SpringBoot-Security认证授权使用

于 2024-05-30 23:12:16 发布
阅读量1.2k 收藏 21
点赞数 41
文章标签: spring boot java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68620988/article/details/139335317
版权

一、什么是Security?

Security的核心功能

1,身份认证(Authentication)Spring Security提供了多种身份验证机制,包括基于表单、基于HTTP基本认证、基于LDAP等。它允许开发人员通过配置来定义身份验证规则,并且支持自定义身份验证逻辑。
2.授权(Authorization) Spring Security支持细粒度的授权控制,可以基于用户、角色或其他自定义规则来限制访问资源。开发人员可以使用注解或配置来定义授权规则,并且可以通过Spring表达式语言实现更复杂的授权逻辑。
3,攻击防护(Attack Protection)Spring Security提供了一系列的机制来防止常见的Web应用程序攻击,例如跨站点请求伪造(CSRF)、跨站点脚本攻击(XSS)等。它通过内置的过滤器和安全头部等功能来增强应用程序的安全性。
4,会话管理(Session Management)Spring Security可以管理用户的会话,并提供了多种会话管理策略,例如基于cookie的会话,基于URL重写的会话等。
它还支持集群环境下的会话复制和无状态会话。
5,记住我(Remember Me)功能Spring Security提供了"记住我"功能,允许用户在一段时间内保持登录状态,而无需重新输入凭证。这对于那些频繁访问应用程序的用户来说非常方便。

Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。总之,Spring Security是一个强大且易于使用的框架,可以帮助开发人员提高应用程序的安全性和可靠性。

二、为什么要使用Security?

安全框架顾名思义,就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式。不使用安全框架之前,我们需要手动处理每个资源的访问控制,针对不同的项目都需要做不同的处理,此时就会显得非常麻烦,并且低效率引起的额外开销会延缓开发周期。使用安全框架,使开发团队能够选择最适合这些需求的框架,可以通过配置的方式实现对资源的访问限制,使得开发更加的高效。

三、引入Security

第一步:先引入依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

当我们在项目中加入该依赖后,控制台会打印出一个他默认的password
                     

紧接着当我们去浏览器访问我们的项目的时候,Security里面有内置的过滤连、拦截器他会判断我们是否授权登录没,并将我们拦截住,之后他会默认跳转到login这个路径中,这个登录页面是Security自带的这时候由于我们没有定义自己的账号密码,只能使用Security默认的账号密码,username:user,password:就是上方控制台打印出来的那一串。

我们可以在application.yml或properties文件核心配置文件中配置自己的Security账号密码,这时候再次运行项目他就不会在打印他那个默认的password了如下代码,我这里是yml文件

  security:
    user:
      name: kg
      password: 123456

第二步:

毕竟到项目中也不可能使用人家自带的默认页面,现在 咱就来定义一个自己的登录页面替换掉Security的登录页面

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>
<body>
<form action="/outlogin" method="post">
    <input name="username">
    <input name="password">
    <input type="checkbox" name="remember">记住我
    <button type="submit">login</button>
</form>
</body>
</html>

然后再Controller里定义一个返回自定义登录页面的路径方法,这里Mylogin就是我们自定义的那个登录页面

  @RequestMapping("/outlogin")
    public String login(){
        return "Mylogin";
    }

第三步:配置咱们自己的MySecurityConfig java配置文件

这里会用到两个注解

@Configuration注解表示该类是一个配置类,可以定义Bean等配置信息。
@EnableWebSecurity注解则启用了Spring Security的Web安全功能,使得我们可以自定义安全规则,例如认证、授权等。

首先创建好Java配置文件后,我们要继承一个类WebSecurityConfigurerAdapter,我们要重写里面的一些方法对这个类里的几个方法进行 覆盖

第一个要覆盖的方法

默认的父类代码默认任何request都需要认证,使用默认的login page基于表单认证,使用HTTP基本认证。

     @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
    }
重写后:

