spring安全_笔记

最新推荐文章于 2022-09-21 16:01:30 发布
最新推荐文章于 2022-09-21 16:01:30 发布
阅读量174 收藏
点赞数
分类专栏: 个人总结
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yun6713/article/details/103411593
版权

文章目录


安全框架:spring security、jwt、OAuth、shiro、cas
核心概念:Authentication登录、Authorization授权;filter过滤实现。

Spring Security

官网文档:https://docs.spring.io/spring-security/site/docs/5.1.5.RELEASE/reference/htmlsingle/
@EnableGlobalMethodSecurity,开启方法级安全
spring security默认:user、随机密码;配置:spring.security.user.name/password

Spring Security架构

http://www.spring4all.com/article/433
Authentication认证(身份验证)、Authorization授权(访问控制)。
Design to seperate authentication from authorization。
过滤器实现:UsernamePasswordAuthenticationFilter、AnonymousAuthenticationFilter、ExceptionTranslationFilter、FilterSecurityInterceptor
Authentication
核心:AuthenticatonManager/ProviderManager、AuthenticationProvider、Authentication
定制:继承WebSecurityConfigurerAdapter,重写configure(),通过AuthenticationManagerBuilder定制local AuthenticationManager。
UserDetailsService,解耦认证与用户信息获取。
Authorization
核心:AccessDecisionManager、AccessDecisionVoter
SecurityContext
核心:SecurityContextHolder、SecurityContext
安全内容,绑定到线程。
FilterChain
责任链模式;FilterChain–DelegatingFilterProxy/FilterChainProxy/FilterChain、Filter
SecurityContextPersistenceFilter;
UsernamePasswordAuthenticationFilter;身份验证
AnonymousAuthenticationFilter;
ExceptionTranslationFilter;
FilterSecurityInterceptor;访问控制
tomcat FilterChain:ApplicationFilterChain,包含Filter(Filter、DelegatingFilterProxy)
DelegatingFilterProxy持有FilterChainProxy,FilterChainProxy持有多个FilterChain;通过url匹配,返回适合的FilterChain,最终逐一执行。
DelegatingFilterProxy模式,关联web.xml配置、spring bean。
HttpSecurity@addFilterAt();不覆盖原filter,并行判定
权限
https://docs.spring.io/spring-security/site/docs/5.1.6.RELEASE/reference/htmlsingle/#el-access
https://www.cnblogs.com/jaylon/p/4905769.html
注解

  • @Secured;securedEnabled,@Secured(“ROLE_ADMIN”)
  • @RoleAllow;jsr250Enabled,@RoleAllow(“ROLE_ADMIN”)
  • @PreAuthorize;prePostEnabled,可使用spEL表达式。
  • @PostAuthorize;
  • @PreFilter;
  • @PostFilter;

表达式

  • authentication、principal;
  • #varName,引用方法变量
  • permitAll、denyAll;true、false
  • hasRole、hasAnyRole;角色
  • hasAuthority、hasAnyAuthority;权限
  • hasIpAddress(IP Adress);用户地址
  • isAnonymous();是否为匿名用户
  • isAuthenticated();不是匿名用户
  • isFullyAuthenticated();不是匿名也不是remember-me认证
  • isRemberMe();remember-me认证

permission权限
需自己实现PermissionEvaluator;
继承GlobalMethodSecurityConfiguration,重写createExpressionHandler;设置DefaultMethodSecurityExpressionHandler的处理类为自己实现的PermissionEvaluator

SpringBoot整合

导包:spring-boot-starter-security
配置:WebSecurityConfigurerAdapter配置安全策略,@EnableWebSecurity开启;UserDetailsService/UserDetails,用户获取
登录:HttpSecurity配置。
权限:配置安全策略时添加权限。

  • @EnableGlobalMethodSecurity,通过其属性开启权限注解
  • @PreAuthorize,权限注解,prePostEnabled=true开启;角色名ROLE_开头。
  • https://blog.csdn.net/l18767118724/article/details/72934564

密码加密:NoOpPasswordEncoder.newInstance(),无加密

  • 其他PasswordEncoder实例,加密。

获取用户:SecurityContextHolder/SecurityContext
操作权限:菜单判定
jwt登录;https://www.jianshu.com/p/d5ce890c67f7
https://blog.csdn.net/gaoleijie/article/details/82659168

