SpringSecurity简介和基本使用

最新推荐文章于 2023-03-08 10:07:23 发布
最新推荐文章于 2023-03-08 10:07:23 发布
阅读量2.2k 收藏
点赞数
分类专栏: Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/woshiwjma956/article/details/115542810
版权

Spring Security 简介

Spring Security 是一个强大的可高度自定义的认证授权安全框架.可以跟Spring无缝结合.环境要求JDK8以上

Spring Security Hello World程序

  • 引pom文件
    <dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
    </dependencies>
  • 写一个TestController和主启动类
@RestController
public class TestController {

    @GetMapping("/test")
    public String test() {
        return "hello security!";
    }
}

@SpringBootApplication
public class SecurityMain {
    public static void main(String[] args) {
        SpringApplication.run(SecurityMain.class, args);
    }
}

  • Spring Security 启动默认自动生成了一个用户 用户名为user 密码为

    image-20210408102718489

  • 访问testController默认会进入Spring Security定义的登陆页面

    image-20210408102815666

  • 输入用户名 user 密码为控制台自动生成的密码即可访问成功

    image-20210408102903378

Spring Security 基本原理

  • Spring Security 本质上是一个过滤器链

  • Spring Security 底层核心的有10几个过滤器

    • FilterSecurityInterceptor 方法级别的过滤器是最底层的过滤器
    • ExceptionTranslationFilter 异常处理的过滤器链,用来处理认证授权中的各种异常 AuthenticationException AccessDeniedException
    • UsernamePasswordAuthenticationFilter 基于用户名密码的过滤器链 验证 /login的Post请求的用户验证

  • Spring Security 通过DelegatingFilterProxy来配置过滤器

    • doFilter方法中的 delegateToUse = initDelegate(wac); wac就是WebApplicationContext

      image-20210408114042567

    • initDelegate 本质上就是从Sping容器中拿一个FilterChainFactory的组件并执行的init方法

    image-20210408114138015

  • Security中核心两个接口UserDetailService PasswordEncoder

    • UserDetailService中定义如何获取通过用户名获取用户信息 比如从数据库中查询 返回UserDetails对象是Spring Scurity包下的

      public interface UserDetailsService {
	UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}

    • PasswordEncoder定义密码的加密方式 默认建议使用BCryptPasswordEncoder

Spring Security 的三种设置用户名密码的方式

  • 配置文件

    image-20210408114858003

  • 通过配置类 继承 WebSecurityConfigurerAdapter 重写 protected void configure(AuthenticationManagerBuilder auth) throws Exception方法自定义用户授权的方式

    package com.corn.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

/**
 * @author : Jim Wu
 * @version 1.0
 * @function :
 * @since : 2021/4/8 11:49
 */

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {


    /**
     * 密码解密器
     * @return
     */
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * 配置一个内存的用户
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        String password = passwordEncoder().encode("123");
        auth.inMemoryAuthentication().withUser("root").password(password).authorities("add","delete","select").roles("admin");
    }
}

  • 自定义UserDetailService来实现自定义的用户账号密码查询逻辑 比如通过数据库

    • 添加mybatis plus相关依赖用于数据库操作

              <dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.4.2</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

    • 创建数据库 管理用户

      CREATE TABLE `sys_user` (
  `id` int NOT NULL,
  `username` varchar(255) COLLATE utf8_bin DEFAULT NULL,
  `password` varchar(255) COLLATE utf8_bin DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8 COLLATE=utf8_bin;

    • 添加数据库连接配置

      spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    username: root
    password: root
    url: jdbc:mysql://localhost:3306/tutorial?useUnicode=true&characterEncoding=UTF8&zeroDateTimeBehavior=convertToNull&serverTimezone=Asia%2FShanghai&allowMultiQueries=true

    • 创建实体和Mapper

      
package com.corn.entity;

import com.baomidou.mybatisplus.annotation.TableId;
import com.baomidou.mybatisplus.annotation.TableName;
import lombok.Data;
@Data
@TableName("sys_user")
public class SysUser {
    @TableId
    private Long id;

    private String username;

    private String password;

