Spring Cloud 之Spring-Security

最新推荐文章于 2024-09-20 17:32:03 发布
原创 最新推荐文章于 2024-09-20 17:32:03 发布 · 372 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Spring Security,包括其概念、应用场景、与Spring Boot的整合方式,以及formLogin和httpBasic模式的实现。此外,还讨论了Spring Security在权限控制、自定义登录界面和RBAC权限控制模型中的应用。提供了环境搭建、配置示例和相关处理接口的说明。

Spring Cloud 之Spring-Security

对于Spring-Security首先要明白这么几点:

1、什么是SpringSecurityurity
2、SpringSecurity应用场景
3、SpringBoot整合Security
4、Security formLogin 模式
5、Security httpBasic模式
6、Security 实现账号权限控制
7、Security 自定义登陆界面
8、RBAC权限控制模型
http://pig.pigx.top/#/admin/role

 

什么是SpringSecurityu
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
参考百度百科:https://baike.baidu.com/item/spring%20security/8831652?fr=aladdin

SpringSecurity官网:https://spring.io/projects/spring-security
Spring整合SpringSecurityu
SpringBoot整合SpringSecurityu

 

微服务安全框架 SpringBootSecurity
Security应用场景

Security在很多企业中作为后台角色权限框架、授权认证oauth2.0 、安全防护(防止跨站点请求)、Session攻击、非常容易融合SpringMVC使用等

有两个账户
admin 账户 所有请求都有权限访问
userAdd账户 只能访问查询和添加订单权限
403 权限不足
401 没有授权

 

环境搭建:

  admin账户  所有请求都有权限访问

  userAdd账户  只能访问查询和添加订单

  

  关于 formLogin模式   :  表单提交认证模式 

           httpBasic模式   :浏览器与服务器做认证授权

 

  maven的依赖主要:

            <!-->spring-boot 整合security -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

 

关于HttpBasic模式:

  

在HTTP协议进行通信的过程中,HTTP协议定义了基本认证过程以允许HTTP服务器对WEB浏览器进行用户身份证的方法,当一个客户端向HTTP服务 器进行数据请求时,如果客户端未被认证,则HTTP服务器将通过基本认证过程对客户端的用户名及密码进行验证,以决定用户是否合法。客户端在接收到HTTP服务器的身份认证要求后,会提示用户输入用户名及密码,然后将用户名及密码以BASE64加密,加密后的密文将附加于请求信息中, 如当用户名为toov5,密码为:123456时,客户端将用户名和密码用“:”合并,并将合并后的字符串用BASE64加密为密文,并于每次请求数据 时,将密文附加于请求头(Request Header)中。HTTP服务器在每次收到请求包后,根据协议取得客户端附加的用户信息(BASE64加密的用户名和密码),解开请求包,对用户名及密码进行验证,如果用 户名及密码正确,则根据客户端请求,返回客户端所需要的数据;否则,返回错误代码或重新要求客户端提供用户名及密码。

 

maven:

 

<parent>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-parent</artifactId>
        <version>2.0.1.RELEASE</version>
    </parent>
    <!-- 管理依赖 -->
    <dependencyMana
最低0.47元/天 解锁文章

