Spring Security6.5 菜鸟教程

原创 已于 2025-05-26 10:31:36 修改 · 1k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

于 2025-05-26 10:25:08 首次发布

一、Spring Security 核心概念

Spring Security 是一个强大的安全性框架,专注于身份验证(Authentication)和访问控制(Authorization)。其核心概念围绕以下几个方面展开:

1. 身份验证 (AUTHENTICATION)

身份验证是指确认用户的身份是否合法的过程。在 Spring Security 中,AuthenticationManager 负责处理用户的认证过程4。当用户尝试登录时,系统会检查用户名和密码或其他凭证的有效性。如果成功,则生成一个 Authentication 对象表示已认证的主体。

2. 授权 (AUTHORIZATION)

授权涉及决定某个经过身份验证的用户是否有权访问特定资源或执行某些操作。这一过程由 AccessDecisionManager 处理4。它根据预定义的安全规则评估用户的权限,并作出允许或拒绝的决策。

Spring Security 的基本原理

Spring Security 的运行机制依赖于一系列的核心组件和技术实现,主要包括以下几点:

1. 过滤器链 (FILTER CHAIN)

Spring Security 利用了 Servlet 规范中的过滤器机制,构建了一个复杂的过滤器链来拦截 HTTP 请求并应用相应的安全逻辑3。每个过滤器负责完成特定的任务,例如:

  • 验证用户凭据 (UsernamePasswordAuthenticationFilter)
  • 记住我功能 (RememberMeAuthenticationFilter)
  • 登出支持 (LogoutFilter)

这些过滤器按照预定顺序依次调用,形成所谓的“责任链模式”,即每个过滤器可以决定是否将请求传递给下一个过滤器或者终止整个链条。

2. 责任链模式 (CHAIN OF RESPONSIBILITY PATTERN)

正如前面提到的,“责任链模式”是 Spring Security 架构的重要组成部分之一。这种设计模式允许多个对象有机会处理同一个请求,从而实现了模块化和灵活性。开发者可以通过自定义过滤器轻松扩展系统的功能。

3. 核心接口与类

以下是几个重要的接口/类及其作用:

  • AbstractSecurityInterceptor: 所有安全拦截的基础抽象类,用于统一管理安全策略。
  • AuthenticationProvider: 实现具体的认证算法,比如基于数据库查询、LDAP 查询等。
  • UserDetailsService: 加载用户信息的服务接口,通常配合 JDBC 或其他数据源使用。
  • GrantedAuthority: 表示授予某角色的一组权限集合。
4. 配置选项

Spring Security 提供丰富的配置项以满足不同场景下的需求,包括但不限于:

  • 用户名密码认证方式
  • OAuth2/OIDC 支持
  • CSRF 防护设置
  • URL 匹配规则定义哪些路径需要保护以及如何保护它们

总结

综上所述,Spring Security 不仅具备完善的功能体系还具有很高的可定制程度。通过对过滤器链的设计运用职责链模式让整体架构既紧凑又灵活易于维护同时也方便二次开发适应各种复杂业务环境的要求

