Spring Boot认证框架

最新推荐文章于 2024-04-23 14:44:44 发布
最新推荐文章于 2024-04-23 14:44:44 发布
阅读量1k 收藏 17
点赞数 24
文章标签: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2301_77741809/article/details/135113364
版权

创建一个Spring Boot的Web项目,添加Spring Security依赖:

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

控制器

新建HelloController类,添加/hello接口:

@RestController
public class HelloController {
    @RequestMapping("/hello")
   public String home() {
        return "Hello ,spring security!";
    }
}

测试

启动项目,在浏览器访问http://localhost:8080/login接口会自动跳转到登录页面,这是Spring Security提供的,如下所示:

说明Spring Security已经起作用了,它会把项目里的资源保护起来。Spring Security默认用户名是user,Spring Security启动的时候会生成默认密码,在启动日志可以看到。填入用户名和密码后就可以成功访问接口了。

自定义用户名和密码

也可以自己设置用户名和密码,在application.yml中添加如下配置:

spring:
  security:
    user:
      name: admin       
      password: 123456    
​

重启项目,访问被保护的/hello接口。自动跳转到了默认的登录页面,输入用户名和密码后成功跳转到了/hello。

角色访问控制 通常情况下,我们需要实现“特定资源只能由特定角色访问”的功能。假设我们的系统有以下两个角色:

ADMIN:可以访问所有资源。 USER:只能访问特定资源。 现在给系统增加“/user/** ”接口代表用户信息方面的资源(USER可以访问);增加“/admin/** ”接口代表管理员方面的资源(USER不能访问),代码如下:

@RestController
public class UserController {
    @RequestMapping("/user/hello")
    public String hello() {
        return "user,Hello !";
    }
}
​
@RestController
public class AdminController {
    @RequestMapping("/admin/hello")
    public String hello() {
        return "admin,Hello !";
    }
}

在实际开发中,用户和角色是保存在数据库中的,本例为了方便演示,创建两个存放于内存的用户和角色。可以自定义类并集成WebSecurityConfigurerAdapter进而实现Spring Security的更多配置:

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /*不对密码进行加密*/
    @Bean
    PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                /*管理员用户  具备ADMIN和USER角色*/
                .withUser("admin").password("admin").roles("ADMIN", "USER")
                .and()
                /*普通用户*/
                .withUser("shenziyi").password("shenziyi").roles("USER");
    }
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                /*普通用户访问的url*/
                .antMatchers("/user/**").hasRole("USER")
                /*管理员用户访问的url*/
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated() //其他多有路径都必须认证
                .and()
                .formLogin()
                .loginProcessingUrl("/login")
                .permitAll()  //访问“/login”接口不需要进行身份认证了,防止重定向死循环
                .and()
                .csrf().disable(); //关闭csrf
    }
}

根据上面的配置,我们知道使用“shenziyi”用户具有访问“/user/**”接口的权限,使用admin登录可以访问所有接口。

基于数据库的认证 在前面的案例中,用户登录系统的用户名、密码定义在内存中,在实际开发中,用户的基本信息及角色都是通过查询数据库进行认证和授权。

.1 Spring Security基于数据库认证 创建表

在MySQL数据库中创建一张用户表,id为主键自增,并添加两个用户(user和admin)。

创建项目

创建一个Spring Boot模块项目,选择相关依赖:

Lombok的主要作用是通过注解消除实际开发中的样板式代码,如:getter、setter方法,重写toString、equals方法等,这些代码没有什么技术含量,但是常常要写,因此可以用@Data、@Setter、@Getter等注解来替换。

配置文件

在application.yml中设置MySQL连接配置和MyBatis配置,代码如下:

spring:
  datasource:
    url: jdbc:mysql://localhost:3306/security?serverTimezone=GMT%2B8&characterEncoding=utf-8
    username: root
    password: admin123
    driver-class-name: com.mysql.jdbc.Driver
logging:
  level:
    com.example.bdatabaserole.mapper: debug  