.antMatchers("/").permitAll():该方法指定对根路径("/")的HTTP请求允许所有用户访问,即不进行权限验证。permitAll()表示允许所有用户访问该资源。

 .antMatchers("/vip1").hasRole("vip1"):是Spring Security框架中的一种权限控制表达式,用于配置访问路径为"/vip1"的资源需要具有"vip1"角色的用户才能访问。如下类推

http.formLogin() :配置表单登录相关设置。
.loginPage("/outlogin"): 设置登录页面的URL为"/outlogin",这也就是我们自定义的登录页面路由路径
.passwordParameter("username") :设置登录表单中用户名参数的名称为"username"。
.passwordParameter("password"): 设置登录表单中密码参数的名称为"password"。


http.csrf().disable() :配置跨站请求伪造(CSRF)保护,将其禁用。

通常情况下,禁用CSRF保护是为了简化开发或测试环境中的特定场景,而不是在生产环境中推荐的做法。CSRF保护是Web应用安全的一个重要方面,它防止恶意第三方在用户已登录的情况下,利用用户的浏览器发起非预期的操作。

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/outlogin").permitAll()
                .antMatchers("/vip1").hasRole("vip1")
                .antMatchers("/vip2").hasRole("vip2")
                .antMatchers("/vip3").hasRole("vip3");
        http.formLogin().loginPage("/outlogin").passwordParameter("username").passwordParameter("password");
        http.csrf().disable();
    }

第二个要覆盖的方法

  @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        super.configure(auth);
    }

重写后:

该函数用于配置Spring Security的认证管理器Builder,使用内存中的认证信息进行配置。它通过inMemoryAuthentication()方法指定使用内存中的认证信息,然后通过withUser()方法指定每个用户的用户名、密码和角色。其中,密码使用BCryptPasswordEncoder进行加密编码。该函数配置了三个用户,分别是"admin"、"user"和"guest",它们的密码都是"123456",分别拥有"vip1"、"vip2"和"vip3"的角色。

这些肯定最终都是要使用数据库中的真实角色,只不过现在用来模拟一下用户

@Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用inMemoryAuthentication进行内存中的认证配置
        auth.inMemoryAuthentication()
                // 设置密码编码器为BCryptPasswordEncoder
                .passwordEncoder(new BCryptPasswordEncoder())
                // 配置一个名为"admin"的用户,密码为"123456"的加密版本,角色为"vip1"
                .withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1")

                .and()
                .withUser("user").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip3");
    }

完整代码:

Java配置

package com.aaa.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;


@SuppressWarnings("all")
@Configuration // 表示这是一个配置类
@EnableWebSecurity // 启用Spring Web安全功能
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 配置认证信息,即用户登录信息。
     * @param auth 认证管理器构建器,用于配置认证逻辑。
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用内存中的认证方式进行配置
        auth.inMemoryAuthentication()
                // 设置密码编码器为BCryptPasswordEncoder
                .passwordEncoder(new BCryptPasswordEncoder())
                // 配置一个名为"admin"的用户,密码为"123456"的加密版本,角色为"vip1"
                .withUser("admin").password(new BCryptPasswordEncoder().encode("123456")).roles("vip1")

                .and()
                .withUser("user").password(new BCryptPasswordEncoder().encode("123456")).roles("vip2")
                .and()
                .withUser("guest").password(new BCryptPasswordEncoder().encode("123456")).roles("vip3");
    }

    /**
     * 配置请求的安全规则,即哪些请求需要认证,哪些请求有权限访问等。
     * @param http 用于配置HTTP安全设置的对象。
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 配置根路径和登出路径对所有用户开放
                .antMatchers("/").permitAll()
                .antMatchers("/outlogin").permitAll()
                // 配置不同角色对不同资源的访问权限
                .antMatchers("/vip1").hasRole("vip1")
                .antMatchers("/vip2").hasRole("vip2")
                .antMatchers("/vip3").hasRole("vip3");
        // 配置登录页面和登录相关的参数
        http.formLogin().loginPage("/outlogin").passwordParameter("username").passwordParameter("password");
        // 禁用跨站请求伪造(CSRF)保护
        http.csrf().disable();
    }
}