二、spring Security配置教程

  笔者项目中使用的是Spring Security6.5 

1、pom.xml配置如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="htt
最低0.47元/天 解锁文章
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring-Security-5.7.11升级6.5.2
。。。。。。。
08-11 907
Spring Security 5中,默认行为是使用自动保存到。//版本5.7.11//SecurityContextPersistenceFilter中核心代码try {//...finally {// 保存已被作废在Spring Security 6中,默认行为是只会从读取并将其填充到中。如果用户希望在请求之间保持不变,他们现在必须使用显式保存//版本6.5.2try {finally {// 没有保存。
菜鸟spring security学习教程
热门推荐
最强菜鸟
05-31 1万+
菜鸟spring security学习教程说明一、Spring Security简介二、 说明 近期要用到spring security这个框架,由于spring security是之前学的,而且当时也没有深入的学习,对于该框架的用法有点陌生了,现重新学习spring security并在此做好笔记,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、Spring Security简介 Spring SecuritySpring 家族中的一个安全管理框架,主要用于 Spring
入门到精通Spring Security Reactive (6.5.x)让你看懂其原理 - Reactive WebFlux 版本
最新发布
IT幻彩世界之炫酷
10-28 975
摘要: 本文档详细介绍了Spring Security Reactive 6.5的核心功能与配置方法,包含快速入门指南、整体架构设计、应用场景和认证授权机制。主要内容包括:通过Maven/Gradle添加依赖,使用SecurityWebFilterChain配置响应式安全策略,测试认证流程;架构设计中响应式过滤器链的工作原理及组件交互;常见应用场景如API网关、微服务等;以及基于OAuth 2.1和JWT的高级认证方案。文档采用代码示例和Mermaid序列图辅助说明,适合开发者快速实现响应式安全方案。
spring Security 2.0.4中文菜鸟实例教材
11-08
spring Security 2.0.4中文菜鸟实例教材
springboot3.5整合Spring Security6.5默认密码没有打印输出控制台排查过程
daimeijin的博客
06-08 777
遇到问题不要慌,由于之前没有看过源码,所以遇到这种小问题还是要花大量时间排查。不过也不必太过慌张,耐心点,总能找到蛛丝马迹的,然后就是慢慢跟代码。我们总能获得解决办法。希望大家也少遇到bug。
Spring Security 示例教程
YunWisdom
03-13 580
Spring Security 示例教程 Spring Security提供了在Web应用程序中执行身份验证和授权的方法。我们可以在任何基于servlet的Web应用程序中使用spring security。 目录[隐藏] 1 Spring Security 1.1Spring安全示例 1.2Spring Security Maven依赖 1.3Spring...
后端分离架构SpringBoot3.5SpringSecurity6.5、Mybatis-Plus、Vue3、Element-Plus等技术开发的低代码开发平台
10-07
当前文档介绍了一款低代码开发平台,这款平台的开发基于前后端分离架构,并且使用了多项技术组合,包括SpringBoot3.5SpringSecurity6.5、Mybatis-Plus、Vue3和Element-Plus。该平台的设计目标是为开发者提供一个...
SpringSecurity(自定义异常处理)
Mr_Zerone的博客
05-07 708
*** 认证失败处理器*/@Component@OverrideCustomerResult result = new CustomerResult().code(HttpStatus.UNAUTHORIZED.toString()).msg("用户认证失败");// 处理异常/*** 授权失败处理器*/@Component@Override。
Spring Security 教程:从入门到精通(含 OAuth2 接入)
kalle2021的博客
03-17 1545
本文全面深入地介绍了Spring Security相关知识。首先阐述其基础概念,包括认证与授权等关键要点。接着讲述从入门到进阶的实践过程,如创建Spring Boot项目并引入依赖,进行内存用户认证、基于数据库的用户认证配置,还涉及授权管理的多种方式。随后说明CSRF防护机制及其配置要点。重点讲解了OAuth2接入方法,涵盖客户端与资源服务器的配置及自定义流程。最后提及一些高级特性与优化方向,助力开发者构建安全可靠的Web应用 。
菜鸟浅解SpringSecurity基本原理
陳风弥的博客
03-20 561
Spring SecuritySpring提供的安全组件,主要用于在项目中对用户的身份进行识别和认证。 Spring安全框架就是Spring-Security,功能是管理当前项目的用户登录和登录后的权限管理,是Spring框架提供的权限管理和安全方案 和Spring-Security框架功能类似的框架还有Shiro 使用Spring Security之前,需要添加依赖,可以在创建SpringBoot项目时直接勾选,也可以在已经创建好的项目中添加: <dependency> &..
Spring security 3 菜鸟笔记之hello world
lilp_ndsc的专栏
11-25 3078
index.jspcontextConfigLocation classpath:config/application*.xml
【Web加密系列:一】手把手带你入门 Spring Security
liuwei0376的专栏
04-14 264
Spring SecuritySpring 家族中的一个安全管理框架,实际上,在 Spring Boot 出现之前,Spring Security 就已经发展了多年了,但是使用的并不多,安全管理这个领域,一直是 Shiro 的天下。 相对于 Shiro,在 SSM/SSH 中整合 Spring Security 都是比较麻烦的操作,所以,Spring Security 虽然功能比 Shir...
SpringSecurity小白教程
A121212789的博客
03-23 1285
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
spring security 2.04菜鸟设定实例
feixianglantiandeyun的专栏
11-08 153
此文被某些人投入隱藏貼!那麼我就隐藏吧! 要看的网友,到我的javaeyeBLog看! 谢谢! http://yunhaifeiwu.iteye.com/blog/286411
spring security 参考
justin_guo的专栏
08-14 187
spring security 6 参考
SpringSecurity初学者详解
qq_42193075的博客
06-17 421
SpringSecurity运行原理 以formLogin()开始登陆页面,会跳转到 UsernamePasswordAuthenticationFilter类,本类的attemptAuthentication方法获取用户名密码进行判断,在本方法的88行,获取返回的authRequest(也叫tocken)点击进入UsernamePasswordAuthenticationToken类中找到其的构...
