Spring_Security学习笔记

最新推荐文章于 2024-03-29 14:57:10 发布
最新推荐文章于 2024-03-29 14:57:10 发布
阅读量287 收藏
点赞数
分类专栏: spring 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wsstjj/article/details/121643687
版权

Spring Security

概述:

​ 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。

  • (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问
    该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认
    证过程。通俗点说就是系统认为用户是否能登录
  • (2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户
    所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以
    进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的
    权限。通俗点讲就是系统判断用户是否有权限去做某些事情。

基本原理

SpringSecurity 本质是一个过滤器链:
从启动是可以获取到过滤器链:

  1. org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter
  2. org.springframework.security.web.context.SecurityContextPersistenceFilter
  3. org.springframework.security.web.header.HeaderWriterFilter
  4. org.springframework.security.web.csrf.CsrfFilter
  5. org.springframework.security.web.authentication.logout.LogoutFilter
  6. org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter
  7. org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter
  8. org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter
  9. org.springframework.security.web.savedrequest.RequestCacheAwareFilter
  10. org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter
  11. org.springframework.security.web.authentication.AnonymousAuthenticationFilter
  12. org.springframework.security.web.session.SessionManagementFilter
  13. org.springframework.security.web.access.ExceptionTranslationFilter
  14. org.springframework.security.web.access.intercept.FilterSecurityInterceptor

UserDetailsService 接口讲解

​ 当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。 所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下:

public class MyUserDetailService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return null;
    }
}

  • 返回值 UserDetails
    这个类是系统默认的用户“主体”

  • 参数讲解

    // 表示获取登录用户所有权限
Collection<? extends GrantedAuthority> getAuthorities();
// 表示获取密码
String getPassword();
// 表示获取用户名
String getUsername();
// 表示判断账户是否过期
boolean isAccountNonExpired();
// 表示判断账户是否被锁定
boolean isAccountNonLocked();
// 表示凭证{密码}是否过期
boolean isCredentialsNonExpired();
// 表示当前用户是否可用
boolean isEnabled();
我们只需要使用 User 这个实现类类即可
/**
* Calls the more complex constructor with all boolean arguments set to {@code true}.
*/
public User(String username, String password, Collection<? extends GrantedAuthority> authorities) {
	this(username, password, true, true, true, true, authorities);
}

**注:**方法参数 username表示用户名。此值是客户端表单传递过来的数据。默认情况下必须叫 username,否则无法接收。

PasswordEncoder 接口讲解

// 表示把参数按照特定的解析规则进行解析
String encode(CharSequence rawPassword);
// 表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配。如果密码匹
配,则返回 true;如果不匹配,则返回 false。第一个参数表示需要被解析的密码。第二个
参数表示存储的密码。
boolean matches(CharSequence rawPassword, String encodedPassword);
// 表示如果解析的密码能够再次进行解析且达到更安全的结果则返回 true,否则返回
false。默认返回 falsedefault boolean upgradeEncoding(String encodedPassword) {
return false;
}
实现类

​ BCryptPasswordEncoder 是 Spring Security 官方推荐的密码解析器,平时多使用这个解析器。BCryptPasswordEncoder 是对 bcrypt 强散列方法的具体实现。是基于 Hash 算法实现的单向加密。可以通过 strength 控制加密强度,默认 10.

/**
* 测试BCryptPassword
*/
@Test
public void testBCryptPassword() {
    BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
    String wss8752 = encoder.encode("wss8752");
    System.out.println(wss8752);
    System.out.println(encoder.matches("wss8752", wss8752));
}

SpringSecurity Web 权限方案

  1. 在配置文件中

application.yml

spring:
  security:
    user:
      name: wss
      password: wss8752
  1. 编写类实现接口

编写实现类实现WebSecurityConfigurerAdapter

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
//        表单登录
        http.formLogin()
                .and()
//                认证配置
                .authorizeHttpRequests()
//                任何请求
                .anyRequest()
//                需要身份验证
                .authenticated();
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

Service层

@Service
public class UserService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 判断用户名是否存在
        if (!"admin".equals(username)) {
            throw new UsernameNotFoundException("用户名不存在!");
        }
        // 从数据库中获取的密码 wss8752 的密文
        String pwd = "$2a$10$p93V1CfE5rCG4MhRLCdbs.m1jxrRa.0RgTm93IXcYiAA6hcSr2zbi";

