springsecurity通俗易懂

最新推荐文章于 2025-02-12 15:18:01 发布
原创 最新推荐文章于 2025-02-12 15:18:01 发布 · 置顶 · 425 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了如何使用Spring Security保护Spring Boot应用中的接口,包括用户注册、登录验证及自定义权限配置的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

注:本篇写作思维旨在引导初学security的码友,一步步的达到可以灵活使用的地步,建议各位读者阅读前,先把我的源代码下载下来,对着master分支看比较好理解,磨刀不误砍柴工,https://github.com/1074952839/spring-security-demo01.git

springsecurity的引入(springboot版本为:2.1.3)

我们先准备一下如下的代码:

  1. 新建springboot项目,命名为:springboot-security-oauth2(之所以这么命名,是为了后期扩展项目达到企业级开发的目的)

  2. 然后我们建一个controller包,并在其中建一个UserController,内容如下:

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    /**
     * Created by xk on 2018/11/26
     */
    @RestController
    @RequestMapping("/user")
    public class UserController {
            @GetMapping
            public String get(){
                    return "看到我了吗?";
            }
    }

  3. 然后我们启动服务,访问localhost:8080/user,看到如下效果:

    image-20190228165043925

  4. 那问题来了,我想让这个接口受到保护,也就是需要用户登录后,才能访问这个接口怎么办呢?那好办呀,我们引入springsecurity试试呀!继续往下看吧。

我们继续接着上面的例子往下走,我们在pom.xml里面加入如下2个依赖:

1
2
3
4
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

然后我们再重新启动项目,访问localhost:8090/user,看到如下效果:

image-20190228225525071

哎呀,居然直接跳到localhost:8090/login地址了,然后出现这个表单了,这是因为springsecurity的默认配置。

那我们怎么才能访问到localhost:8090/user接口呢?

直捣黄龙吧,security默认的用户名为:user,密码可以在项目启动时发现,如图:

image-20190228230017073

填写完成后,就可以访问到localhost:8090/user接口了。

那么问题来了,我想自己做个注册功能,然后用我自己注册的用户名和密码登录咋办呢?

  1. 我们在MySQL的security-demo库里建一个user表,表结构如下:

    image-20190301084751810

  2. UserController里新增insert方法:

    1
    2
    3
    4
    5
    6
    7
    @Autowired
    private UserRepository userRepository; //本文档使用的是spring-data-jpa做数据访问框架

    @GetMapping("/register")//这么写其实不符合restful规范,这里为了好写demo,暂且这么写。
    public ResponseEntity<ResponseData> insert(User user){
                    return ResponseEntity.ok(new ResponseData(userRepository.save(user)));//ResponseData这个类是我自己写的类
    }

  1. 重新启动项目,我们发送localhost:8090/user/register?name=test&password=test请求来注册一个用户,我们发现这时,请求并没有到UserController里,而是直接给我们返回一个登陆页面了!!!

  2. 上面的问题,其实不难发现,因为我们引入了spring-security,我们前面已经说了,他会默认的对所有请求做拦截,需要登录才能请求相关接口,而实际情况下,我们不应该拦截用户注册的请求呀?所以继续看如下神操作:

    1. 我们新建一个config包,然后新建WebSecurityConfig类,内容如下:

      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      14
      /**
       * Created by xk on 2018/11/26
       */
      @Component
      public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
              @Override
              protected void configure(HttpSecurity http) throws Exception {      
              		http.formLogin()
                              .and()
                              .authorizeRequests()
                              .antMatchers("/user/register").permitAll()//这里我们允许/user/register请求可以直接访问,其它请求都需要认证。
                              .anyRequest()
                              .authenticated();
      }

    2. 然后我们继续发送localhost:8090/user/register?name=test&password=test请求来注册一个用户,可以发现浏览器给我们返回了用户的信息,并且数据库已经有记录了。

      image-20190301102411207

    3. 接下来,我们继续访问localhost:8090/user吧,结果又跳到了登陆页面,那我们拿test,test登陆试试,结果悲剧了。。。。。。。。

      image-20190301102900769

      咋还登陆不上去呢???

