spring security框架使用及源码解析(保姆级教程)

置顶 于 2024-06-28 15:42:21 发布
阅读量1.9k 收藏 19
点赞数 38
文章标签: java spring boot java-ee
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_64296810/article/details/140043300
版权

目录

一.安全框架介绍

1.1 浅谈安全

1.2 Spring Security简介

二、认证一下认证和授权

三、spring security 基本使用

3.1 官方文档

3.2 测试环境搭建

3.3 疑问

3.4 资源访问控制

3.5 自动装配

3.6 默认的认证流程

一.安全框架介绍

1.1 浅谈安全

      作为企业级应用,都存在着各式各样的认证(用户基本信息认证、第三方认证、LDAP认证)与权限(访问权限、数据权限)需求,他们作为系统整体架构的基础建设部分,决定了产品的稳定性与安全性。随着技术的发展,针对系统攻击的各种技术以及机器性能不断提升,在社区中也催生了大量的安全框架,其中 Shiro 和 Spring Security 就是 J2EE 方向典型的代表。

Spring 是非常流行和成功的 Java 应用开发框架, Spring Security 正是 Spring 家族中的成员。 Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。

       正如你可能知道的关于安全方面的两个主要区域是“认证” 和“授权” (或者访问控制), 一般来说, Web 应用的安全性包括用户认证( Authentication)和用户授权( Authorization) 两个部分, 这两点也是 Spring Security 重要核心功能。

  1. 用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。

  2. 用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。

1.2 Spring Security简介

        Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的 亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;

作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。其关注度以及市场使用率远远不及 Spring Security。

 

二、认证一下认证和授权

认证: 解决你是认证的问题.

授权: 当前你的身份能干点啥的问题

基于角的访问控制: (RBAC)

系统当中,有两种类型的资源:

  • 公共资源

  • 认证的资源

三、spring security 基本使用

3.1 官方文档

Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications.

Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements

Spring Security :: Spring Security

3.2 测试环境搭建

  1. 新建一个spring boot工程.

  2. 直接引入spring-boot-starter-security

  3. 测试一下.

从控制台当中,输出一个密码;

3.3 疑问

  1. 如何进行密码和用户密码验证的.

  2. 页面是哪里来的,过滤器当中定义的

  3. 密码能不能修改一下.

spring security的组成, 由15个过滤器组成的, 形成一个过滤器链.

15个默认的过滤器

2023-09-13 09:54:05.456  INFO 11164 --- [  restartedMain] .SpringBootSecurityDemo01Application : Started SpringBootSecurityDemo01Application in 1.393 seconds (JVM running for 2.129)
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@6a79d705
1
org.springframework.security.web.context.SecurityContextPersistenceFilter@38f55ca9
2
org.springframework.security.web.header.HeaderWriterFilter@2fd33922
3
org.springframework.security.web.csrf.CsrfFilter@7b9dab27
4
org.springframework.security.web.authentication.logout.LogoutFilter@1e352b6
// 重要
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@59d29c7a
// 默认的页面的地方
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@42b4e138
7
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@591dc942
8
org.springframework.security.web.authentication.www.BasicAuthenticationFilter@4bb3c6bf
9
org.springframework.security.web.savedrequest.RequestCacheAwareFilter@645f9658
10
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@2130860c
11
org.springframework.security.web.authentication.AnonymousAuthenticationFilter@cce7ae0
12
org.springframework.security.web.session.SessionManagementFilter@6fd7a2fc
// 认证出现异常由它处理
org.springframework.security.web.access.ExceptionTranslationFilter@34767f7f
14
org.springframework.security.web.access.intercept.FilterSecurityInterceptor@5131977f

SecurityAutoConfiguration

/**
 * {@link EnableAutoConfiguration Auto-configuration} for Spring Security.
 *
 */
@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
// 导入了security默认的配置.
@EnableConfigurationProperties(SecurityProperties.class)
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
        SecurityDataConfiguration.class, ErrorPageSecurityFilterConfiguration.class })
public class SecurityAutoConfiguration {
​
    @Bean
    @ConditionalOnMissingBean(AuthenticationEventPublisher.class)
    public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
        return new DefaultAuthenticationEventPublisher(publisher);
    }
​
}

