SpringSecurity - 初识 SpringSecurity

已于 2022-08-02 16:17:49 修改
阅读量372 收藏 3
点赞数
分类专栏: # SpringSecurity 学习 文章标签: java spring spring boot SpringSecurity
于 2022-08-01 17:48:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qiaohao0206/article/details/126104544
版权
本文介绍了如何在SpringBoot项目中集成SpringSecurity,实现Web请求的身份验证和授权管理,包括默认配置、登录页面、自定义配置等内容,适合初次接触SpringSecurity的开发者。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

活动地址:优快云21天学习挑战赛

概述

目前,在 Java web 开发中,安全框架常用的一般有 SpringSecurityShiro

  • SpringSecurity 特点:

    • Spring 无缝整合
    • 全面且完善的权限控制(包括微服务的权限控制)
    • 专门为 web 开发而设计
      • 旧版本不能脱离 web 环境使用
      • 新版本对整个框架进行了分层抽取,分为了 core 模块和 web 模块。单独引入 core 模块
    • 功能完善,重量级

  • Shiro 特点:

    • 轻量级,Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好的表现
    • 通用性
      • 好处:不局限于 web 环境,可以脱离 web 环境使用
      • 缺陷:在 web 环境下一些特定的需求需要手动编写代码定制

基于我们开发中绝大部分情况下都是使用 Spring 框架,且对性能要求没有很高,所以我们一般选择 SpringSecurity 框架,毕竟 Spring 出品,必属精品

牛刀小试

​SpringSecurity 是一个安全框架,前身是 Acegi Security,能够为 Spring 企业应用系统提供声明式的安全访问控制。Spring Security 基于 Servlet 过滤器IoCAOP,为 Web 请求和方法调用提供身份验证和授权处理,避免了代码耦合,减少了大量重复代码工作。

  • 首先我们新建一个 SpringBoot 项目,并且提供一个 hello 接口:
@RestController
public class HelloController {

    @GetMapping("hello")
    public String hello() {
        return "hello spring security";
    }
}

启动项目后,访问接口:

在这里插入图片描述

  • SpringBoot 为我们提供了集成 SpringSecuritystarter

这里使用 SpringBoot 2.3.12.RELEASE 版本,对应 Security 5.3.9.RELEASE 版本

<dependency>
   <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

并且 SpringBoot 已经为 SpringSecurity 提供了默认配置,默认所有资源(包括静态资源)都必须认证通过才能访问。此时再访问 hello 接口,会跳转默认的登录页面:

在这里插入图片描述

这里 SpringBoot 为我们提供了默认的用户名:user,密码为随机生成在控制台:

在这里插入图片描述

输入正确的用户名密码,认证通过后就可以继续访问了:

在这里插入图片描述

总结

可能第一次使用 SpringSecurity 的朋友们都会有下面这些疑惑:

  • 为什么什么都没配置就会跳转到登录页面呢?
  • 登录页面哪里来的?
  • 能不能自定义登录页面?
  • 默认的用户名密码在哪里配置的?

