Spring Security基础教程:从入门到实战

已于 2024-05-09 08:52:25 修改
阅读量1.2k 收藏 13
点赞数 34
分类专栏: springboot 文章标签: spring boot kafka 后端
于 2024-05-06 09:25:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yaml4/article/details/138482200
版权
本文详细介绍了如何在Springboot项目中使用SpringSecurity进行身份认证(包括用户名&密码、OAuth2等)、授权规则的配置以及自定义登录页面。涉及了依赖管理、自定义用户设置、数据库查询用户权限等内容。
摘要由CSDN通过智能技术生成

作者介绍:✌️大厂全栈码农|毕设实战开发,专注于大学生项目实战开发、讲解和毕业答疑辅导。

 推荐订阅精彩专栏 👇🏻 避免错过下次更新

Springboot项目精选实战案例

更多项目:CSDN主页YAML墨韵

学如逆水行舟,不进则退。学习如赶路,不能慢一步。

目录

1. 简介

1.1 身份认证

1.2 授权

2. 实战案例

2.1 依赖管理

2.2 自定义用户

2.3 自定义授权规则

2.4 自定义用户查询

2.5 自定义登录页面

1. 简介

Spring Security 是一个提供身份验证、授权和防护常见攻击的框架。它为确保命令式和反应式应用程序的安全提供一流的支持,是确保基于 Spring 的应用程序安全的事实标准。

1.1 身份认证

身份验证是我们验证试图访问特定资源者身份的方式。验证用户身份的常用方法是要求用户输入用户名和密码。一旦进行了身份验证,我们就知道了用户的身份,并可以执行授权。Spring Security 提供对用户身份验证的内置支持。以下是Spring Security支持的认证机制:

  • 用户名 & 密码

  • OpenID Connect 的 OAuth 2.0 登录和非标准 OAuth 2.0 登录

  • SAML 2.0 登录

  • 中央认证服务器 (CAS)

  • 如何在会话过期后记住用户

  •  JAAS 身份验证

  • OpenID 身份验证(不要与 OpenID Connect 混淆)

  • SiteMinder 或 Java EE 安全性等外部机制进行身份验证

  • X509 认证

我们工作中用的最多的也就是"用户名 & 密码" 与 "OAuth2";所以,本篇文章就以用户名&密码讲解。

1.2 授权

无论你选择以何种方式进行身份验证--是使用 Spring Security 提供的机制和提供商,还是与容器或其他非 Spring Security 身份验证机构集成--你都会发现授权服务可以以一致而简单的方式在你的应用程序中使用。

2. 实战案例

2.1 依赖管理

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

当环境中引入上面的依赖后,默认情况会对所有的请求都进行拦截,同时启动服务时会输出随机密码,而用户则默认是"user"。

2.2 自定义用户

在配置文件中配置用户名密码等信息。

spring:  security:    user:      name: pack      password: 123456

当你在配置文件中做了如上配置后,控制台将不会输出随机生成的密码。

2.3 自定义授权规则

在上面的示例中,默认情况Spring Security对所有的请求进行拦截,有些时候我们希望只对某些请求进行拦截、静态资源自动放行,这时候就需要我们自定义授权规则。在Spring Security中是通过配置SecurityFilterChain Bean对象进行授权规则的配置。

@Bean
public SecurityFilterChain apiSecurity(HttpSecurity httpSecurity) throws Exception {
  // 关闭csrf
  httpSecurity.csrf(csrf -> csrf.disable()) ;
  // 拦截所有以/api/开头的请求
  httpSecurity.authorizeHttpRequests().antMatchers("/api/**").authenticated() ;
  // 放行所有的静态资源(其实,如果你这里就配置了一个/api/**,那么下面的都不用配置,因为只会拦截/api/)
  httpSecurity.authorizeHttpRequests().antMatchers("*.js", "*.css", "*.html").permitAll() ;
  // 而这配置,则会通过表单形式进行用户名&密码的登录授权操作。默认提供了简单的登录界面
  httpSecurity.formLogin(withDefaults()) ;
  return httpSecurity.build() ;
}

默认登录页

针对不同的请求配置不同的权限(角色)。

// 访问/api/前缀的请求用户必须具备MGR角色
httpSecurity.authorizeHttpRequests().antMatchers("/api/**").hasAnyRole("MGR") ;
// /admin/前缀的请求必须具备SUPER角色
httpSecurity.authorizeHttpRequests().antMatchers("/admin/**").hasAnyRole("SUPER") ;

配置文件中配置角色

spring:
  security:
    user:
      roles:
      - SUPER

当你不具备对应的角色,你将看到如下错误

2.4 自定义用户查询

在上面的示例中,都是基于配置文件进行用户的配置角色的设置,都是静态的信息,而实际工作中,都是需要从数据库中进行查询的。关于数据库的操作,我这里使用的spring data jpa。

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-data-jpa</artifactId>
</dependency>

