Java Spring Security 入门指南

最新推荐文章于 2024-09-11 22:03:03 发布
最新推荐文章于 2024-09-11 22:03:03 发布
阅读量537 收藏 19
点赞数 5
分类专栏: Java类库 文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/z_344791576/article/details/141068480
版权

🔥关注墨瑾轩,带你探索编程的奥秘!🚀
🔥超萌技术攻略,轻松晋级编程高手🚀
🔥技术宝库已备好,就等你来挖掘🚀
🔥订阅墨瑾轩,智趣学习不孤单🚀
🔥即刻启航,编程之旅更有趣🚀

在这里插入图片描述在这里插入图片描述

💡 刨根问题:为什么选择 Spring Security?

Spring Security 是一款非常强大且灵活的安全框架,它提供了一整套用于保护应用程序的方法。无论你是需要实现简单的用户名/密码登录,还是复杂的 OAuth2 认证,Spring Security 都能胜任。它还允许你通过简单的配置来定制安全策略,从而满足特定的应用需求。

🚀 准备工作

首先,确保你的项目已经集成了 Spring Boot。如果你使用 Maven,可以在 pom.xml 文件中添加以下依赖:

<!-- 添加 Spring Security 依赖 -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
🛠️ 实现基本认证与授权

接下来,我们将通过一个简单的例子来看看如何使用 Spring Security 进行用户认证和授权。

  1. 创建用户:使用 InMemoryUserDetailsManager 配置一些用户。
  2. 配置安全规则:定义哪些 URL 需要认证/授权。
  3. 测试认证:尝试访问需要认证的页面。
📝 创建用户

我们可以使用 InMemoryUserDetailsManager 类来简单地创建一些用户:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()  // 允许未认证的用户访问这些路径
                .anyRequest().authenticated()          // 所有其他请求都需要认证
                .and()
            .formLogin()
                .loginPage("/login")                   // 自定义登录页面
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        PasswordEncoder passwordEncoder = NoOpPasswordEncoder.getInstance(); // 不使用密码加密
        
        auth.inMemoryAuthentication()
            .passwordEncoder(passwordEncoder)
            .withUser("user")                           // 用户名
            .password("password")                       // 密码
            .roles("USER");                             // 角色
    }
}
🧪 使用 Java 代码进行认证和授权

接下来,我们需要配置 Spring Security 以实现基本的认证和授权。这里是一个简单的示例:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.stereotype.Service;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance(); // 不使用密码加密
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()  // 允许未认证的用户访问这些路径
                .anyRequest().authenticated()          // 所有其他请求都需要认证
                .and()
            .formLogin()
                .loginPage("/login")                   // 自定义登录页面
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder()); // 使用密码编码器
    }
}

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private InMemoryUserDetailsManager inMemoryUserDetailsManager;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 这里通常会从数据库中加载用户信息
        // 使用 InMemoryUserDetailsManager 作为示例
        return inMemoryUserDetailsManager.loadUserByUsername(username);
    }
    
    @Bean
    public InMemoryUserDetailsManager inMemoryUserDetailsManager() {
        PasswordEncoder passwordEncoder = NoOpPasswordEncoder.getInstance();
        return new InMemoryUserDetailsManager(
            User.withUsername("user")
                .password(passwordEncoder.encode("password")) // 使用密码编码器
                .authorities("ROLE_USER")
                .build()
        );
    }
}
📊 更多高级特性

Spring Security 提供了许多高级特性,例如基于角色的访问控制 (RBAC)、OAuth2、OpenID Connect 等。下面是一个简单的例子,展示了如何使用 RBAC 来管理不同用户的权限:

  1. 定义角色:在用户中定义角色。
  2. 限制访问:根据角色限制访问特定资源。
📝 定义角色并限制访问

我们将在上面的基础上添加一个简单的基于角色的访问控制功能。以下是修改后的代码示例:

