Spring Security

最新推荐文章于 2024-09-10 15:13:11 发布
原创 最新推荐文章于 2024-09-10 15:13:11 发布 · 484 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #spring

一、Spring Security简介

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。

二、Spring Security详情

2.1.实现

Spring Security从两个角度来解决安全性问题:使用Servlet规范中的Filter保护Web请求并限制URL级别的访问;使用Spring AOP保护方法调用——借助于对象代理和使用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法。

对于Spring Security来说主要提供的两个安全服务是指:认证(Authentication)和 授权(Authorization);认证是用来确定当前用户,授权是判断一个用户是否有访问某个安全对象的权限。

2.2.Spring Security模块

下面常用的模块包括:配置(config)、核心(core)和Web是必须要的;标签库也是常用的模块。

Spring Security标签库支持的标签包括:

 

2.3.Spring Security用户认证

Spring Security中提供了多种的用户认证策略,常用的认证策略包括(认证将在后面详细说明过程):

         1.基于内存的用户存储(下面第一个Demo就是基于内存的用户存储)

         2.基于数据库表进行认证(将在后面展示Demo)

         3.基于LDAP进行用户认证(将在后面展示Demo)

三、示例

下面示例展示了通过JavaConfig的方式集成spring-security安全框架

1,实现AbstractSecurityWebApplicationInitializer,只用写好一个实现类就可以了,Spring系统会发现他,并用他在web容器中注册DelegetingFilterProxy。DelegetingFilterProxy会拦截发往应用中的请求。并将请求委托给一个ID为springSecurityFilterChain的bean,该bean可以连接一个或任意多个Filter,Spring security就是依赖着一系列servlet filter来提供不同的安全特性。这些细节我们不用管,当启用web安全性时,会自动创建这些filter。

package com.cc.test.security;
 
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;
 
public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {
}

2,创建SecurityConfig

package com.cc.test.config;
 
import javax.sql.DataSource;
 
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.StandardPasswordEncoder;
 
import com.halfworlders.idat.security.IdatUserDetailsService;
import com.halfworlders.idat.service.Userservice;
 
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
//	@Autowired
//	private DataSource dataSource;
 
	@Autowired
	private Userservice userservice;
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		/*
		 * 可以通过内存设置的方式,来做用户登录验证,此种方式比较适合开发和测试阶段使用
		 */
		/*auth
		.inMemoryAuthentication()
		.withUser("admin")
		.password("admin")
		.roles("ADMIN");*/
 
		/*
		 * 可以通过数据源设置的方式,直接基于数据库的验证,还可以设置密码加密,
		 * 但此种方式要求数据库的用户表结构必须符合spring-security的要求
		 * 一下配上sql
		 */
		/*auth
		.jdbcAuthentication()
		.dataSource(dataSource)
		.passwordEncoder(new StandardPasswordEncoder("idatpwd"));*/
 
		/*
		 * 最好的是基于UserDetailService的接口方式,这样spring-security并不知道系统通过什么样的方式来实现用户数据验证
		 * 开发人员可以在接口内以任意方式实现,增加了系统的灵活性
		 */
		auth.userDetailsService(new IdatUserDetailsService(userservice));
	}
}

3,在TilesWebConfig中导入配置

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "com.halfworlders.idat.controller")
@Import(SecurityConfig.class)
public class TilesWebConfig extends WebMvcConfigurerAdapter {
。。。。。
}

只需这三步,就能轻松的启用了Spring security安全框架

另外再需要实现UserDetailsService

package com.cc.test.security;
 
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
 
import com.halfworlders.idat.service.Userservice;
 
public class IdatUserDetailsService implements UserDetailsService{
 
	private final Userservice userservice;
	
	public IdatUserDetailsService(Userservice userservice) {
		this.userservice = userservice;
	}
	@Override
	public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
		User user = userservice.findUserByName(userName);
		if (null != user) {
			return user;
		}
		throw new UsernameNotFoundException("User name" + userName + "not find");
	}
 