}

      package com.corn.mapper;

import com.baomidou.mybatisplus.core.mapper.BaseMapper;
import com.corn.entity.SysUser;

public interface SysUserMapper extends BaseMapper<SysUser> {
}

    • 添加@MapperScan注解

      @MapperScan(basePackages = {"com.corn.mapper"})
@SpringBootApplication
public class SecurityMain {
    public static void main(String[] args) {
        SpringApplication.run(SecurityMain.class, args);
    }
}

    • 自定义UserDetailsService 实现查询数据库逻辑

      package com.corn.security;

import com.baomidou.mybatisplus.core.conditions.query.LambdaQueryWrapper;
import com.corn.entity.SysUser;
import com.corn.mapper.SysUserMapper;
import lombok.RequiredArgsConstructor;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;


@RequiredArgsConstructor
@Service
public class MyUserDetailService implements UserDetailsService {
    private final SysUserMapper userMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        LambdaQueryWrapper<SysUser> wrapper = new LambdaQueryWrapper<>();
        wrapper.eq(SysUser::getUsername, username);
        SysUser sysUser = userMapper.selectOne(wrapper);
        if (null == sysUser)
            throw new UsernameNotFoundException("用户不存在");
        PasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        return new User(sysUser.getUsername(), passwordEncoder.encode(sysUser.getPassword()), AuthorityUtils.createAuthorityList("add", "delete", "select"));
    }
}

    • 配置Security 配置添加UserDetailsService

          @Autowired
    private UserDetailsService userDetailsService;

    /**
     * 使用UserDetailService来查询用户信息
     *
     * @param auth
     * @throws Exception
     */
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
    }

自定义登录页面 登录请求地址

  • 覆盖protected void configure(HttpSecurity http) throws Exception

        @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable() // 关闭csrf验证
                .formLogin().loginPage("/html/login") // 自定义登录页面
                .defaultSuccessUrl("/html/index") // 默认登录成功跳转
                .loginProcessingUrl("/user/login") // 登录处理器controller POST请求地址
                .permitAll() // 放行
                .and()
                .authorizeRequests()
                .antMatchers("/", "/hello").permitAll() // / 和 /hello 放行 建议可以放在配置文件中
                .anyRequest().authenticated(); // 其他所有请求必须认证
    }

