spring boot 2.0之安全

最新推荐文章于 2024-04-10 14:38:42 发布
转载 最新推荐文章于 2024-04-10 14:38:42 发布 · 50 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/3611008/blog/1602880
文章标签:

#python #java

本文介绍SpringBoot中Spring安全的基本配置与OAuth2客户端的自动配置方式,演示如何通过配置文件来设置OAuth2客户端的具体参数。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

简介

如果在classpath上设置了spring 安全,默认的话其web 也是安全的。springboot依赖于spring 的安全声明策略决定是使用httpBasic 或者 formLogin,添加web应用的安全等级方法,可以使用@EnableGlobalMethodSecurity 添加你想要的配置。

默认的认证管理是拥有一个单独的用户。如下所示:

Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

可以通过提供spring.security.user.name 与spring.security.user.password改变其用户和密码。

 

默认的安全配置是通过SecurityAutoConfiguration 实现(同时也包括非web应用程序)。关闭默认的安全配置,可以通过添加一个WebSecurityConfigurerAdapter 类型的bean实现。

关闭认证管理配置,可以通过添加 UserDetailsServiceAuthenticationProvider 与 AuthenticationManager的类型。

在一个web应用程序中,你默认得到的一个基础特性是:

 

  • 一个UserDetailsService bean(在内存中存储以及一个产生密码的word)
  • 基于表格的登录或者是基于整个http的安全认证要求(包括执行者的点)。

可以通过添加一个自定义的WebSecurityConfigurerAdapter去覆盖其规则。spring boot对actuator endpoints于静态资源提供了便利的方法去处理。EndpointRequest 能够创建一个基于management.endpoints.web.base-path 的属性。StaticResourceRequest 能够给创建一个指定静态资源位置的 RequestMatcher 。

我有几张阿里云幸运券分享给你,用券购买或者升级阿里云相应产品会有特惠惊喜哦!把想要买的产品的幸运券都领走吧!快下手,马上就要抢光了。

 

 

 

OAuth2

其是一种被spring广泛支持的授权框架。

客户端

如果你有spring-security-oauth2-client ,你就可以充分利用其自动配置简化安装oauth2的客户端。这充分利用其 OAuth2ClientProperties的配置属性,你可以通过使用 spring.security.oauth2.client 前缀注册客户端:代码如下

spring.security.oauth2.client.registration.my-client-1.client-id=abcd
spring.security.oauth2.client.registration.my-client-1.client-secret=password
spring.security.oauth2.client.registration.my-client-1.client-name=Client for user scope
spring.security.oauth2.client.registration.my-client-1.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-1.scope=user
spring.security.oauth2.client.registration.my-client-1.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-1.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-1.authorization-grant-type=authorization_code

spring.security.oauth2.client.registration.my-client-2.client-id=abcd
spring.security.oauth2.client.registration.my-client-2.client-secret=password
spring.security.oauth2.client.registration.my-client-2.client-name=Client for email scope
spring.security.oauth2.client.registration.my-client-2.provider=my-oauth-provider
spring.security.oauth2.client.registration.my-client-2.scope=email
spring.security.oauth2.client.registration.my-client-2.redirect-uri-template=http://my-redirect-uri.com
spring.security.oauth2.client.registration.my-client-2.client-authentication-method=basic
spring.security.oauth2.client.registration.my-client-2.authorization-grant-type=authorization_code

spring.security.oauth2.client.provider.my-oauth-provider.authorization-uri=http://my-auth-server/oauth/authorize
spring.security.oauth2.client.provider.my-oauth-provider.token-uri=http://my-auth-server/oauth/token
spring.security.oauth2.client.provider.my-oauth-provider.user-info-uri=http://my-auth-server/userinfo
spring.security.oauth2.client.provider.my-oauth-provider.jwk-set-uri=http://my-auth-server/token_keys
spring.security.oauth2.client.provider.my-oauth-provider.user-name-attribute=name

默认情况下,spring security 的OAuth2LoginAuthenticationFilter 是仅仅处理与 /login/oauth2/code/*.匹配的URI。如果想要自定义话一个不同的redirect-uri-template ,需要提供自定义模式的处理配置,如下代码

