Spring实战之保护web应用

最新推荐文章于 2024-05-28 09:53:53 发布
最新推荐文章于 2024-05-28 09:53:53 发布
阅读量217 收藏
点赞数
分类专栏: 读书笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuud__/article/details/86763379
版权

Spring实战读书笔记

第九章:保护web应用

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。

过滤Web请求

  • Spring Security借助一系列Servlet Filter来提供各种安全性功能。但是我们要使用Security只需要配置一个Filter就行了。就是org.springframework.web.filter.DelegatingFilterProxy,它会拦截发往应用的请求,将请求委托给ID为springSecurityFilterChain的bean。

  • springSecurityFilterChain本身也是一个特殊的Filter,它可以链接一个或任意多个Filter。

  • 如果我们利用web.xml来配置DelegatingFilterProxy的话直接使用<filter>元素就行了,但是如果使用Java配置的话,我们需要创建一个扩展的新类,它需要继承AbstractSecurityWebApplicationInitializer,并不需要重载任何方法,Spring会帮我们在Web容器中注册DelegatingFilterProxy。

编写简单的安全性配置

  • 启用Spring Security(使用Java配置)

    • Spring Security必须配置在一个实现了WebSecurityConfigurer的bean中,所以我们的Security配置类必须要实现WebSecurityConfigurer或继承WebSecurityConfigurerAdapter。

    • 还要在配置类上加相应注解,如果你的Web项目没有使用Spring MVC开发就加@EnableWebSecurity注解,如果是Spring MVC开发的可以使用@EnableWebMvcSecurity注解。

    • @EnableWebMvcSecurity注解配置了一个Spring MVC的参数解析器,这样的话Controller方法就能通过带有@AuthenticationPrincipal注解的参数获得认证用户的username,而且他还配置了一个bean,能帮我们在表单中添加一个隐藏的跨站请求伪造(CSRF)token输入域。

  • 通过重载WebSecurityConfigurerAdapter的中不同的configure方法配置具体安全性。

基于数据存储认证用户

  • 使用基于内存的用户存储

  • 基于数据表进行认证

  • 基于LDAP进行认证

  • 配置自定义的用户服务

拦截请求

  • 在一个Web应用中,有的路径是可以上用户随意访问的,但有的是需要一定权限才能访问的,所以我们就要对用户的请求进行拦截。对每个请求进行细颗粒度安全控制的关键在于重载configure(HttpSecurity)方法。

  • Security内置了一系列的配置方法,让我们可以为指定的路径配置不同的要求(表9.4,P268)。

  • 配置的时候很重要的一点就是,要将最为具体的路径放在前面进行配置,最不具体的放在最后面。否则的话,那些不具体的路径会覆盖掉具体的路径。

  • 但是如果直接使用Security内置的方法有一个很大的缺陷,就是我们只能对一个路径添加一个配置方法,无法添加多个限定条件。Security提供一个access方法,只有方法内参数为true的时候,路径才能访问。同时,Security还通过一些安全相关的表达式扩展了Spring的表达式语言(表9.5),让我们可以自由的发挥。

  • 使用HTTP提交数据有很大的风险,我们可以使用requiresSecure方法要求页面使用HTTPS传输。

认证用户

  • 启用HTTP Basic认证:在configure(HttpSecurity)方法内调用httpbasic方法即可

  • 启用Remember-me功能:调用rememberMe方法,还可以通过tokenValiditySeconds设置token有效期

  • 登录与退出:可以通过formLogin().loginPage("/login")设置登录URL,通过.logout().logoutSuccessUrl("/").logoutUrl("/logout")分别设置退出成功后跳转的页面,以及退出的URL

保护视图

  • Spring Security提供了一个JSP标签库,以security为前缀。通过<security:authentication>可以获得用户认证的详细信息,使用<security:authorize>可以有条件的渲染视图内容。

  • Thymeleaf的安全方言也提供了域Security标签库相对应的功能。都是以sec为前缀。要使用Thymeleaf的安全方言还需要使用SpringTemplateEngine注册SpringSecurityDialect。