200万优质内容无限畅学
Day47_Spring SecuritySpring Security的微服务使用
weixin_45014721的博客
07-13 3400
(2)基于 token,(token就是按一定规则生成的包含用户信息的字符串),基于 Session则是解析出 token,然后将当前请求加入到 Spring-security 管理的权限信息中去。这是SpringSecurity微服务中最常用的方式。上面授权的时候,把用户信息放入权限的上下文SecurityContextHolder中,那么后面就可以你可以通过SecurityContextHolder来获取当前的安全上下文,并从中获取Authentication对象,进而获取用户信息。
微服务安全——SpringSecurity6详解
qq_44027353的博客
07-23 3675
本文使用的是Security6的版本,先介绍SpringSecurity使用,然后再去介绍OAuth2。 SpringSecurity也只是入门知识版本:SpringBoot3.1.4、Security6.1.4创建一个简单的SpringBoot应用引入依赖 编写一个简单的Controller 启动项目后测试接口调用引入Spring Security依赖之后 ,访问 API 接口时,需要首先进行登录,才能进行访问。测试 http://localhost:8080/admin/demo ,会跳转到登录界面需
springcloud集成springsecurity_一分钟带你了解下Spring Security
weixin_39644713的博客
11-26 1983
一、什么是Spring SecuritySpring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是用于保护基于Spring的应用程序的实际标准。Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring Security的真正强大之处在于可以轻松扩展以满足自定义要求。更多信息可以查看官网:https:...
微服务整合Spring Security实现用户的认证和授权
u014496893的博客
01-31 6188
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
springcloud集成Spring Security
youxmm的博客
07-21 4145
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
四、springSecurity 微服务权限方案
xxx_live_anyd的博客
11-05 2657
springSecurity 微服务权限方案
Spring CloudSpring-Security
小尾寒羊的博客
07-31 4219
一、什么是SpringSecurity Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系...
java8源码-spring-cloud-security-gateway-oauth2:spring-cloud-security-gate
06-04
首先本机先要安装以下环境,建议先学习了解springboot和springcloud基础知识。 开发环境 克隆代码库: git clone https://gitee.com/toopoo/SpringCloud.git 安装公共库到本地仓库: cd common && mvn install cd ...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
hello-spring-cloud-alibaba-dependencies.zip
09-11
在标签中,我们看到"SpringCloud",这是Spring Boot的扩展,用于构建分布式微服务系统。"SpringSecurity"是Spring生态系统中的安全框架,用于处理身份验证和授权。"Oauth"是一种开放标准,主要用于授权,允许第三方...
微服务架构 Spring Cloud 生态快速回顾指南
热门推荐
张彦峰的博客
02-14 168万+
本文介绍了Spring Cloud在微服务架构中的核心组件及其应用。Spring Cloud提供了服务注册与发现、负载均衡、配置管理和容错机制等功能,简化了分布式系统的构建与管理。通过对这些组件的分析,本文阐述了如何利用Spring Cloud提高微服务系统的可用性、灵活性和可扩展性。最终,本文强调了Spring Cloud作为现代云原生应用开发的重要工具,帮助开发者构建高效、可靠的微服务架构。
SpringCloud - Spring CloudSecurity服务安全机制(二十)
MinggeQingchun的博客
07-07 2508
微服务的Rest服务都是基于http请求的,因此很有可能暴露在公网上,任何人都可能调用访问,如果Rest服务有一些私密信息,就会导致信息的泄露,因此我们需要给微服务增加安全机制。如:Spring SecuritySpring SecuritySpring Resource 社区的一个安全组件, Spring Security 为 JavaEE 企业开发提供了全面的安全防护。Spring Security 采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护Spring Seeur
微服务-微服务Spring Security6实战
weixin_43874650的博客
02-24 1928
使用 Spring Security 时经常会看见 403(无权限)。Spring Security 支持自定义权限受限处理,需要实现 AccessDeniedHandler接口@Overrideresponse.getWriter().write("没有访问权限");在配置类中设置访问受限后交给BussinessAccessDeniedHandler处理//访问受限后的异常处理方法授权:基于注解的访问控制。
【分布式微服务专题】SpringSecurity快速入门
qq_32681589的博客
01-01 2393
系列上一篇文章:《官方介绍:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的应用程序。Spring Security 是一个框架,侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring 安全性的真正强大之处,在于它很容易扩展以满足定制需求Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Cloud(十二):Spring Cloud Security
Men-DD
11-23 4144
