spring-boot-starter-security的简单使用

已于 2023-02-28 20:09:50 修改
阅读量1.5w 收藏 31
点赞数 13
分类专栏: SpringSecurity 文章标签: spring boot
于 2022-04-03 01:50:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/python15397/article/details/123931915
版权

基于配置文件使用security

首先引入两个必备的依赖

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

由于springboot对starter依赖进行了自动化的配置,即约定大于配置,也就是带有starter的依赖在整合springboot时,在我们不做任何配置时,默认使用starter约定的配置,只有当我们进行自定义配置时,springboot才会使用我们的配置

通过配置文件的方式在内存中配置一个用户

spring:
  application:
    name: spring-security
  security:
    user:
      name: user
      roles: admin
      password: 123456
server:
  port: 8848

由于spring-boot-starter-security默认开启登录认证,所以我们需要新建一个TestController的controller类

@RestController
@RequestMapping("/test")
public class TestConteoller {

    @GetMapping("/security")
    public String security(){
        return "test-spring-security登陆成功";
    }
}

启动应用并访问http://localhost:8848/test/security,我们会看到spring-boot-starter-security自带的登陆页面,输入我们在配置文件中配置的用户名称和密码,之后我们会在页面看到

test-spring-security登陆成功

基于配置类使用security

上面我们实现了基于配置文件的security简单配置,显然这样并不适用现实场景,下面我们见通过配置类的方式实现security的自定义配置

新建config文件夹并其中新建SecurityConfig配置类,让其继承WebSecurityConfigurerAdapter抽象类并重写两个configure方法,实现web环境下的security自定义配置,具体如下

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //自定义配置URL资源的权限控制
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                //对所有请求进行权限认证
                authorizeRequests()
                //自定义配置请求地址权限
                .mvcMatchers("/test/security").permitAll()
                // permitAll()    对所有请求放行
                .mvcMatchers("/admin/security").hasRole("admin")
                .mvcMatchers("/user/security").hasRole("user")
                .mvcMatchers("/tUser/selectAll").anonymous()
                // anonymous()    允许匿名访问,登陆状态不能访问

                .anyRequest().authenticated()       //所有请求都需要进行认证
                .and()
                .formLogin()
                //.loginPage("login")       自定义登陆页面
                .permitAll()        //所有用户都可以访问
                .and()
                .logout()
                //.logoutUrl("logout")      自定义配置退出登陆页面
                .permitAll();
    }


    //自定义配置认证规则
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //spring内置了两种UserDetailManager实现,一种基于内存的InMemoryUserDetailsManager,另一种是基于数据库的JdbcUserDetailsManager

        auth.
                //使用内存中的InMemoryUserDetailsManager(内存用户管理器)
                inMemoryAuthentication()
                //不使用passwordEncoder密码加密
                .passwordEncoder(NoOpPasswordEncoder.getInstance())
                //在内存中给配置user用户
                .withUser("admin").password("admin").roles("admin")
                .and()
                //在内存中配置admin用户
                .withUser("user").password("user").roles("user");

    }
}

security配置类搞定之后,我们新建UserController和AdminController两个接口测试类,具体如下

@RestController
@RequestMapping("/user")
public class UserController {

    
    @GetMapping("/security")
    public String security(){
        return "user-spring-security登陆成功";
    }
}



@RestController
@RequestMapping("/admin")
public class AdminController {

 
    @GetMapping("/security")
    public String security(){
        return "admin-spring-security登陆成功";
    }
}

重新启动应用,并分别访问http://localhost/test/security、http://localhost/user/security、http://localhost/admin/security三个地址,我们会发现第一个地址不用登陆就能直接访问,第二个地址需要user角色权限,第三个地址需要admin角色权限;需要注意的是,当我们访问第二个地址并使用user角色登录之后,我们访问第三个地址会报403错误,其原因是浏览器在我们使用user登录时缓存了user的登录会话信息即session状态,所以当我们登录第三个地址时浏览器会以user的登录状态去访问admin角色下的接口,显然这是访问不到的。

