Spring Boot 学习之路之 Spring Security(一)

已于 2022-10-31 14:29:21 修改
阅读量428 收藏 1
点赞数 3
文章标签: spring spring boot 学习
于 2022-10-28 15:53:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zuixincainiao/article/details/127568431
版权

        Spring Security是一种基于 Spring AOP 和 Servlet 过滤器的企业级安全框架,由 spring 官方推出,提供全面的安全性解决方案,它对软件系统中的认证、授权、加密等功能进行封装,并在Spring Boot 技术推出以后,配置方面做了很大的简化。

        Spring Security 本质是一个过滤链条,其中有比较重要的三条过滤器:

        1:FilterSecurityInterceptor:是一个方法级的权限过滤器,基本位于过滤器链的最底部。

        2:ExceptionTranslationFilter:是个异常过滤器,用来处理在认证授权过程中抛出的异常。

        3:UsernamePasswordAuthenticationFilter:对/login的post请求做拦截,校验表单中的用户名和密码。

        过滤器加载流程:

        使用SpringSecurity配置过滤器(DelegatingFilterProxy),在doFilter方法里使用初始化方法,得到一个叫FilterChainProxy的过滤器,在FilterChainProxy过滤器中得到所有的过滤器并加载到过滤链中,在SecurityFilterChain过滤器中调用getFilters方法完成加载。

        实现Security需要用到两个比较重要的接口:

        1、UserDetailsService接口:什么都没有配置的时候,登录账号和密码是由Sercurity定义生成,但当我们需要实际的账号和密码时,就需要通过自定义逻辑控制认证逻辑。

        2、PasswordEncoder接口:数据加密接口,其中BCryptPasswordEncoder是Security官方推荐的密码解析器。表示验证从存储中获取的编码密码与编码后提交的原始密码是否匹配,如果密码匹配,则返回 true,否则返回 false。

        准备工作(一)构建项目:

        

 

 

        下一步 finish后,创建一个简单的controller以及yal配置,完成访问测试:

server:
  port: 8089

spring:
  datasource:
    driver-class-name: com.mysql.cj.jdbc.Driver
    url: jdbc:mysql://localhost:3306/wanxi?serverTimezone=GMT%2B8&useUnicode=true&characterEncoding=UTF-8&useSSL=false
    username: root
    password: 19980801

         启动成功后会,访问配置的路径,会看到这样一个页面,此登录页面是security自带的,用户名是"user",密码在你启动时会给出(在下一张图展示)"e8ea2c58-6989-4895-bf3d-6208f0ac8c98"

 

         完成用户名及密码的输入后,便能成功访问到想要的效果:

         至此,项目创建完成。

        1、创建至少2个controller,以便测试:

@RestController
public class SecurityController {

    @RequestMapping("/hello")
    public String hello() {
        return "hello springboot !";
    }

    @RequestMapping("/user")
    public String user() {
        return "成功访问user资源。。。";
    }
}

        2、创建一个自定义的配置类,配置资源认证规则:

@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 第一步,当访问的是hello资源时不需要进行验证。
        http.authorizeRequests()
                .antMatchers("/hello").permitAll() // 放行指定的资源
                .anyRequest().authenticated()
                .and()
                .formLogin();
    }
}

        配置完成后,再次访问时即可发现,访问hello资源,无需做额外操作,但是访问的不是hello资源时,则会给到一个登录页面,登录成功才能完成资源访问。

        如果觉得每次需要复制密码登录麻烦,可以去yml里面配置登录用的用户名和密码:

spring:
  security:
    user:
      name: wx
      password: 123456

        至此,就完成了Security两大部分之一的Authentication:认证。

        3、接下来,为controller添加访问权限:

@RestController
public class SecurityController {

    @RequestMapping("/hello")
    public String hello() {
        return "hello springboot !";
    }

    @PreAuthorize("hasAuthority('wx:user')")
    @RequestMapping("/user")
    public String user() {
        return "成功访问user资源。。。";
    }

    @PreAuthorize("hasAuthority('wx:other')")
    @RequestMapping("/other")
    public String other() {
        return "成功访问other资源。。。";
    }
}

        4、创建一个userEntity,并实现UserDetails接口:

public class UserEntity implements UserDetails {
    private long id;
    private String username;
    private String password;

    public void setAuthorities(Set<? extends GrantedAuthority> authorities) {
        this.authorities = authorities;
    }

    private Set<? extends GrantedAuthority> authorities =  new HashSet<>();

    public UserEntity() {
    }

    public UserEntity(long id, String username, String password) {
        this.id = id;
        this.username = username;
        this.password = password;
    }

    public long getId() {
        return id;
    }

    public void setId(long id) {
        this.id = id;
    }

    public void setName(String username) {
        this.username = username;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    @Override
    public String getUsername() {
        return this.username;
    }

