SpringSecurity-1(认证和授权+SpringSecurity入门案例+自定义认证+数据库认证)

已于 2024-08-03 19:41:18 修改
阅读量424 收藏 12
点赞数 4
文章标签: spring java
于 2024-08-03 19:15:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinying293/article/details/140895000
版权

SpringSecurity

目标模块:

  1. 初识认证和授权
  2. 案例入门
  3. 理解SpringSecurity过滤器
  4. 使用自定义认证页面
  5. 使用数据库完成认证

1 初识权限管理

1.1 权限管理的概念

权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。
在权限管理的概念中,有两个非常重要的名词:
认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。
如何理解认证?用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录,二维码登录,手机短信登录,指纹认证等方式。
授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源。
如何理解授权?拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等。其中有一个功能:微信运动。只有你授权运行微信运动功能的运行,你每天才可以看见你的步数。如果不授权你是看不到的。

1.2 权限管理的三个对象

用户:主要包含用户名,密码和当前用户的角色信息,可实现认证操作。
角色:主要包含角色名称,角色描述和当前角色拥有的权限信息,可实现授权操作。
权限:权限也可以称为菜单,主要包含当前权限名称,url地址等信息,可实现动态展示菜单。
注:这三个对象中,用户与角色是多对多的关系,角色与权限是多对多的关系,用户与权限没有直接关系,二者是通过角色来建立关联关系的。

1.3 什么是SpringSecurity

请添加图片描述

SpringSecurity是spring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。

2 SpringSecurity第一个入门程序

2.1 SpringSecurity需要的依赖

SpringSecurity主要jar包功能介绍:

  • spring-security-core.jar核心包,任何SpringSecurity功能都需要此包。
  • spring-security-web.jar web工程必备,包含过滤器和相关的Web安全基础结构代码。spring-security-config.jar用于解析xml配置文件,用到SpringSecurity的xml配置文件的就要用到此包。
  • spring-security-taglibs.jarSpringSecurity提供的动态标签库,jsp页面可以用。
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>由于和web工程集成,我们在项目中可以不用引入core和web的依赖。因为spring工程有spring-core包,springmvc有spring-web包。可以依赖传递过来。
2.2 创建web工程
2.2.1 使用maven构建web项目

构建过程省略,然后引入相关的依赖。

<properties>
  <spring.version>5.1.6.RELEASE</spring.version>
  <spring.security.version>5.1.6.RELEASE</spring.security.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-context</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>javax.servlet-api</artifactId>
<version>3.1.0</version>
<scope>provided</scope>
</dependency>
<dependency>
<groupId>javax.servlet</groupId>
<artifactId>jsp-api</artifactId>
<version>2.0</version>
<scope>provided</scope>
</dependency>

<dependency>
<groupId>org.slf4j</groupId>
<artifactId>slf4j-log4j12</artifactId>
<version>1.7.26</version>
</dependency>

<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
</dependencies>
2.2.2 配置web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
         http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">
  <display-name>Archetype Created Web Application</display-name>
 <!-- <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring-security.xml</param-value>
  </context-param>-->
  <!--监听器-->
 <!-- <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>-->
  <!--委派过滤器-->
  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
</web-app>
2.2.3 创建springSecurity.xml
<?xmlversion="1.0"encoding="UTF-8"?>
<beansxmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!--
auto-config:true开启spring-security的自动配置
use-expressions="true"允许使用spring表达式
-->
<security:http auto-config="true"use-expressions="true">
<!--
intercept-url:拦截的请求资源/**所有的请求全部拦截
access:访问资源所需要的角色
-->
<security:intercept-urlpattern="/**"access="hasAnyRole('ROLE_ADMIN','ROLE_USER')"></security:intercept-url>
</security:http>
<!--配置认证管理器-->
<security:authentication-manager>
<!--配置认证提供者-->
<security:authentication-provider>
<!--配置认证服务-->
<security:user-service>
<!--
配置认证者
name用户名
password密码
authorities权限资源
-->
<security:username="user"password="{noop}user"authorities="ROLE_USER"></security:user>
<security:username="admin"password="{noop}admin"authorities="ROLE_ADMIN"></security:user>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
2.2.4 加载springSecurity.xml配置文件
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

整个web.xml文件最后目录如下:
请添加图片描述

到这里,我们第一个springSecurity案例搭建完毕。启动tomcat,查看效果:

请添加图片描述

这个登录页面是谁写的?我们查看网页源代码看看:
请添加图片描述

我们再去看看控制台发生了什么:

请添加图片描述

我们发现加载了很多过滤器。
最后,我们在这个登录页面上输入用户名user,密码user,点击Signin,好了,总算再次看到首页了!