设置用户名密码(内存、UserDetailsService、WebSecurityConfigurerAdapter、基于DB) 自定义登录页面 登录认证流程 自定义成功失败 会话管理 会话控制 会话超时 会话并发控制 集群session 安全会话cookie RememberMe 退出登录 CSRF 用户授权 web授权 访问控制的url匹配 内置的访问控制 自定义403处理 基于表达式的访问控制 方法授权 JSR-250注解 @Secured注解 支持表达式的注解 授权原理 授权流程 实现原理 主线源码
SpringSecurity 微服务对权限的整合
星海IT学习之路
12-26 1749
文章目录SpringSecurity 原理总结 SpringSecurity 原理总结 如果有收获!!! 希望老铁们来个三连,点赞、收藏、转发。 创作不易,别忘点个赞,可以让更多的人看到这篇文章,顺便鼓励我写出更好的博客 ...
微服务安全Spring Security Oauth2实战_spring-security-oauth2-authorization-server
baimao__Ch的博客
09-20 3643
Authorization)是一种开放标准的授权协议,允许用户授权第三方应用访问其在某个服务提供者上的受保护资源,而无需将其实际的凭证(如用户名和密码)分享给第三方应用。这种方式可以增加安全性,同时允许用户更好地控制其数据的访问权限。OAuth 2.1 去掉了 OAuth 2.0 中的密码模式、简化模式,增加了设备授权码模式,同时也对授权码模式增加了 PKCE 扩展。OAuth 2.1 协议:<https://datatracker.ietf.org/doc/html/draft-ietf-
SpringSecurity-基于微服务的认证与权限访问
萌萌虎的博客
08-18 2553
微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种 使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。(JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519。...
SpringCloud系列三:SpringSecurity 安全访问(配置安全验证、服务消费端处理、无状态 Session 配置、定义公共安全配置程序类)...
weixin_34270865的博客
04-11 300
声明:本文来源于MLDN培训视频的课堂笔记,写在这里只是为了方便查阅。 1、概念:SpringSecurity 安全访问 2、具体内容 所有的 Rest 服务最终都是暴露在公网上的,也就是说如果你的 Rest 服务属于一些你自己公司的私人业务,这样的结果会直接 导致你信息的泄漏,所以对于 Rest 访问,安全性是首要的因素。 2.1、配置安全验证 如果要想进行安全的验证处理,那么首先一定要先在服务...
spring-boot-starter-securityspring-cloud-starter-securityspring-cloud-starter-oauth2
最新发布
03-19
### Spring Boot Starter Security vs Spring Cloud Starter Security vs Spring Cloud Starter OAuth2 #### **Spring Boot Starter Security** `spring-boot-starter-security` 是 Spring Boot 提供的一个基础安全模块,主要用于简化应用程序的安全配置。它集成了 `Spring Security` 的核心功能,提供了开箱即用的身份验证和授权机制。 - 它的核心作用是对 Web 应用程序提供基本的安全保护,例如表单登录、HTTP 基本身份验证以及 CSRF 防护等功能。 - 开发者可以通过简单的注解(如 `@EnableWebSecurity` 和 `@Secured`)来定义访问控制策略[^1]。 代码示例: ```java @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin(); } } ``` --- #### **Spring Cloud Starter Security** `spring-cloud-starter-security` 扩展了 `spring-boot-starter-security` 的能力,专门为基于 Spring Cloud 构建的分布式系统设计。它的主要目标是在微服务环境中增强安全性。 - 它不仅包含了标准的 Spring Security 功能,还支持跨多个服务的一致性身份验证和授权管理。 - 特别适用于需要集成服务发现(如 Eureka)、负载均衡器(如 Ribbon 或 Zuul),并希望在这些组件之间共享会话状态的应用场景[^2]。 --- #### **Spring Cloud Starter OAuth2** `spring-cloud-starter-oauth2` 则进一步扩展了 Spring Security 的功能,专注于 OAuth 2.0 协议的支持。它是构建现代应用中常见的第三方登录(如 Google 登录、Facebook 登录等)或内部 API 认证的基础工具。 - 此依赖项允许开发者轻松实现客户端模式下的 OAuth 授权流程,并能够处理复杂的令牌交换逻辑。 - 同时也间接引入了 `spring-cloud-starter-security` 和其他必要的子模块,从而形成完整的安全框架体系结构[^3]。 代码片段展示如何通过 Maven 添加该依赖及其版本号: ```xml <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-oauth2</artifactId> <version>2.1.2.RELEASE</version> </dependency> ``` 当使用此依赖时,默认情况下已经涵盖了大部分所需的功能集合,无需单独声明额外的相关包名列表。 --- ### 总结对比表格 | 属性/特性 | spring-boot-starter-security | spring-cloud-starter-security | spring-cloud-starter-oauth2 | |------------------------|--------------------------------------------------|-----------------------------------------------|--------------------------------------------| | 主要关注领域 | 基础安全保障 | 微服务体系中的统一安全管理 | 支持OAuth协议 | | 是否适合单一应用 | ✔ | ✖ | ✖ | | 是否适配于微服务环境 | ✖ | ✔ | ✔ | | 默认包含OAuth支持 | ✖ | ✖ | ✔ | ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值