SpringBoot - 整合SpringSecurity

最新推荐文章于 2025-04-17 17:52:16 发布
最新推荐文章于 2025-04-17 17:52:16 发布
阅读量694 收藏 5
点赞数 2
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34581161/article/details/120428122
版权

一、安全简介

在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应用的开发过程中。

▲ 市面上存在比较有名的:① Shiro,② Spring Security

这里需要阐述一下的是,每一个框架的出现都是为了解决某一问题而产生了,那么Spring Security框架的出现是为了解决什么问题呢?

官网介绍
● Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。

● Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求

从官网的介绍中可以知道这是一个权限框架。想我们之前做项目是没有使用框架是怎么控制权限的?对于权限 一般会细分为功能权限,访问权限,和菜单权限。代码会写的非常的繁琐,冗余。

怎么解决之前写权限代码繁琐,冗余的问题,一些主流框架就应运而生而Spring Scecurity就是其中的一种。

Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。

对于上面提到的两种应用情景,Spring Security 框架都有很好的支持。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对象进行细粒度的控制。

二、实战测试

1)实验环境搭建
1、IDEA新建一个初始的springboot项目web模块,thymeleaf模块

2、导入静态资源
在这里插入图片描述
3、controller跳转!

package com.cyan.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.PathVariable;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
public class RouterController {
   

    @RequestMapping(value = {
   "/","/index"})
    public String index() {
   
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
   
        return "views/login";
    }

    @RequestMapping("/level1/{id}")
    public String level1(@PathVariable("id") int id){
   
        return "views/level1/"+id;
    }

    @RequestMapping("/level2/{id}")
    public String level2(@PathVariable("id") int id){
   
        return "views/level2/"+id;
    }

    @RequestMapping("/level3/{id}")
    public String level3(@PathVariable("id") int id){
   
        return "views/level3/"+id;
    }
}

4、测试实验环境是否OK!

2)认识SpringSecurity
  Spring Security 是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入 spring-boot-starter-security 模块,进行少量的配置,即可实现强大的安全管理!

记住几个类:

WebSecurityConfigurerAdapter:自定义Security策略

AuthenticationManagerBuilder:自定义认证策略

@EnableWebSecurity:开启WebSecurity模式

Spring Security的两个主要目标是 “认证” 和 “授权”(访问控制)。

“认证”(Authentication):

身份验证是关于验证您的凭据,如用户名/用户ID和密码,以验证您的身份。

身份验证通常通过用户名和密码完成,有时与身份验证因素结合使用。

“授权” (Authorization):

授权发生在系统成功验证您的身份后,最终会授予您访问资源(如信息,文件,数据库,资金,位置,几乎任何内容)的完全权限。

这个概念是通用的,而不是只在Spring Security 中存在。

3)认证和授权
目前,我们的测试环境,是谁都可以访问的,我们使用 Spring Security 增加上认证和授权的功能

1、引入 Spring Security 模块

<dependency>
   <groupId>org.springframework.boot</groupId>
   <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2、编写 Spring Security 配置类

参考官网:https://spring.io/projects/spring-security,查看我们自己项目中的版本,找到对应的Reference Doc帮助文档:
在这里插入图片描述
3、编写基础配置类

package com.cyan.config;

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity //开启WebSecurity模式
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   

}

4、定制请求的授权规则

// 授权
@Override
protected void configure(HttpSecurity http) throws Exception {
   
    // 定制请求的授权规则,
    http.authorizeRequests()
        // 匹配许可,首页所有人可以访问
        .antMatchers("/","/index").permitAll()
        // 匹配访问规则,需要vip1/2/3权限
        .antMatchers("/level1/**").hasRole("vip1")
        .antMatchers("/level2/**").hasRole("vip2")
        .antMatchers("/level3/**").hasRole("vip3");
}

5、测试一下:发现除了首页都进不去了!因为我们目前没有登录的角色,因为请求需要登录的角色拥有对应的权限才可以!

6、在configure()授权方法中加入以下配置,开启自动配置的登录功能!

