SpringSecurity安全框架学习、微服务处理方案

最新推荐文章于 2024-09-25 14:56:28 发布
原创 最新推荐文章于 2024-09-25 14:56:28 发布 · 661 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#SpringSecurity

完整代码已放到Github 需要的自取

https://github.com/coder-msc/SpringSecrityDemo

创建工程案列

创建简单web工程基于Spring boot
测试案列

引入安全框架依赖
<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>


@RestController
@RequestMapping("/test")
public class TestController {
    @GetMapping("hello")
    public String hello(){

        return "hello Spring Security";
    }
}

启动项目访问

在这里插入图片描述

说明安全框架起作用了

初始化账号是user 密码是启动时控制台那一串
在这里插入图片描述

在这里插入图片描述

原理分析

就是一个过滤器链
在这里插入图片描述

安全框架自带得没有查数据库

自己查数据库验证的步骤如下
1、用UserDetailService接口继承UsernamePasswordAuthenticationFilter方法,重写attemptAuthentication,得到用户名密码,认证成功调用重写successfulAuthentication 不成功重写调用unsuccessfulAuthentication方法
2、PasswirdEncoder接口,数据加密接口,用于密码加密

Web项目中认证和授权

认证三种基本实现方式

(重点看第三种)
1、设置的用户名和密码
(1)配置文件
spring.security.user.name=atguigu
spring.security.user.password=atguigu
在这里插入图片描述

(2)配置类
创建config类

@Configuration
public class SecurityConfig  extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
         //加密器 new了对象 所以需要对这个对象动手创建一下
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password=passwordEncoder.encode("123");
        auth.inMemoryAuthentication().withUser("Lucy").password(password).roles("admin");
    }
    // new了对象 所以需要对这个对象动手创建一下
 @Bean
    PasswordEncoder passwoed(){
        return  new BCryptPasswordEncoder();
    }
}

(3)自定义编写实现类

第一步 创建配置类,设置使用那个userDetailsService实现类
第二步:编写实现类,返回User对象,User对象有用户名密码和操作权限

第一步

@Configuration
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userdetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userdetailsService).passwordEncoder(password());
    }

    @Bean
    PasswordEncoder password(){
        return  new BCryptPasswordEncoder();
    }
}

第二步

//@Autowired
//    private UserDetailsService userdetailsService;  
//将上面配置类中的对象注入service
@Service("userdetailsService")
public class MyUserDetailSevice implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("roles");
        return  new User("marry",new BCryptPasswordEncoder().encode("123"),auths);
    }
}

启动项目 mary 123

整合MybatisPuls使用查询数据库方式实现

1、引入依赖
<dependency>
           <groupId>com.baomidou</groupId>
           <artifactId>mybatis-plus-boot-starter</artifactId>
           <version>3.0.5</version>
       </dependency>
       <!--mysql-->
       <dependency>
           <groupId>mysql</groupId>
           <artifactId>mysql-connector-java</artifactId>
       </dependency>
       <!--lombok用来简化实体类-->
       <dependency>
           <groupId>org.projectlombok</groupId>
           <artifactId>lombok</artifactId>
       </dependency>

创建表

创建实体类

查数据库验证
 @Autowired
    private UserMapper usermapper;

    @Override //这个username就是用户名
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    //mybatis-plus工具
        QueryWrapper<Users> wrapper=new QueryWrapper<>();
        wrapper.eq("user_name",username);
        Users users = usermapper.selectOne(wrapper);
        if(users==null){
            throw new UsernameNotFoundException("用户名不存在");
        }

        List<GrantedAuthority> auths= AuthorityUtils.commaSeparatedStringToAuthorityList("roles");
        return  new User(users.getUsername(),new BCryptPasswordEncoder().encode(users.getPassword()
        ),auths);
    }

