Spring Security6.5 菜鸟教程

已于 2025-05-26 10:31:36 修改
阅读量798 收藏 11
点赞数 11
CC 4.0 BY-SA版权
文章标签: spring java 后端
于 2025-05-26 10:25:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/wobenwoxiangfei/article/details/148218937

一、Spring Security 核心概念

Spring Security 是一个强大的安全性框架,专注于身份验证(Authentication)和访问控制(Authorization)。其核心概念围绕以下几个方面展开:

1. 身份验证 (AUTHENTICATION)

身份验证是指确认用户的身份是否合法的过程。在 Spring Security 中,AuthenticationManager 负责处理用户的认证过程4。当用户尝试登录时,系统会检查用户名和密码或其他凭证的有效性。如果成功,则生成一个 Authentication 对象表示已认证的主体。

2. 授权 (AUTHORIZATION)

授权涉及决定某个经过身份验证的用户是否有权访问特定资源或执行某些操作。这一过程由 AccessDecisionManager 处理4。它根据预定义的安全规则评估用户的权限,并作出允许或拒绝的决策。

Spring Security 的基本原理

Spring Security 的运行机制依赖于一系列的核心组件和技术实现,主要包括以下几点:

1. 过滤器链 (FILTER CHAIN)

Spring Security 利用了 Servlet 规范中的过滤器机制,构建了一个复杂的过滤器链来拦截 HTTP 请求并应用相应的安全逻辑3。每个过滤器负责完成特定的任务,例如:

  • 验证用户凭据 (UsernamePasswordAuthenticationFilter)
  • 记住我功能 (RememberMeAuthenticationFilter)
  • 登出支持 (LogoutFilter)

这些过滤器按照预定顺序依次调用,形成所谓的“责任链模式”,即每个过滤器可以决定是否将请求传递给下一个过滤器或者终止整个链条。

2. 责任链模式 (CHAIN OF RESPONSIBILITY PATTERN)

正如前面提到的,“责任链模式”是 Spring Security 架构的重要组成部分之一。这种设计模式允许多个对象有机会处理同一个请求,从而实现了模块化和灵活性。开发者可以通过自定义过滤器轻松扩展系统的功能。

3. 核心接口与类

以下是几个重要的接口/类及其作用:

  • AbstractSecurityInterceptor: 所有安全拦截的基础抽象类,用于统一管理安全策略。
  • AuthenticationProvider: 实现具体的认证算法,比如基于数据库查询、LDAP 查询等。
  • UserDetailsService: 加载用户信息的服务接口,通常配合 JDBC 或其他数据源使用。
  • GrantedAuthority: 表示授予某角色的一组权限集合。
4. 配置选项

Spring Security 提供丰富的配置项以满足不同场景下的需求,包括但不限于:

  • 用户名密码认证方式
  • OAuth2/OIDC 支持
  • CSRF 防护设置
  • URL 匹配规则定义哪些路径需要保护以及如何保护它们

总结

综上所述,Spring Security 不仅具备完善的功能体系还具有很高的可定制程度。通过对过滤器链的设计运用职责链模式让整体架构既紧凑又灵活易于维护同时也方便二次开发适应各种复杂业务环境的要求

二、spring Security配置教程

  笔者项目中使用的是Spring Security6.5 

1、pom.xml配置如下

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<parent>
		<groupId>org.springframework.boot</groupId>
		<artifactId>spring-boot-starter-parent</artifactId>
		<version>3.5.0-SNAPSHOT</version>
		<relativePath/> <!-- lookup parent from repository -->
	</parent>
	<groupId>com.example</groupId>
	<artifactId>demo</artifactId>
	<version>0.0.1-SNAPSHOT</version>
	<name>demo</name>
	<description>Demo project for Spring Boot</description>
	<url/>
	<licenses>
		<license/>
	</licenses>
	<developers>
		<developer/>
	</developers>
	<scm>
		<connection/>
		<developerConnection/>
		<tag/>
		<url/>
	</scm>
	<properties>
		<java.version>17</java.version>
	</properties>
	<dependencies>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-data-jpa</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-thymeleaf</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-validation</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.thymeleaf.extras</groupId>
			<artifactId>thymeleaf-extras-springsecurity6</artifactId>
		</dependency>

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-devtools</artifactId>
			<scope>runtime</scope>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>com.mysql</groupId>
			<artifactId>mysql-connector-j</artifactId>
			<scope>runtime</scope>
		</dependency>
		<dependency>
			<groupId>org.projectlombok</groupId>
			<artifactId>lombok</artifactId>
			<optional>true</optional>
		</dependency>
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-test</artifactId>
			<scope>test</scope>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-test</artifactId>
			<scope>test</scope>
		</dependency>
	</dependencies>