}


UserService

package com.cc.test.service;
 
import org.springframework.security.core.userdetails.User;
 
public interface Userservice {
	User findUserByName(String userName);
}
package com.cc.test.service.impl;
 
import java.util.ArrayList;
import java.util.List;
 
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Service;
 
import com.halfworlders.idat.service.Userservice;
 
@Service
public class UserServiceImpl implements Userservice {
 
	@Override
	public User findUserByName(String userName) {
		List<GrantedAuthority> grantedAuthorities = new ArrayList<GrantedAuthority>();
		grantedAuthorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
		return new User(userName, "admin", grantedAuthorities);
	}
}

mysql-sql

SET FOREIGN_KEY_CHECKS=0;
 
-- ----------------------------
-- Table structure for authorities
-- ----------------------------
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE `authorities` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `username` varchar(20) DEFAULT NULL,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for groups
-- ----------------------------
DROP TABLE IF EXISTS `groups`;
CREATE TABLE `groups` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `groupName` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for group_authorities
-- ----------------------------
DROP TABLE IF EXISTS `group_authorities`;
CREATE TABLE `group_authorities` (
  `group_Id` int(11) NOT NULL AUTO_INCREMENT,
  `authority` varchar(50) DEFAULT NULL,
  PRIMARY KEY (`group_Id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for group_members
-- ----------------------------
DROP TABLE IF EXISTS `group_members`;
CREATE TABLE `group_members` (
  `id` int(11) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `group_Id` int(11) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;
 
-- ----------------------------
-- Table structure for users
-- ----------------------------
DROP TABLE IF EXISTS `users`;
CREATE TABLE `users` (
  `id` int(8) NOT NULL AUTO_INCREMENT,
  `userName` varchar(20) DEFAULT NULL,
  `password` varchar(50) DEFAULT NULL,
  `enabled` tinyint(4) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8;