完善

自定义设置登录页面
不需要认证可以访问
自定义登录页面
@Configuration
public class SecurityConfigTest extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserDetailsService userdetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userdetailsService).passwordEncoder(password());
    }

    @Bean
    PasswordEncoder password(){
        return  new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http)throws Exception{
        http.formLogin() //自定义登录页面
        .loginPage("/login/html") //登录页面设置
        .loginProcessingUrl("/user/login")// 登录访问路径
        .defaultSuccessUrl("/test/index").permitAll()//登录成功之后跳转路径
        .and()
        .authorizeRequests().antMatchers("/user/login","/","/test/hello").permitAll()//哪些路径不需要认证可直接访问
        .anyRequest().authenticated()
        .and().csrf().disable(); //关闭csrf防护
    }

}

注意: html表单必须设置成username 和password否则安全框架不识别

controller

hello不需要认证
index需要登录验证才能跳转

@RestController
@RequestMapping("/test")
public class TestController {
    @GetMapping("hello")
    public String hello(){

        return "hello Spring Security";
    }
    @GetMapping("index")
    public String index(){

        return "hello Spring index";
    }

角色访问控制(授权)

四个方法解释

1、hasAuthority方法:如果当前主体有指定权限返回true 否则返回false

   @Override
    protected void configure(HttpSecurity http)throws Exception{
        http.formLogin() //自定义登录页面
        .loginPage("/login.html") //登录页面设置
        .loginProcessingUrl("/user/login")// 登录访问路径
        .defaultSuccessUrl("/test/index").permitAll()//登录成功之后跳转路径
        .and()
        .authorizeRequests().antMatchers("/user/login","/","/test/hello").permitAll()//哪些路径不需要认证可直接访问
  //当前登录用户,只有具有admins权限才可以访问这个路径
        .antMatchers("/test/index").hasAuthority("admins")        
        .anyRequest().authenticated()
        .and().csrf().disable(); //关闭csrf防护
    }
    
//在service中设置权限信息
 List<GrantedAuthority> auths= 
                //手动设置这个用户的权限为admins
                AuthorityUtils.commaSeparatedStringToAuthorityList("admins");
        return  new User(users.getUserName(),
                new BCryptPasswordEncoder().encode(users.getPassword()
        ),auths);
        
2、hasAnyAuthority 多个角色都可访问的路径
  //当前登录用户,只有具有admins权限才可以访问这个路径
          //hasAuthority方法
//        .antMatchers("/test/index").hasAuthority("admins")
         //该路径可以被多个角色访问时 使用这个
        .antMatchers("/test/index").hasAnyAuthority("admins,manage")

3、hasRole 如果当前主体具有指定角色 返回true
注意地层源码中会给角色加前缀,因此设置角色权限时,需加上ROLE_ 


 List<GrantedAuthority> auths=
 //手动设置这个用户的权限为admins
AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");
 return  new User(users.getUserName(),
    new BCryptPasswordEncoder().encode(users.getPassword()
        ),auths);


4、hasAnyRole 同上 多个角色 用逗号隔开写法一样

自定义403页面

 @Override
    protected void configure(HttpSecurity http)throws Exception{
      //403自定义页面 
       http.exceptionHandling().accessDeniedPage("/unauth.html");//403自定义页面
        http.formLogin() //自定义登录页面
        .loginPage("/login.html") //登录页面设置
        .loginProcessingUrl("/user/login")// 登录访问路径
        .defaultSuccessUrl("/test/index").permitAll()//登录成功之后跳转路径
        .and()
        .authorizeRequests().antMatchers("/user/login","/","/test/hello").permitAll()//哪些路径不需要认证可直接访问
         //当前登录用户,只有具有admins权限才可以访问这个路径
          //hasAuthority方法
//        .antMatchers("/test/index").hasAuthority("admins")
         //该路径可以被多个角色访问时 使用这个
        .antMatchers("/test/index").hasAnyAuthority("admins,manage")