创建实体类

创建与用户表相对应的实体类并实现UserDetails:

package com.shenziyi.spring_security.entity;
​
import lombok.Data;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
​
import java.io.Serializable;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;
​
​
@Data   //lombok注解省略get/set等方法
public class UserInfo implements Serializable,UserDetails {
    private int id;
private String username;
private String password;
private String role;
​
public UserInfo(String username,String password,String role){
    this.username=username;
    this.password=password;
    this.role=role;
}
​
/**
 * 指示用户的账户是否已过期。无法验证过期的账户。
 * 如果用户的账户有效(即未过期),则返回true,如果不在有效就返回false
 */
@Override
public boolean isAccountNonExpired() {
    return true;
}
​
/**
 * 指示用户是锁定还是解锁。无法对锁定的用户进行身份验证。
 * 如果用户未被锁定,则返回true,否则返回false
 */
@Override
public boolean isAccountNonLocked() {
    return true;
}
​
/**
 * 指示用户的凭证(密码)是否已过期。过期的凭证阻止身份验证
 * 如果用户的凭证有效(即未过期),则返回true
 * 如果不在有效(即过期),则返回false
 */
@Override
public boolean isCredentialsNonExpired() {
    return true;
}
/**
 * 指示用户是启用还是禁用。无法对禁用的用户进行身份验证
 * 如果启用了用户,则返回true,否则返回false
 */
@Override
public boolean isEnabled() {
    return true;
}
​
@Override
public Collection<? extends GrantedAuthority>getAuthorities(){
    Collection<GrantedAuthority>authorities=new ArrayList<>();
    authorities.add(new SimpleGrantedAuthority("ROLE_"+this.role));
    return authorities;
}
}

UserDetails接口是提供用户信息的核心接口。该接口仅仅实现存储用户的信息。后续会将该接口提供的用户信息封装到认证对象Authentication中去。UserDetails默认提供了七个方法:

方法名 作用 getAuthorities() 用户的角色集,默认需要添加ROLE_前缀 getPassword() 获取当前用户对象密码 getUsername() 获取当前用户对象用户名 isAccountNonExpired() 账户是否过期 isAccountNonLocked() 账户是否锁定 isCredentialsNonExpired() 凭证是否过期 isEnabled() 用户是否可用 创建Mapper接口和Service层

创建UserMapper接口,对于简单的SQL语句可以使用注解式来替换XML式,接着创建UserInfoService业务层类:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<!--命名空间必须和UserMapper全类名相同-->
<mapper namespace="com.shenziyi.spring_security.mapper.UserMapper">
    <select id="getUserByUsername" resultType="com.shenziyi.spring_security.entity.UserInfo">
        select * from user where username = #{username};
  </select>
    <select id="getRolesById" resultType="com.shenziyi.spring_security.entity.Role">
        select * from role where id in(select rid from user_role where uid=#{uid});
  </select>
</mapper>

package com.shenziyi.spring_security.mapper;
import com.shenziyi.spring_security.entity.Role;
import com.shenziyi.spring_security.entity.UserInfo;
import org.apache.ibatis.annotations.Insert;
import org.apache.ibatis.annotations.Mapper;
import org.apache.ibatis.annotations.Select;
import org.springframework.stereotype.Repository;

import java.util.List;


@Mapper
@Repository
public interface UserMapper {
    @Select("select * from user where username = #{username}")
    UserInfo getUserByUsername(String username);

}

创建Controller

接下来创建UserController

package com.shenziyi.spring_security.controller;


import com.shenziyi.spring_security.entity.UserInfo;
import com.shenziyi.spring_security.service.UserInfoService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.*;

@RestController
public class UserController {
    @Autowired
    private UserInfoService userInfoService;
@GetMapping("/getUser")
public UserInfo getUser(@RequestParam String username){
    return userInfoService.getUserInfo(username);
}
}

身份认证

需要从数据库读取用户信息进行身份认证,需要新建类实现UserDetailService接口并重写loadUserByUsername方法,该方法的参数是登录时的用户名,通过该用户名去数据库查找用户,如果不存在就抛出不存在的异常,如果查到了用户,就会将用户及角色信息返回。loadUserByUsername将在用户登录时自动调用:

package com.shenziyi.spring_security.service;


import com.shenziyi.spring_security.entity.UserInfo;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Lazy;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.List;


@Component
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserInfoService userInfoService;/**
 * 需新建配置类注册一个指定的加密方式Bean,或在下一步Security配置类中注册指定
 */
@Autowired
@Lazy
private PasswordEncoder passwordEncoder;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    // 通过用户名从数据库获取用户信息
    UserInfo userInfo = userInfoService.getUserInfo(username);
    if (userInfo == null) {
        throw new UsernameNotFoundException("用户不存在");
    }
    String role=userInfo.getRole();
    List<GrantedAuthority>authorities=new ArrayList<>();
    authorities.add(new SimpleGrantedAuthority("ROLE_"+role));
    return new User(
            userInfo.getUsername(),
            passwordEncoder.encode(userInfo.getPassword()),
            authorities
    );
}
}