Spring Security权限框架的简易入门
Tiger_Paul的博客
04-13 500
Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。
Spring Security6.5使用教程
09-25
<think> 嗯,用户需要Spring Security 6.5的使用教程,从引用内容来看我需要整合多个来源的信息。用户提供的引用[1]明确提到了"SpringSecurity6.5菜鸟教程"[^1],引用[2]提到过滤链原理[^2],引用[3]详细说明了自定义Handler和过滤器的实现流程[^3],引用[4]展示了企业级定制特性[^4],引用[5]则涉及配置问题排查[^5]。 用户可能正在搭建新项目或升级旧版本,需要从基础到进阶的完整指引。考虑设计阶梯式教程结构:先核心原理(过滤链机制)再动手实践(配置类编写),最后补充企业级定制方案。特别注意引用[3]中OncePerRequestFilter的使用要点,这是确保安全逻辑执行一次的关键[^3]。 关于密码打印问题(引用[5]),用户可能遇到配置覆盖导致的默认密码不显示问题,需要在教程中加入排查步骤。准备在"常见问题"部分补充两种解决方案:检查SecurityProperties配置或启用调试日志。 对于企业级需求,准备突出引用[4]的多认证方式和国密算法支持[^4],特别是SM2/SM3/SM4的集成方案值得单独说明。RBAC模型部分考虑增加数据级权限控制的示例,因为引用[4]提到这是深度定制的重要特性。 </think> 以下是Spring Security 6.5的核心使用教程,整合官方文档及最佳实践: ### 一、基础配置流程 ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .formLogin(form -> form .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() ) .logout(logout -> logout .logoutSuccessUrl("/login?logout") ); return http.build(); } // 内存用户示例(生产环境需替换为数据库) @Bean public UserDetailsService users() { UserDetails user = User.builder() .username("user") .password("{bcrypt}$2a$10$...") // BCrypt加密 .roles("USER") .build(); return new InMemoryUserDetailsManager(user); } } ``` ### 二、核心组件解析 1. **过滤器链机制** Spring Security通过11个核心过滤器(如`UsernamePasswordAuthenticationFilter`)拦截请求,形成处理流水线[^2]。 2. **认证流程关键类**: - `AuthenticationManager`:认证入口 - `ProviderManager`:委托具体认证器 - `DaoAuthenticationProvider`:数据库认证实现 - `UserDetailsService`:加载用户数据接口(需自定义实现[^3]) 3. **令牌管理** 推荐Redis存储Token实现会话管理,配置示例: ```yaml spring: security: token: expire-time: 3600 # 1小时过期 redis-key-prefix: "AUTH_TOKEN:" ``` ### 三、企业级定制方案 1. **多认证方式集成**(引用[4]特性): ```java http.authenticationProvider(smsAuthProvider()) // 短信认证 .authenticationProvider(wechatAuthProvider()); // 微信认证 ``` 2. **国密算法支持** 使用SM4替代AES加密: ```java @Bean public PasswordEncoder passwordEncoder() { return new SM4PasswordEncoder(); // 自定义国密编码器 } ``` 3. **细粒度权限控制** 方法级权限注解: ```java @PreAuthorize("hasRole('ADMIN') or @customChecker.check(authentication,#id)") @GetMapping("/resource/{id}") public ResponseEntity<?> getResource(@PathVariable Long id) { ... } ``` ### 四、常见问题解决 1. **默认密码不显示问题**(引用[5]): - 方案1:检查`application.yml`是否包含`spring.security.user.password` - 方案2:启用调试日志:`logging.level.org.springframework.security=DEBUG` 2. **自定义过滤器开发** 继承`OncePerRequestFilter`确保单次执行[^3]: ```java public class JwtFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { // 解析JWT逻辑 chain.doFilter(request, response); } } ``` ### 五、官方学习资源 1. [Spring Security 6.5官方文档](https://docs.spring.io/spring-security/reference/) 2. [Spring Guides - 安全实践案例](https://spring.io/guides#security) > 企业级项目推荐参考[maku-boot](https://gitee.com/makunet/maku-boot)的深度定制实现,其包含RBAC权限模型、分布式会话等高级特性[^4]。 --- ### 相关问题拓展 1. **如何实现Spring Security与OAuth2.1的集成?** Spring Security 6.5已内置OAuth2.1支持,通过`spring-security-oauth2-authorization-server`依赖简化配置[^1]。关键步骤包括注册客户端、配置授权端点,以及自定义令牌生成策略。 2. **在微服务架构中如何统一安全管理?** 可采用网关层集中认证(如Spring Cloud Gateway + JWT),配合资源服务的`@EnableMethodSecurity`注解实现权限分发。需重点设计Token续期机制和权限同步策略。 3. **如何适配国产化环境?** 除国密算法外,还需: - 替换TLS为GMSSL协议 - 使用国密HTTPS证书 - 数据库敏感字段采用SM4加密 参考等保2.0三级要求设计审计日志[^4]。 4. **性能优化有哪些关键点?** - 会话存储:Redis集群替代本地Session - 密码加密:BCrypt迭代次数调整为12(平衡安全与性能) - 权限缓存:使用Caffeine缓存`GrantedAuthority`集合 - 过滤器优化:禁用非常用过滤器(如`CSRF`对API服务)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值