Spring :SpringSecurity初探

最新推荐文章于 2024-09-30 08:30:00 发布
最新推荐文章于 2024-09-30 08:30:00 发布
阅读量429 收藏
点赞数
分类专栏: Java SpringBoot 文章标签: SpringSecurity Spring Spring Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yunjian01/article/details/83659659
版权

文章目录

什么是Spring Security

是个安全框架,就是用来验证身份和权限的那种。这个框架使用十分广泛,但是并不是很好理解,我在公司的新项目中就需要使用这个框架进行用户身份的验证和识别,并且这个需求要与JWT进行整合使用。

什么是JWT

JWT是Json Web Token的简称,我比较喜欢叫他用户令牌,用户在访问一些需要授权的地址的时候就需要在http的header上面携带Token,这样服务器就能够认识这个用户,并且了解他所拥有的权限。

Token的来源就是用户的登录,用户在登录的时候,服务器在验证了用户名和密码之后就会生成一个Token。

JWT包含这些部分:头部,明文负载,加密签名。这三部分被编码为Base64的形式,之间使用点.连起来,是长长的一串,通过Base64解码可以直接得到前两部分的具体内容,一般会包括一些类似于签发人,加密算法等相关内容,服务器可以通过这些内容验证一个用户的身份。

使用JJWT库可以很方便的生成一个JWT,这个后续在详细说明。

Spring Security工作流程

在用了一下之后,粗略的整理了一个思维导图,是这样的:
Spring Security的结构

首先,用户发送了一个请求,请求被拦截器拦截,如果是登陆地址的拦截器,他就会将用户名和密码封装到一个对象,然后转交AuthenticationManager通过authenticate方法认证,但是Token可能有很多种,AuthenticationManager并不了解如何认证这些对象,所以他会寻找可以处理此对象的Provider,Provider同样实现了authentic方法,这个方法就是用来验证Token身份和权限的方法,如果验证成功,那么他将会返回一个已经验证的Token。

基础使用方式

实现Token

Token就是在SpringSecurity中用来验证的东西,一般是Authentication接口的实现类,这个接口有这些方法:

  • Collection<? extends GrantedAuthority> getAuthorities();
    角色,就是用户在系统中的身份,例如管理员,工作人员,游客等,这些一般就决定了用户会有哪些权限
  • Object getCredentials();
    一个可以验证身份的东西,可以是密码,也可以是别的。
  • Object getDetails();
    一些附加数据,常会用来放置附加了账号权限信息的东西
  • Object getPrincipal();
    用户的简要资料
  • boolean isAuthenticated();
    是否认证通过
  • void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
    设置Token的状态,一般是创建的时候为false,认证成功后为true

可以自己实现一个此接口的类,也可以继承Spring Security中给出的其他Token,总之,按照实际情况的需要来编写它。这次的工程中,我在这个工程中的做法是继承了AbstractAuthenticationToken这个类,然后自己增加了一些需要的字段。

实现Provider

有了一个Token,还需要一共支持此Token的AuthenticationProvider,这个是一个接口,直接实现它就可以。

接口有两个方法,分别是

public Authentication authenticate(Authentication authentication) 
		throws AuthenticationException

这个方法用于验证Token,如果Token没有问题,应该返回一个验证完毕,含有用户信息的Token对象。

public boolean supports(Class<?> authentication)

这个方法是确定此Provider适用于那个Token,因此只需要对Token的class进行判断,然后返回true或false就可以。

实现Principal

这是一个简要的用户身份数据,它也是一个接口,就是一些getter和Setter,把需要的数据字段手动加到上面就可以。

实现Filter

这里说的filter主要分两种类型,一个是用于登录的LoginFilter,一个是用来验证的Filter。

登录用的Filter可以继承AbstractAuthenticationProcessingFilter得到,这是一个抽象类,需要重新编写构造方法

构造方法:(SecurityService helper,AuthenticationManager manager)
这里面需要制定此Filter拦截的路径,通过父类的构造可以做到这一点,例如:

super(new AntPathRequestMatcher("/public/user/login","POST"));

另外一个方法是用来验证用户身份的:

public Authentication attemptAuthentication(HttpServletRequest request
		, HttpServletResponse response)

还有这个,在认证成功的时候这个方法会被调用的。

	protected void successfulAuthentication(HttpServletRequest request, 
	HttpServletResponse response, FilterChain chain,
	Authentication authResult) throws IOException, ServletException

在成功验证了用户名和密码后,就应该签发一个可以证明用户身份的东西,这个东西用户以后访问系统都会携带在Http的请求头中,系统就可以通过这个来确定用户的身份以及权限。这就需要另外一个Filter来完成了。

这里我通过继承BasicAuthenticationFilter这个Filter完成Token的验证,需要重写的方法是这样的:

protected void doFilterInternal(HttpServletRequest request, 
							HttpServletResponse response, FilterChain chain)
							throws IOException, ServletException

这个是Filter的过滤方法,可以通过request得到Http的请求头,然后在那里面寻找Token,如果有Token就要验证下,没有就让他继续doFilter。