(这里有个小问题,两个类相互引用对方,导致Spring在初始化bean的时候不知道先初始化哪个,会形成循环依赖,所以任选一个使用@lazy注解,延迟互相依赖的其中一个Bean的加载,从而解决Spring在初始化bean的时候不知道先初始化哪个的问题。)

Spring Security的配置

创建WebSecurityConfig继承WebSecurityConfigurerAdapter,并重写configure(auth)方法:

package com.shenziyi.spring_security.config;


import com.shenziyi.spring_security.service.CustomUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;


@EnableWebSecurity //是Spring Security用于启用Web安全的注解
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private CustomUserDetailsService userDatailService;
/**
 * 指定加密方式
 */
@Bean
public PasswordEncoder passwordEncoder(){
    // 使用BCrypt加密密码
    return new BCryptPasswordEncoder();
}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
            // 从数据库读取的用户进行身份认证
            .userDetailsService(userDatailService)
            .passwordEncoder(passwordEncoder());
}
}

测试

配置完成后启动项目,在登录页面输入数据库中的用户名、密码,登录成功后可以访问接口:

.2 角色访问控制 上面设置完成后,可以使用数据库中的用户名和密码登录,并获得用户的角色。接下来要通过用户的角色,限制用户的请求访问。

开启访问权限

角色访问控制是基于URL配置的,我们也可以通过注解来灵活地配置方法安全,在WebSecurityConfig添加@EnableGlobalMethodSecurity注解开启方法的访问权限:

@EnableWebSecurity //是Spring Security用于启用Web安全的注解 @EnableGlobalMethodSecurity(prePostEnabled = true)//开启方法级安全验证 public class WebSecurityConfig extends WebSecurityConfigurerAdapter{ //... }

代码解释:prePostEnabled = true会解锁@PreAuthorize和@PostAuthorize两个注解,@PreAuthorize注解会在方法执行前验证,而@PostAuthorize注解在方法执行后验证。

在控制层添加访问接口

在UserController类中增加方法的访问权限:

package com.shenziyi.spring_security.controller;


import com.shenziyi.spring_security.entity.UserInfo;
import com.shenziyi.spring_security.service.UserInfoService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.*;


@RestController
public class UserController {
    @Autowired
    private UserInfoService userInfoService;
@GetMapping("/getUser")
public UserInfo getUser(@RequestParam String username){
    return userInfoService.getUserInfo(username);
}

@PreAuthorize("hasAnyRole('user')") //只有user角色才能访问该方法
@GetMapping("/user")
public String user(){
    return "hello,user";
}

@PreAuthorize("hasAnyRole('admin')") //只有admin角色才能访问该方法
@GetMapping("/admin")
public String admin(){
    return "hello,admin";
}
    }

代码解释:@PreAuthorize(“hasAnyRole(‘user’)”)注解表示访问该方法需要user角色。

测试

重新启动程序,使得角色user的用户登录,可以访问localhost:8080/user,不能访问localhost:8080/admin。如果使用角色为admin的用户登录,则可以访问所有。

.3 密码加密保存 上文中的用户密码都是手动在数据库中添加的,所以在数据库中以明文显示,在实际开发中,用户密码都需要加密保存。下面模拟注册用户,并加密保存密码。

修改Mapper接口

在UserMapper接口中添加插入用户:

@Mapper
@Repository
public interface UserMapper {
    @Select("select * from user where username = #{username}")
    UserInfo getUserByUsername(String username);
@Insert("insert into user(username,password,role) value(#{username},#{password},#{role})")
int insertUserInfo(UserInfo userInfo);
    }

修改Service类

在UserInfoService类中添加插入方法,并使密码要加密保护:

@Service
public class UserInfoService {
    @Autowired
    private UserMapper userMapper;
    public UserInfo getUserInfo(String username){
        return userMapper.getUserByUsername(username);
    }
@Autowired
private PasswordEncoder passwordEncoder;
public int insertUser(UserInfo userInfo){
    /*加密密码*/
    userInfo.setPassword(passwordEncoder.encode(userInfo.getPassword()));
    return userMapper.insertUserInfo(userInfo);
}
}
修改Controller

