* 深入理解SpringSecurity **

最新推荐文章于 2025-11-07 09:00:00 发布
原创 最新推荐文章于 2025-11-07 09:00:00 发布 · 1.2k 阅读 · 6 ·
CC 4.0 BY-SA版权
文章为作者自己原创文章,转载请注明出处,附上文章地址。
文章标签:

#SrpingSecurity #SrpingSecurity框架 #Srping #Security #Security框架

本文详细介绍了Spring Security表单认证的配置与实现过程,包括基本原理、自定义用户登录逻辑及个性化认证流程等内容。重点讲解了如何自定义登录页面、成功与失败处理等高级特性。

SpringSecurity 开发基于表单的认证[后面再完善]

导航:

一. SpringSecurity的基本原理

1.1 SpringSecurity的开关:

  • 在application.properties中可以设置:
    Security.basic.enabled=false

当注释掉这句的时候,默认开启,如果开启这句话则关闭SpringSecurity身份校验

1.2 SpringSecuirty的默认表单登录自定义实现

  • 新建一个类: src/main/java/BrowserSecurityConfig.java
    @Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{
	@Override
	protected void configure(HttpSecurity http) throws Exception{
		//http.formLogin()
		  http.httpBasic()
		  .and()
		  .authorizeReuquests()
		  .anyRequest()
		  .authenticated()
	}}

这里是做了一个自定义表单,它是最简单的最基础的,httpBasic是弹窗登录,formLogin是表单登录

1.3 简单原理分析

  • 图示一:
    在这里插入图片描述
  • 图示二:
    在这里插入图片描述
  • 解读:
    • SpringSecurity是由一系列的过滤器链组成
    • 绿色的可以自定义,可以要或者不要,蓝色和红色的部分是一定会存在于SpringSecuirty的拦截链中的,且任何不能改;Exception Translation Filter负责处理FilterSecurity Interceptor中抛出的异常,而FilterSecurity Interceptor是最后一个拦截者(守门员)

1.4 验证功能

  • 处理用户信息获取逻辑接口: UserDetailsService
  • 处理用户校验逻辑: UserDetails
  • 处理密码加密解密: PasswordEncoder

1.5 个性化用户认证流程

  • 自定义登录页面: http.formLogin().loginPage("/imooc-signIn.html")
  • 自定义登录成功处理: AuthenticationSuccessHandler
  • 自定义登录失败处理: AuthenticationFailureHandler

二. 自定义用户登录逻辑

2.1 概述

  • 处理用户信息获取逻辑接口: UserDetailsService
  • 处理用户校验逻辑: UserDetails
  • 处理密码加密解密: PasswordEncoder

2.2 处理用户信息获取逻辑自定义:

@Component
public class MyUserDetailsService Implements UserDetailsService{
	private Logger logger=LoggerFactory.getLogger(getClass());
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
		login.info("登录用户名:"+username);
		//
		return new User(username,"123456",AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));		//自己使用的时候,需要从数据库中读取信息,而不是直接这样简单定义;
	}}

2.3 UserDetails解读:

  • UserDetails封装了登录所需要的所有信息;
  • 方法描述:
    • getAuthorties() 权限信息
    • getPassword() 密码信息
    • getUsername() 用户名信息
    • //下面四个是需要我们自己实现的,如果不需要其中某个方法的功能则可以直接返回true,如果返回false的话则会验证不通过,抛出异常的;
    • isAccountNonExpired 验证账户是否过期 没过期则返回true
    • isCredentialsNonExpired 验证密码是否过期 没过期则返回true
    • isAccountNonLocked() 验证是否被冻结 //冻结可恢复 true表示没被冻结
    • isEnabled() 验证账户是否被删除 //删除不可恢复,一般公司是假删除,这里我们需要查询账户的状态 ture没被删除,所以我们这里要返回true

这里的返回要在上面的代码中return User里面返回,示例:

@Component
public class MyUserDetailsService Implements UserDetailsService{
	private Logger logger=LoggerFactory.getLogger(getClass());
	@Autowired
		private PasswordEncoder passwordEncoder;
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
		login.info("登录用户名:"+username);
		//根据用户名查找用户信息
		return new User(username,passwordEncoder.encode("123456"),
		true,true,true,true,
		AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));		//自己使用的时候,需要从数据库中读取信息,而不是直接这样简单定义;
	}}

2.4 加密解密

  • 路径: org.springframework.security.crypto.password.PasswordEncoder.java
  • PasswrodEncoder中有两个方法,解读:
    • encode(), 它负责将密码加密,当我们注册用户的时候需要调用这个方法将用户密码加密
    • matches(CharSequence rawPassword, String encodePassword),它是由SpringSecurity调用,将用户登录输入的密码与数据库中该用户存储的密码进行比对;前面的是用户输入的密码,后面的是查询出来的密码
    • SpringSecurity每次登陆后加密的密码都是不一样的,它会随机生成盐混在字符串里;然后通过随机生成的盐再解析到固定的密码