Filter中的异常

安全验证过程中出现异常是很常见的,但是这里的异常对象是无法被ControllerAdvice以及ExceptionHandler捕获和处理的,一旦异常就会出现非常大的一堆报错信息,对于后续的调试非常不友好。

所以还是Try - Catch吧,木有很好的办法。

可以自己定义一些在安全验证中常出现的异常,做好log的同时抛出,就可以在Filter中有针对性的输出或者做些其他的处理。

配置Security到SpringBoot

通过继承WebSecurityConfigurerAdapter可以得到一个用来配置SpringSecurity的Config类,首先在这里配置可以直接访问的URL和需要通过身份验证的URL:

这里需要两个Filter,就在这个config中直接把他们定义为Bean就可以了(使用@Bean就可以做到)。

上述两个Filter是需要一个AuthenticationManager的,这个Manager就在config中,但是如果直接启动,Spring会找不到他,所以可以这样做:

	@Bean
	@Override
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}

这样AuthenticationManager也就成为了一个Bean了。

@Override
protected void configure(HttpSecurity http) throws Exception {
	http.authorizeRequests()		// 开始配置Request的URL
		.antMatchers("/public/**")  //  匹配此路径的
		.permitAll()				// 无需认证直接可以访问
		.formLogin()				// 登录页面
		.loginPage("/public/user/login").permitAll()  // 无需认证直接访问
		.authorizeRequests()		 // 其他地址需要认证
		.anyRequest().authenticated()
		.addFilterBefore(LoginFilter()	// 添加Filter
		,UsernamePasswordAuthenticationFilter.class)
		.addFilterBefore(TokenFilter(),
		,UsernamePasswordAuthenticationFilter.class);  
}

这里面permitAll允许访问,denyAll禁止访问,authenticated指的是要求认证,不认证身份会跳到登录界面。

然后需要在这里注入之前实现的Provider,在这个方法中把它注册到SpringSecurity中:

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.authenticationProvider(provider);
}

到此,SpringSecurity配置就全部结束了。

-子谦-
关注
专栏目录
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
八尺妖剑的博客
04-20 1494
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
fudaihb的博客
05-18 1462
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
springsecurity电子书
06-05
springsecurity电子书,学习spring 的好书
spring security 超详细使用教程(接入springboot、前后端分离)
最新发布
小程xy的博客
09-30 4328
Spring Security 是一个强大且可扩展的框架,用于保护 Java 应用程序,尤其是基于 Spring 的应用。它提供了身份验证(验证用户身份)、授权(管理用户权限)和防护机制(如 CSRF 保护和防止会话劫持)等功能。 Spring Security 允许开发者通过灵活的配置实现安全控制,确保应用程序的数据和资源安全。通过与其他 Spring 生态系统的无缝集成,Spring Security 成为构建安全应用的理想选择。- **前端**: - 用户在登录界面输入用户名和密码。 - 前
spring-security书籍翻译
03-18
spring-security书籍翻译 源码解析,包括各种过滤器的源码解析,已经原始使用文档的翻译
关于对《Spring Security3》一书的翻译说明
张卫滨的技术记录
06-02 166
最近阅读了《Spring Security3》一书,颇有收获(封面见图片)。因此将其部分内容翻译成中文,对于电子版内容,本人放弃一切权利。 在翻译之前,本人曾发邮件征询原作者的意见,如今已是半月有余,未见其回复。因为非盈利为目的,所以斗胆将内容发布于博客之上。 这是我第一次翻译东西,有很多地方觉得翻译的很生硬,希望阅读到的朋友们踊跃拍砖。 我的新浪微博:http://weibo.com...
SpringSecurity基础教程
我有故人折剑去,斩尽春风不曾归
03-22 1216
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。​ 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 529
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecur
09-13
springsecurity1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 ...
Spring Security教程(三)
码猿同学
01-02 3707
在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项目对用户信息和权限信息管理的要求。那么接下来就讲解如何自定义数据库实现对用户信息和权限信息的管理。 一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改。这里只要新建三
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
spring security教程
下雨天__的专栏
11-27 1371
spring security的配置 首先,先把项目的整体结构以及整体配置贴出来,后面介绍中会将其中的功能模块一个一个的细讲解,稍安勿躁,一步一步的往下看: 本例使用springMVC+spring security进行测试,需要导入的jar包:       项目基本结构:     环境搭建,主要是三个配置文件:web.xml, applic
Spring Security教程
qq_28248897的博客
08-31 4239
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
Spring Security教程(1)----SpringSecurity3.2环境搭建
热门推荐
z69183787的专栏
03-13 2万+
目前Spring官方只提供Meven的下载方式。但在http://maven.springframework.org中有SpringSecurity及其他所有Spring产品的下载方式。 http://maven.springframework.org/release/org/springframework/中有Spring相关的所有下载,但好像直到3.2版的,最新的版本在这个里面找不到
Spring Security教程(一)
码猿同学
12-31 1万+
一 概要 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。这里过多的spring security解释和作用就不在这里赘述了,请自行搜索。目前最新版本的Spring Security为4.2.2,但是我这里用了稳定版本3.1.3。下面例子为一个简单的Sp
Spring Security入门教程(一)
Trialknight的博客
03-11 1068
什么是spring Security Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 简单来说sp...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值