SpringSecurity理解

最新推荐文章于 2024-04-25 16:08:10 发布
最新推荐文章于 2024-04-25 16:08:10 发布
阅读量135 收藏 1
点赞数 1
分类专栏: SpringBoot 文章标签: mysql 过滤器 spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmmxy/article/details/116564384
版权

SpringSecurity理解


SpringSecurity的重要核心功能是: 用户授权、用户认证

特点

  • 和Spring无缝整合
  • 全面的权限控制
  • 专门为Web开发而设计
    • 旧版本不能脱离Web
    • 新版本对整个框架进行了分层抽取,分成了核心模块和Web模块。单独引入核心模块就可以脱离Web环境
  • 重量级

SpringSecurity的Hello项目

创建一个项目

第一步:创建一个SpringBoot项目。

第二步:引入需要的依赖。

	<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>
    </dependencies>

第三步:创建TestController

package com.yyp.securitydemo1.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestController {

    @GetMapping("/hello")
    public String hello(){
        return "hello security";
    }

}

运行这个项目

上面我们创建了一个非常简单的SpringBoot的项目,当我们运行的时候回发成上面呢?
在这里插入图片描述
首先我们疑惑地是。这个页面哪里来的,为什么回来到这个页面,我们访问的controller有没有访问到呢?这个我在接下来会告诉大家,现在我们来登录一下,SpringSecurity默认的用户名是user密码会在后台告诉我们。
在这里插入图片描述
登录之后,我们就访问到了我们的controller在这里插入图片描述

SpringSecurity的本质

SpringSecurity的本质就是过滤器链

FilterSecurityInterceptor:是一个方法的权限过滤器,基本位于过滤链的最底层
ExceptionTranslationFilter:是一个异常过滤器,用来处理在认证授权过程中抛出的异常
UsernamePasswordAuthenticationFilter:对/login的POST请求做拦截,校验表单中的用户名,密码

过滤器是如何加载的?

1、使用SpringSecurity配置过滤器
2、DelegatingFilterProxy类中的doFilter会首先运行
3、在doFilter方法中delegateToUse = initDelegate(wac);调用initDelegate方法
4、Filter delegate = (Filter)wac.getBean(targetBeanName, Filter.class);在当前作用域获取对象名字为springSecurityFilterChain的,返回一个过滤器对象。

SpringSecurity设置登录的用户名和密码

1、用过配置文件

在这里插入图片描述
直接在application.yaml中配置就可以

2、通过配置类

package com.yyp.securitydemo1.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("lucy").password(password).roles("admin");
    }

    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }

}

3、自定义实现类设置

注意将配置类注释掉,删除配置文件中的配置
第一步:创建配置类,设置使用哪个userDetailsService实现类

package com.yyp.securitydemo1.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(password());
    }

    @Bean
    PasswordEncoder password(){
        return new BCryptPasswordEncoder();
    }
}

第二步:编写实现类,返回User对象,User对象有用户名密码和操作权限

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User("mary",new BCryptPasswordEncoder().encode("123"),auths);
    }
}

我们通过数据库查到用户的用户名密码和权限,通过User来进行认证。

SpringSecurity-Web权限方案(真正的数据库实现)

思路:整合一个框架MybatisPlus。

引入依赖

		<dependency>
            <groupId>com.baomidou</groupId>
            <artifactId>mybatis-plus-boot-starter</artifactId>
            <version>3.3.1.tmp</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>

        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
        </dependency>

创建数据库和数据库表

在这里插入图片描述

创建实体类

package com.yyp.securitydemo1.entity;

import lombok.AllArgsConstructor;
import lombok.Data;
import lombok.NoArgsConstructor;

@Data
@AllArgsConstructor
@NoArgsConstructor
public class Users {
    private Integer id;
    private String username;
    private String password;
}

整合MybatisPlus,创建接口,继承MybatisPlus接口

public interface UsersMapper extends BaseMapper<Users> {
}

在MyUserDetailsService调用mapper里面得方法查询数据库进行用户认证

package com.yyp.securitydemo1.service;

import com.baomidou.mybatisplus.core.conditions.query.QueryWrapper;
import com.yyp.securitydemo1.entity.Users;
import com.yyp.securitydemo1.mapper.UsersMapper;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.List;

@Service("userDetailsService")
public class MyUserDetailsService implements UserDetailsService {

    @Autowired
    private UsersMapper usersMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        QueryWrapper<Users> wrapper = new QueryWrapper();
        wrapper.eq("username",username);
        Users user = usersMapper.selectOne(wrapper);
        if (user == null){
            throw new UsernameNotFoundException("用户名不存在!");
        }
        List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role");
        return new User(user.getUsername(),new BCryptPasswordEncoder().encode(user.getPassword()),auths);
    }
}