        .anyRequest().authenticated()
        .and().csrf().disable(); //关闭csrf防护
    }

认证授权中注解的使用

在启动类上开启注解
@EnableGlobalMethodSecuriity(securedEnabled=true)

Secured注解
在controller中使用
@GetMapping("update")
   @Secured({"ROLE_sale","ROLE_manager"})
   public String update(){

       return "hello Spring update";
   }
   
//在userDetail中设置角色
    List<GrantedAuthority> auths=
               //手动设置这个用户的权限为admins
               AuthorityUtils.commaSeparatedStringToAuthorityList("admins,ROLE_sale");
       return  new User(users.getUserName(),
               new BCryptPasswordEncoder().encode(users.getPassword()
       ),auths);
   }

在这里插入图片描述

2、@PreAuthorize 方法访问前验证


1、在启动类上加prePostEnabled= true
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)

2、在controller上使用 注意双引号 单引号
 @GetMapping("update")
  //  @Secured({"ROLE_sale","ROLE_manager"})
    @PreAuthorize("hasAnyAuthority('admins')")
    public String update(){
        return "hello Spring update";
    }
}

3、@PostAuthorized

方法执行之后才执行校验权限   与第二个使用相同 (单权限)

4、@PostFilter

对返回对象数据进行过滤

5、@PreFilter

对传入参数进行过滤

用户注销

1、在配置类中设置退出地址 跳转的地址
 //退出的地址   //退出跳转到的地址
http.logout().logoutUrl("/logout").logoutSuccessUrl("/test/hello").permitAll();

创建html
<body>
<h1>登录成功</h1>
<a href="/logout">退出</a>
</body>
// 登录后可以访问别的接口  

//退出登录后 不能访问接口 需要重新登录才能访问

基于数据库记住我,免登录

1、自动登录

1、cookie
2、安全框架实现自动登录

在这里插入图片描述
在这里插入图片描述

//注入数据源
    @Autowired
    private DataSource dataSource;
//配置对象
    @Bean
    public PersistentTokenRepository persistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository=new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        jdbcTokenRepository.setCreateTableOnStartup(true);//自动创建表
        return jdbcTokenRepository;
    }

//设置记住我 必须设置成remember才能识别到
<input type="checkbox" name="remember-me">自动登录
自动建表

在这里插入图片描述

启动验证

在这里插入图片描述

关闭浏览器 在重新打开 可以访问接口

在这里插入图片描述

CSRF跨站请求伪造

跨站请求伪造原理 每次请求将token存储到session中,访问带着token,每次访问做比对,如果一致才能进行访问;


这个默认打开 但是GET方法不能防止
还有HEAD TRACE OPTIONS 也不能防护
只防护UPDATE DELETE SET 
 .and().csrf().disable(); //关闭csrf防护
案例分析
创建controller
   @GetMapping("/toupdate")
    public String test(Model model){
        return "csrfTest.html";
    }
    @PostMapping("/update_token")
    public String getToken(){
        return "cssrf_token.html";
    }


配置类打开CSRF防护
设置登录放行路径 登录页面指定
//.and().csrf().disable(); //关闭csrf防护,默认开启的

<form method="post" action="update_token">
        <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf_token}">
        用户名:<input type="text" name="username"/></br>
        密码:<input type="password" name="password"/></br>
        <button type="submit">修改</button>
    </form>

分布式项目中的安全框架用法

1、什么是微服务

微服务架构风格是一种使用一套小服务来开发单个应用的
方式途径,每个服务运行在自己的进程中,并使用轻量级
机制同学,通常是http API,这些服务基于业务能力构建,
并且能够通过自动化部署机制独立部署

