spring-security 简单纪要

已于 2025-02-18 11:24:20 修改
阅读量523 收藏 4
点赞数 2
文章标签: spring java 后端
于 2025-02-14 17:18:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lliu2004004/article/details/145637926
版权

1.配置访问安全规则

  1. 创建WebSecurityConfigurerAdapter 继承类,并注入
    org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter
  2. 创建ResourceServerConfigurerAdapter继承类,并注入
    org.springframework.security.oauth2.config.annotation.web.configuration.ResourceServerConfigurerAdapter
  3. 两者的对比总结
    WebSecurityConfigurerAdapter 和 ResourceServerConfigurerAdapter 是 Spring Security 中用于配置安全规则的两个核心类,但它们的应用场景和功能有本质区别。以下是两者的对比总结
    在这里插入图片描述在这里插入图片描述
    在这里插入图片描述
  4. 新版本中的替代方案
    从 Spring Security 5.x 开始,两者均被弃用,推荐使用 SecurityFilterChain 进行配置:
    (1) 替代 WebSecurityConfigurerAdapter
@Configuration
public class WebSecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/login", "/css/**").permitAll()
                .anyRequest().authenticated()
            )
            .formLogin(form -> form
                .loginPage("/login")
                .defaultSuccessUrl("/home")
            );
        return http.build();
    }
}

(2) 替代 ResourceServerConfigurerAdapter

@Configuration
public class ResourceServerConfig {

    @Bean
    public SecurityFilterChain resourceServerFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/api/public/**").permitAll()
                .requestMatchers("/api/admin/**").hasAuthority("ROLE_ADMIN")
                .anyRequest().authenticated()
            )
            .oauth2ResourceServer(oauth2 -> oauth2
                .jwt(jwt -> jwt.decoder(jwtDecoder()))  // 使用 JWT 验证
            );
        return http.build();
    }

    @Bean
    public JwtDecoder jwtDecoder() {
        return NimbusJwtDecoder.withJwkSetUri("http://auth-server/.well-known/jwks.json").build();
    }
}
  1. 如何选择?
    在这里插入图片描述

2.用户信息处理

包括用户名密码、用户角色权限等

  1. 实现UserDetailsService接口,注入类UserDetailsService
    实现用户信息的查找方法,根据系统业务进行封装对象,主要包括:用户名、密码、权限集合等
  2. 新增和修改用户信息业务实现
    2.1 实现密码编码类
     @Bean
    public PasswordEncoder passwordEncoder() {
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }

2.2 用户信息编辑的时候,密码先进行加密,然后保存

	sysUser.setPassword(ENCODER.encode(userDto.getNewPassword()));

	this.baseMapper.insert(sysUser);
  1. 用户登录校验

3.1 登录uri
String OAUTH_TOKEN_URL = “/oauth/token”;
3.2 校验前,前端输入的密码处理
一般前端会对密码加密处理,这里要先对应解密

decrypt(String pwd, String passKey)

3.3 创建AuthorizationServerConfigurerAdapter 继承类,并注入
org.springframework.security.oauth2.config.annotation.web.configuration.AuthorizationServerConfigurerAdapter
a.自定义token返回对象属性,例如,用户详细信息

 @Bean
    public TokenEnhancer tokenEnhancer() {
        return (accessToken, authentication) -> {
            final Map<String, Object> additionalInfo = new HashMap<>(4);
            additionalInfo.put(SecurityConstants.DETAILS_LICENSE, SecurityConstants.PROJECT_LICENSE);
            String clientId = authentication.getOAuth2Request().getClientId();
            additionalInfo.put(SecurityConstants.CLIENT_ID, clientId);

            // 客户端模式不返回具体用户信息
            if (SecurityConstants.CLIENT_CREDENTIALS.equals(authentication.getOAuth2Request().getGrantType())) {
                ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
                return accessToken;
            }