    4. 接下来,继续神操作,我们再config包里新建UserService类,内容如下:

      1
      2
      3
      4
      5
      6
      7
      8
      9
      10
      11
      12
      13
      @Component
      public class UserService implements UserDetailsService {
              @Autowired
              private UserRepository userRepository;
              @Override
              public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
                      top.xiekun.springbootsecurityoauth2.domain.User user = userRepository.findByName(name);
                      if (user != null){
                              return new User(user.getName(), user.getPassword(), AuthorityUtils.commaSeparatedStringToAuthorityList("admin"));//这段话,后面的分享会讲解的。
                      }
                      return  null;
              }
      }

    5. 我们继续访问localhost:8090/user吧,结果又跳到了登陆页面,那我们拿test,test登陆试试,结果又悲剧了,还是登陆不上去呀!我们先看一下下图:

      image-20190301130503173

      image-20190301130714438

      image-20190301130606248

      其实通过调试我们发现,springsecurity在做密码比对时,会先查看这个项目有木有配置PasswordEncoder,若没有的话就会抛出一个上图所示异常,所以才登陆不成功。

    6. 了解了问题的原因,那接下来我们将代码进行如下修改:

      1. WebSecurityConfig类添加如下内容:

        1
        2
        3
        4
        @Bean
        private PasswordEncoder passwordEncoder(){
                return new BCryptPasswordEncoder();
        }

      2. UserController类修改为如下内容:

        1
        2
        3
        4
        5
        6
        7
        8
        9
        10
        11
        12
        13
        14
        15
        16
        17
        18
        19
        20
        21
        22
        23
        /**
         * Created by xk on 2018/11/26
         */
        @RestController
        @RequestMapping("/user")
        public class UserController {
                @Autowired
                private UserRepository userRepository;

                @Autowired
                private PasswordEncoder passwordEncoder;

                @GetMapping
                public List<User> get(){
                        return userRepository.findAll();
                }

                @GetMapping("/register")
                public ResponseEntity<ResponseData> insert(User user){
                        user.setPassword(passwordEncoder.encode(user.getPassword()));
                        return ResponseEntity.ok(new     ResponseData(userRepository.save(user)));
                }
        }

      3. 接下来我们发送localhost:8090/user/register?name=xiekun&password=123重新注册个用户,可以看到数据库多了一条记录,我们用新注册的用户名,密码发现登陆可以成功了。此时访问localhost:8090/user,发现可以成功查询到所有的用户了。

        image-20190301132309392

至此,我们已经完成了从用户注册到登陆成功后可以访问其他接口的目的了。(实际项目中,我们不可能说只要用户登录了,就可以请求各种接口了,我们应该给每个用户设置角色和权限,每个接口上面也应该注明需要用户有哪种角色和权限才能请求这个接口,那么接下来我会继续更新security+oauth2在项目中如何使用的。)