    @Override
    public String getPassword() {
        return this.password;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return this.authorities;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public String toString() {
        return "UserEntity{" +
                "id=" + id +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                '}';
    }
}

        5、创建一个permission实体类,并实现GrantedAuthority接口:

public class Permission implements GrantedAuthority {
    private long id;
    private String value;

    @Override
    public String getAuthority() {
        return this.value;
    }

    public Permission() {
    }

    public Permission(long id, String value) {
        this.id = id;
        this.value = value;
    }

    public long getId() {
        return id;
    }

    public void setId(long id) {
        this.id = id;
    }

    public String getValue() {
        return value;
    }

    public void setValue(String value) {
        this.value = value;
    }

    @Override
    public String toString() {
        return "Permission{" +
                "id=" + id +
                ", value='" + value + '\'' +
                '}';
    }
}

        6、创建myUserDetailsService(该名字最好和UserDetailsService区分开来),因为需要实现UserDetailsService接口:

@Service(value = "myUserDetailsService")
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        UserEntity userEntity = new UserEntity();
        userEntity.setName("wx");
        // 这里密码必须使用加密后的密码,加密规则对应下文配置里的加密方法(我这里用的是BCrypt),password:123456
        userEntity.setPassword("$2a$10$y/j0iaqkWkfgsa6OQtHgieT8Mg5xou0TLkiZ/8F8OzcuHBzSpukxm");

        Permission permission = new Permission();
        //添加权限允许访问规则
        permission.setValue("wx:user");

        Set<Permission> permissionSet = new HashSet<>();
        permissionSet.add(permission);

        userEntity.setAuthorities(permissionSet);

        return userEntity;
    }
}

        7、修改 MySecurityConfig 配置类:

//@Configuration

//此注解是为controller里的方法添加约束,不至于可以随意访问
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MySecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    MyUserDetailsService myUserDetailsService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 第一步,当访问的是hello资源时不需要进行验证。
        http.authorizeRequests()
                .antMatchers("/hello").permitAll() // 放行指定的资源
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .userDetailsService(myUserDetailsService);
    }

    /**
     * 为密码进行加密,这个得有
     */
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

        8、启动入口函数、访问资源:

        因为对hello资源放行了,因此可以直接访问资源 :

        然后user资源添加了wx:user的权限,但是为当前用户开放了此权限,因此登录认证后可以访问资源(访问路径是:http:localhost/8089/user, login路径是自动跳转的):

 

        接下来是加了wx:other权限的other资源,此资源配置了权限,但是并没有对当前用户开放,因此此用户登录后是无法访问该资源的:

