知识点系列 SpringSecurity 基础

于 2024-04-22 11:03:14 发布
阅读量637 收藏 27
点赞数 14
文章标签: java mysql 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_62868720/article/details/138038413
版权

1·介绍

Spring Security是为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。它提供了完整的安全性解决方案,可以在Web请求级别和方法调用级别处理身份认证和授权充分利用了Spring IOC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能。

官网地址: Spring SecurityLevel up your Java code and explore what Spring can do for you.icon-default.png?t=N7T8https://spring.io/projects/spring-security

 2·入门教程

        2.1 工程搭建

                        pom.xml 创建测试工程并引入依赖 ;

<parent>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-parent</artifactId>
    <version>2.3.4.RELEASE</version>
    <relativePath/>
</parent>

<dependencies>
    <!-- web起步依赖 -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    
    <!-- springBoot整合Security -->
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    
    <!-- lombok -->
    <dependency>
        <groupId>org.projectlombok</groupId>
        <artifactId>lombok</artifactId>
    </dependency>
  
</dependencies>

 B: 引导类

@SpringBootApplication
public class MySecurityApplication {
    public static void main(String[] args) {
        SpringApplication.run(MySecurityApplication.class,args);
    }
}

C:Controller

@RestController
public class UserController {
    @GetMapping("/hello")
    public String hello(){
        return "hello security";
    }
    @GetMapping("/say")
    public String say(){
        return "say security";
    }
    @GetMapping("/register")
    public String register(){
        return "register security";
    }

D:测试:访问http://localhost:8080/hello

会自动拦截,并跳转到登录页面(SpringSecurity提供),登录之后才可以访问; 而登录的用户名和密码都是SpringSecurity中内置的默认的用户名密码, 用户名为user , 密码为控制台输出的一段随机数;

填写账号密码即可登录。此处密码为默认密码,需要自己按需修改

# 我们也可在配置文件中配置用户名和密码,实际开发中密码不应明文配置
spring.security.user.name=user
spring.security.user.password=6666

2.2 认证配置

【1】自定义合法登录用户信息

如果我们想指定系统的访问用户名及密码, 可以通过配置的形式声明 , 声明一个 UserDetailsService 类型的Bean。

@Configuration
@EnableWebSecurity//开启web安全设置生效
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /**
     * 构建认证服务,并将对象注入spring IOC容器,用户登录时,会调用该服务进行用户合法信息认证
     * @return
     */
    @Bean
    public UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        //构建用户
        UserDetails u1 = User
                .withUsername("itcast")
                .password("{noop}123456")                //{noop}意味着密码不以密文形式出现
                .authorities("P1", "ROLE_ADMIN").build();         // p1,role_admin 皆为权限类型
        UserDetails u2 = User
                .withUsername("itheima")
                .password("{noop}123456")
                .authorities("O1", "ROLE_SELLER").build();
        inMemoryUserDetailsManager.createUser(u1);
        inMemoryUserDetailsManager.createUser(u2);
        return inMemoryUserDetailsManager;
    }
}

2.3授权配置

1). 编码方式

@Configuration
@EnableWebSecurity

//用于启用全局的方法安全性。
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Bean
    public UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
        inMemoryUserDetailsManager.createUser(User.withUsername("itcast").password("{noop}123456").authorities("P1","ROLE_ADMIN").build());
        inMemoryUserDetailsManager.createUser(User.withUsername("itheima").password("{noop}123456").authorities("O1","ROLE_SELLER").build());
        return inMemoryUserDetailsManager;
    }
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
            .and()
            .logout()
            .and()
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/register").permitAll() //不登录即可访问
            .antMatchers("/hello").hasAuthority("P1") //具有P1权限才可以访问
            .antMatchers("/say").hasRole("SELLER") //具有SELLER 角色才可以访问
            .anyRequest().authenticated(); //其他的登录之后就可以访问
    }
}

TIPS:

1·CSRF(Cross-site request forgery)跨站请求伪造,也被称为"One Click Attack"或者 Session Riding,通常缩写为 CSRF 或者 XSRF,是一种对网站的恶意利用。  

