Spring Security

最新推荐文章于 2025-08-04 09:45:28 发布
原创 最新推荐文章于 2025-08-04 09:45:28 发布 · 163 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Security #shiro #权限认证 #spring #java

什么是Spring Security

Spring Security 是基于Spring AOP和Servlet过滤器的安全框架,它提供全面的安全解决方案,同时在Web请求级别和方法调用级别处理身份确认和授权

Spring Security 核心功能

1、认证(你是谁,用户/设备/系统)

2、验证(你能干什么,也叫权限控制/授权,允许执行的操作)

3、攻击防护(防止伪造身份)

Spring Security原理技术

Filter、Servlet、Spring DI、Spring AOP

常用的安全框架

目前常用的安全框架主要是Spring Security 和Apache Shiro

相同点
1、认证功能
2、授权功能
3、会话功能
4、加密功能
5、缓存支持
6、remeberMe功能

不同点
优点
1、Spring Security基于Spring开发,项目中如果使用Spring 作为基础,配合Spring Security做权限更加方便。而Shiro需要和Spring进行整合

2、Spring Securiy功能闭Shiro更加丰富,例安全防护方面

3、Spring Security 社区资源相比Shiro更加丰富

4、如何使用SpringBoot、SpringCloud的话,三者无缝对接

缺点

1、Shiro的配置和使用比较简单,Spring Security 上手更复杂写

2、Shiro依赖性低,不需要任何框架和容器,可以独立运行,而Spring Security依赖Spring 容器

编码思路

我们要在内存中初始化我们的认证信息的话,那么需要重写WebSecurityConfigurationAdapter类中的configure方法:

configue(AuthenticationManagerBuilder auth)然后通过auth对象的inMemoryAuthentication()方法指定认证信息:
auth.inMemoryAuthentication().withUser(“admin”).password(“123456”)

密码加密

protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        /**
         * 基于内存的方式,构建两个用户账号:admin/admin,user/user
         */
        auth.inMemoryAuthentication().
                passwordEncoder(new BCryptPasswordEncoder()).
                withUser("admin").
                password(new BCryptPasswordEncoder().encode("admin")).
                roles();
        
        auth.inMemoryAuthentication().
                passwordEncoder(new BCryptPasswordEncoder()).
                withUser("user").
                password(new BCryptPasswordEncoder().encode("user")).
                roles();
    }