         至此,登录认证和授权就算成功完成,以上代码亲测有效。

下一篇:Spring Security 加入 mybatis:http://t.csdn.cn/CmOAF​​​​​​​

先 生
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring BootSpring Security应用例子
08-12
当构建一个安全的Web应用程序时,使用Spring BootSpring Security可以大大简化开发过程。以下是一个示例项目,展示了如何使用这些框架来实现基本的安全功能。 构建安全的Web应用程序:一个示例项目 1. 项目准备 ...
Spring Authorization Server入门 (六) 自定义JWT中包含的内容与资源服务jwt解析器
云逸的博客
06-07 3204
最后经过两个简单的配置实现了自定义的token内容与解析器,这也正是框架灵活与支持高度自定义的体现,实际上这些操作的代码部分都比较少,多的是理论部分,结合文档与源码能够更好的理解框架,文档中对于某些类的应用一般会有详细的说明与示例存在。
Spring Boot Security配置用户认证和资源授权(URL与角色)
swg321321的博客
09-11 985
Spring Boot Security:完成用户认证,资源授权配置(一般是用户角色和URL的匹配)。
SpringBoot整合Spring Security,使用数据库鉴权(四)
baikunlong的博客
09-23 551
一、实现UserDetails接口 package com.example.securityzimug.config.auth; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.userdetails.UserDetails; import java.util.Collection; public class MyUserDetails imple
SpringBoot 学习笔记(十)Spring Security 安全框架
qq_44648936的博客
03-17 5083
一、什么是Spring SecuritySpring Security致力于为Java应用提供核心功能认证和授权管理,其核心就是一组过滤器链,项目启动后会自动配置。 简单来说,Spring Security就是通过过滤器来验证你是谁,你是什么身份,然后给予相应的授权,让你能够干某些事。 二、SpringSecurity使用 1、入门项目 创建项目,并添加web和security的依赖 建议在创建项目时直接添加,而不是后面在pom.xml中添加 <dependency>
Spring Boot 安全框架 Spring Security 入门
weixin_42073629的博客
04-30 4931
1. 概述 基本上,在所有的开发的系统中,都必须做认证(authentication)和授权(authorization),以保证系统的安全性。???? 考虑到很多胖友对认证和授权有点分不清楚,艿艿这里引用一个网上有趣的例子: FROM《认证 (authentication) 和授权 (authorization) 的区别》 authentication [ɔ,θɛntɪ'keʃən] 认证 ...
spring boot jpa security
05-08
#boot-jpa-security-dmdb-freemark spring boot spring security 达梦数据库 ftl assembly 打包
Spring Boot2.0使用Spring Security的示例代码
08-27
主要介绍了Spring Boot2.0使用Spring Security的示例代码,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解Spring Boot Security
08-26
Spring Security,这是一种基于 Spring AOP 和 Servlet 。这篇文章主要介绍了Spring Boot Security的相关知识,需要的朋友可以参考下
详解Spring Boot 使用Spring security 集成CAS
08-30
本篇文章主要介绍了详解Spring Boot 使用Spring security 集成CAS,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
springboot-- spring security学习
qq_37058045的博客
09-01 173
初识spring security之认证 启动访问http://localhost:8080/user 发现自动跳转到了http://localhost:8080/login,这是 spring security初始默认的 初始用户名user 密码是后台日志自动生成的 登录后 这是默认的httpBasicLogin 自定义用户认证逻辑 禁用上面默认的httpBasicLogin securit...
springbootspring-security学习
qq_42962779的博客
01-29 176
春节假期已经过去一半了,该学习一下了,今天开始好好学习spring-security权限框架 1.创建springboot工程,首先看pom文件,两个核心依赖引入即可 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-sta...
Spring BootSpringSecurity学习
缘友一世的博客
01-27 2156
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,可以实现强大的Web安全控制,对于安全控制,仅需要引入 spring-boot-starter-secu
SpringBoot中的Security简单入门实现
jingjiaohuan的博客
11-01 1554
以上是10月31日对29日的Security学习进行日常总结。
Spring Boot整合Spring Security--学习笔记
tigerhhzz的博客
05-08 388
Spring Boot:整合Spring Security(待续中....)
SpringBootSpringSecurity 快速入门
✈ 正在努力 の 寒江(StudiousTiger) ✌ 呐 ✈
08-17 449
文章目录一、简介二、使用SpringSecurity1、导入依赖2、基础环境搭建3、编写SecurityConfig配置类①、重写configure(HttpSecurity http)方法②、重写configure(AuthenticationManagerBuilder auth)方法 一、简介 Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实上的标准。 Spring Security 是一个专注于为 Java 应用程序
SpringBoot+Security+Vue前后端分离开发权限管理系统
04-10
适用人群所有的IT从业者,尤其适合快速掌握新技术,快速增长工作经验人群,对教育公平,教育公益,教育爱心公益人士课程概述该互联网实战项目是基于 Spring Boot 2+ SpringSecurity5+Element UI+Vue Admin Template+蚂蚁可视化AntV 等技术栈开发的项目,采用分布式,多模块,前后端分离开发。包括图形展示、权限管理、用户管理等功能。【后端技术】技术说明Spring Boot2MVC框架 开发的一站式解决方案Spring Security5 认证和授权框架MyBatisPlus3.3.1 基于 MyBatis 框架的快速研发框架MyBatisCode工具生成 MyBatis 相关代码Jackson提供了处理 JSON 数据的工具Lombok简化对象封装工具 Druid   数据库连接池 【前端技术】Vue       互联网最火的前端框架Vue Router路由框架Vuex全局状态管理框架Axios前端 HTTP 框架Element UI前端 UI 框架Vue Element Admin前端模板Antv  蚂蚁金服可视化技术,阿里巴巴可视化技术,天猫,淘宝,支付宝,花呗均使用AntV【开发工具】IntelliJ IDEA开发 IDESQLyog数据库连接客户端PostmanHTTP 请求工具【开发环境】工具版本JDK1.8MySQL5.7
SpringSecurity权限管理的详细使用
qq_45105989的博客
10-30 1779
SpringSecurity的框架搭建、详细使用及使用细节。
spring authorization server使用示例
weixin_43931625的博客
10-03 1173
spring authorization server使用示例
spring boot 2.6 spring security
最新发布
11-09
Spring Boot 2.6是Spring Boot框架的最新版本,Spring Security是一个基于Spring框架的安全性控制框架。 Spring Boot 2.6相比之前的版本,带来了许多新功能和改进。它提供了更好的性能和稳定性,同时也修复了一些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值