2·Spring Security 提供了几个注解,如 @PreAuthorize@PostAuthorize@Secured 等,这些注解可以应用于方法上,以定义方法调用前后的安全性要求。

  • @PreAuthorize: 在方法调用前进行权限检查。
  • @PostAuthorize: 在方法调用后进行权限检查,通常用于返回值的过滤。
  • @Secured: 用于简单的基于角色的安全性检查。

2). 注解方式

在控制方法/URL的权限时, 可以通过配置类中配置的方式进行控制, 也可以使用 注解 @PreAuthorize 来进行控制,

 @GetMapping("/hello")
 @PreAuthorize("hasAuthority('P5')")
 public String hello(){
     return "hello security";
 }

@GetMapping("/say")
@PreAuthorize("hasRole('SELLER')")
public String say(){
    return "say security";
}

3)问题所在

A. 密码采用的是明文的,不安全 ;

B. 用户名/密码直接通过程序硬编码,不够灵活 ;

因此,考虑使用密码加密,让敏感数据变得安全及灵活

 2.4 密码加密

2.4.1   可逆加密算法:加密后, 密文可以反向解密得到密码原文;

1). 对称加密
指加密和解密使用相同密钥的加密算法。
优点: 对称加密算法的优点是算法公开、计算量小、加密速度快、加密效率高。 缺点: 没有非对称加密安全。
常见的对称加密算法:DES、3DES、DESX、Blowfish、RC4、RC5、RC6和AES

2). 非对称加密

指加密和解密使用不同密钥的加密算法,也称为公私钥加密。假设两个用户要加密交换数据,双方交换公钥,使用时一方用对方的公钥加密,另一方即可用自己的私钥解密。
加密和解密:
  • 私钥加密,持有私钥或公钥才可以解密
  • 公钥加密,持有私钥才可解密
优点: 非对称加密与对称加密相比,其安全性更好; 缺点: 非对称加密的缺点是加密和解密花费时间长、速度慢,只适合对少量数据进行加密。
简单理解:A向B发送数据,需要用到B的公钥进行加密,加密后的密文发送给B,B使用自己的私钥即可解密。 安全性更高,但是速度慢。

2.4.2 不可逆加密算法

一旦加密就不能反向解密得到密码原文 。通常用于密码数据加密。
常见的不可逆加密算法有: MD5 、SHA、HMAC
2.3.3 MD5与Bcrypt
1).MD5
MD5是比较常见的加密算法,广泛的应用于软件开发中的密码加密,通过MD5生成的密文,是无法解密得到明文密码的。但是现在在大数据背景下,很多的网站通过大数据可以将简单的MD5加密的密码破解。例如通过彩虹表暴力破解。

网址: md5在线解密破解,md5解密加密

可以在用户注册时,限制用户输入密码的长度及复杂度,从而增加破解难度。

2). Bcrypt

用户表的密码通常使用 MD5 等不可逆算法加密后存储,为防止彩虹表破解,会先使用一个特定的字符串(如域名)加密,然后再使用一个随机的 salt(盐值)加密。 特定字符串是程序代码中固定的,salt 是每个密码单独随机,一般给用户表加一个字段单独存储,比较麻烦。

BCrypt 算法将 salt 随机并混入最终加密后的密码,验证时也无需单独提供之前的salt,从而无需单独处理 salt 问题。

验证程序:

~加密密码

BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
for (int i = 0; i < 10; i++) {
    System.out.println(bCryptPasswordEncoder.encode("123456"));
}

~得到结果:

$2a$10$C6YynRFeJsSy7D/kg3d30OWnuwko7KQIEK5JrX0mWND.vuz2TqwpK
$2a$10$aSJfxH2oBtopFMbkMJ.PQ.sbSBXJH9g.9bv1mCyte/BtcU9VTs7lG
$2a$10$nVoB.eV5Uhc9FNUC36Pn0OosGh7aKlp7Sjfxaiml8NCSJ6PX1q6.m
$2a$10$2RM3mRNjz1LoZ5eeLdj.Hu15vlWIIj2zJC09vwTevBlIi5rjJStam
$2a$10$5bTOnk9hITzJd6EJMsX47uX9UdjASrPl4sEG6GJjfZGTk9f/37Q/q
$2a$10$0.PfbDnlBBWzpsw8PBjDcOtjUnwRgbSPCmhrAg5APUWor/4eQ0VVy
$2a$10$jfpPFH0DuTENicQ6vv38BeBO5YUXolS03bk1Ti3fmCrhQmBL1hYj.
$2a$10$pxR.jhV79v1po1vbhWi8CudiLTaw.W5lpl.E/dOEodfGXCJIPrJ4i
$2a$10$MvWb5LvCojzloYX9QLA8buL2Mkci2qaiMIdIH2PzGDssHUzEU21R2
$2a$10$7HLclohKrBZHvsBLDm8U/eTqe0KP2qV4F9d6jNvP4vO0pJG4wmeQy 

