spring Security 用户认证授权管理
weixin_44876263的博客
09-02 1573
文章目录一、介绍1、简介2、核心概念3、主要功能4、处理流程二、Spring Security实现权限1、添加依赖2、执行顺序代码执行流程(1)用户登录(2)访问受保护资源总结1、用户登录2、访问受保护资源完整源码 一、介绍 1、简介 Spring Security 是一个强大的安全框架,旨在保护基于 Spring 的应用程序。它提供了一整套全面的安全功能,包括认证授权、以及防护常见安全攻击的机制。 2、核心概念 认证(Authentication) 认证是验证用户身份的过程。在 Spring S
Spring Security认证授权流程
2303_78503642的博客
03-05 3599
在以上代码的for循环中,第一次拿到的 provider 是一个 Anonymous Authentication Provider。Spring Security会监听这个事件,接收到这个Authentication对象,进而调用 SecurityContextHolder.getContext().setAuthentication(...)方法,将 Authentication Manager返回的 Authentication对象,存储在当前的 Security Context 对象中。
Spring Security实现权限认证授权
b2105859的博客
02-12 2511
Spring Security实现认证授权
spring security 认证授权详解
小趴菜不能喝的博客
10-14 2420
详细介绍spring security认证授权流程
如何利用SpringSecurity进行认证授权
qq_63218110的博客
02-14 1万+
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
Spring security认证授权
11-30
- 可以自定义未授权认证的处理方式,比如重定向到特定页面或者返回JSON响应。 综上所述,这个Spring Security的例子展示了如何结合数据库动态配置用户信息,实现认证授权功能。通过理解并实践这些概念,...
Java课程实验 Spring Security 实现用户认证授权管理
07-07
要在Spring Boot中实现用户认证授权管理,你可以使用Spring Security框架。Spring Security提供了一套强大的功能来处理用户身份验证授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
Spring Security OAuth2认证授权示例详解
08-25
通过以上讲解,我们可以看到Spring Security OAuth2如何帮助开发者构建安全的认证授权系统,以及如何使用OAuth2授权协议来保护用户数据。理解这些概念配置细节对于开发涉及用户数据交换安全访问控制的现代Web...
SpringSecurity认证授权
qq_49474843的博客
09-11 1504
RBAC模型详解,SpringSecurity入门到精通一文搞定
Spring Security 替换WebSecurityConfigurerAdapter (Deprecated)的方法
allway2的博客
11-10 2万+
在本文中,我将提供一个解决方案来配置Spring 安全性,而无需 WebSecurityConfigurerAdapter 类。在上面的例子中,我们遵循最佳实践,使用 Spring Security lambda DSL 方法。我们创建了一个Spring Java配置类,它扩展了。类进行 Spring 安全配置,稍后我们将看到如何将此安全配置迁移到基于组件的方法。类的 JWT 配置,稍后我们将看到如何将此安全配置迁移到基于组件的方法。类已被弃用,Spring 团队鼓励用户转向基于组件的安全配置。
Spring Security中的认证授权
qq_44113347的博客
04-01 267
认证(Authentication)是确认用户的身份信息是否正确,通常需要用户提供用户密码。Spring Security支持多种认证方式,包括基于表单的认证、基于HTTP基本认证、OAuth2认证等。Spring Security支持多种授权方式,包括基于角色的访问控制、基于权限的访问控制、表达式授权等。在Spring Security中,可以使用配置类来配置认证授权规则,也可以使用注解来配置。是一个配置适配器,可以继承该类来实现自定义配置。注解用于启用Web安全配置,
Spring Security认证授权-权限验证使用教程(二)
Jokers_lin的博客
05-12 2070
Spring Security认证授权-权限验证使用教程(二)
Spring Boot 实战篇(十一):登录认证引入
最新发布
m0_57836225的博客
11-28 949
在 Web 应用程序中,登录认证是保障系统安全的重要环节。通过引入登录认证机制,能够确保只有合法用户可以访问系统资源。以下将详细介绍在 Spring Boot 项目中引入登录认证的步骤,并附上相应的代码示例。
SpringBoot:集成SpringSecurity
一条没有梦想的闲鱼的博客
12-04 1620
在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。 Spring Sec
spring security的基本应用
tianlong1569的专栏
08-31 1069
一、 基本配置 配置在系统中使用SpringSecurity,需要在pom.xml中加入spring-boot-starter-security依赖 代码如下 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 然后新建一个类继
万字长文,SpringSecurity
mySoul
06-30 1331
思维导图如下 RBAC权限分析 RBAC 全称为基于角色的权限控制,本段将会从什么是RBAC,模型分类,什么是权限,用户组的使用,实例分析等几个方面阐述RBAC 思维导图 绘制思维导图如下 什么是RBAC RBAC 全称为用户角色权限控制,通过角色关联用户,角色关联权限,这种方式,间阶的赋予用户的权限,如下图所示 对于通常的系统而言,存在多个用户具有相同的权限,在分配的时候,要为指定的用户分配相关的权限,修改的时候也要依次的对这几个用户的权限进行修改,有了角色这个权限,在修改权限的时候,只需要对角色进
SpringBoot整合SpringSecurity
yj123ab的博客
01-24 1156
搭建完SpringBoot项目后导入依赖 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <version>5.4.2</version> <scope&g
Spring Boot 报WebSecurityConfigurerAdapter.class cannot be opened 原因与解决办法
热门推荐
guitar___的博客
05-29 2万+
Spring Boot 报WebSecurityConfigurerAdapter.class cannot be opened 原因与解决办法 本文为原创文章,欢迎转载,转载时需附上本文的原文链接 一、问题 最近新建了一个Spring Boot应用,因为之前一直是其他同事在创建工程,没有在意Spring Boot应用创建的细节注意事项,特别是没有仔细阅读Spring Boot的官方文档。所...
SpringSecurity(一)基本使用
YLXCA的博客
01-13 576
Spring Security核心功能关于安全方面的两个主要区域是认证授权(或者访问控制),这两点也是Spring Security核心功能用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户密码。系统通过校验用户密码来完成认证过程。用户授权:验证谋而用户是否有权限执行某一操作。在一个系统中,不同用户所具有的权限是不同的。本质:就是一堆过滤器链。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值