Spring Security入门

最新推荐文章于 2024-05-06 09:25:44 发布
最新推荐文章于 2024-05-06 09:25:44 发布
阅读量1k 收藏 2
点赞数
文章标签: spring java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinyin_xiao/article/details/124951176
版权

简介

Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security为基于J2EE企业应用软件提供了全面安全服务。 特别是使用领先的J2EE解决方案-spring框架开发的企业软件项目。

安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权 ** **(Authorization)**两个部分,这两点也是 Spring Security 重要核心功能。

(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录

(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。通俗点讲就是系统判断用户是否有权限去做某些事情。

在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。

Spring Security与Shiro的比较

官方网站:

https://spring.io/projects/spring-security

Spring Security

  • 和 Spring 无缝整合。

  • 全面的权限控制。

  • 专门为 Web 开发而设计。

    ◼旧版本不能脱离 Web 环境使用。

    ◼新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境。

  • 重量级。

Shiro

Apache 旗下的轻量级权限控制框架。Apache Shiro是一个强大且易用的Java安全框架,执行身份验证、授权、密码和会话管理。使用Shiro的易于理解的API,您可以快速、轻松地获得任何应用程序,从最小的移动应用程序到最大的网络和企业应用程序。

官网:https://shiro.apache.org/documentation.html

特点:

​ 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。

通用性。

​ 好处:不局限于 Web 环境,可以脱离 Web 环境使用。

​ 缺陷:在 Web 环境下一些特定的需求需要手动编写代码定制。

入门案例

添加依赖
		<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
         <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

编写Controller

@RestController
public class TestController {
   

    @GetMapping("/")
    public String hello(){
   
        return "hello";
    }
}
启动程序访问/

因安全框架的原因会将请求拦截自动跳转到认证页面,security默认提供的username为user,password在启动页会自动生成,输入默认账号密码认证成功后才会跳转显示hello!!!!
在这里插入图片描述
在这里插入图片描述

核心过滤器认识

在这里插入图片描述

在我们添加了SpringSecurity 依赖后,在项目的启动日志中,可以直观的看到SpringSecurity 的实现是通过filter chain实现的。

org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFil

ter

org.springframework.security.web.context.SecurityContextPersistenceFilter 

org.springframework.security.web.header.HeaderWriterFilter

org.springframework.security.web.csrf.CsrfFilter

org.springframework.security.web.authentication.logout.LogoutFilter 

org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 

org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter 

org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter

org.springframework.security.web.savedrequest.RequestCacheAwareFilter

org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter

org.springframework.security.web.authentication.AnonymousAuthenticationFilter 

org.springframework.security.web.session.SessionManagementFilter 

org.springframework.security.web.access.ExceptionTranslationFilter 

org.springframework.security.web.access.intercept.FilterSecurityInterceptor

FilterSecurityInterceptor :

动态实现根据用户访问的url进行权限管理

在动态实现根据访问的url进行权限认证时可以自定义FilterInvocationSecurityMetadataSource实现认证规则的配置(例根据用户请求url获取对应url的角色信息),修改FilterSecurityInterceptor自带MetadataSource,同时自定义AccessDecisionManager ,实现访问决策管理(根据登录用户查询到用户的角色,接着比对用户角色与当前url的角色,一致即可访问),最后在配置类中通过

http.authorizeRequests().withObjectPostProcessor(
	new ObjectPostProcessor<FilterSecurityInterceptor>() {
   
					@Override
					public <O extends FilterSecurityInterceptor> O postProcess(O object) {
   
						object.setSecurityMetadataSource(new CustomerFilterInvocationSecurityMetadataSource());
						object.setAccessDecisionManager(new CustomerAccessDecisionManger());
						return object;
					}
				}

实现根据url动态认证授权。。。。。。

//一个位于底层的针对http安全控制的拦截器
public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements
      Filter{
   
      //.......
      //核心方法 doFilter
      public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
   
		FilterInvocation fi = new FilterInvocation(request, response, chain);
		invoke(fi);
	}
		