转载于:https://my.oschina.net/u/3611008/blog/1602880

基于Spring Boot2 + Spring Security OAuth2 实现单点登陆(二)
火星人专栏
03-30 7478
关于单点登陆的基本实现:点这里 实现一个基于jdbc的OAuth2认证 本文主要介绍使用jdbc存储token的例子。代码基于上一篇文章做一些修改实现。 源码地址 修改项目依赖 project("sso-auth-server") { dependencies { compile 'org.springframework.boot:sprin...
SpringBoot安全
小马亦识途
07-05 1620
如果Spring Security在classpath中,那么web应用默认对所有的HTTP端点使用’basic’认证。为了给web应用添加方法级别(method-level)的安全性,你还可以添加@EnableGlobalMethodSecurity和你想要的设置,额外的信息可以在Spring Security Reference中找到。
Spring Security Oauth2.1 最新版 1.1.0 整合 (基于 springboot 3.1.0)gateway 完成授权认证
Ricardo.M.Yu的博客
06-14 2万+
Spring Boot 3.1 提供了一个 spring-boot-starter-oauth2-authorization-server 启动器,可以支持 Spring Authorization Server 的自动配置,轻松配置基于 Servlet 的 OAuth2 授权服务器,同时@EnableAuthorizationServer这些注解也早已废弃。用这个请求来模拟客户端,实际开发中,其实是先访问资源服务,由资源服务来拼接这几个参数来重定向到授权服务的,参数意义如下,
使用OAuth2的SSO分析
xiejx618的专栏
04-01 6万+
参考:https://github.com/spring-guides/tut-spring-security-and-angular-js/blob/master/oauth2-vanilla/README.adoc 1.浏览器向UI服务器点击触发要求安全认证 2.跳转到授权服务器获取授权许可码 3.从授权服务器带授权许可码跳回来 4.UI服务器向授权服务器获取AccessToken
SpringBoot2.1.5 (35)---安全
zhangbijun1230的专栏
06-10 1985
SpringBoot2.1.5 (37)---安全 安全 如果添加了Spring Security的依赖,那么web应用默认对所有的HTTP路径(也称为终点,端点,表示API的具体网址)使用'basic'认证。为了给web应用添加方法级别(method-level)的保护,你可以添加@EnableGlobalMethodSecurity并使用想要的设置,其他信息参考Spring Sec...
learning spring boot 2.0
12-27
Spring Boot则是建立在Spring框架之上的,用于简化Spring应用的配置和部署。 内容摘录中提到了关于本书的版权声明,表明该书的版权归Packt Publishing所有,并且明确指出未经许可不得复制、存储或传输。这也体现了...
spring boot2.0实现优雅停机的方法
08-27
Spring Boot 2.0 实现优雅停机的方法 Spring Boot 2.0 中实现优雅停机的方法主要是通过配置 Tomcat 容器和实现 GracefulShutdown 类来实现的。优雅停机是指在关闭应用程序时,先停止接收新的请求,然后等待所有...
Learning Spring boot 2.0
11-06
Spring Boot 2.0中,其集成更加紧密,配置更为简洁,且支持OAuth2和其他现代安全标准,确保应用的安全性。 随书源码通常会包含示例项目的完整实现,读者可以跟随书中章节逐步搭建和运行这些项目,加深理解并提高...
SpringBoot2.0:深入Spring Boot 2.0 系列内容,从入门到深入
05-25
Spring Boot 2.0 《深入Spring Boot 2.0》系列内容,持续更新!如您觉得该项目对您有用,欢迎点击右上方的Star按钮,给予鼓励与支持! 说明 在编写《深入Spring Boot (一):快速入门》和《深入Spring Boot (二):...
spring boot +spring security+thymeleaf实现权限
08-25
spring boot +spring security +thymeleaf 实现简单权限+remember-me功能
Spring Boot+Spring Security+JWT 实现 RESTful Api 认证 (一)
热门推荐
https://gitee.com/micai-code
09-13 9万+
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的。现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API。 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <gro...
框架源码 -- springboot security
小达的博客
09-18 5367
springboot2.0.x 集成security 最近在接触安全模块,对于所涉及到的知识进行梳理总结,以下是我最近梳理的结果,构建思维导图,更直观的展示出所有注意到的模块。 上代码:自己撸(项目源码) https://github.com/shimingda/security.git 项目架构 项目采用springboot2.0.2作为技术架构,需要使用权限角色处理,通过考察选...
Spring Boot 2.0 新特性
程序猿DD
02-28 2008
作者:贺卓凡 原文:https://mp.weixin.qq.com/s/EWmuzsgHueHcSB0WH-3AQw以Java 8 为基准Spring Boot 2.0 要求Java 版本必须8以上, Java 6 和 7 不再支持。内嵌容器包结构调整为了支持reactive使用场景,内嵌的容器包结构被重构了的幅度有点大。EmbeddedServletContainer被重命名为WebServe
SpringBoot安全登录验证
祥子的博客
01-23 1万+
项目结构: 验证实现——WebSecurityConfig.javapackage com.dx.config; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import org.
spring security oauth2 常用授权方式配置详细教程(一)
tiancxz的专栏
09-28 1万+
spring security oauth2 简单配置说明 工程说明: <modules> <!-- 项目依赖--> <module>spring-security-oauth2-dependencies</module> <!-- 认证服务器--> <module>spring-security-oauth2-server</module>
Spring Cloud 服务和网关整合OAuth2实现权限控制实战全流程
最新发布
张知文的博客
04-10 3422
记录一次完整可行的Spring Cloud微服务权限控制。从Spring Security OAuth说起,Spring Security OAuth实现了OAuth2协议中的授权服务器(Authorization Server)、资源服务器(Resource Server)和客户端(Clients)。Spring 还是挺好的,但是随着OAuth协议的不断发展而Spring Security OAuth2官方已经开始废弃。
springboot2.0 security关闭验证(security.basic.enabled=false失效报错问题解决)
c851204293的博客
06-20 2万+
最近在跑demo的过程中,访问swagger页面的时候需要验证登录,记得在之前写的代码中是关闭了security验证,无需登录成功访问,直接在application.yml配置文件中添加上: management: security: enabled: false 发现报错,其实在添加的过程中就发现 此配置已经失效 ,经查阅发现spring boot 2.0+之后这样...
深入探索Spring Boot 2.0新特性
6. **安全性改进**:随着应用对安全性的要求越来越高,Spring Boot 2.0可能增强了其安全性方面的特性,包括与Spring Security的整合、默认的CSRF保护等。 7. **性能优化**:性能是任何应用都关注的重点,Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值