添加mapper扫描

在这里插入图片描述

程序猿小鹏
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security中文版
11-22
本书的写作遵循了这样的一个开发模式,这个模式我们感觉提供了一个有用的前提来解决复杂的话题—— 即使用一个基于Spring3的web工程作为基础,以理解使用Spring Security3使其保证安全的概念和策略。 不管你是不是已经使用Spring Security还是只是对这个软件有兴趣,就都会在本书中得到有用的信息。 在本节的内容中,你能够: l 检查一个虚拟安全审计的结果 l 讨论web应用通常的一些安全问题 l 学习软件安全中的几个核心词汇和概念
今日谈谈我对Springsecurity理解
qq_40783525的博客
05-10 1041
Springsecurity主要作用是安全访问控制,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 其中核心功能有:应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分 如果您当前系统是一个单体应用开发且需要用户认证、和权限管理,Springsecurity简单配置就可以完成,大大的减少编码量。 基本概念: 1.什么是认证? 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝等,下边拿微信来
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 9134
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
SpringSecurity详解
m0_71012114的博客
10-19 4880
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
spring security理解
索隆有几把刀的博客
05-10 253
spring security理解 要想搞清楚springsecurity 最好的切入点 是搞清楚 security的认证流程。这才是这个知识的主干。 主要原理 spring security 是基于servlet的filter。 核心类 框架的魅力就在于,它即是方便也是限制。 所以为了能用上它的方便,我们就得接受它的限制。 要想搞清楚认知流程 又得先说说几个核心类。 首先我们得实现一个继承了UserDetail的类,表示用户的一些基本信息,用户名,密码,角色等信息。然后实现一个UserDetailSe
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 1770
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
SpringBootSpringSecurity的支持
架构之路
11-22 6345
SpringBoot针对SpringSecurity的自动配置在org.springframework.boot.autoconfigure.security包中,主要通过SecurityAutoConfiguration和SecurityProperties来完成配置。SecuritAutoConfiguration导入了SpringBootWebSecurityConfiguration中的配置
SpringSecurity--工作原理详解
吴声子夜歌的博客
03-30 3678
结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring ...
Spring Security 将用户数据存入数据库
09-07
主要介绍了Spring Security 如何将用户数据存入数据库,帮助大家更好的理解和学习Spring Security,感兴趣的朋友可以了解下
Spring Security OAuth2.0学习笔记.zip
10-27
理解Spring Security的工作原理,Spring Security结构总览,认证流程和授权,中间涉及到哪些组件,这些组件分 别处理什么,如何自定义这些组件满足个性需求。 OAuth2.0认证的四种模式?它们的大体流程是什么? ...
SpringBoot集成Spring Security实现角色继承【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现角色继承 适合小白,刚刚接触security权限框架的小白,或者开发人员,可以加深对security理解
Spring Security详细介绍及使用含完整代码(值得珍藏)
02-08
我们将从Spring Security的基本概念开始,逐步深入到配置和使用,确保读者能够充分理解并掌握Spring Security的核心内容。 Spring Security是一个功能强大且高度可定制的安全框架,专为基于Spring的企业应用系统...
Springboot+Vue项目-基于Java+MySQL的IT技术交流和分享平台系统(附源码+演示视频+LW)
2301_77929081的博客
04-25 677
大家好!我是程序猿老A,感谢您阅读本文,欢迎一键三连哦。精彩专栏推荐👇🏻👇🏻👇🏻springboot042IT技术交流和分享平台的设计与实现原版高清演示视频-编号042: https://pan.quark.cn/s/5cda95b17ee0 https://download.csdn.net/download/2301_76953549/89099733【如需全文请按文末获取联系】 本IT技术交流和分享平台是基于Spring Boot框架,采用Java技术,MYSQL数据库进行开发的。系统具
问题-MySQL将较大的SQL文件导入MySQL
最新发布
qq_1905369638
04-25 294
迁移数据的时候,我们有时候会用sqlyog等数据库工具导入到新数据库。可能插入的SQL语句太大,出现导入一半失败的情况。明明代码没错,这让人摸不着头脑。
MySQL--数据的增删改
pzn2506的博客
04-19 637
文中[ ]里面的内容可写可不写文中[ ]里。
MySQL InnoDB事务处理探秘:原理、特性与实战攻略
知行同学
04-22 273
通过本文的剖析,希望您能掌握InnoDB事务的原理、特性,以及如何在实际工作中进行有效的事务管理与优化,为您的业务数据保驾护航。根据SQL标准,InnoDB支持四种事务隔离级别:读未提交(RU)、读已提交(RC)、可重复读(RR,InnoDB默认级别)和串行化(S)。每个事务只能看到自己开始之前已经提交的版本和自己创建的新版本,如同戴上“时间眼镜”,每个事务看到的是特定时间点的数据快照。事务是数据库执行的一系列操作的集合,这些操作要么全部成功,要么全部失败,确保了数据的原子性。如同原子操作,不可分割。
索引【MySQL
Man9o
04-22 896
索引是一种数据结构,用于快速查找和访问数据库表中的数据。索引的主要目的是提高查询效率,减少数据库的搜索时间。可以把它想象成一本书的目录:不需要逐页浏览整本书来找到特定的内容,而是直接查看目录,快速定位到所需的部分。数据库按记录为单位存储数据,如果不使用索引而采取遍历查询数据,其时间复杂度是ONO(N)ON。索引是数据的目录。在 MySQL 中,索引也叫做 Key。索引的效率取决于索引列的值是否散列,即该列的值如果越互不相同,那么索引效率越高。
SpringSecurity理解
03-30
Spring Security是一个基于Spring框架的安全框架,提供了一组开箱即用的安全功能,包括身份验证、授权、攻击防护等。它可以与Spring应用程序无缝集成,并提供了大量的配置选项,让开发者可以根据自己的需求来定制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值