	 //过滤器链执行   	
      public void invoke(FilterInvocation fi) throws IOException, ServletException {
   
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
   
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
			//进行过滤器链中过滤器的执行
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
   
			// first time this request being called, so perform security checking
			if (fi.getRequest() != null && observeOncePerRequest) {
   
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}
			//查看之前的filter是否通过
			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {
   
			//调用服务执行filter过滤器
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
   
				super.finallyInvocation(token);
			}

			super.afterInvocation(token, null);
		}
      } 
 }

UsernamePasswordAuthenticationFilter:

通过默认认证页输入用户名密码后,对/login的post请求做拦截,校验表单数据

//核心方法:
//默认用户名密码认证的url是/login,提交方式是post方式
public UsernamePasswordAuthenticationFilter() {
   
   super(new AntPathRequestMatcher("/login", "POST"));
}

// ~ Methods
// 默认提供的认证机制,默认只是获取到输入的用户名和密码进行比对,没有去查询数据库

public Authentication attemptAuthentication(HttpServletRequest request,
      HttpServletResponse response) throws AuthenticationException {
   
   if (postOnly && !request.getMethod().equals("POST")) {
   
      throw new AuthenticationServiceException(
            "Authentication method not supported: " + request.getMethod());
   }

   String username = obtainUsername(request);
   String password = obtainPassword(request);

   if (username == null) {
   
      username = "";
   }

   if (password == null) {
   
      password = "";
   }

   username = username.trim();

   UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
         username, password);

   // Allow subclasses to set the "details" property
   setDetails(request, authRequest);

   return this.getAuthenticationManager().authenticate(authRequest);
}

核心接口

UserDetailsService

Security中加载用户数据的核心接口,当配置中没有账号密码时,通过实现此接口可以自定义逻辑(连接数据库)控制账号、密码认证。

在我们自定义服务时,实现此接口即可。

public interface UserDetailsService {
   
   // ~ Methods
   // ========================================================================================================