实体User定义

@Entity
@Table(name = "p_user")
public class User implements UserDetails {

  private static final long serialVersionUID = 1L ;

  @Id
  @GeneratedValue(strategy = GenerationType.IDENTITY)
  private Long id ;
  private String username ;
  private String password ;
  private String email ;
  private String address ;
  private Integer age ;

  @Override
  public Collection<? extends GrantedAuthority> getAuthorities() {
    // 这里为了简单起见,就直接固定了
    return Arrays.asList(
          new SimpleGrantedAuthority("ROLE_MGR"),
          new SimpleGrantedAuthority("ROLE_NORMAL")
        );
  }
  @Override
  public String getPassword() {
    return this.password ;
  }
  @Override
  public String getUsername() {
    return this.username ;
  }
  // 下面几个方法你,也应该根据你实际系统用户的状态设置
  @Override
  public boolean isAccountNonExpired() {
    return true ;
  }
  @Override
  public boolean isAccountNonLocked() {
    return true ;
  }
  @Override
  public boolean isCredentialsNonExpired() {
    return true;
  }
  @Override
  public boolean isEnabled() {
    return true ;
  }
  // getter, setter
}

Spring Security中如果你需要基于数据库的验证,那么你还需要提供如下的配置Bean

@Bean
UserDetailsService packUserDetailsService(UserRepository userRepository) {
  return new UserDetailsService() {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      User user = userRepository.findByUsername(username) ;
      return user ;
    }
  } ;
}

@Bean
PasswordEncoder packPasswordEncoder() {
  // 生产环境中你不应该使用该种PasswordEncoder。
  return NoOpPasswordEncoder.getInstance() ;
}

UserRepository接口

public interface UserRepository extends JpaRepository<User, Long> {

  // 我这是由于有很多的重复数据,所以。。。
  @Query(value = "select * from p_user u where u.username = ?1 limit 1", nativeQuery = true)
  User findByUsername(String username) ;

}

通过以上的配置就完成了与数据库的结合登录验证。

2.5 自定义登录页面

默认情况下的,登录页面你肯定不会应用到生产环境中,都会自定义登录页面。在如下目录新增自定义的登录页面

图片

配置

@Bean
SecurityFilterChain apiSecurity(HttpSecurity httpSecurity) throws Exception {
  // ...
  httpSecurity.formLogin(login -> login.loginPage("/login.html").loginProcessingUrl("/login")) ;
  return httpSecurity.build() ;
}

以上是本篇文章的全部内容,如对你有帮助就请作者吃个棒棒糖🍭。

完毕!!!

推荐文章

使用RabbitMQ消息队列和Redis缓存优化Spring Boot秒杀功能

Spring Boot + 支付宝支付:一站式集成指南

Spring Boot整合Elasticsearch

Spring Boot与RabbitMQ整合:实现高可用消息队列服务

Spring Boot携手OAuth2.0,轻松实现微信扫码登录!

快速上手Spring Boot与Mybatis Plus集成

《布隆过滤器:原理、应用与使用方法深度解析》

《深度解析:Redis缓存穿透、击穿与雪崩的区别及应对策略》

Spring框架九大核心功能全面揭秘(一)