// 开启自动配置的登录功能,如果没有权限,就会跳到登录页面!
http.formLogin();

7、测试一下:发现,没有权限的时候,会跳转到登录的页面!
在这里插入图片描述
8、查看刚才登录页的注释信息;

我们可以定义认证规则,重写configure(AuthenticationManagerBuilder auth)方法

//定义认证规则方法
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
   

    //在内存中定义,也可以在jdbc中去拿....
    auth.inMemoryAuthentication()
            .withUser("cyan").password("cyan123").roles("vip2","vip3")
            .and()
            .withUser("admin"
最低0.47元/天 解锁文章
Spring Boot整合Spring security
weixin_48665153的博客
12-09 232
它负责将请求交给一系列的安全过滤器进行处理,实现身份验证、授权、防止跨站点请求伪造(CSRF)等安全功能在这个类中,会自动配置一些基本的安全规则。是Spring Boot提供的一个条件注解,用于检测类路径中是否存在指定的类。当类路径中存在指定的类时,才会使被注解的配置类或组件生效。当Spring Boot应用启动时,会扫描类路径上的所有类,并通过反射机制检查每个类是否存在。注解,表示只有当类路径中存在特定的类时才会生效。注解,表示它是一个配置类,并且使用了。这段代码的意思是,只有当类路径中存在。
一个基于SpringBoot-整合SpringSecurity实现登入登出简单例子
02-15
当我们在Spring Boot项目中整合Spring Security时,可以利用Spring Boot的自动配置特性来简化Spring Security的配置。Spring Security提供了丰富的安全性功能,包括但不限于用户认证、访问控制、会话管理等。整合...
SpringBoot笔记——SpringSecurity(狂神)
lzh的博客
07-28 2700
SpringSecurity 安全简介 1、在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整
SpringBoot整合Spring Security
最新发布
qq_50465570的博客
04-17 792
Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。
springboot整合spring security
伈伈点灯的博客
07-21 532
个人博客地址:http://alexaccele.github.io/ springboot 要想使用spring security的模块需要导入相应的依赖 在pom文件中添加一下代码 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; ...
Spring Boot整合Spring Security
沐雨橙风ιε的博客
11-05 1084
Spring Security入门教程,springboot整合Spring Security
springboot整合springsecurity
就很有趣的博客
06-06 1985
SpringSecurity springsecurity-basic验证方式 这种方式弹出一个类似于alert弹出的框进行账户的登录 需要一个config类 package com.cyb.mobile.config; import lombok.NoArgsConstructor; import org.springframework.context.annotation.Bean; import org.springframework.security.config.annotation.authe
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring Security、JWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
springboot - 2.7.3版本 - (九)整合security
10-12
Spring Boot项目中整合Spring Security,首先需要在`build.gradle`或`pom.xml`文件中添加Spring Security依赖。对于Spring Boot 2.7.3,依赖应如下所示: ```groovy dependencies { implementation 'org.spring...
springBoot-springSecurity-OAuth2
01-16
总之,"springBoot-springSecurity-OAuth2"项目展示了如何在SpringBoot应用中整合SpringSecurity和OAuth2,实现安全的用户认证和授权功能。这个示例对于理解和学习现代Web应用的安全架构具有很高的参考价值。通过...
Springboot 整合 Spring Security
小熊
06-13 948
Springboot 整合 Spring Security 项目最终目录结构 一.Spring Security 引入 1.pom 文件引入 spring security 依赖 <!-- spring security --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</
Spring Boot 整合 Spring Security
Ronz 的博客
08-02 266
Spring Boot 整合 Spring Security 文章目录Spring Boot 整合 Spring Security前言一、 Spring Boot 概述1.1 回顾 Spring1.2 Spring Boot 介绍二、 使用 IDEA 快速搭建一个 Spring Boot 项目2.1 新建一个 Spring Boot 项目2.2 SpringBoot 启动类2.3 编写测试 Controller2.4 测试三、 Spring Boot 简单整合 Spring Security3.1 工程创建
springboot集成springsecurity
Rockandrollman的博客
11-27 281
通过上面的示例,我们看到Spring Security自动给所有访问请求做了登录保护,实现了页面权限控制。
springboot-springsecurity案例演示与代码分析
springboot-springsecurity-demo是一个与Java Spring Boot框架和Spring Security安全框架相关的项目。Spring Boot是一个流行的开源框架,旨在简化Spring应用的配置和部署。Spring Boot通过其约定优于配置的理念和...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值