spring security 学习和踩坑总结(入门)

最新推荐文章于 2024-05-23 17:02:14 发布
最新推荐文章于 2024-05-23 17:02:14 发布
阅读量2.3w 收藏 21
点赞数 11
分类专栏: spring security 文章标签: spring security spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zx110503/article/details/81532918
版权

Java Web项目的权限管理框架,目前有两个比较成熟且使用较多的框架,Shiro 和 Spring Security ,Shiro 比 Spring Security更加轻量级,但是需要手动配置的东西较多,Spring Security 和 Spring 集成更好,甚至直接适配了Spring Boot。

本文个人博客地址:https://www.leafage.top/posts/detail/208291JMJ

一、最简单的使用:

1.1、配置及使用

要使用Spring Security 首先要引入依赖,Spring-boot 已经有了集成,直接引入spring-boot-statr-security依赖包即可:

        <!-- spring security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

演示项目使用的是Spring boot 2.1.5版本,所以加入依赖后,会自动获取Spring Security 5.1.5版本的Jar包:

然后,就没有然后了,一个基本的Spring Security已经有了,然后打开浏览器,访问http://localhost:8080,神奇的出来了一个登录页面,但是并没有创建任何的html文件,resouces文件夹下除了两个配置文件,别的什么都没有了;

Spring Security已经默认做了一些配置,并且创建一个简单的登录页面,那这个页面事怎么来的?通过查看相关文档和源码来一探究竟。

那什么都没有配置,从哪开始开始看呢?

1.2 、分析原理

1.2.1、登录页面:

一般不知从何入手,就看官方文档里是如何做的,官方的文档和api 是最好最完整的介绍和参考,点击链接查看官方文档地址(https://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#jc-oauth2login),或者通过Google 搜索 spring security,在结果中点击Spring Security Reference,点击进入页面,然后就可以看到关于Spring Security的文档;

通过查看文档发现,WebSecurityConfigurerAdapter 提供的默认的配置,那就来看看这个抽象类,在这个抽象类中,又一个方法配置了formLogin(),这个方法内容如下:

查看formLogin()源码,跳转到HttpSecurity类中,这个方法返回一个FormLoginConfigurer<HttpSercurity>类型的数据。再继续来看看这个FormLoginConfigurer,在FormLoginConfigurer中有个initDefaultLoginFilter()方法:

这个方法,初始化一个默认登录页的过滤器,可以看到第一句代码,默认的过滤器是DefaultLoginPageGeneratingFilter,下面是设置一些必要的参数,进入到这个过滤器中:

在描述中可以看到,如果没有配置login页,这个过滤器会被创建,然后看doFilter()方法:

登录页面的配置是通过generateLoginPageHtml()方法创建的,再来看看这个方法内容:

private String generateLoginPageHtml(HttpServletRequest request, boolean loginError,
			boolean logoutSuccess) {
		String errorMsg = "none";
        // ...

		if (formLoginEnabled) {
			sb.append("<h3>Login with Username and Password</h3>");
			sb.append("<form name='f' action='").append(request.getContextPath())
					.append(authenticationUrl).append("' method='POST'>\n");
			sb.append("<table>\n");
			sb.append("	<tr><td>User:</td><td><input type='text' name='");
			sb.append(usernameParameter).append("' value='").append("'></td></tr>\n");
			sb.append("	<tr><td>Password:</td><td><input type='password' name='")
					.append(passwordParameter).append("'/></td></tr>\n");

			if (rememberMeParameter != null) {
				sb.append("	<tr><td><input type='checkbox' name='")
						.append(rememberMeParameter)
						.append("'/></td><td>Remember me on this computer.</td></tr>\n");
			}
			sb.append("	<tr><td colspan='2'><input name=\"submit\" type=\"submit\" value=\"Login\"/></td></tr>\n");
			renderHiddenInputs(sb, request);
			sb.append("</table>\n");
			sb.append("</form>");
		}

		// ...
	}

至此,默认登录页及配置,已经可以清楚了。

1.2.2、登录用户及密码:

在项目启动的日志中,可以发现有这样一条信息:

可以看到,自动配置类是UserDetailsServiceAutoConfiguration,密码是cf73184c-e8f2-48d8-9ce3-4413e3943f19,现在知道了密码,那用户名是什么还不知道,进入到UserDetailsServiceAutoConfiguration中去看看。