wuud
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring实战(第四版)概括—保护Web应用Spring Security)
永远不会懂
08-01 422
一、前言 Spring Security是为基于Spring应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。 二、Spring Securit...
Spring实战4(8)保护Web应用
u012737025的博客
03-12 135
后续补充
微服务安全Spring Security Oauth2实战
最新发布
zzz6583zz的博客
05-28 853
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
Spring保护方法
weixin_30827565的博客
03-22 60
Spring保护方法 一、使用注解保护方法 1.@Secured 由Spring Security提供,首先需要启用基于注解的方法安全性: @EnableGlobalMethodSecurity(securedEnabled = true) @Configuration public class MethodSecurityConfig extends GlobalMethodSe...
SpringSecurity保护web
码农界扛把子的博客
03-22 223
首先要理解SpringSecurity的模块,一共有11个模块 ACL :支持通过访问控制列表为域对象提供安全性 切面:一个很小的模块,当使用springSecurity注解时,会使用AspectJ的切面,而不是使用标准的SpringAOP CAS客户端:提供与Jasig的中心认证服务进行集成的功能 配置(Configuration):包含通过xml和java配置springSecurity的功能...
Javaweb 实战Spring
大喵爱吃鱼的博客
06-08 425
Java web 实战Spring    开始接触Java web主要是因为在做移动端开发的时候需要客户端和服务器的数据交互,而学习它一方面是因为好奇,另一方面也是为了更好的对接客户端和服务器。闲话不多说,进入正题。   在学习Java web之前,需要一定的java 基础和数据库基础,此外还包含JSP,Servlet以及对服务器容器Tomcat等的使用,不太熟悉的小伙伴们可以通过查阅相关书
Spring Boot2企业应用实战
11-29
8. **安全控制**:通过`spring-boot-starter-security`,Spring Boot提供了基本的安全管理功能,包括身份验证和授权,可以快速搭建安全的Web应用。 9. **测试**:Spring Boot提供了方便的测试支持,包括`@...
spring实战全部源代码.zip
10-26
Spring实战》第五版的源代码压缩包"spring实战全部源代码.zip"包含了全面的示例项目,旨在帮助读者深入理解和应用Spring框架。这个压缩包中的"spring-in-action-5-samples-master"目录揭示了书中的各个实战案例,...
SpringMyBatis企业应用实战-sourcecode
05-26
SpringMyBatis企业应用实战-sourcecode》是一个与书籍配套的源码库,它涵盖了Spring和MyBatis在实际企业项目中的应用Spring是一个全面的Java应用框架,它提供了依赖注入(DI)、面向切面编程(AOP)等功能,极大...
Spring 3.x 企业应用开发实战
05-11
Spring MVC是Spring框架的一部分,用于构建Web应用程序。它提供了模型-视图-控制器(MVC)架构,分离了业务逻辑、数据处理和用户界面,让开发者可以专注于各自领域的开发。此外,Spring MVC还支持RESTful风格的URL...
精通Spring企业应用开发实战
06-06
Spring MVC是Spring框架用于构建Web应用的重要组成部分,它提供了一种模型-视图-控制器的架构模式,简化了Web开发。书中会介绍如何配置Spring MVC,创建控制器,以及如何处理请求和响应,同时也会涉及视图技术,如...
Spring整合javaWeb案例
东城庞太师
12-24 539
spring整合javaweb案例 完整目录结构如下图: 步骤如下: 1.创建maven web工程 2.创建包结构 3.创建bean.xml配置文件和配置pom.xml文件 4.创建日志文件 5.创建dao层接口和dao层实现类 6.创建service层接口和service层实现类 7.创建web层servlet 8.创建succes...
Java Web应用软件保护方法
weixin_34329187的博客
04-22 248
1 代码混淆概述目前针对Java源文件方法主要有以下几种方法:本地编译技术、数字水印技术、ClassLoader加密技术以及代码混淆技术。Java本地编译是指将Java应用程序编译成本地应用程序,如Windows平台下名为exe的应用程序。通过java虚拟机将由源代码生成Java类文件,再将类文件编译成可执行文件。用该技术生成的本地应用程序是二进制格式的可执行文件,但该方法牺牲了Java的跨平台特...
Spring实战第九章:保护Web应用
li_wulang的博客
04-27 154
一、Spring Security简介 1、一种基于 Spring AOP 和 Servlet 规范中的 Filter 实现的安全框架,能够在Web请求级别和方法调用级别处理身份认证和授权。 Spring Security充分利用了依赖注入和面向切面技术。 2、Spring Security(3.2) 从两个角度来解决安全性问题: 使用 Servlet 规范中的Filter保护Web请求并...
SpringSecurity-OAuth2万文详解
weixin_68320784的博客
04-11 1万+
SpringSecurity-OAuth2万文详解 Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。Oauth协议为用户资源的授权提供一个安全、开放并且简易的规范标准。和以往授权不同的是Oauth不会使第三方触及到用户的账号信息(用户和密码),也就是说第三方不需要使用用户的用户名和密码就可以获取到该用户的用户资源权限。 OAuth2设计的角色 资源所有者(Resource Owner):通常是用户(User),如昵称、头像这些资源的拥有者(用户只是将这些资源放到服务提供商...
Spring Security——OAuth2.0
热门推荐
代码星辰的博客
10-06 1万+
Spring Security——OAuth2.0
Spring Security OAuth2详解
qq_33814479的博客
10-12 6383
创建认证成功处理器和认证失败处理器,处理登录成功和登录失败请求@Component@Slf4j@Autowired@Autowired@Override// 1. 从请求头中获取 ClientIdthrow new UnapprovedClientAuthenticationException("请求头中无client信息");// 2. 通过 ClientDetailsService 获取 ClientDetails。
Spring Security OAuth2 入门
m0_62714732的博客
10-28 9255
1. 概述 2. 引入 Spring Security OAuth2 依赖 3. 配置资源服务器 4. 配置授权服务器 4.1 授权码模式 Spring Security Setting 4.2 密码模式 4.3 简化模式 4.4 客户端模式 4.5 如何选择? 4.6 为什么有 Client 编号和密码 5. 刷新令牌 5.1 获取刷新令牌 5.2 “刷新”访问令牌 5.3 为什么需要有刷新令牌 6. 删除令牌 6.1 删除访问令牌 6.2 删除刷新令牌 6.3 RFC
SpringSecurityOauth2(四种模式)
qq_45597391的博客
06-19 1万+
Oauth2.0是目前流行的授权机制,用于授权第三方应用,获取数据。
spring_in_action-sixth-edition.pdf
12-10
"Spring实战第六版" Spring是Java生态系统中的一个核心框架,专注于简化企业级应用的开发。Spring以其模块化、松耦合和依赖注入特性而闻名,使得开发者能够更有效地管理应用程序的组件。Spring框架提供了多种功能,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值