spring security6 的一些常见扩展点和关键类和方法

原创 已于 2025-02-05 15:09:16 修改 · 726 阅读 · 16 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端 #spring security

于 2025-02-05 15:09:02 首次发布

Spring Security 6常见扩展点和关键类

Spring Security 6 是一个功能强大且灵活的安全框架,用于保护基于 Spring 的应用程序。它提供了多种扩展点和关键类与方法,使得开发者可以根据需求定制安全机制。以下是 Spring Security 6 中一些常见的扩展点、关键类及方法:

常见扩展点

  1. 认证(Authentication)

    • 自定义 UserDetailsServiceUserDetailsManager 来加载用户信息。
    • 实现 AuthenticationProvider 来定义自定义的认证逻辑。

  2. 授权(Authorization)

    • 实现 AccessDecisionManager 来控制访问决策。
    • 使用 PermissionEvaluator 来实现细粒度的权限评估。

  3. 过滤器链(Filter Chain)

    • 配置 SecurityFilterChain 来定制整个安全过滤器链。
    • 实现自定义的 OncePerRequestFilter 来处理特定的安全逻辑。

  4. 事件监听(Event Listener)

    • 实现 ApplicationListener<AbstractAuthenticationEvent> 来监听认证事件。
    • 实现 ApplicationListener<AuthorizationEvent> 来监听授权事件。

  5. 密码编码(Password Encoding)

    • 实现 PasswordEncoder 来定义自定义的密码编码策略。

关键类和方法

1. 核心配置类

  • SecurityFilterChain

    @Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
    http
        .authorizeRequests(authorize -> authorize
            .antMatchers("/public/**").permitAll()
            .anyRequest().authenticated()
        )
        .formLogin(withDefaults());
    return http.build();
}
    • 定义了如何配置 HTTP 安全性,包括认证、授权、登录等。

  • WebSecurityConfigurerAdapter (已废弃)

    • 在 Spring Security 5.7 及以后版本中被弃用,推荐直接使用 SecurityFilterChain 进行配置。
2. 认证相关

  • UserDetailsService

    @Service
public class CustomUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 自定义用户加载逻辑
        return new User("user", "password", AuthorityUtils.createAuthorityList("ROLE_USER"));
    }
}

  • AuthenticationProvider

    @Component
public class CustomAuthenticationProvider implements AuthenticationProvider {
    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String password = authentication.getCredentials().toString();
        // 自定义认证逻辑
        return new UsernamePasswordAuthenticationToken(username, password, AuthorityUtils.createAuthorityList("ROLE_USER"));
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
    }
}
3. 授权相关

  • AccessDecisionManager

    @Component
public class CustomAccessDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        // 自定义访问决策逻辑
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

  • PermissionEvaluator

    @Component
public class CustomPermissionEvaluator implements PermissionEvaluator {
    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        // 细粒度权限评估逻辑
        return false;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        // 细粒度权限评估逻辑
        return false;
    }
}
4. 密码编码
  • PasswordEncoder
    @Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}
5. 事件监听
  • ApplicationListener<AbstractAuthenticationEvent>
    @Component
public class AuthenticationEventListener implements ApplicationListener<AbstractAuthenticationEvent> {
    @Override
    public void onApplicationEvent(AbstractAuthenticationEvent event) {
        // 处理认证事件
    }
}