基于注解的方式实现对接口中方法的权限认证

首先在SecurityConfig配置类中添加@EnableGlobalMethodSecurity(prePostEnabled = true) 注解开启该功能

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)      //开启基于方法的注解权限认证,默认为false
public class SecurityConfig extends WebSecurityConfigurerAdapter {

然后我们就可以在想要进行权限校验的方法上使用@PreAuthorize("hasAuthority('ROLE_user')")或者@PreAuthorize("hasRole('user')")进行相应的权限校验了。

特别说明:hasRole和hasAuthority基本上没有区别,主要差异在于hasRole会在我们添加的角色名称前添加ROLE_前缀,所以在数据库中的权限字符串需要加上 ROLE_ 前缀。即数据库中存储的用户角色如果是 ROLE_admin,这里就是 admin。hasAuthority和数据库一样就行

初探 Spring Boot Starter Security:构建更安全的Spring Boot应用
fudaihb的博客
05-18 1601
Spring Boot 作为 Java 生态系统下的热门框架,以其简洁和易上手著称。而在构建 Web 应用程序时,安全性始终是开发者必须重视的一个方面。Spring Boot Starter Security 为开发者提供了一个简单但功能强大的安全框架,使得实现身份验证和授权变得相对容易。 本文将带你深入了解如何使用 Spring Boot Starter Security 来构建一个安全的 Spring Boot 应用,包括基本配置、常见用例以及一些技巧和最佳实践。
spring-boot-starter-security与应用安全
吴声子夜歌的博客
11-21 1万+
应用安全属于安全防护体系中的重要一环,但也是最薄弱的一环,究其原因,或许是应用的核心职责是完成业务和产品的功能需求,而安全确实非功能性需求,在资源有限的情况下,企业一定是更加注重将有限的资源投入到“开疆扩土”上去,否则,穷家破瓦的,也真没有什么值得安全防护的。 大部分应用开发者对应用安全知之甚少,而且安全一般属于一个企业或者业界秘而不宣的信息,所以,在没有一个专职的安全团队负责推动整个安全防护体系...
springboot 3.0以上和security,thymeleaf相对应的版本和进行前端鉴权
最新发布
new_SPython的博客
05-05 157
其实很多小白和搞不懂springboot3.0以上版本对应的security版本是多少,今天做了项目才知道,版本不匹配是效果没有体现出来的,就比如,我现在使用springbootsecurity来进行前端鉴权,但是由于文档是springboot是二点几以上的,而现在已经是3.0以上了,所以当时直接没有成功的效果,一直网上找,才知道了现在版本和以前不一样,直接把依赖改了就行,这个图就是springboot3版本对应的。-- thymeleaf整合spring-security -->
Spring Boot Security
weixin_33766805的博客
06-08 269
如图,是一种通用的用户权限模型。一般情况下会有5张表,分别是:用户表,角色表,权限表,用户角色关系表,角色权限对应表。 一般,资源分配时是基于角色的(即,资源访问权限赋给角色,用户通过角色进而拥有权限);而访问资源的时候是基于资源权限去进行授权判断的。 Spring Security和Apache Shiro是两个应用比较多的权限管理框架。Spring Security依赖Spring,其...
(五)Spring Securityspring-boot-starter-security)应用详解
大佬味的小男孩的博客https://www.yuque.com/dalaoweidexiaonanhai
01-29 5234
前提:在看完这两篇文章的基础上再进行本篇文章的开发 (三)Spring Security 应用详解 (四)spring-boot-starter-security 工作原理 连接数据库认证 前边的例子我们是将用户信息存储在内存中,实际项目中用户信息存储在数据库中,本节实现从数据库读取用户信息。根据前边对认证流程研究,只需要重新定义UserDetailService即可实现根据用户账号查询数据库。 创建数据库 我这里MySQL版本是5.7.31 创建user_db数据库 CREATE DATABASE `us
Springboot - 13.spring-boot-starter-security集成
yueerba126的博客
09-04 1080