Controller路由路径

@Controller
public class MyController {
    @RequestMapping("/outlogin")
    public String login(){
        return "Mylogin";
    }
    @RequestMapping("/vip1")
    public String VipTest1(){
        return "vip1";
    }
    @RequestMapping("/vip2")
    public String VipTest2(){
        return "vip2";
    }
    @RequestMapping("/vip3")
    public String VipTest3(){
        return "vip3";
    }
}

html代码结构

除了当时自定义的Mylogin.html动过以外,其他的页面没有任何配置以及代码,只不过是测试用的

配置完成之后当你浏览器访问项目路径时,除了/根目录可以访问之外其他的VIp页面都需要登录认证相对应的账号

k.g588
关注
  • 41
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring boot 整合 spring security 登录认证
架构师的成长之路的博客
03-06 2万+
spring boot 整合 spring security 登录认证实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现(如:Apache Shiro),本文将具体介绍在Spring Boot中如何使用Spring Security进行安全控制更多干货分布式实战(干货)spring cloud 实战(干货)mybatis 实战(干货)spring boot 实战(干货)Re...
SpringBoot + SpringSecurity 控制授权
whyalwaysmea
03-31 1万+
授权简介 一般的人会认为,不同的角色登录进同一个系统,根据角色权限的不同,看到的菜单不同就是控制授权。其实并不是的,菜单的是否显示只是前端交互上的一个设计而已,真正需要授权的地方的接口的访问。 普通的系统通常会有两个端,一个是给用户用的业务系统(比如购物商城的买家端),一个是给公司运营人员用的管理端(可以统计销售量,用户量等信息)。 业务端的权限通常比较简单,可以区分为是否登录,或者简单...
Springboot集成SpringSecurity实现认证授权
qq_42067619的博客
05-04 754
最近学习了SpringSecurity使用,便自己写了个基础项目,使用到的技术有SpringBoot+SpringSecurity+thymeleaf+mybatis,实现了一个简单的“动态用户认证+记住我”功能,认证后根据自身权限显示动态界面内容 项目代码写有详细的代码注释,可直接运行学习,项目结构如下: 源码链接:https://pan.baidu.com/s/11Wvm51SjKYxkj...
15.Spring Boot 使用Spring security
编码语言Codelang
01-03 3万+
玩转Spring Boot 使用Spring security Spring BootSpring Security在一起开发非常简单,充分体现了自动装配的强大,Spring SecuritySpring Boot官方推荐使用的安全框架。配置简单,功能强大。接下来将说说Spring Boot使用Spring security进行安全控制。
SpringBoot-Security
05-26
本文将深入探讨SpringBoot-Security的两种配置方式——使用Config类和使用注解,并讨论如何与数据库交互来管理用户。 ### 一、Config类配置 1. **创建SecurityConfig类**:首先,我们需要创建一个继承自`...
springboot-06-security.zip
08-20
在本项目"springboot-06-security.zip"中,我们主要关注的是如何使用JavaSpring BootSpring Security来实现一个用户认证授权的系统。这个实例源码是为那些希望学习如何在Spring Boot环境中集成安全功能的学习...
springboot-security.zip
07-04
6. **RESTful 服务安全**:对于基于 REST 的服务,Spring Security 提供了无状态的 JWT 认证授权机制,适合分布式微服务架构。此外,它也支持 OAuth2,可以方便地与其他服务进行安全交互。 7. **集成性**:Spring...
springboot-security-oauth2:SpringBoot集成Spring Security、OAuth2实现authorization code授权码模式
05-10
springboot-security-oauth2此SpringBoot项目集成Spring Security、OAuth2实现资源访问授权认证。支持client credentials、password、authorization code认证模式。项目默认最为复杂的authorization code授权认证...