如何给指定的用户指定角色
在这里插入图片描述
如何开启方法级别的安全控制

在这里插入图片描述

如何配置方法级别的权限控制

使用注解@PreAuthorize("hasAnyRole(‘admin’))即可指定访问级别的角色
持续更新

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 详解
As_Yua的博客
07-31 1万+
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
SpringBoot整合Spring Security【超详细教程】
热门推荐
Robod的博客
08-11 9万+
好好学习,天天向上 本文已收录至我的Github仓库DayDayUP:github.com/RobodLee/DayDayUP,欢迎Star,更多文章请前往:目录导航 前言 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,.
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
2301_78646673的博客
12-11 3万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证
Spring Security6.3.x使用指南
墨鸦的博客
08-04 1万+
Spring Security 6.3.1 是一个重要的版本更新,它建立在 Spring Security 6 的核心现代化架构之上,提供了更简洁的配置、更好的默认安全性以及对最新安全标准的支持。.and()
Spring Security认证流程详解
hilldown159357的博客
04-03 2559
从内存切换为数据库存储用户信息,需实现接口:@Service@Autowired@Overridethrow new UsernameNotFoundException("用户不存在");// 从数据库加载权限列表username,HTML 页面login.html):<input type="text" name="username" placeholder="用户名">
Spring Security 原理
Flying_Fish_roe的博客
09-27 2101
Spring Security 通过其核心组件和灵活的架构提供了强大的安全保护能力。理解其核心原理,如、过滤器链和授权机制,可以帮助开发者更好地设计和实现安全可靠的 Java 应用程序。
springcloud集成Spring Security
youxmm的博客
07-21 4350
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
10-22
SpringBoot集成Spring security是当前许多Java Web开发人员关注的热点,因为安全是互联网应用不可或缺的一部分。Spring Security 为基于Spring的应用提供了一个全面的安全解决方案。它不仅提供了认证...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
08-15
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
精选资源
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
精选资源
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
JSON中toJSONString、ParseObject、parseArray的作用以及用 com.alibaba.fast.JSONArray解析字符串或者List集合
hukehukehukehuke的博客
05-18 6262
(1)parseArray的作用 import com.alibaba.fastjson.JSON; import lombok.Data; import org.junit.Test; import java.util.List; public class JSONTest { @Test public void JSONTest() { //从Redis中查出来的字符串 String str = "[{\"ct_pt\":\"xxx\",\"data_
Java基础---abstract class、interface 、extends、implements
hukehukehukehuke的博客
05-13 2024
Java语言中,abstract class 和interface 是支持抽象类定义的两种机制。 正是由于这两种机制的存在,才赋予了Java强大的面向对象能力。 abstract class和interface之间在对于抽象类定义的支持方面具有很大的相似性,甚至可以相互替换, 因此很多开发者在进行抽象类定义时对于abstract class和interface的选择显得比较随意。 abstract class 和 interface 在Java语言中都是用来进行抽象类定义的 1.abstract clas
HTTP协议
hukehukehukehuke的博客
01-18 2010
什么是URI、什么是HTML、什么是HTTP? 1、URI:即统一资源标识符,作为互联网上资源的唯一身份; 2、HTML(HyperText Transfer Protocol):即超文本标记语言,描述超文本文档; 3、HTTP:即超文本传输协议,用来传输超文本。 HTTP各版本之间的差异(0.9、1.0、1.1、2.0、3.0) HTTP/1.0 版本在 1996 年正式发布。它在多方面增强了 0.9 版,形式上已经和我们现在的 HTTP 差别不大了,例如: 1、增加了 HEAD、POST 等新方法; 2
assert是什么以及什么时候用assert
hukehukehukehuke的博客
05-12 2004
断言在软件开发中是一种常用的调试方式,很多开发语言中都支持这种机制。一般来说,断言用于保证程序最基本、关键的正确性。断言检查通常在开发和测试时开启。为了保证程序的执行效率,在软件发布后断言检查通常是关闭的。断言是一个包含布尔表达式的语句,在执行这个语句时假定该表达式为true;如果表达式的值为false,那么系统会报告一个AssertionError。断言的使用如下面的代码所示: 1 assert(a > 0); // throws an AssertionError if a <= 0 断言可
SPringsecurity
最新发布
09-21
Spring SecuritySpring 生态系统中的核心组件,也是一个功能强大且高度可定制的身份验证和访问控制框架,是保护基于 Spring 的应用程序的事实上的标准,致力于为 Java 应用程序提供身份验证和授权,通过提供认证(Authentication)与授权(Authorization)和针对常见攻击等一系列安全功能,为开发者构建安全稳定的应用提供强有力的支持,且可轻松扩展以满足自定义需求 [^1][^2]。 ### 使用指南 Spring Security 会对 `/login` 的 POST 请求做拦截,校验表单中用户名和密码,这一功能由 `UsernamePasswordAuthenticationFilter` 实现 [^3]。在实际使用时,通常要创建一个配置类来定制 Spring Security 的行为。以下是一个简单示例: ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); return http.build(); } } ``` 上述代码配置了所有请求都需要认证,支持表单登录和 HTTP 基本认证。 ### 配置方法 Spring Security 的配置主要通过 Java 配置类和注解来完成。 - **Java 配置类**:继承 `WebSecurityConfigurerAdapter`(Spring Boot 2.7.x 之前)或者使用 `SecurityFilterChain` Bean(Spring Boot 2.7.x 及之后)来配置安全策略。 ```java import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain; @Configuration public class CustomSecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); return http.build(); } } ``` 以上代码配置了 `/public` 路径下的请求无需认证,其他请求需要认证,自定义了登录页面,并允许注销操作。 - **注解**:使用 `@EnableWebSecurity` 启用 Spring Security 的 Web 安全支持。 ### 最佳实践 - **使用 HTTPS**:在生产环境中,使用 HTTPS 来加密数据传输,防止数据被窃取和篡改。 - **密码加密**:在存储用户密码时,使用安全的加密算法,如 BCrypt。 ```java import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; public class PasswordEncoderExample { public static void main(String[] args) { PasswordEncoder encoder = new BCryptPasswordEncoder(); String encodedPassword = encoder.encode("password123"); System.out.println(encodedPassword); } } ``` - **细粒度的访问控制**:根据用户角色和权限,对不同的资源和 URL 进行细粒度的访问控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值