使用方法,你可以定义哪些 URL 需要被保护、哪些不需要被保护、需要哪种角色等。@Overridehttp.antMatchers("/public/**").permitAll() // 公共路径,任何人都可以访问.antMatchers("/admin/**").hasRole("ADMIN") // 只有ADMIN角色的用户可以访问/admin/路径下的所有资源.anyRequest().authenticated() // 任何请求都需要经过身份验证.and()
jasypt-spring-boot-starter 3.0.5依赖的pom及jar
05-19
总的来说,jasypt-spring-boot-starter 3.0.5为Java开发者提供了一个高效且安全的方式来管理和使用加密数据,简化了Spring Boot应用中的安全实践。通过深入理解POM文件中的依赖关系和JAR文件中的实现细节,我们可以...
spring-boot-starter-test-2.2.13.RELEASE.jar
04-21
spring-boot-starter-test-1.0.2.RELEASE.jar 各个版本,免费下载 spring-boot-starter-test-RELEASE.jar 各个版本,免费下载 spring-boot-starter-test.jar 各个版本,免费下载 如果不能免费下载,关注我,评论区...
dbApi-spring-boot-starter-demo:dbApi-spring-boot-starter案例代码
03-15
4. 定义Repository接口:通过继承dbApi-spring-boot-starter提供的基类,定义简单的CRUD操作接口。 三、案例代码解析 "dbApi-spring-boot-starter-demo-master"是一个完整的实例项目,它展示了如何集成和使用dbApi...
quickfixj-spring-boot-starter:用于QuickFIXJ的Spring Boot Starter
01-30
QuickFIXJ-Spring-Boot-Starter是专门为整合QuickFIXJ与Spring Boot设计的启动器,旨在简化在Java环境中使用QuickFIXJ进行金融 FIX(Financial Information eXchange)协议通信的过程。FIX协议是一种广泛用于金融...
justauth-spring-boot-security-starter:spring security 集成 JustAuth 实现第三方授权登录
05-11
Spring security 集成 JustAuth 实现第三方授权登录脚手架: 一、特性 : 此项目从 用户管理脚手架(UMS): | ) 项目中分离. ... <artifactId>justAuth-spring-security-starter <version>latest </dep
spring-boot-starter-security
weixin_43166227的博客
05-08 1877
应用安全属于安全防护体系中的重要一环,但也是最薄弱的一环,究其原因,或许是应用的核心职责是完成业务和产品的功能需求。 Spring 生态圈现成的解决方案,是从 Acegi 发展起来的 SpringSecuritySpring Security是一个灵活和强大的身份验证和访问控制框架,以确保基于Spring的Java Web应用程序的安全。 Spring Security是一个轻量级的安全框架,...
spring security 超详细使用教程(接入springboot、前后端分离)
热门推荐
小程xy的博客
09-30 1万+
Spring Security 是一个强大且可扩展的框架,用于保护 Java 应用程序,尤其是基于 Spring 的应用。它提供了身份验证(验证用户身份)、授权(管理用户权限)和防护机制(如 CSRF 保护和防止会话劫持)等功能。 Spring Security 允许开发者通过灵活的配置实现安全控制,确保应用程序的数据和资源安全。通过与其他 Spring 生态系统的无缝集成,Spring Security 成为构建安全应用的理想选择。- **前端**: - 用户在登录界面输入用户名和密码。 -
springboot整合spring security使用
机智的爆爆哥
12-09 270
文章目录1.项目准备2.实现自定义登录失败跳转前后端分离的问题 1.项目准备 pom 这里使用的是springboot2.2.11.RELEASE <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </d
SpringBoot集成SpringSecurity步骤
wgjaimengfei的博客
10-29 204
由于第一次使用SpringSecurity,经过研究学习,总结了以下操作步骤: 加载spring security扩展 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 写sping sec
Spring Boot安全管理