SecurityProperties.java

@ConfigurationProperties(prefix = "spring.security")
public class SecurityProperties {
    public static class User {
​
        /**
         * Default user name.
         */
        private String name = "user";
​
        /**
         * Password for the default user name.
         */
        private String password = UUID.randomUUID().toString();
​
        /**
         * Granted roles for the default user name.
         */
        private List<String> roles = new ArrayList<>();
        }
}

3.4 资源访问控制

spring security默认的会认证所有的资源.如果要放行几个,或者不需要认证的接口,则我们必须告诉spring boot.

package com.tingyi.configs;
​
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
​
/**
 * @author 听忆
 */
@Configuration
public class SecurityOldConfig extends WebSecurityConfigurerAdapter {
​
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // /tingyi, 不需要认证.
        // /hello,需要认证的.
​
        http.authorizeRequests() // 获取所有的认证请求
                .mvcMatchers("/tingyi").permitAll() // 如果请求的路径当中,有/tingyi, permitAll表示放行操作
                .anyRequest().authenticated() // 除此之外,其它任何资源的访问都需要经过认证.
                .and()
                .formLogin() // 表单验证
                .and()
                .csrf().disable(); // 关闭跨站访问
    }
}
​

第二种配置方式;

package com.tingyi.configs;
​
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;
​
/**
 * @author 听忆
 */
@Configuration
public class SecurityConfig {
    // @Bean
    // public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    //
    //     return http.authorizeRequests()
    //             .mvcMatchers("/tingyi")
    //             .permitAll()
    //             .anyRequest()
    //             .authenticated()
    //             .and()
    //             .formLogin()
    //             .and()
    //             .csrf().disable()
    //             .build();
    // }
​
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        return http.authorizeRequests(
                authorize -> authorize.mvcMatchers("/tingyi")
                .permitAll()
                .anyRequest()
                .authenticated())
                .formLogin()
                .and()
                .csrf(csrf -> csrf.disable())
                .build();
    }
}
​

3.5 自动装配

SecurityAutoConfiguration.java

SecurityProperties.java

如果说我当前没有自定义的配置文件,也就是没有写: SecurityConfig.java,那么此时会执行默认的配置. 由spring boot搞好的.

/**
 * {@link EnableAutoConfiguration Auto-configuration} for Spring Security.
 *
 * @author Dave Syer
 * @author Andy Wilkinson
 * @author Madhura Bhave
 * @since 1.0.0
 */
@Configuration(proxyBeanMethods = false)
@ConditionalOnClass(DefaultAuthenticationEventPublisher.class)
// 导入配置类
@EnableConfigurationProperties(SecurityProperties.class)
// 导入其它配置文件.
//  SpringBootWebSecurityConfiguration.class
//  WebSecurityEnablerConfiguration.class
@Import({ SpringBootWebSecurityConfiguration.class, WebSecurityEnablerConfiguration.class,
        SecurityDataConfiguration.class, ErrorPageSecurityFilterConfiguration.class })
public class SecurityAutoConfiguration {
​
    @Bean
    @ConditionalOnMissingBean(AuthenticationEventPublisher.class)
    public DefaultAuthenticationEventPublisher authenticationEventPublisher(ApplicationEventPublisher publisher) {
        return new DefaultAuthenticationEventPublisher(publisher);
    }
​
}

SpringBootWebSecurityConfiguration

@Configuration(proxyBeanMethods = false)
// 默认的Web配置.
@ConditionalOnDefaultWebSecurity
@ConditionalOnWebApplication(type = Type.SERVLET)
class SpringBootWebSecurityConfiguration {
​
    @Bean
    @Order(SecurityProperties.BASIC_AUTH_ORDER)
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic();
        return http.build();
    }
​
}
​