在UserController类中添加插入用户接口:

@PostMapping("addUser")
    public int addUser(@RequestBody UserInfo userInfo){
        return userInfoService.insertUser(userInfo);
    }

测试

配置完成,启动服务,使用Postman发送POST请求添加用户,如下:

单击Send按钮后,由图看出添加失败,响应的状态码显示401 Unauthorized,说明无权限,需要登录,但注册用户是不需要登录的,所以需要给注册用户释放权限。

修改WebSecurityConfig配置类,重写configure方法:

@Override
    protected void configure(HttpSecurity http)throws Exception{
        http
                .authorizeRequests()
                //允许POST请求/addUser,而无须认证
                .antMatchers(HttpMethod.POST,"/addUser").permitAll()
                .anyRequest().authenticated()   //所有请求都需要验证
                .and()
                .formLogin()    //使用默认的登录页面
                .and()
                .csrf().disable();
    }

重启项目

再次访问addUser接口,可以看到Postman发送请求成功了:

查看数据库数据,添加的用户密码已加密:

使用加密密码登录

使用加密密码登录,需要修改CustomUserDetailsService类,之前从数据库获取明文密码后需要加密,就不用再加密了,代码如下:

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 通过用户名从数据库获取用户信息
        UserInfo userInfo = userInfoService.getUserInfo(username);
        if (userInfo == null) {
            throw new UsernameNotFoundException("用户不存在");
        }
        String role=userInfo.getRole();
        List<GrantedAuthority>authorities=new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_"+role));
        return new User(
                userInfo.getUsername(),
                //数据库密码已加密,不用再加密
                userInfo.getPassword(),
                authorities
        );
    }

在浏览器访问http://localhost:8080/user,输入shenziyi登录。

.4 用户角色多对多关系 认证数据是多个用户对一个角色的,在实际项目中,很多时候都是多对多的情况,我们在该项目的基础上进行开发讲解。这里将介绍用户角色多对多关系的数据认证和授权。

创建表结构

一共三张表,分别是用户表、角色表和用户角色关联表。(角色名前要加ROLE_前缀)

创建实体类

根据表结构修改UserInfo实体类,创建Role类:

@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    Collection<GrantedAuthority> authorities = new ArrayList<>();
    for (Role role : roleList) {
        //数据库role表字段中是以ROLE_开头的,所以此处不必再加ROLE_
        authorities.add(new SimpleGrantedAuthority(role.getName()));
    }
    return authorities;
}

/**
 * 指示用户的账户是否已过期。无法验证过期的账户。
 * 如果用户的账户有效(即未过期),则返回true,如果不在有效就返回false
 */
@Override
public boolean isAccountNonExpired() {
    return true;
}

/**
 * 指示用户是锁定还是解锁。无法对锁定的用户进行身份验证。
 * 如果用户未被锁定,则返回true,否则返回false
 */
@Override
public boolean isAccountNonLocked() {
    return true;
}

/**
 * 指示用户的凭证(密码)是否已过期。过期的凭证阻止身份验证
 * 如果用户的凭证有效(即未过期),则返回true
 * 如果不在有效(即过期),则返回false
 */
@Override
public boolean isCredentialsNonExpired() {
    return true;
}
/**
 * 指示用户是启用还是禁用。无法对禁用的用户进行身份验证
 * 如果启用了用户,则返回true,否则返回false
 */
@Override
public boolean isEnabled() {
    return true;
}
}
@Data
public class Role {
    private int id;
    private String name;
    private String nameZh;
}

创建UserMapper和UserMapper.xml

修改UserMapper接口中的抽象方法,代码如下:

// 添加用户
@Insert("insert into user(username, password) value(#{username}, #{password})")
int insertUserInfo(UserInfo userInfo);
接着在classpath:mappers下创建UserMapper.xml映射文件,当SQL语句比较复杂时建议使用XML式,代码如下:
<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<!--命名空间必须和UserMapper全类名相同-->
<mapper namespace="com.shenziyi.mapper.UserMapper">
    <select id="getUserByUsername" resultType="com.shenziyi.entity.UserInfo">
        select * from user where username = #{username};
  </select>
    <select id="getRolesById" resultType="com.shenziyi.entity.Role">
        select * from role where id in(select rid from user_role where uid=#{uid});
  </select>
</mapper>

并在application.yml中进行配置:

mybatis:
    mapper-locations: classpath:mappers/*.xml
    type-aliases-package: com.shenziyi.mapper