这些类和方法为 Spring Security 提供了丰富的扩展能力,使得开发者可以根据具体需求进行高度定制化的安全配置。通过理解这些扩展点和关键类,可以更有效地设计和实现安全机制。

datalover
关注
Spring高频面试基础问题与知识点整理
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
04-07 173万+
高频Spring相关基本面试题知识点整理
Spring Security 6.x 系列【42】授权服务器篇之自定义密码模式
记录知识、锤炼自我
05-16 1630
Spring Authorization Server基于Oauth 2.1,不再支持passeord密码授权模式,对于使用了Spring Security Oauth框架的项目来说,很多都使用了密码模式,接下来我们自定义开发密码模式,其他自定义模式参照该流程实现即可。
Spring扩展------SpringSecurity
hspnb的博客
09-24 747
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
spring security3 扩展应用
经贸小强的专栏
08-13 1099
由于参与公司的一个项目用到了spring security3。开始以为ss3这种安全框架应该不会太难,可看了几天之后发现依旧不能运行出满足需求的demo出来。我去难道是我太笨了。又接着研究了一下终于大体上了解了spring security3 的用法。有不妥之处请各位大神指出。 开始正题使用的spring security版本是3.0.8请大家注意一下 项目需求:将权限,资源角色存储在数据库中
spring security扩展点入门示例
蜗牛跑的快
06-26 538
登录认证自定义 创建密码加密器并放到spring容器中 package com.snail.learn.security.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
Spring Security6.x认证模块核心——AuthenticationProvider解析
coder184的博客
03-03 3131
略一、模块核心结构展示如果你了解Java web相关开发技术,经过这系列博文介绍,你会对Spring Security的认证模块有一个更全面的了解,对你在公司中实际运用Spring Security会有一个直接的帮助;后续会继续补充介绍该模块的内容(包括直观的代码教程等),以及最重要的,接下来会加入授权oauth2.0这两个重要模块的内容,完善Spring Security整个体系的介绍。
第1章 Spring Security 概述(2024 最新版)
江帅帅
02-28 1402
在这一节中,我们将首先深入探讨 Spring Security 的基础知识,然后通过三个实际案例,展示其在现实生产环境中的应用。通过这个案例,您不仅能够了解如何在 Spring Security 中实现基本的认证授权机制,还能够看到这些概念在实际应用中是如何工作的。通过这个案例,你可以了解到如何在 Spring Boot 应用中实现 OAuth2 集成,从而允许用户使用外部服务提供商的账户进行认证,这对于提升用户体验应用安全性都非常有帮助。接下来的案例将更具体地展示如何将这些特性应用于实际开发中。
SpringSecurity】详细核心类与过滤器流程讲解封装通用组件实战
xiaoxualg的博客
03-20 1506
Spring Security 是一个功能强大且高度可定制的认证访问控制框架,是保护基于 Spring 的应用程序的标准工具。它是一个专注于为 Java 应用程序提供认证授权的框架,实际上它是 Spring 生态系统中负责安全方面的重要成员。认证回答了"你是谁?"的问题,是确认用户身份的过程。核心工作流程:授权回答了"你能做什么?"的问题,是确定用户是否有权执行特定操作的过程。核心工作流程:表示当前通过认证的用户,通常包含用户标识(如用户名)授予的权限。表示授予用户的特定权限,通常分为:Spring
精选资源
基于Spring Security的JWT实现登录认证及多账号登录互斥设计源码
10-09
通过该项目源码的学习,可以更好地理解如何将JWT作为安全令牌与Spring Security集成,以及如何通过编程手段解决常见的认证与授权问题。 源码包含多个文件,其中Java源文件构成了系统的核心,涉及了用户认证、权限...
精选资源
视频配套笔记_Spring Security OAuth2.0认证授权_v1.1.rar
04-30
此外,笔记中可能还涉及了Spring Security与OAuth2.0结合时的常见问题最佳实践,例如如何处理刷新令牌以延长访问权限,如何实现单点登录(SSO),以及如何利用JWT(JSON Web Tokens)来提高性能安全性。...
Java_示例演示如何使用Spring Boot 2Spring Security 5保护API.zip
05-22
3. **授权(Access Control)**:通过Spring Security的`@PreAuthorize``@PostAuthorize`注解,我们可以对方法级别进行细粒度的访问控制。此外,还可以配置角色权限,例如`hasRole()``hasAuthority()`,以限制...