  • 继承AbstractAuthenticationProcessingFilter,拦截请求,构建token,提交验证;
  • 配置AuthenticationManager,WebSecurityConfigurerAdapter#authenticationManager()
  • 配置登录后成功、失败的handler
    注意
    1,HttpSecurity#loginPage();指定自定义登录页面路径,页面需自己写
    2,AuthenticationManagerBuilder#passwordEncoder();指定密码加密策略,保存时需encode()加密保存

Spring Security OAuth2

验证过程类似cas。
概念:客户端、资源服务器、授权服务器、用户/浏览器
模式:

  • 授权码模式;授权码浏览器中转、token浏览器不可见
  • 简化模式;给token
  • 密码模式;用户名、密码给client
  • 客户端模式;client视作用户,通过clientId,secret登录

步骤:配置资源服务器、配置授权服务器、配置spring security

Spring for All整理

http://www.spring4all.com/article/449
OAuth 客户端模式原理
/oauth/token,获取令牌
用户验证,客户端验证;验证逻辑与spring security相似。
ClientCredentialsTokenEndpointFilter;构建待验证authentication。
AuthenticationManager;验证;UserDetailsService、ClientDetailsUserDetailsService;获取信息。PasswordEncoder密码加密策略
TokenEndpoint;构建TokenRequerst,交由TokenGranter构建token。principal由AuthenticationManager载入。
TokenGranter;授权模式,构建token

  • ResourceOwnerPasswordTokenGranter => password密码模式
  • AuthorizationCodeTokenGranter => authorization_code授权码模式
  • ClientCredentialsTokenGranter => client_credentials客户端模式
  • ImplicitTokenGranter => implicit简化模式
  • RefreshTokenGranter =>refresh_token 刷新token专用

安全策略配置
ResourceServerConfigurerAdapter#configure();配置访问权限
oauth资源服务器中配置拦截范围,防止与spring security冲突,http.requestMartchers().antMartchers(…)。
springBoot1.3~1.5,添加配置security.oauth2.resource.filter-order=3。

JWT(Json Web Token)

加密信息的交互;介绍:http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html
三部分:header、payload、signature。
导包:com.auth0#java-jwt
spring security、jwt权限写入
//构建权限;princ为用户,credi为密码,auths为权限
Authentication auth = new UsernamePasswordAuthenticationToken(princ,credi,auths);
//写入权限;清除权限
SecurityContextHolder.getContext().setAuthentication(auth);
SecurityContextHolder.getContext().setAuthentication(null);

加密解密类

单向加密
信息摘要,无法解密
MD5
BCryptPasswordEncoder;只能加密,无法解密。

  • PasswordEncoder pe = new BCryptPasswordEncoder();
  • PasswordEncoder#encode();加密
  • PasswordEncoder#matches();匹配