四、参考

《Spring In Action(第四版)》

https://blog.youkuaiyun.com/u013468915/article/details/81347063

http://www.cnblogs.com/wutianqi/p/9185266.html

http://www.cnblogs.com/wutianqi/p/9186645.html

https://www.cnblogs.com/jaylon/p/4905769.html

https://www.cnblogs.com/guoziyi/p/6001085.html

https://www.cnblogs.com/xz816111/p/8528896.html

https://blog.youkuaiyun.com/elim168/article/details/72869685

https://blog.youkuaiyun.com/kaikai8552/article/details/3930747

https://blog.youkuaiyun.com/lbqssss/article/details/78971037

https://blog.youkuaiyun.com/lifeifei2010/article/details/78787558

https://blog.youkuaiyun.com/marvel__dead/article/details/77094848

SpringSecurity认证授权
qq_49474843的博客
09-11 1520
RBAC模型详解,SpringSecurity入门到精通一文搞定
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
10-22
SpringBoot集成Spring security是当前许多Java Web开发人员关注的热点,因为安全是互联网应用不可或缺的一部分。Spring Security 为基于Spring的应用提供了一个全面的安全解决方案。它不仅提供了认证...
spring实战-Spring-security实现用户权限认证登录
乔布斯基的博客
08-19 6332
第八篇:Spring-security实现用户权限认证登录 spring-security原本是Acegi Security组件,该组件是一个强大的安全框架,但是使用方式很繁琐,要配置几百行XML。集成进Spring后,就可以通过xml或者JavaConfig的方式,很容易的就实现了系统的集成。下面示例展示了通过JavaConfig的方式集成spring-security安全框架
SPRING实现登陆
Aran
06-12 1498
使用 用户名+密码 的方式来登录,用户名、密码存储在数据库,并且支持密码输入错误三次后开启验证码,通过这样一个过程来熟悉 spring security 的认证流程,掌握 spring security 的原理。 1、基础环境 ① 创建 sunny-cloud-security 模块,端口号设置为 8010,在sunny-cloud-security模块引入security支持以及sunny-st...
SpringSecurity动态加载用户角色权限实现登录及鉴权
字母哥博客
11-27 4417
很多人觉得Spring Security实现登录验证很难,我最开始学习的时候也这样觉得。因为我好久都没看懂我该怎么样将自己写的用于接收用户名密码的Controller与Spring Security结合使用,这是一个先入为主的误区。后来我搞懂了:根本不用你自己去写Controller。你只需要告诉Spring Security用户信息、角色信息、权限信息、登录页是什么?登陆成功页是什么?或者其他...
Spring Security 安全认证(动态用户登录,加密)
09-03 2383
第一步写配置文件 :编写安全认证的配置文件 spring-security.xml security="none"设置此资源不被拦截. login-page:指定登录页面。 authentication-failure-url:指定了身份验证失败时跳转到的页面。 default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。 csrf d...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
08-15
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
springspring security的区别
Deony2Jacob1314
06-09 244
[size=medium][color=red]spring是一整套应用程序框架[/color],也是一种设计思想,他实现了很多实用工具,开发者直接使用这些工具可以提高开发速度,减少代码编写量,sping最大的用途是进行对象间的解耦操作,可实现设计松散耦合的应用程序系统,以便达到更高的可维护性和可扩展性能。 [color=red]spring security是基于sping core的一个...
Spring Security 认证授权(一)
12-13 1564
Spring Security
Spring Security认证与授权
m0_75165868的博客
09-10 2480
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入springsecurity更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。原名叫acegi在2007年底才更名为 Spring Security@Autowired//登录//登录。
spring security认证与授权
admin_15082037343的博客
07-15 464
默认数据库模型的认证与授权 项目结构如下 WebSecurityConfig import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config
Spring Security的认证和授权(1)
weixin_43831002的博客
08-02 2148
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
springsecurity详解
热门推荐
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
SpringSecurity学习 - 认证和授权
本郡主是喵
09-16 643
我们自定义UserDatailService 实现UserDatailService接口,注入到spring容器中,这样就会在SpringSecurity的认证流程中调用我们自定义的实现类。@Service@Override// 用用户名查询对应User// 判断是否空throw new RuntimeException("用户名或密码错误");// 将查询到user封装到自定义UserDeatail中。
SPringsecurity
最新发布
09-21
Spring SecuritySpring 生态系统中的核心组件,也是一个功能强大且高度可定制的身份验证和访问控制框架,是保护基于 Spring 的应用程序的事实上的标准,致力于为 Java 应用程序提供身份验证和授权,通过提供认证(Authentication)与授权(Authorization)和针对常见攻击等一系列安全功能,为开发者构建安全稳定的应用提供强有力的支持,且可轻松扩展以满足自定义需求 [^1][^2]。 ### 使用指南 Spring Security 会对 `/login` 的 POST 请求做拦截,校验表单中用户名和密码,这一功能由 `UsernamePasswordAuthenticationFilter` 实现 [^3]。在实际使用时,通常要创建一个配置类来定制 Spring Security 的行为。以下是一个简单示例: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); return http.build(); } } ``` 上述代码配置了所有请求都需要认证,支持表单登录和 HTTP 基本认证。 ### 配置方法 Spring Security 的配置主要通过 Java 配置类和注解来完成。 - **Java 配置类**:继承 `WebSecurityConfigurerAdapter`(Spring Boot 2.7.x 之前)或者使用 `SecurityFilterChain` Bean(Spring Boot 2.7.x 及之后)来配置安全策略。 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class CustomSecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); return http.build(); } } ``` 以上代码配置了 `/public` 路径下的请求无需认证,其他请求需要认证,自定义了登录页面,并允许注销操作。 - **注解**:使用 `@EnableWebSecurity` 启用 Spring Security 的 Web 安全支持。 ### 最佳实践 - **使用 HTTPS**:在生产环境中,使用 HTTPS 来加密数据传输,防止数据被窃取和篡改。 - **密码加密**:在存储用户密码时,使用安全的加密算法,如 BCrypt。 ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; public class PasswordEncoderExample { public static void main(String[] args) { PasswordEncoder encoder = new BCryptPasswordEncoder(); String encodedPassword = encoder.encode("password123"); System.out.println(encodedPassword); } } ``` - **细粒度的访问控制**:根据用户角色和权限,对不同的资源和 URL 进行细粒度的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值