优势:
微服务每个模块相当于一个单独的项目,代码量明显减少,
遇到问题相对来说比较好解决

2、微服务认证和授权实现过程

单点登录 SSO


授权

在这里插入图片描述

3、完成案列

微服务处理方案

在这里插入图片描述

后端应用 Spring Security 的微服务安全架构
欢迎来到我的优快云空间!这里聚焦AI大模型应用实战,分享前沿技术、实战案例与开发经验。
04-21 956
在当今数字化时代,微服务架构因其灵活性可扩展性而被广泛应用于后端应用开发中。然而,微服务之间的通信交互带来了诸多安全挑战,如身份认证、授权管理、数据加密等。本文章的目的在于深入探讨如何利用 Spring Security 框架构建一个安全可靠的微服务架构,以应对这些安全挑战。文章的范围涵盖了 Spring Security 的核心概念、算法原理、数学模型、项目实战以及实际应用场景等方面。
微服务架构 Spring Cloud 生态快速回顾指南
热门推荐
曾经“等你生日那天”都遥远得像未来,如今却可欢愉的挥手说“下个十年见”
02-14 168万+
本文介绍了Spring Cloud在微服务架构中的核心组件及其应用。Spring Cloud提供了服务注册与发现、负载均衡、配置管理容错机制等功能,简化了分布式系统的构建与管理。通过对这些组件的分析,本文阐述了如何利用Spring Cloud提高微服务系统的可用性、灵活性可扩展性。最终,本文强调了Spring Cloud作为现代云原生应用开发的重要工具,帮助开发者构建高效、可靠的微服务架构。
Spring Cloud 之Spring-Security
art_code的博客
01-26 385
Spring Cloud 之Spring-Security 对于Spring-Security首先要明白这么几点: 1、什么是SpringSecurityurity 2、SpringSecurity应用场景 3、SpringBoot整合Security 4、Security formLogin 模式 5、Security httpBasic模式 6、Security 实现账号权限控制 7、Se...
Day47_Spring Security—Spring Security的微服务使用
weixin_45014721的博客
07-13 3435
(2)基于 token,(token就是按一定规则生成的包含用户信息的字符串),基于 Session则是解析出 token,然后将当前请求加入到 Spring-security 管理的权限信息中去。这是SpringSecurity微服务中最常用的方式。上面授权的时候,把用户信息放入权限的上下文SecurityContextHolder中,那么后面就可以你可以通过SecurityContextHolder来获取当前的安全上下文,并从中获取Authentication对象,进而获取用户信息。
【Spring Security安全框架 入门及基于微服务单点登录认证】
qq_46652775的博客
03-17 5672
文章目录前言一、Spring Security的概念二、Spring Security的实现原理1.过滤器链的各个进行说明:2.简易流程概述:3. 具体认证流程三 、springsecurity使用redis实现单点登录四 、测试认证服务器的功能五、认证服务器也可以是资源服务器 前言 Spring Security是一个当前流行的安全框架,它不仅实现了访问资源(crud)权限的控制,还可以基于它可以实现单点登陆认证业务. 本文主要介绍Spring Security的概念,认证及权限控制原理,以及单点登录的实
微服务整合Spring Security实现用户的认证授权
u014496893的博客
01-31 6268
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名密码。系统通过校验用户名密码来完成认证过程。
【分布式微服务专题】SpringSecurity快速入门
qq_32681589的博客
01-01 2507
系列上一篇文章:《官方介绍:Spring Security 是一个功能强大且高度可定制的身份验证访问控制框架。它是用于保护基于 Spring 的应用程序。Spring Security 是一个框架,侧重于为 Java 应用程序提供身份验证授权。与所有 Spring 项目一样,Spring 安全性的真正强大之处,在于它很容易扩展以满足定制需求Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案安全框架
微服务Spring Security框架应用
最新发布
m0_71240584的博客
09-25 1136
当什么也没有配置的时候,账号密码是由Spring Security定义生成的。而在实际项目中账号密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:@Bean2.编写UserDetailsServiceImpl ,UserDetailsService接口的实现类,用于实现自定义逻辑:【注意】UserDetailsService接口不需要我们写@Service@Autowired。