2.5 自定义加密

  • 我们需要在@Configuration注解并实现了WebSecurityConfigurerAdapter的接口的类中定Bean:
@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter{
	@Bean
	public PasswordEncoder passwordEncoder(){
		return new BCryptPasswordEncoder();
	}
}
  • 这样就大公告成了,但是有一个小细节需要注意:当启用这个的时候,已经存储在数据库中的用户名匹配的密码必须是加密的,我们需要在当用户注册的时候实现加密逻辑,然后通过上面的验证加密才能使用;如果已经存储的密码没有加密我们可以临时这样解决:[请手动改变]
@Component
public class MyUserDetailsService Implements UserDetailsService{
	private Logger logger=LoggerFactory.getLogger(getClass());
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException{
		login.info("登录用户名:"+username);
		//
		return new User(username,"123456",
		true,true,true,true,
		AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));		//自己使用的时候,需要从数据库中读取信息,而不是直接这样简单定义;
	}}

三. 个性化用户认证流程

3.1 概述:

  • 自定义登录页面 [登录页面我们自定义]
  • 自定义登录成功处理
  • 自定义登录失败处理

3.2 自定义登录页面:

  • 查找前面已经编写的类:BrowserSecurityConfig.java 中的方法:configure(HttpSecurity http),里面添加自定义登录页面
  • 自定义登录界面:
@Override
protected void cofigure(HttpSecurity http) throws Exception{
	http.formLogin()
		.loginPage("/imooc-signIn.html")		//这里就是自定义了登录页面,我们需要完善这个imooc-signIn.html
		.loginProcessingUrl("/authentication/form")		//这里我们需要自定义表单登录的路径,因为Security默认的路径是login,Post  我们需要重写后才能使表单登录的请求生效,校验用户的代码才能执行
		.and()
		.csrf().disable() 		//关闭跨站请求伪造防护,先暂时关闭掉,这样才能让我们简单的登录页面生效;
		.authorizeRequests()
		.antMatchers("/imooc-signIn.html").permitAll()		//让登录页面不需要身份认证,否则其他页面也会跳转到这个页面,这个页面也会跳转到这个页面,陷入死循环
		.anyRequest()
		.authenticated();
}
  • 表单主要代码图示:
    在这里插入图片描述