双向加密
Base64工具类
Rsa

yun6713
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security笔记.rar
05-07
Spring Security学习笔记
Spring Security以及shiro学习
qq_34429554的博客
10-12 252
Spring SecuritySpring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 官网:https://spring.io/projects/spring-securityspringboot中使用Spring Securi
SpringCloud整合Activiti踩坑记录
liuzhongyu
09-07 1553
最近需要用到工作流,选择了Activiti,刚开始配置起来并没有很顺利。记录一下希望对读者们有帮助。 先来看我这边项目的环境:主要为JDK1.8,SpringbBoot2.3.5,MyBatis-Plus3.3.2, MySql8.0.21,Shiro1.5.3,idea 2020.2 <java.version>1.8</java.version> <spring.cloud.version>Hoxton.SR9</spring.cloud.version
Spring 安全表达式简介
allway2的博客
09-21 952
最后,我们服务的某些部分要求用户再次进行身份验证,即使用户已经登录。,旨在成为表达式系统和 Spring Security 的 ACL 系统之间的桥梁,允许我们基于抽象权限指定单个域对象的授权约束。在查看更复杂的实现(例如 ACL)之前,重要的是要牢牢掌握安全表达式,因为如果使用得当,它们会非常灵活和强大。使用此配置,我们将授权所有用户(包括匿名用户和登录用户)访问以“/”开头的页面(例如,我们的主页)。在本教程中,我们将重点介绍 Spring 安全表达式,以及使用这些表达式的实际示例。
SpringSecurity安全框架的笔记
weixin_47120348的博客
04-23 156
springsecurity安全框架是自定义的安全框架,核心功能就是对用户进行认证,访问授权控制, spring security安全框架是被springboot集成了可以直接引入启动器, 自定义登录逻辑控制认证,只需要实现UserDetailsService接口,就可以定义登录逻辑判断 这个接口中有方法loadUserByUsername()返回值是一个userdetails接口 user类是userdetails接口的实现类 passwordEncoder密码解析器 spring se..
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
Spring Security开发rest服务 笔记 饶浩|Spring Security开发rest服务 笔记 饶浩.docx
09-24
spring security开发rest服务笔记。总共300页。持续更新中..........................................................
spring框架学习笔记(全).pdf
11-28
spring框架学习笔记(全).pdf
Spring Boot 进阶笔记(详细全面) 中文PDF完整版.pdf
05-08
本资料主要包含了Spring Boot的高级应用,包括Spring Boot的自动配置、Spring Boot的Web开发、Spring Boot的数据访问、Spring Boot的缓存、Spring Boot的消息队列、Spring Boot的安全Spring Boot的测试等方面的...
安全框架 ShiroSpring Security 如何选择?
热门推荐
良月柒
09-25 4万+
点击上方"程序员的成长之路",选择"置顶或星标"你关注就是我关心的!安全框架安全框架,简单说是对访问权限进行控制,应用的安全性包括用户认证(Authentication)...
对比整合shirospringsecurityspringboot项目):授权资源和认证登录
furenqiang的博客
12-08 1209
springboot整合shiro授权资源和认证登录 一、在pom.xml文件里添加shiro依赖 <!--shiro-spring依赖--> <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId&g...
springsecurity简单学习
weixin_34248258的博客
10-18 63
一、初识SpringSecurityspringboot项目中加入spring security。 1、在pom.xml中加入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security&lt...
用户的认证和授权
qq_44322555的博客
04-12 8982
今天简单来介绍一下项目中的用户认证和授权是怎么做的,也是我之前作过的项目中所经历过的一个模块;今天来整理一下,分享一下经验共同来探讨改进这一部分; 先来介绍一下用户的认证和授权所用到的技术点都有那些;这些是我做这个认证和授权时用到的技术点,可能有所欠缺 springSecurity+Oauth2、JWT、BCryptPasswordEncoder 1、概念说明: 什么是用户认证 用户身份认证就是用......
SpringBoot攻略十四、spring security oauth2服务端(client_credentials客户端模式)
java爱分享
08-01 3310
上一篇:【SpringBoot攻略十三、spring security oauth2服务端(password密码模式)】 基于上一篇做如下修改就OK了! 1、OAuth2AuthorizationServerConfig授权服务器 删除 // password模式需要authenticationManager //endpoints.authenticationManager(authentica...
spring security oauth2 常用授权方式配置详细教程(一)
tiancxz的专栏
09-28 1万+
spring security oauth2 简单配置说明 工程说明: <modules> <!-- 项目依赖--> <module>spring-security-oauth2-dependencies</module> <!-- 认证服务器--> <module>spring-security-oauth2-server</module>
Spring--spring-oauth-server 数据库表说明
blues的博客
10-16 803
以下对spring-oauth-server项目中的oauth.ddl文件(位于/others/database目录)中的表字及段进行说明, 内容包括字段说明与使用场合 表名 字段名 字段说明 oauth_client_details client_id 主键,必须唯一,不能为空. 用于唯一标识每一个客户端(client); 在注册时必须填写(也可由服务端自动生成). 对于不同的grant_type,该字段都是必须的. 在实际应用中的另一个名称叫appKey,与cl
Spring Security OAuth专题学习-密码模式及客户端模式实例
icarusliu的专栏
02-25 1866
在https://blog.csdn.net/icarusliu/article/details/87911093一文中,介绍了OAuth的一些背景知识;本文将编写一个简单的示例,演示授权模式中的密码模式及客户端模式如何实现。 本示例中涉及到的几个对象其关系如下图所示: 密码模式一般用于用户对客户端信任度最高的情况下,因为客户端需要保存用户在授权服务器中的用户名及密码信息,客户端可以访问所有用户...
“推荐系统”相关资源推荐
最新发布
06-14
推荐了国内外对推荐系统的讲解相关资源
spring boot学习笔记 pdf
02-03
还介绍了如何使用Spring Boot来开发Web应用程序、数据访问层和安全性功能。 学习笔记还包含了一些常见问题和解决方案,以及一些实际示例。这些示例可以帮助读者更好地理解和应用Spring Boot框架。 总的来说,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值