SpirngSecurity安全框架 | 狂神学习笔记

已于 2022-09-28 16:54:32 修改
阅读量1k 收藏 1
点赞数 1
文章标签: 安全 学习 java
于 2022-09-28 16:53:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_54232666/article/details/127084855
版权

SpirngSecurity概述

 Spring Security是 Spring 家族中的一个安全管理框架。相比与Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富;

​ Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。

​ Spring Security是一个框架,致力于为Java应用程序提供身份验证授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。

在 Java 生态中,目前有 Spring Security 和 Apache Shiro 两个安全框架,可以完成认证和授权的功能。

为什么要使用SpirngSecurity

在web开发中,安全占据第一位置

我们可以通过一些简单的安全策略,例如过滤器,拦截器保证安全

安全是一个非功能性需求,做网站,后台应该在设计之初进行考虑

就应该把这些东西考虑进去,虽然我们可以通过拦截器,过滤器来完成需求,但是会有大量的原生代码,冗余;而通过SpringSecurity,只需要进行简单的调用,便可实现无数复杂的功能

项目中所涉及的安全性问题

  • 功能权限
  • 访问权限
  • 菜单权限

一般Web应用的需要进行 认证  授权 

  • ​ 认证(Authentication):验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户
  • ​ 授权(Authorization):经过认证后判断当前用户是否有权限进行某个操作

​ 而认证和授权就是SpringSecurity作为安全框架的核心功能。

上手前需知

Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模板默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理

需要牢记的几个类

WebSecurityConfigurerAdapter: 自定义Security策略

AuthenticationManagerBuilder: 自定义认证策略

@EnableWebSecurity: 开启WebSecurity模式

案例实战

1、先导入静态资源页面 

2、编写RouterController跳往各个页面

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class RouterController {
    @RequestMapping({"/","/index"})
    public String index(){
        return "index";
    }
    @RequestMapping("toLogin")
    public String toLogin(){
        return "views/login";
    }
    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
        return "views/level1/"+id;
    }
    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
        return "views/level2/"+id;
    }
    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
        return "views/level3/"+id;
    }
}

2、SecurityConfig配置SpringSecurity 

configure(HttpSecurity http)是实现授权功能的 什么用户可以访问什么页面

configure(AuthenticationManagerBuilder auth)是实现认证功能的

我们这里案例用的是用户名密码存到缓存里auth.inMemoryAuthentication(),也可以存到数据库 原理的一样的

我们还需要passwordEncoder(new BCryptPasswordEncoder() 对密码进行加密 保证安全

import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
//aop
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //授权
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //首页所有人可以访问 里面的功能页只有有权限的人才能访问
        http.authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("vip1")
                .antMatchers("/level2/**").hasRole("vip2")
                .antMatchers("/level3/**").hasRole("vip3");

        //没有权限会到登录页面
        http.formLogin().loginPage("/toLogin"); //开启security默认的登录页面 没有权限会跳转这里

        //注销.开启了注销功能  .移除所有的cookie.清空所有的 sessiondeleteCookies("remove").invalidateHttpSession(true).
        http.logout().logoutSuccessUrl("/");

        //开启记住我功能,cookie 默认保存2周
        http.rememberMe().rememberMeParameter("remember");
    }

    //认证
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())
                .withUser("pzh").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2","vip3") //加密
                .and()
                .withUser("root").password(new BCryptPasswordEncoder().encode("123456")).roles("vip","vip2","vip3")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip");
    }
}

3、让特定身份只能看到特定内容的界面

通过Thymeleaf加SpringSecurity来实现,先导包

这里我们到5版本的,狂神视频导的4版本的,后面容易出bug 

<!--security-thymeleaf-->
        <dependency>
            <groupId>org.thymeleaf.extras</groupId>
            <artifactId>thymeleaf-extras-springsecurity5</artifactId>
            <version>3.0.4.RELEASE</version>
        </dependency>

在页面引入命名空间

xmlns:th="http://www.thymeleaf.org" xmlns:sec=http://www.thymeleaf.org/extras/spring-security

在html利用sec:authorize="hasRole(‘xxx’)"对权限进行筛选

<!--主容器-->
<div class="ui container">

    <div class="ui segment" id="index-header-nav" th:fragment="nav-menu">
        <div class="ui secondary menu">
            <a class="item"  th:href="@{/index}">首页</a>