springboot,整合springsecurity登录认证授权
weixin_46164384的博客
06-29 1591
最近学习了下springserurity登录认证操作,记录下整合的过程: 框架:springboot+mybatis+springsecurity 1 新建一个页面,路径resource/html/hello.html,做一个访问它需要账号密码的功能。 修改了默认的访问页面资源路径为resource/html/ ,application.properies文件中 spring.thymeleaf.prefix=classpath:/html/ spring.thymeleaf.suffix=.html &
SpringBoot+Spring Security Oauth2实现客户端授权
qq_33460562的博客
02-23 4万+
框架使用SpringBoot + Spring Security Oauth2 主要完成了客户端授权 可以通过mysql数据库读取当前客户端表信息进行验证,token存储在数据库中 1.引入依赖 oauth2 依赖于spring security,需要引入spring, mysql,redis, mybatis &amp;amp;amp;amp;lt;dependencies&amp;amp;amp;amp;gt; &am
springBoot+springSecurity 数据库动态管理用户、角色、权限(二)
热门推荐
哎幽的成长
01-20 15万+
序: 本文使用springboot+mybatis+SpringSecurity 实现数据库动态的管理用户、角色、权限管理本文细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自定义滤器,代替原有的FilterSecurityInterceptor过滤器, 并分别实现AccessDecisionManager、InvocationSecurityMetadataSource
(二)、spring boot security 授权--自定义授权实现
qq_30062125的博客
01-07 3139
1、简介 spring security主要分为两部分,认证(authentication)和授权(authority)。 这一篇主要是授权部分,它由FilterSecurityInterceptor逻辑拦截处理,具体通过AccessDecisionManager实现。 1.1 系统授权实现说明 系统提供了三种实现方式: AffirmativeBased(spring securit...
Spring Boot —— Security 控制按钮权限
Genius only means hard-working all one's life.
05-30 6176
文章目录Spring Boot —— Security 控制按钮权限前言实现引入对应的依赖配置标签 Spring Boot —— Security 控制按钮权限 前言 在freemarker中, 通过Security根据用户角色控制页面按钮或菜单的显示。 Security提供一套页面标签,可以做到让内容根据安全配置情况显示或不显示,ftl 伪代码如下: <#assign security=J...
SpringBoot整合SpringSecurity详解,认证授权从未如此简单
Java鱼仔的博客
10-11 3344
对于一个Web项目来说,最重要的不是功能酷不酷炫,而是这个项目安不安全。 Spring Security主要做两个事情,认证授权
SpringBoot整合Springsecurity实现数据库登录以及权限控制
qq_39620552的博客
10-16 4万+
我们今天使用SpringBoot来整合SpringSecurity,来吧,不多BB 首先呢,是一个SpringBoot 项目,连接数据库,这里我使用的是mybaties.mysql, 下面是数据库的表 DROP TABLE IF EXISTS `xy_role`; CREATE TABLE `xy_role` ( `xyr_id` int(11) NOT NULL AUTO_INCRE...
SpringBoot基于SpringSecurity表单登录和权限验证
润青
01-11 6万+
一、简介 上篇介绍了一个自己做的管理系统,最近空闲的时间自己在继续做,把之前登录时候自定义的拦截器过滤器换成了基于SpringSecurity来做,其中遇到了很多坑,总结下,大家有遇到类似问题的话就当是为大家闭坑吧。 二、项目实现功能和成果展示 首先来看下登录界面:这是我输入的一个正确的信息,点击登录后SpringSecurity会根据你输入的用户名和密码去验证是否正确,如果正确的话就去你定...
springboot-actuator未授权
最新发布
09-14
对于未授权springboot-actuator,您可以尝试以下解决方案: 1. 检查配置文件:确保您的应用程序的配置文件中已正确配置了安全认证。您可以在application.properties或application.yml文件中查找以下配置项: ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值