  • 需要注意的是关闭csrf的验证

夹毛局的程序员
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈Spring Security LDAP简介
08-26
本资源主要介绍了Spring Security LDAP的基本概念和配置方法,通过示例代码和详细的解释,帮助读者更好地理解和应用Spring Security LDAP。 一、Spring Security LDAP概述 LDAP(Lightweight Directory Access ...
Spring Boot极简教程》第16章 Spring Boot安全集成Spring Security
禅与计算机程序设计艺术
04-17 8761
第16章 Spring Boot安全集成Spring Security 开发Web应用,对页面的安全控制通常是必须的。比如:对于没有访问权限的用户需要转到登录表单页面。要实现访问控制的方法多种多样,可以通过Aop、拦截器实现,也可以通过框架实现,例如:Apache Shiro、Spring Security。 很多成熟的大公司都会有专门针对用户管理方面有一...
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
springscurity实战
老螺丝的技术人生
01-17 651
springscurity为我们提供了强大的内置功能,但在实际应用场景中依然需要做一定的定制开发和配置。本文尝试通过实战一起了解springscurity的内部世界。 需求场景 混合式开发APP(Hybrid APP)是目前移动互联网主流的前端框架,这样的前端框架对后端接口服务和安全控制有个性化需求,简单整理如下: 动静分离,所有接口返回都是json 无状态restful接口,没有会话保持 手机...
大白话详解Spring Security认证流程
LoveSummer
11-04 2810
Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。
spring secutiry oauth2.0认证制授权 --Spring secuity快速上手
wangjunji34478的专栏
04-22 511
Spring Security快速上手 1Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,由于它是spring生态系统的一员,因此它伴随着整个spring生态系统不断修正,升级,在springboot项目中加入spring security更是十分简单,使用spring security...
SpringSecurity素材.rar
03-02
1. **SpringSecurity简介**:首先会介绍SpringSecurity基本概念和架构,包括它如何通过层层过滤器保护Web应用,以及它提供的主要组件如Authentication(认证)和Authorization(授权)。 2. **配置SpringSecurity...
SpringBoot + Spring Security 基本使用及个性化登录配置详解
08-27
SpringBoot + Spring Security 基本使用及个性化登录配置详解 Spring Security 是一个功能强大且灵活的安全框架,它提供了认证、授权、攻击防护等功能。SpringBoot 是一个基于 Spring 框架的框架,它提供了很多便捷...
SpringBoot2.6整合SpringSecurity+JWT
01-11
**一、Spring Security简介** Spring Security是一个全面的、高度可配置的安全框架,它提供了认证和授权的功能,可以保护Web应用程序免受各种攻击。在Spring Boot项目中,集成Spring Security可以简化安全配置,只...
狂神Spring Security静态资源
05-15
1. **Spring Security简介** - Spring SecuritySpring生态系统的一部分,提供了全面的安全管理解决方案,包括身份验证、授权和会话管理。 - 它的核心概念包括安全拦截器(Filter)、访问决策管理器(Access ...
spring-security-3.2.10(全)资源包
02-24
jdk8的支持不太完美,jdk7及其以下版本试用的官方正式版最新版本,spring-security3最新正式版,所有的资源都在,jdk8及以上版本可以使用spring-security4版本,需要可以移步搜索spring-security4对应的资源
SpringSecurity原理分析
Feverasa的博客
12-05 6532
距离上次更新已经5个月了,因为这段时间主要是面试准备+适应新公司的内容,8月份离职,9月份入职,虽然看了很多内容,但没有进行系统整理。之后应该也会渐渐的整理一些内容,会继续更新,虽然没什么人看,但还是说明下,_O(∩_∩)O哈哈~。 ​ 这一篇我们主要梳理下SpringSecurity的原理,SpringSecurity主要是用于认证、授权的,其的主要原理就是通过Filter来处理。 一、SpringSecurity基本原理 1、基本流程 ​ SpringSecurity基本原理就是应用了Tomcat容
java servlet3.1规范解读系列六: web安全之spring secret 处理
王安的专栏
05-31 1163
Spring Security是通过自定义的Filter对相关的URL进行权限控制,这些个filter组合起来通过两个过程对权限进行了控制,认证(authentication)和授权(authorization)。认证是来识别当前用户是谁的过程,授权是判断当前用户是否有权限进行相关操作的过程。 认证(authentication) 认证的过程相对简单,基本都是判断当前正在操作的用户(Princ...
Spring Security简介
...
04-12 214
概要 Spring是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是 “认证” 和 “授权” (或者访问控制),一般来说,Web 应用的安全性包括 用户认证(Authentication) 和 用户授权(Authorization) 两个部分,这两点也是 Spring Security 重要核心功能。 (1) 用户认
SpringSecurity使用
zuochangping的博客
11-01 1794
SpringSecurity使用,运行原理及源码的查看,还有在不同场景的应用
Spring Security 详解
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security详细介绍使用
最新发布
书启鸿蒙知秋枫
03-08 4543
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
SpringSercurity基本使用
weixin_43984381的博客
04-08 363
SpringSercurity的基本使用 1.加入SpringSercurity的依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</ar
Spring Security 3.1.6 使用与配置指南
- 简介:解释了 Spring Security 的 XML 命名空间设计,使配置更加简洁和直观。 - 设计原则:阐述了命名空间设计的目标和工作原理。 - 开始使用安全命名空间配置:提供了在 web.xml 文件中配置 Spring Security ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值