在这个 UserDetailsServiceAutoConfiguration 类的描述中可以知道,这个类是设置一些 Spring Security 相关默认的自动配置,把InMemoryUserDetailsManager 中得user 和 password 信息设置为默认得用户和密码,可以通过提供的AuthenticationManager、AuthenticationProvider 或者 UserDetailsService 的 bean 来覆盖默认的自动配置信息。

可以看到,日志中那句密码打印的是从图片中圈出来的这条语句打印的,在这个方法上面有一个inMemoryUserDetailsManager()方法,返回一个新的带有UserDetials信息参数构造的InMemoryUSerDetailsManager对象:

可以看到,第一个参数是User.withUsername(user.getName()),这个user.getName()的user 对象是上面SecurityProperties.User类型的,通过SecurityProperties 对象中获取的,首先看下SecurityProperties类:

通过配置文件中的,前缀为spring.security 的配置可以改变默认配置信息,再看看SecurityProperties 的 getUser()方法:

=>=>

通过一步步的跟踪,发现默认的用户名是user。现在需要定义一个成功之后返回信息的Controller,并写一个方法:

@Controller
public class IndexController {

    @RequestMapping("/")
    public String index() {
        return "/login";
    }
}

成功登录后,DispatcherServlet会将路由定位到“/”路径下,我们配置“/”再跳转到“/login”路径。 

    @RequestMapping("/login")
    @ResponseBody
    public Boolean login() {
        
        return false;
    }

去默认的登录页面尝试一下,输入用户名:user ,密码:(每次启动都会重新生成一个UUID的字符串),登录成功了,跳转到了RequestMapping("/")然后又跳转至RequestMapping("/login"),并返回结果,上面的提示信息说XML解析的问题,查了资料,在IE中是没有问题的,可以直接显示结果false,而谷歌显示XML类型的信息

1.3、修改默认配置的登录页和请求处理接口:

修改默认的Security配置需要继承WebSecurityConfigurerAdapter类,然后覆写config(HttpSecurity http)方法;

1.3.1、修改登录页:

定制自己开发的登录页的,只需要调用formLogin().loginPage("/customLogin")即可。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin().loginPage("/customLogin");
    }

注意:loginPage配置会经过模板解析即TemplateResolver处理,所以能写.ftl或者.html后缀。

1.3.1、修改登录请求:

默认的处理接口为login,如果想修改也是可以的,通过formLogin().loginProcessingUrl("/singin")可配置。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin().loginProcessingUrl("/signin");
    }