在之后的 SpringSecurity 学习 专栏中,我们一起来揭开 Spring Security 神秘的面纱。

下篇文章: SpringBoot - 简单集成 SpringSecurity

Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring Security入门教学】
m0_64361540的博客
11-24 3945
初识Spring Security 本书所有的示例都基于Inellij IDEA 创建的Spring Boot项目,因此读者需要具备一定的Spring相关知识。 1.1 Spring Security简介 Spring Security 的前身是Acegi Security, 在被收纳为Spring 子项目后正式更名为SpringSecurity. 在笔者成书时,Spring Security已经升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框 架,支持更加现代化的密码加密方式。可
spring-security-web-5.3.9.RELEASE.jar中文-英文对照文档.zip
03-09
注:下文中的 *** 代表文件名中的组件名称。 # 包含: 中文-英文对照文档:【***-javadoc-API文档-中文(简体)-英语-对照版.zip】 jar包下载地址:【***.jar下载地址(官方地址+国内镜像地址).txt】 Maven依赖:【***.jar Maven依赖信息(可用于项目pom.xml).txt】 Gradle依赖:【***.jar Gradle依赖信息(可用于项目build.gradle).txt】 源代码下载地址:【***-sources.jar下载地址(官方地址+国内镜像地址).txt】 # 本文件关键字: 中文-英文对照文档,中英对照文档,java,jar包,Maven,第三方jar包,组件,开源组件,第三方组件,Gradle,中文API文档,手册,开发手册,使用手册,参考手册 # 使用方法: 解压 【***.jar中文文档.zip】,再解压其中的 【***-javadoc-API文档-中文(简体)版.zip】,双击 【index.html】 文件,即可用浏览器打开、进行查看。 # 特殊说明: ·本文档为人性化翻译,精心制作,请放心使用。 ·本文档为双语同时展示,一行原文、一行译文,可逐行对照,避免了原文/译文来回切换的麻烦; ·有原文可参照,不再担心翻译偏差误导; ·边学技术、边学英语。 ·只翻译了该翻译的内容,如:注释、说明、描述、用法讲解 等; ·不该翻译的内容保持原样,如:类名、方法名、包名、类型、关键字、代码 等。 # 温馨提示: (1)为了防止解压后路径太长导致浏览器无法打开,推荐在解压时选择“解压到当前文件夹”(放心,自带文件夹,文件不会散落一地); (2)有时,一套Java组件会有多个jar,所以在下载前,请仔细阅读本篇描述,以确保这就是你需要的文件;
spring-security-config-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-config-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-config-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-config-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-config-5.3.9.RELEASE.pom; 包含翻译后的API文档:spring-security-config-5.3.9.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-config:5.3.9.RELEASE; 标签:springframework、security、spring、config、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.3.9.RELEASE.pom; 包含翻译后的API文档:spring-security-core-5.3.9.RELEASE-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-core:5.3.9.RELEASE; 标签:springframework、security、spring、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Spring5.3.9框架文档之一: 概览
Roy的博客
08-06 537
Spring让企业级应用的开发更加简单,它使得JAVA能够在企业环境中得到应用。当前版本将在JVM中支持Groovy, Kotlin,同时也将能够灵活地生成多种针对不同应用需求的架构。在Spring 5.1中,JDK1.8以上的版本是必须的,同时也针对JDK11 LTS提供额外的支持。JDK1.8中,最推荐的版本是JAVA SE 8U60, 但一般来说使用新近的版本会更好。 Spring广泛支持各种应用场景。在大企业中,应用通常需要长时间不停机,因此JDK跟应用服务器的升级周期不在开发人员的控制。另外应用也
Spring Security 快速入门
快乐的小三菊的博客
12-13 564
Spring Security 快速入门
Spring Security(一)初识Spring Security
ekskef_sef的博客
03-10 227
Spring Security是spring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。我们在这个登录页面上输入用户名user,密码user,点击Sign in,就可以看到首页了!用于解析xml配置文件,用到Spring Security的xml配置文件的就要用到此包。Spring Security提供的动态标签库,jsp页面可以用。核心包,任何Spring Security功能都需要此包。web工程必备,包含过滤器和相关的Web安全基础结构代码。
SpringSecuritySpringSecurity基础
qq_44530108的博客
03-26 5351
框架简介 概要 一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录 (2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说
初识 Spring Security - v1.1.pdf
08-27
http://www.springframework.org/schema/security/spring-security-3.1.xsd"> <!-- 配置Spring Security --> <security:http auto-config="true"> <security:intercept-url pattern="/admin/**" access="hasRole...
Spring Boot 2.x实战84 - Spring Security 8 - OAuth 2.0之Resource Server(基于JWT)
汪云飞记录本
06-29 1万+
OAuth 2.0是安全授权的工业标准协议,我们了解它需要理解下面的专用术语: 交互参与方: Client:需要访问Resource Sever受保护资源的应用; Resource Owner :终端用户,Client通过终端用户进行不同类型的授权(Grant Type); Authorization Server:提供访问授权的应用,Client使用某种Grant Type向Authorization Server获取Access Token; Resource Sever:包含受保护资源的应用,
Spring Security
快乐的小三菊的博客
04-23 1503
一文搞懂 Spring Security,包括入门简介、认证和授权、异常处理和跨域等问题
Spring boot 的认证与授权 Spring Security 5.3
nece001的专栏
06-02 917
在做一个web网站的时候,一般会分为前台和后台。前台不需要登录就可以访问,后台需要登录之后才可以访问。这时候可以使用Spring Securit的模块进行相关的认证和授权。 认证:就是填写帐号和密码后,从某个地方(数据库)中查找记录是否存在。 授权:就是验证认证过的帐号是否有某些资源的访问权限。 package com.项目包名.config; import org.springframework.security.config.annotation.web.builders.HttpSecurit
SpringSecurity - WebSecurityConfigurerAdapter 过时问题
热门推荐
业精于勤荒于嬉
07-02 1万+
WebSecurityConfigurerAdapter 过时问题
Spring Security 5.3.1, 5.2.3, 5.1.9, 5.0.15, 4.2.15 Released
BLOG域名:programb.blog.youkuaiyun.com
04-30 395
Releases Rob Winch April 02, 2020 On behalf of the community, I’m pleased to announce the release of Spring Security 5.3.1 (release notes), 5.2.3 (release notes), 5.1.9 (release notes) , 5.0.15 (relea...
学习SpringSecurity这一篇就够了
怪咖@的博客
05-25 7462
Spring Security 是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
Java 多线程应用循环输出ABC
26857259
05-14 212
Java 多线程应用循环输出ABC
Android App CAN通信测试
最新发布
tianpu2320959696的博客
05-16 376
CAN总线协议(Controller Area Network), 控制器局域网总线,是德国BOSCH(博世)公司研发的一种串行通讯协议总线, 它可以使用双绞线来传输信号,是世界上应用最广泛的现场总线之一。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值