修改CustomUserDetailsService类

修改CustomUserDetailsService类中loadUserByUsername方法:

@Component
public class CustomUserDetailsService implements UserDetailsService {
    @Autowired
    private UserInfoService userInfoService;
    @Autowired
    private UserMapper userMapper;
/**
 * 需新建配置类注册一个指定的加密方式Bean,或在下一步Security配置类中注册指定
 */
@Autowired
private PasswordEncoder passwordEncoder;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    // 通过用户名从数据库获取用户信息
    UserInfo userInfo = userInfoService.getUserInfo(username);
    if (userInfo == null) {
        throw new UsernameNotFoundException("用户不存在");
    }
    userInfo.setRoleList(userMapper.getRolesById(userInfo.getId()));
    return userInfo;
 }
}

controller层

在UserController类中添加如下方法:

@RestController
public class UserController {
    @Autowired
    private UserInfoService userInfoService;
    //添加
   @PostMapping("/addUser")
    public int addUser(@RequestBody UserInfo userInfo){
        return userInfoService.insertUser(userInfo);
    }
@GetMapping("/getUser")
public UserInfo getUser(@RequestParam String username){
    return userInfoService.getUserInfo(username);
}

@PreAuthorize("hasAnyRole('user')") // 只能user角色才能访问该方法
@GetMapping("/user")
public String user(){
    return "hello,user";
}

@PreAuthorize("hasAnyRole('dba','admin')") // dba\admin角色可以访问该方法
@GetMapping("/db")
public String dba(){
    return "hello,dba,admin";
}

@PreAuthorize("hasAnyRole('admin')") // 只能admin角色才能访问该方法
@GetMapping("/admin")
public String admin(){
    return "hello,admin";
}

} 配置完成后,启动项目对controller中的接口进行测试。

角色继承

角色继承实际上是一个很常见的继承,因为大部分公司可能采用金字塔形的治理方式,上司可能具备下属的部分甚至所有权限,这一现实场景,反映到我们的代码中,就是角色继承。

Spring Security中为开发者提供了相关的角色继承解决方案,只需开发者在配置类中提供一个RoleHierarchy,代码如下:

@Bean
RoleHierarchy roleHierarchy(){
    RoleHierarchyImpl roleHierarchy=new RoleHierarchyImpl();
    String hierarchy="ROLE_dba>ROLE_admin \n ROLE_admin>ROLE_user";//dba、admin、user都是user表中的角色
    roleHierarchy.setHierarchy(hierarchy);
    return roleHierarchy;
}