weixin_62907807的博客
06-15 5574
formLogin()⽤户登录⽅法中涉及⽤户登录的主要⽅法及说明如下表所示。rememberMe()记住我功能相关涉及记住我的主要⽅法及说明如下表所示。例如,只有唯⼀的默认登录⽤户user。开始,⾃定义⽤户认证必须设置密码编码器⽤于保护密码,否则控制台会出现。⾃定义⽤户认证时,可以为某个⽤户⼀次指定多个⻆⾊或权限,例如,安全管理功能来说,则还需要额外引⼊⼀些其他安全依赖。⾃定义⽤户认证时,可以定义⽤户⻆⾊。⽤户请求控制相关的主要⽅法及说明。⽤户登录失败后的跳转地址,默认。登录⽤户的⽤户名参数, 默认为。
spring boot 整合security技术详细使用教程
qq_55670428的博客
10-21 313
Spring Security致力于为Java应用提供认证和授权管理。它是一个强大的,高度自定义的认证和访问控制框架。
Spring Security使用总结
qq_29842629的博客
05-29 893
自定义Filter不需要通过实现Filter接口来实现我们可以通过中继承,这是一个基类,用于每个请求只调用一次的 filter,并提供一个带有和参数的方法。@Override//逻辑处理//方法一 当前方法适用与高版(至少在6.2.0以上)本Spring Security比不支持我当前版本@Beanhttp// .../*方法二或者继承WebSecurityConfigurerAdapter类实现*/@Overridehttp// ...这里有个小插曲。
spring-boot-starter-security 修改spring-boot-starter-security 版本
03-18
### 如何在项目中更改 `spring-boot-starter-security` 的版本号 在 Spring Boot 项目中,如果需要手动指定某个 Starter(例如 `spring-boot-starter-security`)的版本号而不是依赖于默认的 Spring Boot 版本管理机制,则可以通过以下方法完成。 #### 方法一:覆盖 Spring Boot 默认管理的版本 Spring Boot 使用 BOM(Bill of Materials)来统一管理其生态系统的依赖项版本。要覆盖默认版本,可以在项目的 `pom.xml` 文件中显式定义 `spring-boot-starter-security` 的版本: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>具体版本号</version> <!-- 手动设置所需的版本 --> </dependency> ``` 需要注意的是,在这种情况下,可能会破坏与其他组件之间的兼容性,因此建议仅在必要时才这样做[^1]。 #### 方法二:通过属性配置自定义版本 另一种更优雅的方式是利用 Maven 或 Gradle 提供的属性机制来自定义版本。对于 Maven 而言,可以添加如下内容至 `<properties>` 部分: ```xml <properties> <spring-security.version>具体版本号</spring-security.version> </properties> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> <version>${spring-security.version}</version> </dependency> ``` 这种方式允许开发者灵活调整单个模块的具体版本而不影响其他部分[^2]。 #### 注意事项 当修改 `spring-boot-starter-security` 的版本时,请务必确认所选版本与当前使用Spring Boot 主版本保持一定的兼容性。不匹配可能导致运行时错误或者某些特性无法正常工作[^3]。 ```java // 示例代码片段展示如何处理 JSON 请求数据 @PostMapping("/login") public ResponseEntity<String> handleLogin(@RequestBody UserCredentials credentials){ String username = credentials.getUsername(); String password = credentials.getPassword(); // 假设这里执行验证逻辑... return new ResponseEntity<>("Success", HttpStatus.OK); } ``` 上述 Java 控制器展示了接收 JSON 数据并解析为对象的过程,这与安全框架无关但有助于理解请求体绑定的概念[^4]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

龙茶清欢

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值