 ~验证密码

BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
boolean matches = 
   bCryptPasswordEncoder.matches("123456", "$2a$10$c2sZT/LtM1ExWfZjO0yIPeTGSqMSlX7oi.SvliMbeZpT9Y4qIBDue");
System.out.println(matches);//返回值为true, 则代表验证通过; 反之, 验证不通过

2.5        程序完善

2.5.1 密码加密处理

在配置类 SecurityConfig中配置Bean:

//配置密码加密器 ;
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder(){
    return new BCryptPasswordEncoder();
}

2.5.2  动态查询用户

创建简易数据库

create database security_demo default charset=utf8mb4;
use security_demo;

CREATE TABLE `tb_user` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(100) DEFAULT NULL,
  `password` varchar(100) DEFAULT NULL,
  `roles` varchar(100) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8mb4;

INSERT INTO `tb_user` VALUES (1, 'itcast', '$2a$10$f43iK9zKD9unmgLao1jqI.VluZ.Rr/XijizVEA73HeOu9xswaUBXC', 'ROLE_ADMIN,P1');
INSERT INTO `tb_user` VALUES (2, 'itheima', '$2a$10$f43iK9zKD9unmgLao1jqI.VluZ.Rr/XijizVEA73HeOu9xswaUBXC', 'ROLE_SELLER,O1');

  2.5.3 导入依赖

        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.1.4</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency

2.5.4 application.yml文件

# 应用名称
spring.application.name=security_test
# 应用服务 WEB 访问端口
server.port=8080

# 配置用户名和密码
#spring.security.user.name=user
#spring.security.user.password=6666

#下面这些内容是为了让MyBatis映射
#指定Mybatis的Mapper文件
mybatis.mapper-locations=classpath:mapper/*xml
#指定Mybatis的实体目录
mybatis.type-aliases-package=com.itheima.security.pojo

# 数据库驱动:
spring.datasource.driver-class-name=com.mysql.cj.jdbc.Driver
# 数据库连接地址
spring.datasource.url=jdbc:mysql://192.168.188.130:3306/security_demo?serverTimezone=UTC
# 数据库用户名&密码:
spring.datasource.username=root
spring.datasource.password=root

 TIPS: 关于实体类与Mapper类,可以考虑使用MyBatisX插件来实现

2.5.6实体类


@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class TbUser implements Serializable {

    private Integer id;


    private String username;
    private String password;
    private String roles;

    private static final long serialVersionUID = 1L;
}

2.5.7  mapper

@Mapper
public interface TbUserMapper {

    int deleteByPrimaryKey(Long id);

    int insert(TbUser record);

    int insertSelective(TbUser record);

    TbUser selectByPrimaryKey(Long id);

    int updateByPrimaryKeySelective(TbUser record);

    int updateByPrimaryKey(TbUser record);
  
    TbUser findByUserName(@Param("userName") String userName);

}

xml:篇幅有限省略。

2.5.8 自定义需要的实现类

package com.itheima.security.config;

import com.itheima.security.mapper.TbUserMapper;
import com.itheima.security.pojo.TbUser;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import org.springframework.stereotype.Service;

import java.util.List;


@Component
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private TbUserMapper tbUserMapper;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
        TbUser user = tbUserMapper.findByUserName(userName);
        if (user==null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        //构建认证明细对象
        //获取用户权限
        List<GrantedAuthority> list = AuthorityUtils.commaSeparatedStringToAuthorityList(user.getRoles());
        User user1 = new User(user.getUsername(),user.getPassword(),list);
        return user1;
    }
}

