SpringSecurity详解

最新推荐文章于 2025-06-08 00:18:58 发布
最新推荐文章于 2025-06-08 00:18:58 发布
阅读量6.9k 收藏 19
点赞数 10
CC 4.0 BY-SA版权
文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/HackerZhou/article/details/125591818
本文介绍如何使用 Spring Security 进行用户认证与授权,包括自定义登录页面、实现 UserDetailsService 接口进行用户验证、配置安全策略及 JWT 认证流程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.springsecurity底层实现为一条过滤器链。其实就是认证和授权

2.springsecurity自带一个登录页。对登录请求入手,替换掉自带的,对输入的账号密码进行验证。

3.定义一个配置类 继承 WebSecurityConfigurerAdapter

@Slf4j
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
/*
	 * 配置策略
	 *
	 * @param httpSecurity
	 * 
	 * @throws Exception
	 */
	@Override
	protected void configure(HttpSecurity httpSecurity) throws Exception {
		httpSecurity
				// 由于使用的是JWT,我们这里不需要csrf
				.csrf().disable()
				// 基于token,所以不需要session
		.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
				// 过滤请求
				.authorizeRequests()
				// 对于登录login 图标 静态资源允许匿名访问
				.antMatchers("/login/**").anonymous()
				.antMatchers(HttpMethod.GET, "/*.html", "/**/*.html", "/**/*.css", "/**/*.js").permitAll()  //访问此地址不需要身份认证
				// 对于以上 没有添加的 都需经过过滤器认证
				// 除上面外的所有请求全部需要鉴权认证
				.anyRequest().authenticated().and().headers().frameOptions().disable();
		
	}
}

4.自定义一个对象实现UserDetails(Security提供),接下来的认证过程需要用到

import java.util.Collection;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import lombok.AllArgsConstructor;
import lombok.Getter;
import lombok.NoArgsConstructor;
import lombok.Setter;
import lombok.experimental.Accessors;

@Setter
@Getter
@Accessors(chain = true)
@NoArgsConstructor
@AllArgsConstructor
public class SecurityUser implements UserDetails{
	

    private Integer userId;
    
    private String username;
    
    private String password;
    
    //用户权限
    private Collection<? extends GrantedAuthority> authorities;
    
	@Override
	public String getPassword() {
		return password;
	}

	@Override
	public String getUsername() {
		return username;
	}

    /**
     * 返回分配给用户的角色列表
     * @return
     */
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return authorities;
    }

    /**
     * 账户是否未过期,过期无法验证
     * @return
     */
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 指定用户是否解锁,锁定的用户无法进行身份验证
     * @return
     */
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /**
     * 指示是否已过期的用户的凭据(密码),过期的凭据防止认证
     * @return
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 是否可用 ,禁用的用户不能身份验证
     * @return
     */
    @Override
    public boolean isEnabled() {
        return true;
    }
 
}

5.定义账号密码登录业务 实现UserDetailsService接口,这里的SysUserService根据自己的用户实体类

@Slf4j
@Service("userDetailsService")
public class UserDetailServiceImpl implements UserDetailsService {

	@Autowired
	private SysUserService sysUserService;

	/**
	 * 
	 * @Description: 账号密码登录业务
	 * @author: zhou
	 * @date: 2022年6月29日 下午4:39:10
	 */
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        //根据登录用户名 从数据库中查询登录用户信息
		SysUser user = sysUserService.loginByUserName(username);
		if (user == null) {
			log.info("登录用户:" + username + " 不存在.");
			throw new RuntimeException("登录用户:" + username + " 不存在");
		}
		List<String> list = new ArrayList<String>(Arrays.asList("admin","test"));
		List<SimpleGrantedAuthority> authorities = list.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
	
		return new SecurityUser(user.getUserId(),username,user.getPassword(), authorities);
	}


}

5.1 注意:返回用户权限一定不能为空或者null

5.2 这里获取到用户密码  是经过加密后的密码(数据库存的密码是加密后的),下面也会讲到

6.定义自己登录业务  的实现类

	/**
	 * @Description: TODO(这里用一句话描述这个类的作用)
	 * @param:
	 * @return:
	 * @author: zhou
	 * @date: 2022年6月29日 下午8:33:54
	 */
	@Override
	public String login(String username, String password) {

		// 用户验证
		Authentication authentication = authenticationManager
				.authenticate(new UsernamePasswordAuthenticationToken(username, password));
        //其实 就是执行 上面UserDetailServiceImpl的方法

		if (authentication == null) {
			throw new RuntimeException("登录失败");
		}
		// 存储认证信息
		SecurityContextHolder.getContext().setAuthentication(authentication);
		// 生成token
		SecurityUser userDetail = (SecurityUser) authentication.getPrincipal();

		return JWTUtils.generateToken(userDetail); //这个根据自己定义吧
	}

7.在配置类中添加上自己的登录业务。让springSecurity 根据加密规则对原生登录进行加密再与数据库中密码比对。

@Slf4j
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	private UserDetailServiceImpl userDetailsService;

	@Override
	public void configure(AuthenticationManagerBuilder auth) throws Exception {
      auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
	}


}
水泛青舟
关注
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
Spring Security 详解
As_Yua的博客
07-31 1万+
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1106
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
SpringSecurity 入门学习
最新发布
ice_lolly_的博客
06-08 1366
Spring Security是一个强大的安全框架,提供认证、授权、会话管理等核心功能。它通过过滤器链(如UsernamePasswordAuthenticationFilter、FilterSecurityInterceptor等)实现安全控制。相比Shiro,Spring Security功能更丰富,适用于大中型项目。
Spring Security详解
每天進步一點點
05-09 1478
在Web开发中,我们在设计之初就需要考虑系统安全的方面,而不是把功能全部实现完成后,再去考虑。那样的话就会造成两难的境地:一方面,应用会存在严重的漏洞,无法满足用户需求,并可能造成用户信息被攻击者窃取;另一方面,应用的基本架构已经确定,想要修复安全漏洞,可能需要对系统做出较大的调整,因此,耗费大量的人力和物力,因此,我们应该从系统开始做的第一天就应该把安全策略考虑进去,并贯穿在整个应用开发过程中。
Spring Security
热门推荐
qq_42953529的博客
07-18 2万+
Spring Security 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面 向切面...
JSP 开发之Spring Security详解
01-08
JSP 开发之Spring Security详解 前言: spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC...
spring security详解
wumingdu1234的博客
07-15 7317
1.概要 Spring是非常流行和成功的Java应用开发框架,SpringSecurity正是Spring家族中的成员。SpringSecurity基于Spring框架,提供了一套Web应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是SpringSecurity重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统
spring security
weixin_43060721的博客
01-07 721
spring security工作原理简介 spring security和springmvc配合使用可以提供安全性,可以通过注册org.springframework.web.filter.DelegatingFilterProxy这个filter进行安全管理,也可以扩展AbstractSecurityWebApplicationInitializer类进行java方式的配置,AbstractS...
spring-security详解
limpiditysky的博客
06-01 4987
spring-security详解
Spring security详解
r_12xq的博客
01-05 546
一、什么是Spring security Spring Security 是一个安全框架,前身是 Acegi Security , 能够为 Spring企业应用系统提供声明式的安全访问控制。 Spring Security 基于 Servlet 过滤器、 IoC和AOP , 为 Web 请求和方法调用提供身份确认和授权处理,避免了代码耦合,减少了大量重复代码工作。 Spring Security ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值