            <!--登录注销-->
            <div class="right menu">

                <!--如果未登录-->
                <div sec:authorize="!isAuthenticated()">
                    <a class="item" th:href="@{/toLogin}">
                        <i class="address card icon"></i> 登录
                    </a>
                </div>
                <!--如果登录:显示用户名-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item" >
                        用户名:<span sec:authentication="name"></span>
<!--                    角色:<span sec:authentication="authorities"></span>-->
                    </a>
                </div>
                <!--如果登录:显示注销-->
                <div sec:authorize="isAuthenticated()">
                    <a class="item" th:href="@{/toLogin}">
                        <i class="sign-out icon"></i> 注销
                    </a>
                </div>
                <!--已登录
                <a th:href="@{/usr/toUserCenter}">
                    <i class="address card icon"></i> admin
                </a>
                -->
            </div>
        </div>
    </div>

    <div class="ui segment" style="text-align: center">
        <h3>Spring Security Study by 秦疆</h3>
    </div>

    <div>
        <br>
        <div class="ui three column stackable grid">
            <div class="column" sec:authorize="hasRole('vip1')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 1</h5>
                            <hr>
                            <div><a th:href="@{/level1/1}"><i class="bullhorn icon"></i> Level-1-1</a></div>
                            <div><a th:href="@{/level1/2}"><i class="bullhorn icon"></i> Level-1-2</a></div>
                            <div><a th:href="@{/level1/3}"><i class="bullhorn icon"></i> Level-1-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column"  sec:authorize="hasRole('vip2')">
                <div class="ui raised segment">
                    <div class="ui" >
                        <div class="content">
                            <h5 class="content">Level 2</h5>
                            <hr>
                            <div><a th:href="@{/level2/1}"><i class="bullhorn icon"></i> Level-2-1</a></div>
                            <div><a th:href="@{/level2/2}"><i class="bullhorn icon"></i> Level-2-2</a></div>
                            <div><a th:href="@{/level2/3}"><i class="bullhorn icon"></i> Level-2-3</a></div>
                        </div>
                    </div>
                </div>
            </div>

            <div class="column"  sec:authorize="hasRole('vip3')">
                <div class="ui raised segment">
                    <div class="ui">
                        <div class="content">
                            <h5 class="content">Level 3</h5>
                            <hr>
                            <div><a th:href="@{/level3/1}"><i class="bullhorn icon"></i> Level-3-1</a></div>
                            <div><a th:href="@{/level3/2}"><i class="bullhorn icon"></i> Level-3-2</a></div>
                            <div><a th:href="@{/level3/3}"><i class="bullhorn icon"></i> Level-3-3</a></div>
                        </div>
                    </div>
                </div>
            </div>
        </div>
    </div>
</div>

这样我们就能实现 对应的用户 可以看到对应的界面了

4、开启记住密码功能

 //没有权限会到登录页面
        http.formLogin().loginPage("/toLogin"); //开启security默认的登录页面 没有权限会跳转这里

在授权类里面加上

//开启记住我功能,cookie 默认保存2周
        http.rememberMe().rememberMeParameter("remember");

security自动创建了remember-me的cookie对象,且有效期为14天

5、把默认登录页改成我们自己的

首先去把表单的请求路径改了

<form th:action="@{/toLogin}" method="post">

然后去授权类里面改

 //没有权限会到登录页面
http.formLogin().loginPage("/toLogin"); //开启security默认的登录页面 没有权限会跳转这里