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.stereotype.Service;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance(); // 不使用密码加密
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll()  // 允许未认证的用户访问这些路径
                .antMatchers("/admin/**").hasRole("ADMIN")  // 只有管理员可以访问
                .anyRequest().authenticated()          // 所有其他请求都需要认证
                .and()
            .formLogin()
                .loginPage("/login")                   // 自定义登录页面
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder()); // 使用密码编码器
    }
}

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Autowired
    private InMemoryUserDetailsManager inMemoryUserDetailsManager;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 这里通常会从数据库中加载用户信息
        // 使用 InMemoryUserDetailsManager 作为示例
        return inMemoryUserDetailsManager.loadUserByUsername(username);
    }
    
    @Bean
    public InMemoryUserDetailsManager inMemoryUserDetailsManager() {
        PasswordEncoder passwordEncoder = NoOpPasswordEncoder.getInstance();
        return new InMemoryUserDetailsManager(
            User.withUsername("user")
                .password(passwordEncoder.encode("password"))
                .authorities("ROLE_USER")
                .build(),
            User.withUsername("admin")
                .password(passwordEncoder.encode("adminpass"))
                .authorities("ROLE_ADMIN")
                .build()
        );
    }
}
🌟 总结

通过以上的步骤,我们已经了解了如何使用 Spring Security 来实现基本的用户认证和授权。Spring Security 是一个非常强大的工具,支持多种复杂的认证授权功能。你可以根据需要添加更多的安全机制,以满足各种安全需求。