权威解析Spring框架九大核心功能(续篇):专业深度,不容错过

Spring框架九大核心功能全面解读(三):探寻功能之巅

揭秘Spring Boot中@Transactional注解失效的七大坑点与修复之道

RabbitMQ Spring Boot 配置与使用指南

Spring Boot集成RabbitMQ实现消息队列生产者与消费者

Yaml墨韵
关注
  • 34
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
SpringSecurity-从入门到精通 demo源码
06-21
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认证和授权。 ​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 ​ 授权:经过认证后判断当前用户是否有权限进行某个操作 ​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。
spring源码从入门到放弃
06-02
Spring源码从入门到放弃》是一本针对深入理解Spring框架源码的教程,尤其针对Spring 5版本进行了详尽的解析。Spring作为Java企业级应用的基石,其丰富的功能和强大的灵活性使得它在全球范围内被广泛应用。源码阅读...
SpringSecurity实战解析
Shawn的个人博客
04-07 961
提供了两种认证方式:HttpBasic 认证和 HttpForm 表单认证。HttpBasic 认证不需要我们编写登录页面,当浏览器请求 URL 需要认证才能访问时,页面会自动弹出一个登录窗口,要求用户输入用户名和密码进行认证。大多数情况下,我们还是通过编写登录页面进行 HttpForm 表单认证(现在默认是这个模式)一般认证成功后的用户信息是通过 Session 在多个请求之间共享,实现将已认证的用户信息对象 Authentication 与 Session 绑定要开启Spring方法级安全,在添加了。
Spring Security入门实战
m0_46638350的博客
04-17 398
这是因为,你在pom.xml中导入了依赖包,等于告诉maven要导入Spring Security依赖,但是不等于已经导入了Spring Securtiy,因为maven可能还没来得及导入,你就已经启动项目了。但是有时候导入依赖之后访问页面,也没有跳转到指定验证页面,这就是Spring Security没有生效。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。
一篇搞懂springsecurity项目实战(纯干货)
最新发布
m0_47963315的博客
03-25 1134
springsecurity学习起来还是有一些难度的,看这篇文章之前请先确保对使用比较熟悉,这篇将结合项目一起讲解,目前来看比较合适的开源项目就是若依,有时间可以拉下来源码看下,另外说句题外话推荐下我自己的AI平台,国内稳定使用gpt3.5等AI模型:BoomAI一般的认证授权的表设计是基于RBAC权限模型设计的,若依的权限设计一共5个表用户实体表,代码如下: 对于的表sql如下: 1.2 SysRole 角色实体表,代码如下: 对应表的创建 SQL 如下: 字段都写上注释,不多解释 roleKey 属性,
SpringSecurity+OAuth2权限管理实战
qq_42689918的博客
02-08 1162
Resource@Override} else {true, //用户账号是否过期true, //用户凭证是否过期true, //用户是否未被锁定//权限列表@Override@Override@Override@Override@Override@Override。
带你了解SpringSecurity,快来看看SpringSecurity实战总结~
老男孩的架构路
11-09 728
Spring 是非常流行和成功的 Java 应用开发框架,而Spring Security 正是 Spring 家族中的成员。Spring Security基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。主要包括“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring初学者入门教程 PDF带书签高清版
11-06
10. **实战案例**:结合实际项目,演示如何使用Spring框架开发一个完整的应用程序,从需求分析到部署上线的全过程。 学习过程中,读者应该注重理论与实践相结合,通过动手编写代码来巩固所学知识。随着对Spring的...
Spring入门到精通
06-30
Spring入门到精通》是一本全面覆盖Spring框架及其相关技术的教程,旨在帮助初学者和进阶者深入理解并熟练掌握Spring的核心概念和技术。在这个过程中,我们将涉及到以下几个关键知识点: 1. **Java编程基础**:...
spring入门教程书籍
07-24
这些书籍将帮助新手逐步理解Spring框架的核心特性,同时提供丰富的实例和最佳实践,帮助读者从基础到高级,全方位地掌握Spring技术栈,为后续的企业级应用开发打下坚实基础。通过学习和实践,你可以有效地提升自己的...
SpringBoot入门到进阶系列官方小册.rar
05-31
SpringBoot入门到进阶系列官方小册》是一份深入浅出的教程,旨在帮助初学者快速掌握SpringBoot框架,并逐步提升至高级应用水平。SpringBoot是Java开发领域中一个广泛使用的轻量级框架,它简化了Spring应用程序...
Spring Security 入门原理及实战
CHIKA2333的博客
07-27 214
上面我们看到默认情况下,spring为我们提供了一个「httpBasic」模式的简单登陆页面,并在控制台输出了密码(这个密码每次启动都是不一样的)。如果我们想用自己的定义的账号密码,则需要改配置。如下:我们新建一个类@Overridehttp.and()@Overrideauth.上面的配置其实和默认情况的配置几乎一样,只是这里定义了一个用户spring,和密码123456。
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 588
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证和授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
阿里内部盛赞的Spring Security实战秘籍,邀您一同探索
资料免费分享,点击名片
12-09 966
第1章 给大家简单的介绍Spring Security,创建了一个简单的Spring Security项目,带领大家初步领略Spring Security带来的便利。第2章 我们使用表单认证来保护URL资源。第3章 将更加深入地对Spring Security 进行配置,且初步使用授权机制。在验证用户名和密码之前,引入辅助验证可有效防范暴力试错,图形验证码就是简单且行之有效的一种辅助验证方式。本章将使用过滤器和自定义认证两种方式实现图形验证码功能。第5章 主要讲。
Spring Security——入门介绍
代码星辰的博客
10-05 2583
Spring Security——入门介绍
Spring Security实战
m0_64702880的博客
05-08 742
配置环境: 第一步:在health_parent父工程的pom.xml中导入Spring Security的maven坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring.security.version}</ver
一夜之间火爆GitHub的好文!!阿里资深架构师整理分享(内部)的SpringSecurity实战技术文档,看完我立马跪了!!
程序员高级码农
09-21 2089
前言 SpringSecurity是一个强大且高度可定制的安全框架,致力于为Java应用提供身份认证和授权。 Spring Security 的前身是 Acegi Security,在被收纳为Spring子项目后正式更名为Spring Security。在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,不仅新增了原生OAuth框架,还支持更加现代化的密码加密方式。可以预见,在 Java 应用安全领域,Spring Security会成为首先被推崇的安全解决方案。
SpringSecurity基础入门详解
小小默:进无止境
06-27 1058
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Yaml墨韵

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值