            UserDetails user = (UserDetails) authentication.getUserAuthentication().getPrincipal();
            additionalInfo.put(SecurityConstants.DETAILS_USER, user);
            ((DefaultOAuth2AccessToken) accessToken).setAdditionalInformation(additionalInfo);
            return accessToken;
        };
    }

b.可以将token放入缓存

private final RedisConnectionFactory redisConnectionFactory;
		
	    @Bean
    public TokenStore tokenStore() {
        RedisTokenStore tokenStore = new RedisTokenStore(redisConnectionFactory);
        tokenStore.setPrefix( "sys_oauth:access:");
        return tokenStore;
    }

3.4 添加UserDetailsService类引用

3.5 这样,在登录的时候,就会从数据库里查询数据,进行用户信息密码校验,校验成功,就会返回token,供业务调用处理

3.6 校验失败,可以针对异常进行自定义返回的数据格式,实现接口org.springframework.security.oauth2.provider.error.WebResponseExceptionTranslator

  1. 获取当前登录用户信息
    public static ActualUser getCurrentUser() {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        Object principal = authentication.getPrincipal();
        return principal instanceof ActualUser ? (ActualUser) principal : null;);
    }
    	
    public static List<String> getRoles() {
        Authentication authentication = getAuthentication();
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
        List<String> roleIds = new ArrayList();
        authorities.stream().filter((granted) -> {
            return StrUtil.startWith(granted.getAuthority(), "ROLE_");
        }).forEach((granted) -> {
            String id = StrUtil.removePrefix(granted.getAuthority(), "ROLE_");
            roleIds.add(id);
        });
        return roleIds;
    }
lliu2004004
关注
Spring Security即将弃用配置类WebSecurityConfigurerAdapter
geejkse_seff的博客
08-02 866
很多技术方案都不是直接更改的,是会有一个变化的过程,只要你紧追变化,其实也就没有变化。这一篇是不是学会了不少呢?欢迎留言发表看法,当然、再看也不能少哦。SpringSecurity的内置过滤器是如何维护的2022-02-21[这里是图片005]附DEMO|绝活!SpringSecurity过滤器就该这么配置2022-02-16[这里是图片006]OAuth2授权服务器Keycloak宣布不再适配SpringBoot和SpringSecurity2022-02-15https。...
基于Springboot和VUE的公司文档管理系统
2201_75927219的博客
02-06 891
基于Springboot和Vue的公司文档管理系统是一种高效、灵活且用户友好的解决方案,旨在为企业提供全面的文档管理功能。
没有WebSecurityConfigurerAdapterSpring Security
Kwoky的博客
05-27 4088
Spring Security 5.7.0-M2中,我们弃用了WebSecurityConfigurerAdapter,因为我们鼓励用户转向基于组件的安全配置。
SpringSecurity Web安全配置:HttpSecurityWebSecurityConfigurerAdapter
最新发布
程序媛学姐的博客
03-25 2200
Spring Security的配置体系围绕着安全过滤器链构建,通过一系列配置类和构建器模式提供了声明式的安全定义方式。在Spring Security 5.7之前,WebSecurityConfigurerAdapter是配置的核心基类,开发者通过继承并重写其方法定义安全规则。从5.7版本开始,Spring Security推荐使用基于组件的配置方式,直接定义SecurityFilterChain Bean,但核心概念保持不变。
Spring Security】—— WebSecurityConfigurerAdapter
