SpringSecurity应用浅学

最新推荐文章于 2022-10-24 23:47:50 发布
最新推荐文章于 2022-10-24 23:47:50 发布
阅读量178 收藏
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58078203/article/details/118942193
版权

导引:

什么是企业架构?什么是企业架构框架?

我的理解:企业架构实际上是人与物的联系。

企业架构框架实际是企业应用系统提供的解决方案。

SpringSecurity:

 基于Spring的企业应用系统提供的安全访问控制方案的安全框架。它主要利用Spring中配置的Bean,利用SpringIoC,DI和AOP(面向切面编程)功能,提供安全访问控制。

1.1认证流程业务分析:

1.2Spring Security 架构设计

其中:

绿色部分是认证过滤器,需要我们自己配置,可以配置多个认证过滤器。认证过滤器可以使用 Spring Security 提供的认证过滤器,也可以自定义过滤器(例如:短信验证)。认证过滤器要在 configure(HttpSecurity http)方法中配置,没有配置不生效。下面会重点介绍以下三个过滤器:

UsernamePasswordAuthenticationFilter 过滤器:该过滤器会拦截前端提交的 POST 方式的登录表单请求,并进行身份认证。

BasicAuthenticationFilter:检测和处理 http basic 认证。

ExceptionTranslationFilter 过滤器:该过滤器不需要我们配置,对于前端提交的请求会直接放行,捕获后续抛出的异常并进行处理(例如:权限访问限制)。

FilterSecurityInterceptor 过滤器:该过滤器是过滤器链的最后一个过滤器,根据资源权限配置来判断当前请求是否有权限访问对应的资源。如果访问受限会抛出相关异常,并由 ExceptionTranslationFilter 过滤器进行捕获和处理。

1.3SpringSecurity的重要概念

知道了Spring Security的大致工作流程之后,我们还需要知道一些非常重要的概念也可以说是组件:

  • SecurityContext:上下文对象,Authentication对象会放在里面。
  • SecurityContextHolder:用于拿到上下文对象的静态工具类。
  • Authentication:认证接口,定义了认证对象的数据形式。
  • AuthenticationManager:用于校验Authentication,返回一个认证完成后的Authentication对象。

认证逻辑分析与设计

1.1定义security配置类,例如

/**
 * 定义SpringSecurity密码加密对象
 * @Bean 注解通常会在@Configuration注解描述的类中描述方法,
 * 用于告诉spring框架这个方法的返回值会交给spring管理,并spring
 * 管理的这个对象起个默认的名字,这个名字与方法名相同,当然也可以通过
 * @Bean注解起名字
 */

@Configuration
public class SecutiryConfig {
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
}

1.2定义security配置类,例如

@Service
public class UserDetailServiceImpl implements UserDetailsService {


    @Autowired
    private PasswordEncoder passwordEncoder;


    @Override
    public UserDetails loadUserByUsername(String username)

throws UsernameNotFoundException {
        if(!"jack".equals(username))
            throw new UsernameNotFoundException("user not found");
        //假设这个密码是从数据库查询出来的加密密码
        String password=passwordEncoder.encode("123456");
        //假设如下对象信息是从数据库查询出来的,第三个参数为用户的权限
        return new User(username,password,

AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin,ROLE_normal,/doRetrieve,/doCreate"));


    }
}

  1. 3自定义登陆页面

第一步:定义登陆页面(直接在static目录下创建即可),关键代码如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
 <h2>Please login</h2>
<form action="/login" method="post">
    <ul>
        <li>username:</li>
        <li><input type="text" name="username">  </li>
        <li>password:</li>
        <li><input type="password" name="password">  </li>
        <li><input type="submit" value="Sign in">   </li>
    </ul>
</form>
<img src="\images\cartoongirl.png">
</body>
</html>

1.4修改安全配置类,让其实现接口,并重写相关config方法,进行登陆设计,代码如下:

@Configuration
public class SecutiryConfig extends WebSecurityConfigurerAdapter {
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        //关闭跨域攻击,不关闭容易出错
        http.csrf().disable();
        //自定义登陆表单
        http.formLogin()
                //设置登陆页面
                .loginPage("/login.html")
                //设置登陆请求处理地址(对应form表单中的action),

//登陆时会访问UserDetailService对象
                .loginProcessingUrl("/login")
                //设置请求用户名参数为username(默认就是username

//可以自己修改,需要与表单同步)

 http.authorizeRequests()
                //设置要放行的咨询
                .antMatchers("/login.html").permitAll()
                //设置需要认证的请求(除了上面的要放行,其它都要进行认证)
                .anyRequest().authenticated();