        // 第三个参数表示权限
        return new User(username, pwd, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,"));
    }
}

实现数据库认证来完成用户登录

Wss8752
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security学习笔记(一)
09-07
本篇学习笔记将带你走进Spring Security的世界,逐步理解并掌握其基本用法。 首先,要开始使用Spring Security,我们需要在项目中添加依赖。在Maven工程中,可以通过在`pom.xml`中引入Spring Boot的`spring-boot-...
Spring Security学习笔记
weixin_33701294的博客
09-04 72
Spring Web SecurityJava web开发领域的一个认证(Authentication)/授权(Authorisation)框架,基于Servlet技术,更确切的说是基于Servlet的Filter技术。因此,在学习Spring Web Security之前,有必要先对Servlet Filter的工作机制做个介绍。 注:Spring Security本身并不只是针对web的,但...
Spring-security笔记
flight___的博客
04-15 568
spring-security环境配置,和练习时的异常
SpringSecurity学习笔记
最新发布
weixin_46625488的博客
03-29 939
SpringSecurity结合Springboot以及Thymleaf模版简单使用
SpringSecurity笔记
qq_44619964的博客
02-23 153
SpringSecurity(安全) (瑟奎瑞替) 在web开发中,安全第一位! 过滤器,拦截器~ 功能性需求:否 做网站:安全应该在什么时候考虑?设计之初! ·漏洞,隐私泄露 ·架构一旦确定~ shiro、SpringSecurity:很像~除了类不一样,名字不一样; 认证、授权(vip1,vip2,vip3) AOP:横切~配置类 简洁 Spring Security是针对String项目...
spring security笔记
weixin_43966864的博客
04-16 612
1.spring security的环境搭建 首先新建一个springboot项目,只够选web中的spring web依赖 然后在pom.xml导入相关依赖 <!--thymeleaf模块--> <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5</artifa
Spring_Security权限管理_学习笔记
08-01
在本学习笔记中,我们将深入探讨Spring Security的核心概念和配置,以及如何设计数据库表来支持权限管理。 首先,Spring Security的配置始于Web应用的入口点——`web.xml`文件。在这里,我们需要定义一个名为`...
spring_security_management.zip
07-09
逻辑只实现了部分,主要是配合springsecurity学习学习笔记记录在笔者自己的博客上,读者们可以跟着我的思路一步一步的学习,最终可以实现身份验证,权限控制,信息加密(学习资料B站也有,这里贴出原网址:...
PL_Java_Spring框架_学习笔记.xmind
09-04
内容: Spring资源管理 Spring表达式语言 定时调度 AOP切面编程-代理功能的加强 Spring与JMS消息组件 Spring与WebService Spring与Redis数据库 JDBC操作模板 Spring事务管理 SpringDataJPA ...SpringSecurity
Spring Security笔记
zzxzzxhao的博客
12-07 398
SecurityContextPersistenceFilter位于过滤器顶端,是第一个起作用的过滤器 其作用:     1.执行其他过滤器之前率先判断用户的session是否存在Spring Security上下文的SecurityContext        如果存在,则取出来放入SecurityContextHolder,供Spring Security其他部分使用;        如果...
Spring Security使用笔记
qq_34800986的博客
06-01 400
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求 新建一个springboot工程,导入Spring Security依赖 <dependency> <groupId>org.spring
Spring Security知识点笔记
weixin_44388890的博客
08-20 297
Spring Security知识点笔记 1.spring security 核心功能 spring security 的核心功能主要包括: 认证 授权 防护 (防止伪造身份) 2.核心理解 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于username password认证过滤器来说, 会检查是否是一个登录请求;是否包含username
spring security 个人 笔记 #spring#springcloud
jupiter_windy的博客
08-02 135
全文照https://github.com/wuyouzhuguli/SpringAll MrBird课程敲的代码 包含了:Spring security自定义用户认证、图形验证码、记住我、短信验证码、session管理、退出登录 权限控制 @Override protected void configure(HttpSecurity http) thro...
springsecurity笔记
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值