Spring Security项目涉及到的重要类说明以及可以使用的地方

最新推荐文章于 2025-02-14 17:18:58 发布
最新推荐文章于 2025-02-14 17:18:58 发布
阅读量530 收藏 1
点赞数
分类专栏: springDataJpa 文章标签: Spring 
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/snvjd/article/details/103247039
版权
本文介绍了Spring Security的基础知识,包括起源、定义,以及Session和Token认证的区别。深入讨论了项目中涉及的重要类,如配置类、工具类、认证和授权过滤器,并解释了如何处理权限异常。还提到了如何获取当前用户信息以及权限配置的Controller示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring Security 介绍

Spring Security 应该属于 Spring 全家桶中学习曲线比较陡峭的几个模块之一,下面我将从起源和定义这两个方面来简单介绍一下它。

  • 起源: Spring Security 实际上起源于 Acegi Security,这个框架能为基于 Spring 的企业应用提供强大而灵活安全访问控制解决方案,并且框架这个充分利用 Spring 的 IoC 和 AOP 功能,提供声明式安全访问控制的功能。后面,随着这个项目发展, Acegi Security 成为了Spring官方子项目,后来被命名为 “Spring Security”。
  • **定义:**Spring Security 是一个功能强大且高度可以定制的框架,侧重于为Java 应用程序提供身份验证和授权。——官方介绍。

Session 和 Token 认证对比

Session 认证图解

很多时候我们都是通过 SessionID 来实现特定的用户,SessionID 一般会选择存放在 Redis 中。举个例子:用户成功登陆系统,然后返回给客户端具有 SessionID 的 Cookie,当用户向后端发起请求的时候会把 SessionID 带上,这样后端就知道你的身份状态了。

关于这种认证方式更详细的过程如下:

Spring Security项目涉及到的重要类说明以及可以使用的地方

 

  1. 用户向服务器发送用户名和密码用于登陆系统。
  2. 服务器验证通过后,服务器为用户创建一个 Session,并将 Session信息存储 起来。
  3. 服务器向用户返回一个 SessionID,写入用户的 Cookie。
  4. 当用户保持登录状态时,Cookie 将与每个后续请求一起被发送出去。
  5. 服务器可以将存储在 Cookie 上的 Session ID 与存储在内存中或者数据库中的 Session 信息进行比较,以验证用户的身份,返回给用户客户端响应信息的时候会附带用户当前的状态。

Token 认证图解

在基于 Token 进行身份验证的的应用程序中,服务器通过Payload、Header和一个密钥(secret)创建令牌(Token)并将 Token 发送给客户端,客户端将 Token 保存在 Cookie 或者 localStorage 里面,以后客户端发出的所有请求都会携带这个令牌。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域,所以更好的做法是放在 HTTP Header 的 Authorization字段中: Authorization: Bearer Token。

关于这种认证方式更详细的过程如下:

Spring Security项目涉及到的重要类说明以及可以使用的地方

 

  1. 用户向服务器发送用户名和密码用于登陆系统。
  2. 身份验证服务响应并返回了签名的 JWT,上面包含了用户是谁的内容。
  3. 用户以后每次向后端发请求都在 Header 中带上 JWT。
  4. 服务端检查 JWT 并从中获取用户相关信息。

项目涉及到的重要类说明

配置类

在本项目中我们自定义 SecurityConfig 继承了 WebSecurityConfigurerAdapter。 WebSecurityConfigurerAdapter提供HttpSecurity来配置 cors,csrf,会话管理和受保护资源的规则。

配置类中我们主要配置了:

  1. 密码编码器 BCryptPasswordEncoder(存入数据库的密码需要被加密)。
  2. 为 AuthenticationManager 设置自定义的 UserDetailsService以及密码编码器;
  3. 在 Spring Security 配置指定了哪些路径下的资源需要验证了的用户才能访问、哪些不需要以及哪些资源只能被特定角色访问;
  4. 将我们自定义的两个过滤器添加到 Spring Security 配置中;
  5. 将两个自定义处理权限认证方面的异常类添加到 Spring Security 配置中;
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

 @Autowired
 UserDetailsServiceImpl userDetailsServiceImpl;

 /**
 * 密码编码器
 */
 @Bean
 public BCryptPasswordEncoder bCryptPasswordEncoder() {
 return new BCryptPasswordEncoder();
 }

 @Bean
 public UserDetailsService createUserDetailsService() {
 return userDetailsServiceImpl;
 }

 @Override
 protected void configure(AuthenticationManagerBuilder auth) throws Exception {
 // 设置自定义的userDetailsService以及密码编码器
 auth.userDetailsService(userDetailsServiceImpl).passwordEncoder(bCryptPasswordEncoder());
 }