    }
}

smartboysu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security应用和配置
03-02
Spring Security 2.0 是Spring框架的下一代安全系统。它在上一代Acegi安全系统上又添加了许多新特性。本文件对Spring Security运行一个简单的应用程序和配置进行详细的说明。
java笔记:SpringSecurity应用(一)
weixin_33690963的博客
09-27 177
  今天领导要了我们前端组从十月到年末的开发计划,发现年底的项目终于回归到了javascript做前端了,到时好好练练手。另外,发现以后可能会经常做权限管理,所以现在正好有点时间打算把SpringSecurity资料认真整理下,今天是入门级的,希望以后会越来越来越深入。   java项目首先要提的就是jar包了,Springsecurity的jar下载地址:http://static.sprin...
SpringSecurity的简单应用
adminzzk的博客
10-24 185
可根据需求,自定义过滤器,并放到过滤器链中。自定义一个配置SecurityConfig。
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 516
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
Spring Security 应用实践
qq_38454776的博客
01-19 310
概述 Spring SecuritySpring 在安全方面的推出的框架,是采用责任链的设计模式,基于 Spring AOP 和 Servlet 过滤器进行实现。这篇文章记录认证授权的一些概念,以及如何使用其进行扩展保护我们的应用。 认证与授权的概念 认证:我是谁 授权:有哪些访问权限 在系统安全方面,我们面临的两个问题是: 1、如何保护需要访问权限的资源? 在 Java 中我们一般使用过滤器对我们的资源进行保护,使用拦截器对方法的访问进行控制。 2、用户的登录状态要如何传递? 如何让服务器意识到
xml浅学笔记
05-15
1、XML AJAX: Asynchronous Javascript And Xml 1、什么是XML eXtensible Markup Language 可扩展的 标记 语言 XML的标记没有预定义过,需要自行定义 XML的宗旨是做数据传递的,而非数据显示 ...
android开发应用详解教程
08-19
android开发应用详解教程,是一本非常不错的电子教程,浅学易懂,适合初学上手学习!
浅学二极管与三极管
06-24
二极管,三极管,PN接
浅学RC充放电电路
06-24
浅学RC充放电电路
浅学电子幸运大转盘知识
06-25
浅学电子幸运大转盘知识
SpringSecurity应用
Icywind1的博客
06-25 191
1.配置文件修改仙姑吗的pom.xml,添加依赖&lt;!-- spring-security --&gt;&lt;dependency&gt;    &lt;groupId&gt;org.springframework.security&lt;/groupId&gt;    &lt;artifactId&gt;spring-security-web&lt;/artifactId&gt;&lt;/...
Spring Security简单应用
宝华的小岛
10-11 316
安全框架security完整名称为Spring Security,依赖Spring框架工作。其功能主要是身份认证和授权。 关键词: Authentiction:认证 Authorization:授权 web服务的身份认证,一般在接口正式调用之前,所以应该在拦截器和过滤器中去实现。security已经内置了很多现成的过滤器,框架应用的主要操作是通过配置去调用这些过滤器。 一、首先我们建立一...
SpringSecurity常见简单应用
qq_43784314的博客
03-02 286
文章目录SpringSecurity简介一、搭建SpringSecurity环境二、认证和授权1、添加授权2.添加认证3、SpringSecurity整合thymeleaf在前端展示问题 SpringSecurity简介 SpringSecuritySpringBoot中集成的权限框架,可定制身份验证和权限控制。侧重于为java应用程序提供身份验证和授权。解决之前关于权限的代码十分繁琐,冗余的问题。SpringSecurity主要有两个目标:认证(Authentication)和授权(Authoriza
Spring Security详解和应用
Dlihctcefrep的博客
02-09 1150
Spring Security的详解到前后端如何应用
Spring Security(一)保护Web应用
逝去的往事的博客
06-19 5540
Spring Security简介 Spring Security是为基于Spring应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为是基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。 过滤Web请求 Spring Security借...
SpringSecurity使用
丑小鸭
04-22 745
这里写一下SpringSecurity官网的常用操作,主要结合Thymeleaf来实现用户登录过滤和权限管理来描述其应用。基于 Idea 操作。 首先明确SpringSecurty主要用来干什么的? 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户...
springSecurity应用(一)
Arrome的博客
02-21 328
spring-security
Spring Security应用
zhouhaihua57410的博客
09-23 156
核心接口UserDetailService public interface UserDetailsService { UserDetails loadUserByUsername(String var1) throws UsernameNotFoundException; } 自定义MyUserService实现UserDetailsService,重写loadUserByUserna...
SpringSecurity应用
weixin_43862280的博客
12-14 163
Security 需要的依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</ar...
静态方法中使用jdbctemplate_JdbcTemplate浅学
最新发布
06-13
import org.springframework.jdbc.core.JdbcTemplate; import org.springframework.jdbc.datasource.DriverManagerDataSource; public class MyDao { private static JdbcTemplate jdbcTemplate; static { ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值