这里配置的接口需要自己实现其逻辑。

布吉_岛
关注
  • 11
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
spring security 5.x实现兼容多种密码的加密方式
08-28
spring security针对该功能有两种实现方式,一种是简单的使用加密来保证基于 cookie 的 token 的安全,另一种是通过数据库或其它持久化存储机制来保存生成的 token。这篇文章主要给大家介绍了关于spring security 5.x实现兼容多种密码的加密方式,需要的朋友可以参考下。
springsecuritySpring安全学习总结
01-29
spring security 学习总结暑假的时候在学习Spring安全并成功运用到了项目中。在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 ...
初看Spring Security一脸懵逼,看懂直接跪下
didiplus
05-19 387
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架, 提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。
Spring Security 基础使用教程
最新发布
qq_44286009的博客
05-23 871
实际的项目开发中,我们往往会自定义一个登录的页面,而不会使用spring security提供的默认登录页面进行登录。所以下面将介绍如何自定义这些配置。引入thymeleaf依赖创建templates文件夹,创建登录页面,登录成功页面,登录失败页面和index页面,放入templates中。其中登录页面的代码如下:新建配置类新建一个controller访问http://localhost:8080/index.html进入我们自定义的登录界面。
java安全框架有哪些_Java开发必备教程-细说Spring Security安全框架
weixin_39716160的博客
02-16 560
一、Spring Security介绍spring security 是基于 spring 的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上,spring security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码...
Spring Security5+ 用户认证、授权及注销
静水流深,沧笙踏歌
04-16 2841
Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以很容易地扩展以满足定制需求。虽然拦截器、过滤器也可以在一定程度上起到安全认证的作用,但是对码农来说,大量原生的代码及代码冗余,十分的不友好。本文以Spring Security5.6.2版本来对用户认证、授权、注销及权限控制做个说明。 一、Spring Security简单介绍 1、到博主写博客的时间为止,Spring Secur
SpringSecurity的大
m0_57918209的博客
03-09 157
经分析得知,由于我在前端这边没有及时清理token,之后就走到了我的jwt过滤器的token验证逻辑,token是没问题的,可关键是springSecurity的上下文放了一个usernamePasswordAuthenticationToken,导致后续走匿名过滤器的时候报错了。这几天一直在做前端项目,结合Security、jwt对页面登录进行了一次安全加固。给login接口开放了一个匿名访问通道,可经常性的出现403的权限错误。用postman模拟就是这种效果。
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结Spring Security的模块介绍 Spring Security的核心模块...
Spring Security学习笔记(一)
09-07
以上就是Spring Security 学习笔记的第一部分,涵盖了Spring Security的基本使用和内存认证配置。后续的学习中,你将接触到更高级的主题,如自定义认证提供者、权限控制、OAuth2集成等。继续深入学习,你将能够构建...
Spring security实现登陆和权限角色控制
09-09
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,包括认证和授权。在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2....
Spring Security(五)
m0_49532843的博客
09-13 355
SecurityContextHolder 中获取。
Spring Security5 介绍
https://gitee.com/micai-code
06-10 1674
Spring Security5 介绍 Spring Security 应该属于 Spring 全家桶中学习曲线比较陡峭的几个模块之一,下面我将从起源和定义这两个方面来简单介绍一下它。 起源: Spring Security 实际上起源于 Acegi Security,这个框架能为基于 Spring 的企业应用提供强大而灵活安全访问控制解决方案,并且框架这个充分利用 Spring 的 IoC 和 AOP 功能,提供声明式安全访问控制的功能。后面,随着这个项目发展, Acegi Security 成为了Sp
Spring Security系列(1)-Security5简介及入门案例
宝宝的博客
06-17 575
​ 本文基本上是引用大佬的文章:云烟成雨TD的博客-CSDN博客 只是加入一点点我自己的补充,没有大佬的专业,此文是我的笔记,方便我自己看,具体的还是可以去看大佬的.
SpringSecurity5-教程3-oauth2登录源码分析
zhouwenjun0820的博客
03-20 1837
spring-security
SpringSecurity指南
weixin_63587281的博客
04-27 456
springsecurty的配置,并不是一个非常简单的操作,需要学习才能配置的足够好。
springsecurity-学会它你只需要这么多
07-21 465
学习springsecurity你只需要知道以下的几点,并且知道怎么配置或明白它基本原理即可 如下知识点会持续更新 (1)集成WebSecurityConfigurerAdapter实现项目的安全管理,可以配置多个,优先级看加载顺序及访问连接的匹配情况 (2)我们知道每次访问都会有许多的filter进行过滤,其实不同的链接可以匹配多个securityFilterChain,每个都可以有血多f...
Spring Security —05—认证用户数据
weixin_48994585的博客
08-22 1009
以后每当有请求到来时,Spring Security 就会先从 Session 中取出用户登录数据,保存到SecurityContextHolder 中,方便在该请求的后续处理过程中使用,同时在请求结束时将 SecurityContextHolder 中的数据拿出来保存到 Session 中,然后将SecurityContextHolder 中的数据清空。的默认存储策略,这种存储策略意味着如果在具体的业务处理代码中,开启了子线程,在子线程中去获取登录用户数据,就会获取不到。
Spring Security(5) 整合OAuth2
郑清
04-02 4036
文章目录一、前言二、什么是OAuth2?三、应用场景四、三部分五、四种授权模式1. 授权码模式(authorization code)2. 简化模式(implicit)3. 密码模式(resource owner password credentials)4. 客户端模式(client credentials)六、编程1、授权服务a、引入依赖b、`application.yml`配置c、Security 核心配置类d、配置生成token存储e、自定义JWT返回信息f、配置添加JWT额外信息j、授权服务器配置
Spring Security深度解析:从入门到实践
Spring Security全方位分析-入门和实践” Spring SecuritySpring生态中的一个强大安全框架,它专注于身份认证(Authentication)和授权(Authorization)功能,为Web应用程序提供全面的安全解决方案。该框架的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值