   /**
    * Locates the user based on the username. In the actual implementation, the search
    * may possibly be case sensitive, or case insensitive depending on how the
    * implementation instance is configured. In this case, the <code>UserDetails</code>
    * object that comes back may have a username that is of a different case than what
    * was actually requested..
    *
    * @param
最低0.47元/天 解锁文章
yinyin_IT
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SecuritySpring Boot配置自定义登录接口
qq_43887341的博客
06-21 1168
SecuritySpring Boot配置自定义登录接口
Spring-Security实现登录接口
niulinbiao的博客
02-04 9054
SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。具体介绍和入门springSecurity入门
SpringSecurity详解,实现自定义登录接口
朱大虾
10-28 3619
目前市面上比较流行的权限框架主要实Shiro和,这两个框架各自侧重点不同,各有各的优劣。要在自己写的页面手动调用登录接口同时还要进行附加操作。层不可能从内存中查询用户,需要跟实际的权限数据库关联。编写登录接口,在其中调用方法。该接口需要再未登录的情况下可调用,所以要放开权限。编写个的实现类,重写方法,在改方法中根据传来的用户名去自己的权限数据库查询用户信息。封装到用户实体类中。
Spring Security基础教程:从入门到实战
最新发布
Yaml4的博客
05-06 1179
无论你选择以何种方式进行身份验证--是使用 Spring Security 提供的机制和提供商,还是与容器或其他非 Spring Security 身份验证机构集成--你都会发现授权服务可以以一致而简单的方式在你的应用程序中使用。在上面的示例中,都是基于配置文件进行用户的配置角色的设置,都是静态的信息,而实际工作中,都是需要从数据库中进行查询的。当环境中引入上面的依赖后,默认情况会对所有的请求都进行拦截,同时启动服务时会输出随机密码,而用户则默认是"user"。推荐订阅精彩专栏 👇🏻 避免错过下次更新。
Spring Security核心接口及功能概述,包括详细代码示例,你学了吗
qq_28245087的博客
06-27 742
解析:Spring Security是一个基于Spring框架的安全框架,用于保护应用程序的安全性。它提供了一系列的安全服务和功能,包括身份验证、授权、会话管理、加密和安全日志记录等。Authentication:用于表示用户的身份验证信息,包括用户名、密码、权限等。UserDetailsService:用于从数据库或其他数据源中获取用户信息,以便进行身份验证。UserDetails:用于表示用户信息的接口,包括用户名、密码、权限等。
ClassNotFoundException:DefaultSavedRequest
一名可爱的技术搬运工
05-25 1814
问题 使用Spring Security,哪个jar包含DefaultSavedRequest ? SEVERE: Exception loading sessions from persistent storage java.lang.ClassNotFoundException: org.springframework.security.web.savedreque...
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
spring security 入门demo
08-11
spring security 入门demo 非常不错 主要是完整
springboot+springsecurity入门
12-06
springboot+springsecurity入门,自定义表单登录
spring-security多个登录页面配置
09-17
spring-security多个登录页面配置,分开了前台登录页面和后台登录页面登录,还有注销返回的不同的界面。
基于SpringSecurity的UsernamePasswordAuthenticationFilter实现默认/login接口(不写controller中的/login)登录
weixin_46037781的博客
12-03 1404
文章目录一、思路二、UsernamePasswordAuthenticationFilter三、AbstractAuthenticationProcessingFilter最后 一、思路 登录,首先有失败与成功两种情况 我们需要一个登录过滤器,进行两种情况的返回 所以,我们得知道SpringSecurity监听/login是怎样的。 二、UsernamePasswordAuthenticationFilter 看到这个过滤器,会先过滤/login接口,并获取两个主要的参数 这个过滤器的方法,有
spring-security 默认登录页面(一)
modelmd的博客
02-01 1834
Spring Security是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何生产的呢?
【权限管理】使用spring security 实现默认登录,源码解析
燃尽余火的博客
05-06 1897
【权限管理】使用spring security 实现默认登录,源码解析 其他文章可以通过菜单查看:【BookCase 菜单】 1、前言 在springboot 之前使用shiro实现权限管理的比较多,现在使用springboot 整合spring security 更方便。 2、实现 创建子项目 bookcase-auth 添加配置 <dependency> <groupId>com.github.xiaoymin</groupId> <artifac
SpringSecurity框架学习
xlsj雪松的博客
09-18 849
最近学习和研究了springboot+shiro框架的RBAC实现,顺便学习一下另一个权限框架SpringSecurity
自定义SpringSecurity的登陆接口
weixin_35749440的博客
01-06 764
Spring Security 中,可以使用自定义的登录接口来实现自定义的登录逻辑。 首先,你需要继承 UsernamePasswordAuthenticationFilter 类并重写 attemptAuthentication 方法,在这个方法中编写你的登录逻辑。然后,使用 AuthenticationManager 去验证用户名和密码。 接下来,你需要在你的 Spring Secur...
Spring Security 自定义用户信息端点与多种登录方式共存
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-21 2192
我们之前对接第三方OAuth2快捷登录,只要通过配置文件即可实现对接,但是总有一些第三方登录会返回各种各样的格式,导致默认的OAuth2无法使用。为了能够自定义扩展,我们重新创建项目,命名为、。:修改/userinfo,将返回信息包装一下,返回code等属性:自定义获取userInfo的逻辑} }定义了一个Result包装类,这是框架常有的返回结果包装类。userInfoRes . setUsername("阿提说说");} }
SpringSecurity之二:web自定义用户登录
铃萌的博客
05-01 2517
官方文档:Hello Spring Security :: Spring Security 一、认证流程 先了解下SpringSecurity认证的流程,如下图(图片来自官网): step1:用户提交请求,AbstractAuthenticationProcessingFilter会从请求信息中生成Authentication对象,Authentication对象根据AbstractAuthenticationProcessingFilter子类决定; step2:通过Authentication.
springsecurity入门
09-13
以下是你入门Spring Security的步骤: 1. 添加Spring Security依赖:在你的项目中,通过Maven或Gradle添加Spring Security的依赖。例如,在Maven中,你可以添加以下依赖: ```xml <groupId>org.springframework....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值