@ConditionalOnDefaultWebSecurity

@Target({ ElementType.TYPE, ElementType.METHOD })
@Retention(RetentionPolicy.RUNTIME)
@Documented
@Conditional(DefaultWebSecurityCondition.class)
public @interface ConditionalOnDefaultWebSecurity {
​
}

DefaultWebSecurityCondition.class

/**
 * {@link Condition} for
 * {@link ConditionalOnDefaultWebSecurity @ConditionalOnDefaultWebSecurity}.
 *
 * @author Phillip Webb
 */
class DefaultWebSecurityCondition extends AllNestedConditions {
​
    DefaultWebSecurityCondition() {
        super(ConfigurationPhase.REGISTER_BEAN);
    }
​
    @ConditionalOnClass({ SecurityFilterChain.class, HttpSecurity.class })
    static class Classes {
​
    }
    
    // 默认配置不生效,则需要满足的条件:
    @ConditionalOnMissingBean({ WebSecurityConfigurerAdapter.class, SecurityFilterChain.class })
    static class Beans {
​
    }
​
}

两种配置方案都可以使用,前提条件security源码不修改.

 

3.6 默认的认证流程

@Configuration(proxyBeanMethods = false)
@ConditionalOnDefaultWebSecurity
@ConditionalOnWebApplication(type = Type.SERVLET)
class SpringBootWebSecurityConfiguration {
​
    @Bean
    @Order(SecurityProperties.BASIC_AUTH_ORDER)
    SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
        // 这个表示, 对所有的到请求都要认证.
        // 认证的姿势: 表单
        http.authorizeRequests().anyRequest().authenticated().and().formLogin().and().httpBasic();
        return http.build();
    }
​
}

UsernamePasswordAuthencationFitler. –> 使用用户名称和密码进行认证.

AbstractAuthenticationProcessingFilter –> 它是: UsernamePasswordAuthencationFitlerr 父类.

UsernamePasswordAuthenticationToken, 将我们收到的「从前端或者客户端传递过来的用户名称和密码」, 封装成对象,最后要交给AuthenticaitonManager.

AuthenticationManger, 接口,表示认证管理器.有一个认证方法.:

Authentication

ProviderManager

AuthenticationProvider

AbstractUserDetailsAuthenticationProvider

UserDetails

User对象

听忆.
关注
  • 38
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
SpringSecurity+jwt安全框架
小小志愿者的博客
03-06 5159
1、环境搭建 1.1maven项目 1.2导入依赖 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.5.0</version> </parent> <de
动力节点最新SpringSecurity框架教程配套资料分享
07-25
Spring Security是一个功能强大的认证和访问控制框架,提供基于Spring应用程序的认证和授权功能。 本套视频适合具有SpringBoot基础、具有数据库基本使用经验的软件从业人员。 课程内容主要分为: 安全入门,认证...
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 1万+
Spring 是非常流行和成功的 Java 应用开发框架Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
一篇搞懂springsecurity项目实战(纯干货)
m0_47963315的博客
03-25 1168
springsecurity学习起来还是有一些难度的,看这篇文章之前请先确保对使用比较熟悉,这篇将结合项目一起讲解,目前来看比较合适的开源项目就是若依,有时间可以拉下来源码看下,另外说句题外话推荐下我自己的AI平台,国内稳定使用gpt3.5等AI模型:BoomAI一般的认证授权的表设计是基于RBAC权限模型设计的,若依的权限设计一共5个表用户实体表,代码如下: 对于的表sql如下: 1.2 SysRole 角色实体表,代码如下: 对应表的创建 SQL 如下: 字段都写上注释,不多解释 roleKey 属性,
springsecurity 的学习授权与认证
健康平安的活着的专栏
07-25 431
springSecurity 1.1 SpringSecurity的概念作用 Springsecurity 基于 Spring 框架,提供了一整套 完整的安全性Web 应用解决方案框架。主要有用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security重要核心功能。 1.用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程.
Spring Security系列】Spring Security整合JWT:构建安全的Web应用
小威的博客
04-22 1万+
前面两个章节介绍过了Spring Security,这里就不再赘述了!!!JWT是一种轻量的身份验证和授权机制,通过发送包含用户信息的加密令牌来实现身份验证。这个工具我们在前面的文章中也提起过。
Spring Security+JWT简述
热门推荐
姜守威的博客
06-03 2万+
目录一. 什么是Spring Security1. 登陆校验的流程2. SpringSecurity基础案例二. Spring Security原理流程 一. 什么是Spring Security Spring SecuritySpring家族的一个安全管理框架, 相比于另一个安全框架Shiro, 它具有更丰富的功能。一般中大型项目都是使用SpringSecurity做安全框架, 而Shiro上手比较简单 spring security 的核心功能: 认证(你是谁): 只有你的用户名或密码正确才能
SpringSecurity 整合 JWT
niceyoo的博客
06-02 1万+
项目集成Spring Security(一) 在上一篇基础上继续集成 JWT ,实现用户身份验证。 前言 前后端分离项目中,如果直接把 API 接口对外开放,我们知道这样风险是很大的,所以在上一篇中我们引入了 Spring Security ,但是我们在登陆后缺少了请求凭证部分。 什么是JWT? JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可以安全...
基于JavaSpring Security OAuth2框架测试设计源码
最新发布
06-01
源码是基于Java开发的Spring Security OAuth2框架测试设计,包含58个文件,其中包括47个.java文件,3个.sol文件,2个.yml文件,2个.ftl文件,以及1个.md文件,1个.gitignore文件,1个.LICENSE文件和1个.xml文件。...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
最详细Spring Security学习资料(源码
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
Spring Security架构以及源码详析
08-27
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。它提供了一套完整的解决方案,确保应用程序的数据和用户访问控制得到妥善处理。在本文中,我们将深入探讨Spring Security的...
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其中主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
Spring源码解析.zip
07-31
本压缩包“Spring源码解析”提供了对Spring框架核心组件——IOC(Inversion of Control,控制反转)、AOP(Aspect Oriented Programming,面向切面编程)以及Transaction(事务管理)的源码分析,帮助开发者更全面地...
基于SpringJdbc和Freemarker的JAVA轻量持久层框架设计源码
04-04
本设计源码提供了一个基于SpringJdbc和Freemarker的JAVA轻量持久层框架。项目包含158个文件,主要使用Java编程语言。文件类型包括72个Java源代码文件、64个Freemarker模板文件、5个XML配置文件、5个SQL文件、4个...
SpringSecurity整合jwt
qq_51705526的博客
05-02 7181
前言: 准备把权限管理写到自己的jee项目中, 索性想到了SpringSecurity框架, 就来学一下! 认证 登录校验流程 token可以存在localstoryge springsecurity完整流程 就是一个过滤链 UsernamePasswordAuthenticationFilter:(认证)处理登录页面填写了用户名和密码之后的登录请求ExcpetionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和AuthenticationEx
SpringSecurity整合JWT
胡峻峥的博客
01-19 1082
一、前言   最近负责支付宝小程序后端项目设计,这里主要分享一下用户会话、接口鉴权的设计。参考过微信小程序后端的设计,会话需要依靠redis。相关的开发人员和我说依靠Redis并不是很靠谱,redis在业务高峰期不稳定,容易出现问题,总会出现用户会话丢失、超时的问题。之前听过JWT相关的设计,决定尝试一下。 二、什么是JWT   JSON Web Token(JWT)是一个开放标准(RFC ...
基于Spring Security和 JWT的权限系统设计
weixin_34235105的博客
03-14 404
写在前面 关于 Spring Security Web系统的认证和权限模块也算是一个系统的基础设施了,几乎任何的互联网服务都会涉及到这方面的要求。在Java EE领域,成熟的安全框架解决方案一般有 Apache Shiro、Spring Security等两种技术选型。Apache Shiro简单易用也算是一大优势,但其功能还是远不如 Spring Security强大。Spring Sec...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值