这样我们就可以用自己的登录界面了 

卒获有所闻
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Security静态资源
12-30
来自于Spring Security
SpringSecurity学习笔记(基础)
wenwenaier的博客
04-27 1120
文章目录前言一、为什么使用SpringSecurity一、关于SpringSecurity二、使用步骤1.导入模板素材定制首页: 前言 笔记整理来源于视频https://www.bilibili.com/video/BV1PE411i7CV 主要包含SpringSecurity简介以及快速上手 一、为什么使用SpringSecurity 在web开发中,安全占据第一位置 我们可以通过一些简单的安全策略,例如过滤器,拦截器保证安全 安全是一个非功能性需求,做网站,后台应该在设计之初进行考虑,在我们设计之
SpringSecurity (
qq_56800327的博客
06-10 465
SpringSecurity 是一个安全框架,可做权限管理和相应拦截
springSecurity(安全学习--基于
最新发布
qq_57237780的博客
11-11 1268
Override //重写方法 //这个方法主要用于设置权限分配规则,链式编程 protected void configure(HttpSecurity http) throws Exception {
SpirngSecurity
qq_23295259的博客
03-16 163
SpirngSecurity 原理 三个过滤器(过滤器链) FilterSecurityInterceptor:方法过滤器 ExceptionTranslationFilter:异常过滤器 UsernamePasswordAuthenticationFilter:对/login的post请求拦截,校验表单中用户名,密码。 … 过滤器加载: DelegatingFilterProxy来加载所有的过滤器 两个重要接口: UserDetailsService接口:实现这个接口来从数据库查找用户名和密码。 1.创建
说各种学习视频配套笔记
05-30
说各种学习视频配套笔记】是一套全面覆盖了多个IT技术领域的学习资源,旨在帮助初学者和进阶者提升编程技能。这套笔记包含了Java基础、前端开发、数据库管理、Web框架、分布式系统以及开发工具等多个方面,...
笔记内容.zip
08-15
说Java入门笔记】是一份针对初学者的详细教程资源,主要涵盖了Java语言的基础知识,旨在帮助学习者从零开始掌握Java编程。压缩包内的"JavaSE:Java入门.pdf"是主体教程文档,而"说明.txt"则包含了一些关于文件...
springcloud学习笔记加代码
03-24
springcloud学习笔记加代码 笔记可以看:https://www.kuangstudy.com/bbs/1374942542566551554#header4 视频链接:https://www.bilibili.com/video/BV1jJ411S7xr
笔记.md文件.zip
06-17
笔记】系列是针对Java开发者的一套深入学习指南,涵盖了myBatis、Spring、SpringMVC等关键框架的详细知识。这份压缩包文件包含了多个Markdown格式的笔记,包括了SpringMVC、SSM整合、Mybatis以及Spring的基础...
SpringBoot-Security
05-26
springboot security,两种配置一个是用config类,一个是用注解方式。数据库两个用户 admin/admin,neusoft/neusoft
-spring-security素材.rar
04-16
-spring-security素材.rar
的SpringSecurity素材.rar
02-28
点赞加关注免费使用
spring-security静态资源.zip
10-07
spring-security静态资源.zip
SpringSecurity素材.rar
03-02
(秦疆)springboot web开发中的springsecurity素材 对应B站视频的P34
SpringSecurity
iiiis的博客
08-31 1067
::: tip SpringSecurity是什么Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。Spring Security致力于为Java应用程序提供身份验证和授权的能力。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。::: 2.创建接口 3.访问接口 ​ 2.通过创建配置类实现设置 3.编写自定义实现类(常用) 第一步:编写UserDetailsService实现类,可以从数据库中获取用户
Spirng Security知识点整理
m0_53157173的博客
11-17 783
Spirng Security案例新建工程,引入依赖创建启动项和controller层启动项目自定义用户名和密码配置文件中设置用户名和密码关闭验证功能基于内存中的用户信息 案例 新建工程,引入依赖 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-inst
基于学习 SpringBoot整合SpringSecurity相关详解【~】
weixin_52891794的博客
11-29 327
SpringSecurity (安全) 官方文档 : 官方文档 权限 : 功能权限 访问权限 菜单权限 我们之前要实现这些权限用的是拦截器,过滤器,用了大量的原生代码。 现在可以用安全框架 安全框架的核心就是把权限赋给角色,而不是赋给相应的用户,而用户只需要获得相应的角色就可以获得相应的权限 1. 新建一个模块 只需要勾选springweb依赖即可 在poem中导入themleaf依赖 themleaf官方文档 : 官方文档 <!-- thymeleaf 模板 -->
基于说springboot中讲到的SpringSecurity的总结笔记
主要是学习笔记和一些学习心得~
11-29 1102
SpringSecurity的基础简单用法!
"Docker学习笔记:从基础到实战
本文总结了在他的学习笔记中提到的一些关键知识点,包括Docker的出现原因、使用场景、优势等。 首先,为什么Docker会出现?在软件开发、部署和运维过程中,经常会遇到开发环境和生产环境不一致、环境配置麻烦...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

卒获有所闻

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值