function6666
关注
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)
黄团团的个人博客
07-28 6625
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!
全栈开发:Spring Security 权限管理详解
最新发布
AI天才研究院
06-07 906
在全栈开发中,权限管理是系统安全的核心——小到“普通用户能否删除他人评论”,大到“财务系统能否隔离不同部门数据”,都依赖权限管理的精准控制。本文聚焦Spring Security框架,覆盖从基础概念到实战落地的全流程,帮助开发者理解“为什么这么做”和“如何做得更好”。本文从生活案例引出核心概念,依次讲解认证与授权的底层逻辑、过滤器链的“安检流程”、RBAC模型的代码实现,最后通过实战案例演示动态权限控制,并讨论前后端分离场景的优化方案。认证(Authentication)
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 3393
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
Spring Security最难的地方就是这个了
码农小胖哥
12-27 3934
本篇摘自胖哥最新的基于Spring Security 5.6.x的《Spring Security干货》教程。旧版的教程将在2022年1月1日下线,请需要的同学尽快通过本公众号回复“202...
Spring Security太复杂?试试这个轻量、强大、优雅的权限认证框架!
程序猿DD
09-22 1099
各位程序猿小伙伴们,中秋快乐~在节日欢快的气氛中大家是不是还在奋笔疾书、沉浸在学习的海洋中呢?小编这两天休息在家一直在想一个问题,那就是我们在开发SpringBoot项目的时候,该怎么做好...
通俗易懂的 Spring Security 理解,最简单的Demo (一)
weixin_43879445的博客
08-30 592
通俗易懂的 Spring Security 理解 , 用口水话来描述,最简单详细的Demo (一)
Spring Security 7 来啦
曼陀罗的博客
01-19 613
SecurityConfigurerAdapter 在 Spring Security 7 中被弃用了,推荐使用 SecurityConfigurer 或直接通过 SecurityConfigurerAdapter 的子类来配置。在 Spring Security 7 中,对 HttpSecurity 的配置方式发生了一些变化,特别是在 formLogin(), httpBasic(), csrf() 等配置上。SecurityConfigurerAdapter 被弃用。HttpSecurity 配置。
更加优雅的认证授权——Spring Security
HHH的博客
07-18 227
Spring Security致力于为Java应用提供认证和授权管理。它是一个强大的,高度自定义的认证和访问控制框架。具体介绍参见Authentication(认证)和Authorization(授权,也叫访问控制)认证是验证用户身份的合法性,而授权是控制你可以做什么。简单地来说,认证就是你是谁,授权就是你可以做什么。
阿里大佬整理分享Spring Security王者晋级文档,实在太香了
Java6888的博客
09-25 842
Spring是一个非常流行和成功的 Java 应用开发框架。SpringSecurity是Spring家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对...
全方位讲解sa-token和spring security的区别,通俗易懂,简洁明了
weixin_42124444的博客
02-12 1744
全方位讲解sa-token和spring security的区别,通俗易懂,简洁明了
Shiro第十七章-OAuth2集成
测试
04-30 1265
简介 使用Apache Oltu来做对OAuth的实现,因为它比较轻量、简单、灵活。 按照OAuth的角色分布,可以写三个程序:资源服务器、授权服务器和客户端Client各一个,也可以全部写到一个程序里面。 本例采用写成两个程序,一个服务器端,一个客户端。 数据库 数据库:shiro-oauth2.所在会话:mysql。 oauth2_user:用户表,资源拥有者。ad...
Spring Security简单理解
cssweb_sh的博客
05-02 1794
最近在学习Spring Security,于是就写了这篇Spring Security的博客来记录自己的学习中的一些总结,本文主要是一些简单的原理分析,没有涉及很深的源码分析。 1. Spring Security初体验 未引入Spring Security前请求接口情况,接口可以随意定义一个controller测试 引入Spring Security后,接口的请求情况 如果使用浏览器模拟访问更加明显,会跳到一个登录页面,效果如下: 然后输入默认的用户名和密码,默认的...
【SpringBoot】最通俗易懂的安全管理机制(Spring Security
weixin_47418550的博客
04-23 1247
通俗易懂的SpringBoot的Security安全机制入门学习
spring security学习,你妹真难
chiyingliao3565的博客
11-04 818
spring security可分一下几个: 1Web/HTTP 安全- 最复杂的部分。设置过滤器和相关的服务bean 来应用框架验证机制,保护URL,渲染登录和错误页面还有更多。业务类(方法)安全- 可选的安全服务层。 2AuthenticationManager - 通过框架的其它部分...
初步理解Spring Security并实践
north hunter
05-31 521
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。&lt;dependency&gt; &lt;!-- 由于我使用的spring boot所以我是引入spring-bo...
SpringSecurity用大白话让你真正理解框架的底层原理
qq_38170076的博客
10-25 215
SpringSecurity大家可能都知道这是一组Filter的组合但是具体是怎样的呢?让我们首先看一下我们最原始的登录是怎么做的,框架也都是一步步的演变过程,让我们一起循序渐进的学习。 先看下总体的体现FilterChainProxy(其实是一个Servlet过滤器)其实包含了多个SecurityFilterChain SecurityFilterChain又包含了多个Filter的实现,最常见的就是 UsernamePasswordAuthenticationFilter 以...
OAuth2集成Shiro