该方法只适用于权限以逗号分隔的

AuthorityUtils.commaSeparatedStringToAuthorityList():
这是一个来自Spring Security的工具方法,用于将逗号分隔的字符串转换为GrantedAuthority对象的列表。GrantedAuthority是Spring Security中表示权限或角色的接口。

 

 

文甬666
关注
  • 14
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security入门
yinyin_xiao的博客
05-24 1074
简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security为基于J2EE企业应用软件提供了全面安全服务。 特别是使用领先的J2EE解决方案-spring框架开发的企业软件项目。 安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权 ** **(Authorization)**两个部分,这两点也是 Spring
Spring Security基础
qq_41627017的博客
09-02 115
​是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行和。​​​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。
手把手教你spring security入门
yangfenggh的博客
11-24 2024
spring Security权限控制
SpringSecurity基础知识
weixin_45089503的博客
11-12 3436
SpringSecurity 1.Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。 2.SpringSecurity核心功能:认证(身份校验,你是谁),授权(你能干什么),攻击防护(防止伪造身份 ![springsecurity基本流程](https://img-blog.csdnimg.cn/facca48520114c9b9780717ebf208cdc.PNG?x-oss-process=image/watermark,type_ZHJvaWR
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
Spring Security基础入门
weixin_43730516的博客
03-10 709
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存到会话中,会话就是系统为了保持用户当前用户的登录状态所提供的机制,常见的有基于Session的方式、基于token等方式基于session的认证方式有servlet规范定制的,服务端要存储session信息都要占用内存资源,客户端需要支持Cookie;基于token的方式则一般不需要服务器存储token,并且不限制客户端的存储方式。
spring-framework-reference.pdf
12-21
Spring Framework是中国IT开发领域中最知名的框架之一,以其强大的依赖注入(Dependency Injection,简称DI)和控制反转(Inversion of ...通过深入理解并运用这些知识点开发者可以构建出高效、可维护的Java应用。
Spring Enterprise Recipes
06-01
每章都以代码示例的形式呈现,让读者能够通过实际操作理解并掌握每个知识点。书中的每个“配方”都是一个独立的解决方案,帮助你在面对具体问题时,知道应该如何去解决,并理解背后的设计原则和最佳实践。 总之,...
asp.net知识库
06-18
事务隔离性的一些基础知识 在组件之间实现事务和异步提交事务(NET2.0) 其它 在.NET访问MySql数据库时的几点经验! 自动代码生成器 关于能自定义格式的、支持多语言的、支持多数据库的代码生成器的想法 发布Oracle...
开源bbs源码java-JavaStudy:Java系列知识点都总结在这里了,欢迎大家前来学习,如果对你有所帮助,请不要忘记star一下给于
06-06
Java系列知识点都总结在这里了,欢迎大家前来学习,如果对你有所帮助,请不要忘记star一下给于作者精神上的支持,谢谢大家。 Java全网最详细的博客教程(Ctrl+F 精确查找 ) Java基础 容器框架 多线程与并发(从0...
17-Spring Cloud面试题.docx
最新发布
08-22
下面是 Spring Cloud 的一些关键知识点: 一、为什么需要学习 Spring Cloud? 随着业务的发展,单体结构的应用变得越来越复杂,带来了代码结构混乱、开发效率变低、排查解决问题成本高等问题。微服务架构逐渐取代...
一、SpringSecurity基础
qq23001186的博客
04-01 269
目录一、SpringSecurity介绍二、Basic认证模式 一、SpringSecurity介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统
SpringSecurity - 基础
境里婆娑
06-19 306
文章目录一、SpringSecurity能做什么二、SpringSecurity替代方案三、权限管理中的相关概念四、SpringSecurity 入门案例 前言:通常我们写http接口是不会用到SpringSecurity框架,但是当我们做一个后台管理系统,需要引入权限控制的时候需要引入安全框架,这时候我们有两个框架可以选择SpringSecurity和Shiro。目前主流是使用SpringSecurity。 一、SpringSecurity能做什么 spring security 的核心功能主要包括:
springSecurity安全框架的学习和原理解读
执笔写童话的博客
04-25 1079
springSecurity安全框架的学习和原理解读 标签: java springsecurity 更多 最近在公司的项目中使用了spring security框架,所以有机会来学习一下,公司的项目是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3 (个人理解可能会有偏差,希望有不正确之处,大家能够指出来,共同探讨交流。) 目录...
Spring Security】基本原理(一)
好学若饥,谦卑若愚
04-29 3899
介绍 SpringSecurity核心功能:认证(身份校验,你是谁),授权(你能干什么),攻击防护(防止伪造身份) 原理 REST API:相当于应用的controller,用户的增删该查的一些服务 Spring Security过滤器链:这个是最核心的部分,相当于一组Filter,请求和响应都会经过过滤器,这些过滤器在系统启动的时候,Spring boot会自动把它们都配置进去 ...
Spring security基础学习
weixin_42453582的博客
11-19 718
一、Spring security介绍 1、是Spring项目组中用提供安全认证服务的框架 2、 spring security 的核心功能主要包括: —认证 (你是谁) —授权 (你能干什么) —攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如: (1)对于username password认证过滤器来说, 会检查是
SpringBoot+SpringSecurity+JWT
酷小亚
09-28 537
SpringSecurity从入门到精通 课程介绍 0. 简介 1. 快速入门 1.1 准备工作 1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 准备工作 核心代码实现 2.3.3.2 密码加密存储 2.3.3.3 登陆接口 2.3.3.4 认证过滤器 2.3.3.5 退出登陆
SpringSecurity基础
06-25 158
SpringSecurity基础 Spring Security是什么? Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
spring security基础用法以及常见知识点详解
07-14
Spring Security是一个强大的身份验证和授权框架,用于保护Spring应用程序的安全性。下面是Spring Security基础用法和一些常见知识点的详解: 1. 配置Spring Security:在Spring项目中,需要添加Spring Security的依赖,并配置相应的安全配置类(继承自 `WebSecurityConfigurerAdapter`),通过重写方法来配置身份验证和授权规则。 2. 身份验证(Authentication):Spring Security提供了多种身份验证方式,包括基于表单、HTTP基本认证、OAuth等。可以通过配置认证提供者(Authentication Provider)来定义如何验证用户的身份。 3. 授权(Authorization):通过配置访问控制规则,可以限制用户对特定资源的访问权限。Spring Security提供了多种授权方式,如基于角色、权限、表达式等。 4. 用户和角色管理:Spring Security可以与数据库或其他存储系统集成,用于管理用户信息和角色。可以自定义用户详细信息服务(UserDetailsService)和密码编码器(PasswordEncoder)来获取用户信息和验证密码。 5. 登录和注销:通过配置登录页面和注销功能,用户可以进行登录和退出操作。Spring Security提供了默认的登录页面和注销处理,也可以自定义实现。 6. CSRF防护:Spring Security默认开启CSRF(跨站请求伪造)防护功能,可以防止恶意网站利用用户的身份发起跨站请求。可以通过配置全局或特定URL的CSRF保护。 7. Remember-Me功能:Spring Security提供了Remember-Me功能,允许用户在下次访问时自动登录。可以通过配置持久化令牌的方式实现。 8. 安全事件和日志:Spring Security可以记录安全相关的事件和日志,包括认证成功、失败、访问被拒绝等。可以通过自定义的 `ApplicationListener` 或配置日志记录器来处理和记录这些事件。 9. 自定义过滤器和拦截器:通过自定义过滤器或拦截器,可以在请求处理过程中添加额外的安全逻辑。Spring Security提供了多个预定义的过滤器和拦截器,也可以自定义实现。 10. 方法级安全性:Spring Security支持方法级别的安全性控制,可以通过注解(如 `@Secured`、`@PreAuthorize`)或表达式(如 `hasRole()`、`hasPermission()`)来限制方法的访问权限。 11. 扩展和定制:Spring Security提供了丰富的扩展点,可以根据需求进行定制开发。例如,自定义认证提供者、用户详细信息服务、访问决策管理器等。 这些是Spring Security基础用法和常见知识点的概述。具体使用时,可以根据项目需求和实际情况进行配置和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值