希望这篇俏皮可爱的指南对你有所帮助,如果你还有任何疑问,欢迎随时留言哦!😊

注意:上面的代码示例是为了教学目的而编写的,实际使用时请根据你的项目环境进行适当的调整,并考虑使用更安全的密码编码方式(例如 BCrypt)。

墨瑾轩
关注
专栏目录
Java中使用Spring-security(一)
m0_57205780的博客
06-03 173
我们今天新开一篇课题,分析一下java程序中的权限安全问题,Spring Security是什么,如何在程序中集成Spring Security。 背景 阅读本文你应该熟悉基本的Core Java,J2EE和Spring MVC的知识。 什么是Spring Security? 这是一个基于Java的安全解决方案。它主要适用于基于Spring框架构建的基于Java的Web应用程序。它为基于J2EE的企业软件应用程序提供全面的安全服务。它功能强大,灵活性更高。您可以非常轻松地将spring安全服务插入到您的应用
基于Maven的spring_security入门
热门推荐
小轶的学习笔记
08-15 1万+
看着Apache基金会,Spring官网上的下载都是
Java基础之《spring security
csj50的专栏
04-04 531
小项目用Shiro的比较多,因为相比Spring Security,Shiro的上手更加的简单。Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。引入依赖后我们再尝试访问之前的接口就会自动跳转到一个Spring Security的默认登录页面,默认用户名是user,密码会输出在控制台。而认证和授权也是Spring Security作为安全框架的核心功能。一般Web应用都需要进行认证和授权。
Java Spring Security框架
sanmansan的博客
06-11 673
Java Spring Security框架
Spring Security教程系列》二.初识Java 配置
AndyCat的知识库
11-30 1804
Java配置使用and()方法相当于XML标签的关闭,这样允许我们继续配置父类节点。如果你阅读代码他很合理,我想配置请求验证,并使用表单和HTTP基本身份验证进行登录。1.Java配置和表单登录因此使用Java代码配置Spring Security主要是这两个步骤:1、创建过滤器2、注册过滤器。1.第一步创建过滤器这段配置创建一个Servlet Filter:springSecurityFilter
spring security 配置
liu911025的博客
09-12 1700
转载文章链接:http://blog.csdn.net/u012367513/article/details/38866465spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,
全套Spring Security入门到项目实战课程
03-21
### Spring Security 全套入门到项目实战课程知识点详解 #### 一、Spring Security 概述 **1.1 Spring Security 介绍** - **定义**: Spring Security 是一款基于 Spring 框架的身份认证(Authentication)与用户...
HAP框架-SpringSecurity入门手册.docx
10-02
本手册是关于HAP框架中Spring Security入门指南,由Chenxinkai在2016年7月13日创建,并于2016年7月24日进行了最后更新。该文档的参考编号为Hap框架 Spring Security 使用,版本号为1.0。本手册仅供内部使用,未经...
Spring Security入门指南:权限管理与Web防护详解
Spring+Security安全权限管理手册是一本深入介绍如何在Java开发中利用Spring Security进行统一权限管理的指南。随着开源技术的繁荣,Spring Security凭借其强大的功能和易用性,在众多框架中脱颖而出,尤其是在...
Spring Security入门指南
第一章:Spring Security概述 1.1 什么是Spring Security 1.2 Spring Security的作用和优势 1.3 Spring Security的核心概念 ### 2. 第二章:Spring Security基础配置 2.1 添加Spring Security依赖 2.2 配置...
JAVASpring Security 详解
最新发布
weixin_37559642的博客
09-11 881
Spring Security 详解
Java Spring Security 安全框架:(一)Spring Security 简介
地球村
10-10 1036
Spring Security 简介1.概括2.历史 1.概括 Spring Security 是一个高度自定义的安全框架。利用 Spring IoC/DI 和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE 的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重
Java框架学习:SpringSecurity
weixin_45919908的博客
07-14 415
文章目录前期准备SpringSecurity的使用导入Spring Security的依赖基本模板用户的认证、授权、注销Spring Security与Thymeleaf整合记住我功能、使用自己的登陆页面 前期准备 我们提供一下几个页面进行认证和授权 打开后首页如下所示 提供控制器进行页面的跳转 @Controller public class RouterController { @RequestMapping({"/","/index"}) public String index(){
java中使用Spring security(二,小程序开发教程
m0_61408726的博客
09-02 229
上一篇,我们讲述的spring security的基础使用。但是对于一些复杂权限场景,我们需要更高级一些的功能。 我们接着往下展示它的高级部分。 <security:authentication-manager>的内部高级设置 在上一篇的Spring security设置示例中,我设置了authentication-manager来检查登录用户凭证,并使用标签中定义的纯文本用户。如下所示,您可以在此处为您的应用程序定义多个用户。 <security:user-service>
java集成Spring Security(后端代码详细)
weixin_46887062的博客
04-23 887
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“认证”和“授权”,一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功能。
java spring security详解
Brave_heart4pzj的博客
04-08 195
最近接手一个老项目 登录页面用的就是这个框架 折腾了半天,才搞清楚是这么验证登录的 jsp页面上form表达action提交的请求是这样的: http://localhost:8087/j_spring_security_check 我一开始以为是Struts的action,找半天没找到 然后,以为是web.xml里做了url映射,也没有 最后,直接拿j_spring_security_check在工程中全局搜索,发现它存在于spring包中 于是,我拿这个关键字去百度,发现,他么用的是spring se
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2095
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Java:76-SpringSecurity介绍
qq_59609098的博客
08-21 497
当然如果你没有学习spring boot,没有关系,可以到88章博客里面去学习,就知道为什么这样的操作了 接下来我们运行启动类,访问http://localhost:8080/hello,即可得到返回的数据 接下来整合SpringSecurity: 添加SpringSecurity依赖 重启Spring Boot启动类,再次访问http://localhost:8080/hello: 出现如下: 默认有访问/login,该/login会优先于写的controller的/login,即自己写的/login
Spring Security入门与配置指南
"Spring Security 中文参考文档是针对初学者的指南,涵盖了Spring Security的配置、核心接口等详细内容,旨在帮助用户理解并使用这个强大的安全框架。文档由BenAlex和LukeTaylor撰写,并由Leo.Nature翻译。文档分为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

墨瑾轩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值