 @Override
 protected void configure(HttpSecurity http) throws Exception {
 http.cors().and()
 // 禁用 CSRF
 .csrf().disable()
 .authorizeRequests()
 .antMatchers(HttpMethod.POST, "/auth/login").permitAll()
 // 指定路径下的资源需要验证了的用户才能访问
 .antMatchers("/api/**").authenticated()
 .antMatchers(HttpMethod.DELETE, "/api/**").hasRole("ADMIN")
 // 其他都放行了
 .anyRequest().permitAll()
 .and()
最低0.47元/天 解锁文章
Spring Security认证流程分
l688899886的博客
08-05 578
作为 Spring Security 过滤器链中的一环,AbstractAuthenticationProcessingFilter可以用来处理任何提交给它的身份认证,图3-3描述了 AbstractAuthenticationProcessingFilter的工作流程:转存失败重新上传取消图 3-3图中显示的流程是一个通用的架构。AbstractAuthenticationProcessingFilter作为一个抽象,如果使用用户名/密码的方式登录, 那么它对应的实现是。...
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3779
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
spring security关键
积累与备忘
08-11 244
OAuth2AuthenticationProcessingFilter过滤器,token登录验证
SpringSecurity中关键的
chenjie901的专栏
11-01 163
SpringSecurity中的Filter相关的关键
spring-security 简单纪要
最新发布
lliu2004004的博客
02-14 272
spring-security 简单纪要
第一章:Spring Security(三):Security中重要的几个
ayong95的专栏
01-08 1489
文章目录 前言 一、Spring Security中的重要 二、 1. 2. 总结 前言 前面我们在访问资源时,没有登录到系统中,所以会跳转到login请求。本章节,我们就来了解下Spring Security中重要的几个。 一、SpringSecurity中的重要 1. UserDetailsService 2. UserDetails 二、 1. 2.读入数据 代码如下(示例): 该处使用的url网络请求...
SpringSecurity有哪些内容
weixin_35755434的博客
01-08 128
Spring Security 是一个强大的基于 Spring 的安全解决方案,用于在 Spring 应用程序中提供身份验证和授权功能。它提供了一系列注解和过滤器,可以帮助你保护应用程序的不同部分,并控制对应用程序的访问。 Spring Security 的一些内容包括: 身份验证:帮助你确定用户的身份,并确保仅允许已认证的用户访问应用程序的受保护部分。 授权:根据用户的角色和权限,决定用户可以...
Spring Security知识点笔记
weixin_44388890的博客
08-20 364
Spring Security知识点笔记 1.spring security 核心功能 spring security 的核心功能主要包括: 认证 授权 防护 (防止伪造身份) 2.核心理解 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 比如,对于username password认证过滤器来说, 会检查是否是一个登录请求;是否包含username
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1283
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1950
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
Spring Security 业务级知识点整理
black-ant
12-30 1662
这一篇主要是对SpringSecurity的知识点梳理。
springboot2.1.1+spring security 不同平台通过不同请求路径实现登录
三旬的博客
05-28 1695
spring security问题描述分析问题代码实现ConfigBackAuthenticationFilterBackAuthenticationTokenBackAuthenticationProvider 问题描述 某项目后台管理,既管理后台账号,又管理前台账号,前台账号信息存储front_account, 后台账号信息存储back_account。这里通过spring security 既管理后台账号的认证,也管理前台账号的认证。 分析问题 既然是两张表,而且为了适应不同环境,那么首先我们知道,单
springSecurity基于表单认证源码解析、认证结果如何在多个请求之间共享、获取认证用户信息
一点光辉的博客
12-02 1300
备注:此为看视频之后,自己理解总结的 1、认证处理流程说明 首先是springSecurity的过滤器链 核心认证流程 我们自定义的验证用户名的逻辑MyUserDetailsService @Component public class MyUserDetailsService implements UserDetailsService { private Logger ...
【Java】利用Token进行登录控制以及限制接口访问
qq_42666609的博客
09-04 1256
使用Token进行登录认证功能;用户登录后获取Token,调用固定规则接口需要在请求头中传入Token才可调用接口否则提示相应异常;
服务内部调用api鉴权忽略token(动态放权)
雷哥架构同学会
08-29 1849
微服务服务内部相互调用开放接口配置,可配置接口是否开放是否内部访问或外部访问。便于对接口开发进行动态控制,添加注解即可。
SpringBoot+SpringSecurity前后端分离+Jwt的权限认证(改造记录)
俊墨客
09-07 366
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回的页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式的扩展,虽然SpringSecurity也支持采用SpringSession来管理分布式下的用户状态,不过现
文件服务器鉴权,服务间鉴权及其token 传递
weixin_35669769的博客
07-31 838
## 客户端带Token 情况1. 如下图客户端携带token访问A服务。2. A服务通过FeginClient 调用B服务获取相关依赖数据。3. 所以只要带token 访问A 无论后边链路有多长 ABCD 都可以获取当前用户信息4. 权限需要有这些整个链路接口的全部权限才能成功![](https://gitee.com/pig4cloud/oss/raw/master/2020-9/202009...
11.springsecurity权限管理
weixin_45974277的博客
01-28 3393
登录认证 SecurityConfig: package com.example.admin.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; i
Spring Boot云盘项目:大文件处理与消息服务功能实践
资源摘要信息: "本资源是一个以Spring Boot框架为基础开发的云盘项目,特别提供了大文件分片断点上传下载服务以及文件管理消息服务,集成了Spring技术栈,项目名为MicroClouds-master。本项目可以作为毕业设计或课程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值