玊人二号
关注
2025最新首发,全网最全 Spring Boot 学习宝典(附思维导图)
**My Coding Family**
04-20 9万+
从0到1以知识点+实例+项目的教学模式对SpringBoot框架由浅入深进行学习,快来跟bug菌一起学习吧。
springboot整合shiro安全认证框架
weixin_46164384的博客
01-04 314
首先搭建一个简单的测试环境 搭建一个springboot 项目 引入依赖,主要是web starter shiro(安全认证) 和thymeleaf(简单的页面构建),这里不做数据层的查询,所以不引入数据库相关的。 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId&g
springboot-shiro认证系统框架--成型框架
09-17
springboot-shiro认证系统框架--成型框架认证中心服务,分布式框架,可以直接使用,配置多元化,组件化,只需修改配置文件,达到相应需求,适合生产开发,开发学习
Spring Boot 整合Shiro安全认证框架
qq_41426326的博客
04-16 8904
Apache Shiro是一个开源的轻量级的java安全框架,它提供身份验证,授权,密码管理以及会话管理功能等。相对于SpringSecurity,Shiro框架跟家直观,易用,同时也能提供健壮的安全性,在传统SSM框架中,手动配置Shiro的步骤还是比较多的,针对Springboot,shiro官方提供了shiro-spring-boot-web-starter 的使用步骤。 整合Shiro ...
spring boot验证框架
绅士jiejie的博客
01-20 907
在平时开发中,前端一般都会做参数的正确化校验,但是单单前端做校验是不够保险的,所以后端也需要加上相关的参数校验,防止有人绕过前端直接调用接口。 而spring boot就提供有这样的验证框架,默认实现用的是Hibernate validator。我们只需要将@Validated注解标注在方法参数上,spring boot就可以对参数进行校验,同时把校验结果放在BindingResult对象里。 ...
SpringBoot集成SpringSecurity
学不死就往死里学
08-14 823
SpringSecurity 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应
第三十七章:基于SpringBoot架构以及参数装载完成接口安全认证
恒宇少年De成长之路
10-11 207
在上一章第三十六章:基于SpringBoot架构重写SpringMVC请求参数装载中我们说到了怎么去重写SpringMVC参数装载,从而来完成我们的需求。本章内容会在上一章的基础上进行修改! 企业中接口编写是再频繁不过的事情了,现在接口已经不仅仅用于移动端来做数据服务了,一些管理平台也同样采用了这种方式来完成前后完全分离的模式。不管是接口也好、分离模式也好都会涉及到数据安全的问题,...
Spring Boot应用开发框架 v2.6.14.zip
04-05
10. **安全性**:Spring Security可以无缝集成到Spring Boot中,提供认证和授权功能,保护应用程序免受攻击。 在`spring-boot-2.6.14`目录下,你可能找到诸如`src/main/java`和`src/main/resources`这样的源码和...
基于Java语言的Spring Boot Shiro框架设计源码
最新发布
09-26
本项目以Java语言为基础,采用Spring Boot框架与Shiro安全认证机制相结合的设计思想,通过源码的形式,展现了如何构建一个安全可靠的应用程序。项目中的32个文件,分别承担着不同的角色和功能,共同构成了一个完整的...
基于Spring Boot框架的分布式身份认证系统.zip
09-08
基于Spring Boot框架的分布式身份认证系统 项目简介 本项目是一个基于Spring Boot框架的分布式身份认证系统,旨在通过Hyperledger Fabric实现用户身份的可信认证。系统涵盖了用户交互流程,支持多种身份验证方式...
从0写一个问卷调查APP后端spring boot基础框架
03-03
【标题】:构建问卷调查APP后端的Spring Boot基础框架 【内容】: Spring Boot是Java领域中广泛使用的微服务开发框架,它简化了Spring应用的初始搭建以及开发过程。在构建一个问卷调查APP的后端时,我们需要利用...
springboot使用校验框架validation校验的示例
08-27
主要介绍了springboot使用校验框架validation校验的示例,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
spring boot 实现用户登录认证
11-07
1.架构: spring boot + jpa + thyemleaf, mysql数据库 2.功能实现: 1)使用Logback进行日志记录; 2)使用HandlerInterceptor接口实现登陆认证 3)登陆验证码的生成
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
SpringBoot-JWT+Security权限认证框架
qq_52681418的博客
03-10 570
文章目录SpringBoot-JWT+Security权限认证框架JWT令牌生成 SpringBoot-JWT+Security权限认证框架 JWT令牌生成 jwt令牌是什么?它是一个加密字符串,一般叫做token。用户登录后生成并获取,然后一直存储在客户端,每次发送请求时携带token到后端,后端检查这个token是否合法,因此服务端既不需要查数据库,也不需要存储token。 格式如下: aaaaaaaaa.bbbbbbbbbbbb.cccccccccccc 令牌由3个部分组成: Header:头
SpringBoot集成认证授权(SpringBoot + Spring Security)
IT_WEH_coder的博客
02-26 1881
Spring Security是一个非常强大的安全框架,提供了丰富的功能和灵活的配置选项,可以很方便地集成到Spring Boot项目中。
SpringBoot Validation 验证框架
剑剑剑的博客
07-14 327
Validation的基础使用
Spring Boot实现接口签名验证
涛哥是个大帅比
04-23 6363
一个用于生成签名,另一个用于验证签名。生成签名的方法通常将请求参数按照特定规则计算出一个签名值。常见的签名算法有HMAC-SHA1、HMAC-SHA256等。验证签名的方法则是对接收到的请求参数进行同样的处理,并计算出一个签名值,然后与请求中携带的签名值进行比对。/*** 获取签名* @param secretKey 密钥* @param data 需要签名的数据* @return 签名*/try {/*** 验证签名* @param secretKey 密钥。
Springboot Bean Validation校验框架
薛定谔的Hello Kitty
04-06 1478
我们的校验框架通常用于DTO层,用户从前端通过Json串传入值,后端对传入的Json封装到DTO层中,我们对DTO层的元素进行校验,比如邮箱,手机号等等。 首先需要引入bean校验需要的jar包: <!-- Validation 相关依赖 --> <dependency> <groupId>javax.validation</groupId> <artifactId>validatio
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值