3.3 优化

  • 我们这样只是完成了一个简单的认证登录页面,我们需要优化一下功能,图示:
    在这里插入图片描述
通俗易懂的 Spring Security 理解,最简单的Demo (一)
weixin_43879445的博客
08-30 615
通俗易懂的 Spring Security 理解 , 用口水话来描述,最简单详细的Demo (一)
SpringSecurity.pdf
05-24
此外,Spring Security还提供了一个快速入门案例,帮助初学者理解如何通过配置来保护应用程序的资源。 Spring Security之所以在Java社区中广泛流行,是因为它不仅提供了强大的安全特性,还具有高可定制性、良好的...
spring security的原理及教程
热门推荐
二当家的
08-27 5万+
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为:1、不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo;2、使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差;3、spring security和Ac
深入理解 Spring Boot 中的权限控制:Spring Security 集成与最佳实践
最新发布
刘一说的IT专栏
11-07 1037
摘要 Spring Security为Spring Boot应用提供全面的安全防护。本文系统讲解其核心架构与实战应用,包括: 认证授权机制:表单登录、角色权限控制、密码加密策略(BCrypt) 安全配置:基于Lambda DSL的细粒度URL访问控制 高级特性:方法级安全注解(@PreAuthorize)、JWT无状态认证集成 防护措施:CSRF/XSS防护、安全头配置 通过清晰的代码示例(如自定义UserDetailsService、PasswordEncoder)展示企业级安全实践,帮助开发者构建健壮的
Spring Security
qq_42953529的博客
07-18 2万+
Spring Security 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面 向切面...
对Spring Security理解
qq_39522549的博客
06-28 384
理论模型 系统边界 客户端——>安全系统——>服务提供者 核心实体概念 Authonization:用户(账户)信息,包括基本信息、状态信息、权限信息。 Authority:权限信息,鉴权时关联用户与资源的实体。可以使用角色(实现时就用角色名),也可以只是权限标识。 资源:需要鉴权的内容,如页面资源、静态文件资源、服务接口资源等,一般用url表示。在鉴权系统中,资源需要关联权限(或角色)。 核心步骤(流程) 认证 :用户名/密码登录、令牌认证。认证确定客户端身份,获取对应身份的信息。
Spring Security简单理解
cssweb_sh的博客
05-02 1815
最近在学习Spring Security,于是就写了这篇Spring Security的博客来记录自己的学习中的一些总结,本文主要是一些简单的原理分析,没有涉及很深的源码分析。 1. Spring Security初体验 未引入Spring Security前请求接口情况,接口可以随意定义一个controller测试 引入Spring Security后,接口的请求情况 如果使用浏览器模拟访问更加明显,会跳到一个登录页面,效果如下: 然后输入默认的用户名和密码,默认的...
SpringSecurity笔记,编程不良人笔记
10-28
可能是使用Draw.io绘制的SpringSecurity架构图或流程图,帮助可视化理解SpringSecurity的工作原理。 总之,SpringSecurity为开发者提供了强大的安全工具,通过灵活的配置和丰富的扩展性,能够满足各种复杂的Web...
springsecurity学习笔记
12-13
深入理解Spring Security之前,我们需要了解几个核心概念: 1. **认证(Authentication)**:这是确认用户身份的过程。Spring Security 提供了多种认证方式,如用户名/密码、证书、API密钥等。通常,用户通过登录...
spring security 官方文档
10-08
在Spring Security的官方文档中,包含了详细的配置指南、API参考、示例代码和最佳实践,帮助开发者深入理解并有效使用这个框架。例如,5.1版本的新特性包括对Servlet和WebFlux的支持增强,以及与其他第三方库的集成...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
2. **配置Spring Security**:我们需要在Spring Cloud Gateway项目中引入Spring Security依赖,并配置相关的安全配置类。这包括定义认证和授权的规则,例如基于JWT(JSON Web Tokens)的认证,或者基于OAuth2的授权...
对spring security的理解
索隆有几把刀的博客
05-10 334
对spring security的理解 要想搞清楚springsecurity 最好的切入点 是搞清楚 security的认证流程。这才是这个知识的主干。 主要原理 spring security 是基于servlet的filter。 核心类 框架的魅力就在于,它即是方便也是限制。 所以为了能用上它的方便,我们就得接受它的限制。 要想搞清楚认知流程 又得先说说几个核心类。 首先我们得实现一个继承了UserDetail的类,表示用户的一些基本信息,用户名,密码,角色等信息。然后实现一个UserDetailSe
Spring Security深入剖析
潘顾昌的博客
05-26 1026
关键源码 io.undertow.servlet.core.ManagedFilter:42 io.undertow.servlet.handlers.FilterHandler:58 org.springframework.web.filter.OncePerRequestFilter:42 org.apache.catalina.core.ApplicationFilterChain org.springframework.security.web.savedrequest.HttpSessionReq
Spring Security 自我理解
阿利波波
01-28 214
spring security 是一个能够为 基于Spring的 企业应用系统提供声名式安全控制访问的安全框架,它利用了Spring的容器,充分利用了Spring的ioc和id,使我们不用再为了安全控制编写大量的代码 Spring security的使用必须基于Spring的监听器,监听器去加载security的配置文件 (不能使用springMvc的Servlet去读取配置文件,因为Servle...
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1245
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
深入理解Spring Security
宋小黑的博客
02-28 970
大家好,我是小黑,在谈到网站安全的时候,Spring Security是个避不开的话题。它就像是个守门员,决定谁能进入我们的网站,又能在网站的哪些角落里走动。简单来说,Spring Security负责两大块:认证(Authentication)和授权(Authorization)。认证是确认咱们的身份,授权则是决定咱们能做什么、不能做什么。想象一下,小黑正在尝试进入一个只有VIP成员才能访问的网站区域。Spring Security首先会检查小黑是不是网站的注册用户,这就是认证。
关于Spring-Security的理解
power_guoxinzhao的专栏
03-22 193
Spring的Security组件主要是做的安全方面一些工作,比如 登陆过滤 退出登陆都有相应的配置方法。  
再次深入理解 Spring Security 的强大功能
weixin_45764018的博客
07-21 495
再次深入理解 Spring Security 的强大功能 松哥原创的 Spring Boot 视频教程已经杀青,感兴趣的小伙伴戳这里–>Spring Boot+Vue+微人事视频教程 我们来继 续撸 Spring Security 源码。 SecurityConfigurer 在 Spring Security 中是一个非常重要的角色。在前面的文章中,松哥曾经多次提到过,Spring Security 过滤器链中的每一个过滤器,都是通过 xxxConfigurer 来进行配置的,而这些 xxxConf
SpringSecurity的简单理解和入门
P_ning的博客
11-16 277
此项目是基于普通的web项目进行搭建的SpringSecurity入门环境,如果需要SpringBoot项目的SpringSecurity入门案例可以去看这个 前提 搭建之前先搞清楚两个词语,虽然在这次案例中没有完全体现出来。 认证:通过用户名和密码成功登录系统后,让系统得到单签用户的角色身份。 授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源。 概念 SpringSecurity是Spring采用了AOP的思想,基于servlet过滤器实现的安全框架,它提供了完善的的认证机制和方法级的授权功能
深入理解Spring Security 2.0.4版本特性
标题和描述中提到的“spring-security-2.0.4”指的是一个特定版本的Spring Security框架。Spring Security是一个为Java应用提供安全性的框架,主要用于保障Spring应用程序的安全访问和认证授权。Spring Security ...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

暗余

码字来之不易,您的鼓励我的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值