qq_33471737的博客
06-20 4290
官网地址 Spring Security Reference 版本:Version 5.5.0 WebSecurityConfigurerAdapter 继承关系图 Adapter 谷歌翻译:n. 【机】转接器 【网络】 适配器;适配器模式;接头。通过类名了解功能:我的理解,这个类是一个Web应用安全配置“接头”,及用户可通过这个“接头”接到自己的配置,也就是用户可以利用这个类来定制化安全配置。 SecurityBuilder 接口 对这个接口暂时没有细看,先根据官网了解了一下这个接口想要实
Spring SecurityWebSecurityConfigurerAdapter
weixin_43172297的博客
07-30 8221
文章目录一、WebSecurityConfigurerAdapter是什么?1.WebSecurityConfigurer是什么?2.WebSecurity2.1 WebSecurity定义2.2 AbstractConfiguredSecurityBuilder2.3二、使用步骤1.引入库2.读入数据总结 一、WebSecurityConfigurerAdapter是什么? WebSecurityConfigurerAdapter是为创建WebSecurityConfigurer实例提供方便的基类,该类允
spring Security源码分析-WebSecurityConfigurerAdapter
以爱护甲,爱满枫林。
01-05 1637
这段代码源头是WebSecurityConfiguration这个类下的首先解释一下这部分代码的作用是返回内置过滤器和用户自己定义的过滤器集合,当然下一节讲解security是怎么使用拿到的过滤器。
松哥手把手带你入门 Spring Security,别再问密码怎么解密了
热门推荐
江南一点雨的专栏
03-25 2万+
文章目录1.新建项目2.用户配置2.1 配置文件2.2 配置类2.2.1 为什么要加密2.2.2 加密方案2.2.3 PasswordEncoder2.2.4 配置3.自定义表单登录页3.1 服务端定义3.2 前端定义4.小节 因为之前有小伙伴在松哥群里讨论如何给微人事的密码解密,我看到聊天记录后就惊呆了。 无论如何我也得写一篇文章,带大家入门 Spring Security!当我们在一个项目中引...
SpringSecurity-1-WebSecurityConfigurerAdapter抽象类与环境配置
文天大人
09-14 2903
怀念二抱三抱
spring boot 项目,Meeting会议管理系统
03-21
5. **权限控制与安全**:系统应具备用户身份验证和授权机制,如Spring Security可以提供基于角色的访问控制,确保只有授权用户才能访问和操作特定的会议资源。 6. **API接口设计**:为了与其他系统集成,系统可能...
基于(ssm-vue)oa系统
04-24
3. 安全性:系统需要实现用户认证和授权,如JWT(JSON Web Tokens)进行身份验证,OAuth2或Spring Security实现权限控制。 4. 性能优化:利用缓存技术(如Redis)提高数据读取速度,使用分页和懒加载减少页面加载...
深入浅出Spring框架教程
Spring框架还包括Spring MVC用于Web层的开发、Spring JDBC用于数据库交互、Spring ORM用于对象关系映射框架的集成、Spring Security用于安全访问控制等众多模块。 该Spring教程可能涵盖的内容包括: 1. Spring框架...
Java工作知识纪要:征服世界攻略
Spring SecurityJava应用提供了全面的安全解决方案,包括认证和授权机制,帮助开发者构建安全的应用程序。 最后,开发工具对于提高开发效率至关重要。熟练使用IDE(如IntelliJ IDEA、Eclipse等)、构建工具(如...
websecurityconfigureradapter_SpringWebSecurityConfigurerAdapter 过滤器
weixin_39598501的博客
11-25 751
你需要一个 WebSecurityConfigurerAdapter 来对用户提供安全的校验,确保用户能够访问必要的资源。一个基于 Spring Boot 的应用程序将会帮你完成安全的校验(通过在 HTTP 的基础授权上添加自己的 WebSecurityConfigurerAdapter)。这个将会添加 过滤器链表的 Order = 0(这个是默认配置),同时将会保护所有的资源,除非你能够提供正确...
SpringSecurity最新版从入门到精通,WebSecurityConfigurerAdapter已经过时?最新版来了。
qq_42713539的博客
03-25 3902
spring security的超详细配置和使用攻略,包括从登录校验开始到不同页面、不同功能的权限管理,包括了整合thymeleaf框架、用户登录信息持久化处理、csrf防护等web安全。
SpringspringSecurityWebSecurityConfigurerAdapter类中configure方法(5版本以下)
wosixiaokeai的博客
07-10 1149
configure。
Spring Security 5.7.0弃用 WebSecurityConfigurerAdapter
OLinOne的博客
11-29 1万+
Spring Security 5.7.0版本开始弃用 WebSecurityConfigurerAdapter 类,本篇文章参考Spring 博客文章介绍了如何在 5.7.0 版本之后正确使用Spring Security授权和认证等方式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值