【Spring】springSecurity使用

最新推荐文章于 2024-09-09 19:49:04 发布
最新推荐文章于 2024-09-09 19:49:04 发布
阅读量480 收藏 5
点赞数 7
分类专栏: Spring 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wosixiaokeai/article/details/140325071
版权

一、基本配置

1. 引入依赖

在Spring Boot项目中,使用Spring Security首先需要引入相应的依赖。在pom.xml中添加spring-boot-starter-security依赖:

<dependency>  
    <groupId>org.springframework.boot</groupId>  
    <artifactId>spring-boot-starter-security</artifactId>  
</dependency>
2. 配置安全规则

Spring Security提供了多种配置安全规则的方式,包括使用Java配置类、注解或XML配置文件。在Spring Boot项目中,通常使用Java配置类来配置安全规则。

通过继承WebSecurityConfigurerAdapter类并重写其configure方法,可以定义用户认证和授权的相关规则。例如:

@Configuration  
@EnableWebSecurity  
public class SecurityConfig extends WebSecurityConfigurerAdapter {  
  
    @Autowired  
    private UserDetailsService userDetailsService;  
  
    @Override  
    protected void configure(HttpSecurity http) throws Exception {  
        http  
            .authorizeRequests()  
                .antMatchers("/login", "/register").permitAll() // 允许匿名访问登录和注册页面  
                .anyRequest().authenticated() // 其他请求都需要认证  
                .and()  
            .formLogin()  
                .loginPage("/login") // 自定义登录页面  
                .permitAll()  
                .and()  
            .logout()  
                .permitAll(); // 允许匿名用户访问注销URL  
    }  
  
    @Autowired  
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {  
        auth  
            .userDetailsService(userDetailsService)  
            .passwordEncoder(passwordEncoder()); // 使用密码编码器  
    }  
  
    @Bean  
    public PasswordEncoder passwordEncoder() {  
        return new BCryptPasswordEncoder(); // 使用BCrypt进行密码加密  
    }  
}

二、认证过程

Spring Security的认证过程通常涉及以下几个步骤:

  1. 用户提交认证信息:用户通过表单或其他方式提交用户名和密码等认证信息。

  2. AuthenticationFilter拦截请求:Spring Security中的UsernamePasswordAuthenticationFilter(或其他自定义的认证过滤器)会拦截用户的登录请求。

  3. 封装认证信息:过滤器将请求中的认证信息封装成UsernamePasswordAuthenticationToken对象。

  4. 调用AuthenticationManager:将封装好的AuthenticationToken传递给AuthenticationManager进行认证。

  5. 认证提供者执行认证AuthenticationManager会调用一个或多个AuthenticationProvider进行实际的认证操作。AuthenticationProvider会调用UserDetailsService来获取用户信息,并与提交的认证信息进行比对。

  6. 认证成功或失败:如果认证成功,会将用户的认证信息封装成Authentication对象,并存储在SecurityContextHolder中,供后续操作使用;如果认证失败,则抛出异常,并由Spring Security处理相应的错误响应。

三、授权过程

授权过程是在用户认证成功后进行的,用于控制用户对资源的访问权限。

  1. 访问资源:用户尝试访问某个受保护的资源。

  2. 拦截器拦截请求:Spring Security中的拦截器(如FilterSecurityInterceptor)会拦截用户的请求。

  3. 获取所需权限:拦截器会调用FilterInvocationSecurityMetadataSource来获取被拦截URL所需的全部权限。

  4. 访问决策:拦截器会调用AccessDecisionManager进行访问决策。AccessDecisionManager会根据用户的认证信息、请求的URL和配置的权限规则来判断用户是否有权访问该资源。

  5. 授权成功或失败:如果授权成功,用户可以继续访问资源;如果授权失败,则抛出异常,并由Spring Security处理相应的错误响应。

四、其他功能

除了基本的认证和授权功能外,Spring Security还提供了许多其他安全相关的功能,如:

  • 防止跨站请求伪造(CSRF):Spring Security可以自动为表单添加CSRF令牌,并验证提交请求中的令牌值,以防止CSRF攻击。
  • 会话管理:Spring Security提供了会话固定保护、会话超时等会话管理功能。
  • 加密和签名:Spring Security支持使用加密算法对敏感信息进行加密,以及使用签名算法对消息进行签名和验证,以确保信息的机密性和完整性。
泡芙冰淇淋ya
关注
  • 7
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity
热门推荐
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
Spring Security的基础使用
m0_48972623的博客
03-10 8318
目录 一. 什么是spring security 二. Spring security使用 1.创建springboot项目 2.主启动类 2.配置controller层 3.配置config类 4.配置多用户登录以及注入权限及登录config注入 5.配置config层 6.登录成功处理类及无权限处理类 7.配置工具类 8.启动测试 三. 总结 一. 什么是spring security Spring Security是一个能够为基于Spring的企业应用系统提供声明.
SpringSecurity 简单使用
qq_43560701的博客
01-25 5075
SpringSecurity 简单使用 在 Web 开发中安全是不可忽视的问题(软件安全技术!),现在从 SpringSecurity 和 Shiro 两个框架来学习一下安全框架在 Web 应用中的使用Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based
SpringSecurity使用
m0_66002415的博客
03-22 141
SpringSecurity使用
使用SpringSecurity
bluemoon_0的博客
02-20 247
使用SpringSecurity
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证和授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证鉴权系统。 首先,让我们深入了解Spring Cloud Gateway。这是一个基于...
详解Spring Boot 使用Spring security 集成CAS
08-30
Spring Boot 使用 Spring Security 集成 CAS Spring Boot 是一个基于 Java 的开源框架,用于快速构建生产级别的应用程序。Spring Security 是一个基于 Spring 的安全框架,提供了身份验证、授权和访问控制等功能。...
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
springboot服务器文件读取工具类
dashalen的博客
09-06 825
springboot服务器本地文件读取和网络文件读取
SpringSecurity原理解析(二):认证流程
liang8999的博客
09-08 869
attemptAuthentication 方法在子类UsernamePasswordAuthenticationFilter 中实现的。attemptAuthentication方法的作用是获取Authentication对象其实就是对应的认证过程,用该AuthenticationProvider的authenticate函数认证,如果认证成功则整个认证过程结束。AuthenticationManager接口中就定义了一个方法authenticate方法,用于处理认证的请求;
SSM框架学习(二:SpringFramework实战指南)
最新发布
xpy2428507302的博客
09-09 747
一个项目,一个工程,导出为一个war包,在一个Tomcat上运行,即 all in one。单一架构的项目主要应用技术框架为:Spring , SpringMVC , Mybatis负责实例化、配置和组装 bean(组件)。容器通过读取配置元数据(配置文件)来获取有关要实例化、配置和组装组件的指令。XML、Java 注解或 Java 代码形式。它允许表达组成应用程序的组件以及这些组件之间丰富的相互依赖关系。应用程序类与配置元数据相结合,才拥有完全配置且可执行的系统或应用程序。
【安全漏洞】SpringBoot + SpringSecurity CORS跨域资源共享配置
weixin_42925623的博客
09-05 1431
今天我们就来了解一下这个CROS漏洞,并记录一下在整合了springSecurity这一套安全框架下的springboot系统中如何在后端过滤器中通过正确注册WebMvcConfigurer bean来配置CORS的全局设置,实现对非白名单访问源的拦截。
基于Spring和MybatisPlus下的Oracle转mysql语句语法适配修改
xingyuemengjin的博客
09-04 717
本文讲述了在Spring+MybatisPlus环境中,oracle数据库转为mysql后查询语法和代码的主要修改。
Springboot邮箱发送:如何快速集成并发信?
DengHua2203的博客
09-09 613
Springboot邮箱发送功能为开发者提供了一种简便、高效的方式来集成邮件通知功能。AokSend,强化Springboot邮箱发送,API与SMTP接口双加持,稳定高效,为业务通信保驾护航!
SpringBoot总结
2302_77073236的博客
09-06 202
都做成图了,方便理解和掌握全局关系。
spring】微服务架构中的VO命名
突围
09-05 216
matchreqvo
Spring
weixin_69595694的博客
09-06 1382
5.2、编写配置文件bean-base.xml 5.3、编写测试 6、Spring下的IOC 6.0、创建对象的属性解析 6.1、创建无参的对象 6.2、创建带参数的对象 6.3、通过静态工厂创建对象 6.3.1、创建工厂类 6.3.2、编写描述 6.4、通过非静态工厂创建对象 6.4.1、创建工厂类 6.4.2、创建描述 7、Spring下的DI 7.1、通过Set注入(开发中使用的最多的一种) 7.1.1、编写UserService 7.1.2、编写
Spring Security 3.1.6 使用与配置指南
"Spring Security Reference 3.1.6 使用指南" Spring Security 是一个强大的、高度可定制的身份验证和授权框架,适用于 JavaSpring 应用程序。这份指南详细介绍了 Spring Security 3.1.6 版本的使用方法,旨在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值