笨鸟快飞的专栏
08-21 7385
目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAuth协议的下一个版本,相比OAuth1,OAuth2整个授权流程更简单安全了,但不兼容OAuth1,具体可以到OAuth2官网http://oauth.net/2/查看,OAuth2协议规范可以参考http://tools.ietf.
spring security解析
03-20
<think>好的,用户让我介绍一下Spring Security解析,我需要先理清思路,确保回答结构清晰。首先,我应该从基础开始,解释Spring Security是什么,它的核心功能和作用。然后,逐步深入到架构和关键组件,比如过滤器链、SecurityContext、认证和授权机制。可能还需要提到一些高级特性,比如方法级安全、OAuth2集成,以及常见的安全防护措施,比如CSRF和CORS支持。 接下来,用户可能想知道如何实际使用Spring Security,所以需要简要说明配置步骤,包括依赖添加、配置类编写以及自定义用户认证的方法。还要注意用户可能的疑问点,比如如何扩展功能或处理常见问题,例如自定义登录页面或权限管理。 需要确保使用中文,并且遵循系统级指令中的格式要求,数学表达式和公式使用正确的LaTeX格式。不过在这个问题中可能用不到数学公式,但如果有涉及技术术语或代码,可能需要适当处理。比如在提到版本号或代码示例时,使用正确的代码块格式,但根据用户要求,这里可能不需要,只需用文字描述。 另外,用户可能对Spring Security的内部工作原理感兴趣,比如过滤器链如何工作,认证流程是怎样的,所以需要详细说明这些部分的结构和流程。同时,要注意避免过于技术化的术语,用通俗易懂的语言解释,确保用户能够逐步理解。 最后,总结部分要强调Spring Security的优势和适用场景,帮助用户形成整体认识。检查是否有遗漏的重要点,比如安全防护措施中的CSRF和CORS,或者与其他技术的整合,如OAuth2。确保回答结构合理,层次分明,符合用户要求的“结构清晰,逐步解决问题”的需求。</think>Spring Security 是 Java 生态中广泛使用的安全框架,专注于为 Spring 应用提供身份认证(Authentication)、授权(Authorization)和攻击防护能力。以下是其核心解析: --- ### 一、核心功能分层 1. **身份认证** - 支持多种认证方式:表单登录、HTTP Basic、OAuth2、LDAP、JWT 等 - 核心接口 `UserDetailsService`:通过 `loadUserByUsername` 加载用户信息 - 密码编码器 `PasswordEncoder`:强制使用加密存储(如 BCrypt) 2. **访问控制** - 基于角色(Role)或权限(Authority)的细粒度控制 - 支持表达式语言(SpEL)配置复杂规则 示例:`hasRole('ADMIN') && hasIpAddress('192.168.1.0/24')` 3. **安全防护** - CSRF 防护(默认开启) - CORS 配置 - Session 固定攻击防护 - 安全头部注入(X-Content-Type-Options 等) --- ### 二、架构解析 #### 1. 过滤器链机制 Spring Security 通过 `FilterChainProxy` 管理过滤器链: $$ \text{HTTP请求} \rightarrow \begin{cases} \text{SecurityContextPersistenceFilter} \\ \text{UsernamePasswordAuthenticationFilter} \\ \text{FilterSecurityInterceptor} \\ \vdots \\ \text{自定义过滤器} \end{cases} $$ 每个过滤器处理特定安全任务,按顺序执行。 #### 2. 认证流程 ```plaintext 1. 用户提交凭证 → 2. AuthenticationManager 调度认证 → 3. Provider 调用 UserDetailsService 验证 → 4. 生成 Authentication 对象 → 5. 存储到 SecurityContextHolder ``` #### 3. 授权决策 - `AccessDecisionManager` 通过投票机制决定访问权限 - 典型实现:`AffirmativeBased`(一票通过即授权) --- ### 三、关键配置示例 ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() ) .formLogin(form -> form .loginPage("/login") .permitAll() ) .logout(logout -> logout .logoutSuccessUrl("/") ); return http.build(); } @Bean public UserDetailsService users() { UserDetails user = User.builder() .username("user") .password("{bcrypt}$2a$10$...") .roles("USER") .build(); return new InMemoryUserDetailsManager(user); } } ``` --- ### 四、高级特性 1. **方法级安全** - 通过 `@PreAuthorize` 注解实现方法调用前鉴权 ```java @PreAuthorize("hasAuthority('WRITE_POST')") public void createPost(Post post) { ... } ``` 2. **OAuth2 集成** - 支持资源服务器和客户端配置 - 与 JWT 无缝整合 3. **响应式安全** - 为 WebFlux 应用提供响应式安全支持 --- ### 五、最佳实践 1. **自定义认证逻辑** - 实现 `UserDetailsService` 对接数据库 - 自定义 `AuthenticationProvider` 处理特殊认证流程 2. **权限动态加载** - 通过 `FilterInvocationSecurityMetadataSource` 实现动态 URL 权限控制 3. **监控与审计** - 使用 `ApplicationEventPublisher` 跟踪安全事件 - 集成 Spring Actuator 暴露健康检查端点 Spring Security 通过模块化设计和高度可扩展性,能够满足从单体应用到微服务架构的安全需求,是构建企业级安全体系的基石工具。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值