请添加图片描述

yinying293
关注
  • 4
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity框架教程-Spring Security+JWT实现项目级前端分离认证授权
m0_45209551的博客
05-10 929
SpringSecurity框架使用到讲解
SpringSecurity入门Demo实例
10-15
在这个入门Demo实例中,我们将探讨如何配置和使用Spring Security来保护我们的Java应用。教程链接提及的CSDN博客文章提供了详细的步骤,指导我们逐步创建一个基本的Spring Security应用。 首先,我们需要在项目中...
SpringSecurity-2(认证授权+SpringSecurity入门案例+自定义认证+数据库认证
最新发布
yinying293的博客
08-04 647
SpringSecurity-2(认证授权+SpringSecurity入门案例+自定义认证+数据库认证
【实战运用】SpringSecurity+Redis+Jwt实现用户认证授权
k123456kah的博客
01-19 1405
Spring Security是一个强大且灵活的身份验证和访问控制框架,用于Java应用程序。它是基于Spring框架的一个子项目,旨在为应用程序提供安全性。Spring Security致力于为Java应用程序提供认证授权功能。开发者可以轻松地为应用程序添加强大的安全性,以满足各种复杂的安全需求。
Spring Boot | Spring Security ( SpringBoot安全管理 )、Spring Security中 的 “自定义用户认证
m0_70720417的博客
04-29 1346
目录 : Spring Boot 安全管理 : 一、Spring Security 介绍 二、Spring Security 快速入门 2.1 基础环境搭建 : ① 创建Spring Boot 项目 ② 创建 html资源文件 ③ 编写Web控制层 2.2 开启安全管理效果测试 : ④ 添加 spring-boot-starter-security 启动器 ⑤ 项目启动测试 三、"MVC Security" 安全配置介绍 四、自定义 "用户认证" ......
SpringBoot+SpringSecurity+Jwt实现认证授权
一个肥鲇鱼博客
01-18 1020
*** 自定义退出处理类* @Author: 一个肥鲇鱼*/@Component/*** 退出处理* @return*/@Override// R.success是统一返回类,可自行定义ServletUtils.renderString(response, JSON.toJSONString(R.success("退出成功")));将退出类添加到过滤链中/*** token认证过滤器*//*** 退出处理*/@Overridehttp// 关闭csrf。
SpringSecurity-02-基于前后端分离和JWT载体的认证授权
苍煜
08-06 312
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。系统为什么要认证认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。认证:用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。......
Spring Security+JWT在前后端分离项目中,实现认证授权入门及理论讲解
penriver的博客
05-03 1585
SpringSecurity的原理其实就是一个过滤器链,内部包含了提供各种功能的过滤器。包含如下核心过滤器 - UsernamePasswordAuthenticationFilter: 根据用户名及密码进行认证工作 - ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和 AuthenticationException - FilterSecurityInterceptor: 负责进行授权操作 本文讲解认证授权入门及理论讲解
SpringSecurity-从入门到精通
热门推荐
Lifelong learning
04-10 3万+
SpringSecurity入门到精通 介绍 0. 简介 ​ Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。 ​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。 ​ 一般Web应用的需要进行认
如何利用SpringSecurity进行认证授权
qq_63218110的博客
02-14 4195
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库
02-16
通过以上步骤,我们可以构建一个基本的SpringBoot + Spring Security入门程序,实现用户登录和自动登录功能。这个程序结合了数据库集成、安全配置以及IDEA的使用,为开发者提供了一个完整的实践案例。在实际开发中,...
spring security 完整项目实例
01-07
Spring Security 是一个强大的安全框架,用于为Java应用提供身份验证和授权服务。在这个完整的项目实例中,我们将深入探讨Spring Security的核心概念以及如何将其应用于实际的Web应用程序开发。 首先,我们从用户、...
Spring Boot-实战
10-15
5. **安全控制**:介绍Spring Security的基本用法,包括认证授权、CSRF保护等,以及如何实现OAuth2认证。 6. **Actuator**:讲解如何使用Spring Boot Actuator进行应用监控,包括健康检查、指标收集、审计日志和...
dbApi-spring-boot-starter-demo:dbApi-spring-boot-starter案例代码
03-15
dbApi-spring-boot-starter的核心功能在于简化数据库访问层的实现,它集成了Spring Data JPA、MyBatis等主流持久层框架,同时也支持自定义数据访问策略。通过自动配置,开发者可以快速接入数据库,无需编写大量的DAO...
Spring MVC 快速入门指南及实战演示
2301_80237574的博客
08-03 397
SpringMVC是一种基于Java实现MVC模型的轻量级Web框架优点使用简单、开发便捷(相比于Servlet)灵活性强代码编写完后,我们要想测试,只需要打开浏览器直接输入地址发送请求即可。但是我们如果我们发送的是`GET`请求可以直接使用浏览器,但是如果要发送的是`POST`请求呢?如果要求发送的是post请求,我们就得准备页面在页面上准备form表单,测试起来比较麻烦。所以我们就需要借助一些第三方工具,如PostMan.
springboot中实现微信登录功能
zxxcccc11的博客
07-24 595
Controller层。
SpringBoot服务端数据校验
zhuge_long的专栏
08-03 441
在 Web 应用程序中,为了防止客户端传来的数据引发程序异常,常常需要对数据进行验证。数据验证分为:客户端验证服务端验证在Spring Boot 3中,参数校验是通过Bean Validation API实现的,这个API是JSR 380规范的一部分。Spring Boot集成了Hibernate Validator作为默认的校验器。所有的这些注解都有 message 属性,用于设置错误提示信息(如果没有设置,则会有默认的错误提示信息)。Hibernate Validator 实现了 JSR 303,它除了
【过滤器 vs 拦截器】SpringBoot中过滤器与拦截器:明智选择的艺术(如何在项目中做出明智选择)
weixin_68020300的博客
07-25 1273
本文深入剖析了SpringBoot框架下过滤器与拦截器的核心差异及应用场景,指导开发者在面对请求-响应周期中的不同需求时,如何做出最佳技术选择。无论是实现安全性、日志记录,还是权限控制与数据预处理,本文都将帮助你理解何时何地使用过滤器或拦截器,以构建更加高效、可维护的Web应用程序。通过对比二者的特性与优劣,本文旨在赋能开发者,使其在实际项目中灵活运用这两种强大工具,达成项目目标。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yinying293

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值