微服务架构下的‘黑带’安全大师:Spring Cloud Security全攻略!
Geek_H
05-28 2974
在数字化浪潮中,微服务架构如同一场盛大的国际美食节,而Spring Cloud Security则是这场盛宴的安全守护神。本文将带你深入后厨,揭秘如何使用Spring Cloud Security在微服务间搭建坚不可摧的安全防线。从环境搭建到服务间通信,从安全策略设计到经典问题的巧妙应对,每一环节都充满了智慧趣味。准备好了吗?让我们一起探索微服务美食广场的秘密,打造一个五星级的安全防护!
Spring Security安全框架学习笔记
根据所提供的文件信息,“006_document.zip” 压缩包内包含一份名为 “SpringSecurity.pdf” 的文档,其描述明确指出这是一份关于 Spring Security 的学习笔记,结合标签中的关键词如“安全框架”、“认证”、“授权...
SpringSecurity微服务权限解决方案
ybb_ymm的专栏
04-16 1397
微服务(或称微服务架构)是一种云 原 生 架构方法,在单个应用中包含众多松散耦合而且可单独部署的小型组件或服务。这些服务通常拥有自己的技术栈,包括数据库数据管理模型;通过一个 rest api、事件流 消 息 代 理组合彼此通信;以及 按照业务能力进行组织,具有通常称为有界上下文的服务分隔线。
微服务-微服务Spring Security6实战
weixin_43874650的博客
02-24 1998
使用 Spring Security 时经常会看见 403(无权限)。Spring Security 支持自定义权限受限处理,需要实现 AccessDeniedHandler接口@Overrideresponse.getWriter().write("没有访问权限");在配置类中设置访问受限后交给BussinessAccessDeniedHandler处理//访问受限后的异常处理方法授权:基于注解的访问控制。
SpringSecurity 微服务权限管理
weixin_43328816的博客
04-30 1625
1.什么是微服务微服务的优势: 微服务的每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来说比较好解决。 微服务每个模块都可以使用不同的存储方式(比如Redis,mysql)数据库也是单个模块对应自己的数据库 微服务每个模块都可以使用不同的开发技术,开发模式增加灵活 微服务的本质 2.微服务认证与授权过程: 3.微服务权限管理数据模型 ...
【Spring Security】007-Spring Security 微服务权限方案:搭建项目
訾博(ZiBo)的博客
01-04 386
目录 一、搭建项目 1、工程结构分析 2、创建工程 第一步:创建SpringBoot工程 第二步:下一步,完成创建,修改SpringBoot版本号为2.2.1.RELEASE 第三步:设置打包方式为pom 第四步:删除src目录(此父工程仅用来管理依赖版本) 第五步:在父工程下创建common子模块(创建module:maven工程) 第六步:为module起名字 第七步:设置打包方式为pom(这也是“父工程”,下面还有子模块) 第八步:删除src目录(此父工程仅用来管理依赖版本)
SpringSecurity微服务权限方案
Java追求者的博客
05-26 870
1. 什么是微服务 1.1 微服务由来 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2 微服务优势 (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对
SpringSecurity-基于微服务的认证与权限访问
萌萌虎的博客
08-18 2585
微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种 使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。(JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519。...
SpringSecurity 微服务对权限的整合
星海IT学习之路
12-26 1776
文章目录SpringSecurity 原理总结 SpringSecurity 原理总结 如果有收获!!! 希望老铁们来个三连,点赞、收藏、转发。 创作不易,别忘点个赞,可以让更多的人看到这篇文章,顺便鼓励我写出更好的博客 ...
四、springSecurity 微服务权限方案
xxx_live_anyd的博客
11-05 2679
springSecurity 微服务权限方案
Spring Security独立微服务
lifeOn的博客
06-18 970
1、数据库设计 2、代码实现
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

码头薯条Pro

本文能帮到阁下,在下很开心!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值