SpringSecurity6登录及其权限验证(一)自定义登录认证
最新发布
m0_74220375的博客
04-15 2016
​​Spring Security 6 模块化登录认证实现​​ 基于SpringBoot 3.4.3+SpringSecurity 6.4.3,采用模块化设计实现邮箱/手机号+密码认证。核心实现: ​​主配置​​:禁用CSRF/会话,集成模块 ​​认证流程​​: 自定义过滤器处理/login请求,验证格式并构建认证令牌 认证提供者校验用户密码,返回完整认证令牌 通过处理器返回标准化响应 ​​优势​​: 独立CORS配置 解耦认证逻辑,便于扩展多方式登录 方案通过分层设计提升维护性,适用于无状态API
Spring Security 知识点总结
weixin_28965739的博客
08-21 121
Security部分WebSecurityConfigurerAdaptersecurity 配置的核心类在这里配置权限等信息authenticationauthentication 是认证(登陆)authorizationauthorization 指的是授权(获取权限)所有post请求都403异常的原因据说是因为跨域欺...
Spring Security入门教程:Spring Security的拓展功能
编码人生
06-03 1164
除了spring security的基础的用法,我们还有一些他的拓展功能,这篇文章会给大家介绍一下。Spring security有哪些拓展功能,并且怎么去使用它才能发挥spring security的全部形态。
Spring Security介绍
weixin_53227829的博客
05-05 786
Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“”“”,一般来说,Web 应用的安全性包括两个部分,这两点也是 SpringSecurity 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。
6. Spring Security AuthenticationProvider
一个人的人生
11-29 868
AuthenticationProvider 目录 1.1     用户信息从数据库获取 1.1.1    使用jdbc-user-service获取 1.1.2    直接使用JdbcDaoImpl 1.2     PasswordEncoder 1.2.1    使用内置的PasswordEncoder 1.2.2    使用自定义的PasswordEncoder      
Spring Security6.x快速入门——用户认证模块
coder184的博客
03-03 1785
Spring Security是基于过滤器进行设计的,它自身是一个SecurityFilterChain,在spring官网中,有很长的一个篇幅,对其架构进行介绍;而在这里,我推荐的入门方式是:可以将其快速地浏览一遍,心中只需要留下印象的是——Spring Security过滤器链,你甚至直接可以将Spring Security看作是"一堆过滤器",这些过滤器组成了"过滤器链",而过滤器链中最重要的一个过滤器是:AuthorizationFilter。@Override。
SpringSecurity6 多种登录方式配置自定义Provider不生效问题
zzc23333的博客
05-14 801
这里面会判断是否AuthenticationManager是否已经存在,没有的话会去 Ioc容器里读取并且读取全局配置等,这里面authBuilder.build()里会默认提供一个DaoAuthenrizationProvider,但是没有读取到我们自己定义的Provirder。注: 上面在过滤器链中使用,http.authenticationProvider()的方式,在论坛中也有很多人使用这种方式,但是我不知道为啥我是失效的,待我研究debug会。因为以前也没有配置过多种验证方式,就一直这么配置了。
SpringSecurity 学习(二)
weixin_32196893的博客
02-14 6011
SpringSecurity 1. antMatchers() 方法定义: public C antMatchers(String... antPatterns) 方法参数不定,每个参数都是一个ant表达式,用于匹配URL规则。 规则如下: ?: 匹配一个字符 *: 匹配0个活多个字符 **: 匹配0个活多个目录 在实际项目中我们经常要放行所有静态资源,如放行js文件夹下的所有脚本。 .antMatchers("/js/**").perimitAll() 还有一种配置方式是只要是.js文件都放行
掌握Spring Security 6.x:实战教程与生产环境移植
标题“springsecurity6.x实战学习笔记,可完美的移植到生产环境”意味着本学习笔记主要聚焦于Spring Security的最新版本(6.x)的实战应用,并强调所学知识可直接应用于生产环境。Spring SecuritySpring框架的一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值