	<build>
		<plugins>
			<plugin>
				<groupId>org.apache.maven.plugins</groupId>
				<artifactId>maven-compiler-plugin</artifactId>
				<configuration>
					<annotationProcessorPaths>
						<path>
							<groupId>org.projectlombok</groupId>
							<artifactId>lombok</artifactId>
						</path>
					</annotationProcessorPaths>
				</configuration>
			</plugin>
			<plugin>
				<groupId>org.springframework.boot</groupId>
				<artifactId>spring-boot-maven-plugin</artifactId>
				<configuration>
					<excludes>
						<exclude>
							<groupId>org.projectlombok</groupId>
							<artifactId>lombok</artifactId>
						</exclude>
					</excludes>
				</configuration>
			</plugin>
		</plugins>
	</build>
	<repositories>
		<repository>
			<id>spring-milestones</id>
			<name>Spring Milestones</name>
			<url>https://repo.spring.io/milestone</url>
			<snapshots>
				<enabled>false</enabled>
			</snapshots>
		</repository>
		<repository>
			<id>spring-snapshots</id>
			<name>Spring Snapshots</name>
			<url>https://repo.spring.io/snapshot</url>
			<releases>
				<enabled>false</enabled>
			</releases>
		</repository>
	</repositories>
	<pluginRepositories>
		<pluginRepository>
			<id>spring-milestones</id>
			<name>Spring Milestones</name>
			<url>https://repo.spring.io/milestone</url>
			<snapshots>
				<enabled>false</enabled>
			</snapshots>
		</pluginRepository>
		<pluginRepository>
			<id>spring-snapshots</id>
			<name>Spring Snapshots</name>
			<url>https://repo.spring.io/snapshot</url>
			<releases>
				<enabled>false</enabled>
			</releases>
		</pluginRepository>
	</pluginRepositories>

</project>

2、   spring Security过滤配置笔者总结了两者方式第一种是通过代码方式来配置过滤权限验证

package com.example.util;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.Customizer;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class WebSecurityConfigUtil {

    @Bean
    public SecurityFilterChain web(HttpSecurity http ) throws Exception {
        http
                .authorizeHttpRequests(auth -> auth
                                .requestMatchers("/public/**").permitAll()  // 允许访问的路径
                                .anyRequest().authenticated()

                ).formLogin(Customizer.withDefaults())//需要表单验证
                .logout(logout -> logout.permitAll());

        return http.build();
    }


}

3、第二种方式是通过配置security-config.xml来过滤权限验证,security-config.xml配置放到如图1所示放到项目根目录下

    图1

4、加载类

package com.example.util;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.ImportResource;
@Configuration
@ImportResource("classpath:security-config.xml")
public class WebSecurityConfig {
}

security-config.xml配置文件内容如下:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                           http://www.springframework.org/schema/beans/spring-beans.xsd
                           http://www.springframework.org/schema/security
                           http://www.springframework.org/schema/security/spring-security.xsd">

    <security:http auto-config="true" use-expressions="true">
        <security:intercept-url pattern="/public/**" access="permitAll()"/>
        <security:form-login/>
        <security:http-basic />
        <security:logout/>
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="admin" password="{noop}adminpass" authorities="ROLE_ADMIN"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

5、访问的ctronller

package com.example.login;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class HelloController {
        @GetMapping("/public/hello")
    public String hello(@RequestParam(value = "name", defaultValue = "World") String name) {
        return String.format("Hello %s!", name);
    }
}

浏览器地址栏输入:http://localhost:8081/public/hello

出现以下界面说明配置成功

基于Java的智能家居设计:高效Java代码在智能家居系统的性能优化
AGI×大数据,开启智能时代的认知跃迁;解码AGI,赋能数据驱动的智能革命。
10-08 460
基于Java的智能家居设计:高效Java代码在智能家居系统的性能优化 作者:禅与计算机程序设计艺术 / Zen and the Art of Computer Programming 1. 背景介绍 1.1 问
MongoDB 快速入门
super_song的博客
06-02 1163
文章目录1 MongoDB介绍1.1 应用场景1.2 什么时候选择MongoDB1.3 MongoDB简介1.4 MongoDB体系结构1.5 数据类型1.6 MongoDB的特点2 安装2.1 windows系统安装2.2 Linux系统安装2.3 Docker安装2.4 连接mongodb2.4.1 命令行连接2.4.2 Compass客户端连接2.4.3 Navicat连接3 常用命令3.1 数据库操作3.1.1 选择和创建数据库3.1.2 查看当前有权限查看的所有数据库3.1.3 查看当前正在使用
SpringSecurity6登录及其权限验证(一)自定义登录认证
m0_74220375的博客
04-15 1422
​​Spring Security 6 模块化登录认证实现​​ 基于SpringBoot 3.4.3+SpringSecurity 6.4.3,采用模块化设计实现邮箱/手机号+密码认证。核心实现: ​​主配置​​:禁用CSRF/会话,集成模块 ​​认证流程​​: 自定义过滤器处理/login请求,验证格式并构建认证令牌 认证提供者校验用户密码,返回完整认证令牌 通过处理器返回标准化响应 ​​优势​​: 独立CORS配置 解耦认证逻辑,便于扩展多方式登录 方案通过分层设计提升维护性,适用于无状态API
SpringSecurity - 认证与授权、自定义失败处理、跨域问题、认证成功/失败处理器
weixin_51351637的博客
09-24 2421
SpringSecurity安全管理框架。相比于另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般Web应用需要进行认证和授权,而认证和授权是安全框架的核心功能。​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户​ 授权:经过认证后判断当前用户是否有权限进行某个操作 引入依赖后,我们在尝试去访问之前的接口就会自动跳转到一个SpringSecurity的默认登录界面,默认用户名是User,密码会输出在控制台必须登陆之后
使用Spring Security 6.5.0的AntPathRequestMatcher被替换成PathPatternRequestMatcher
曼陀罗的博客
05-08 569
【代码】使用Spring Security 6.5.0的AntPathRequestMatcher被替换成PathPatternRequestMatcher。
springboot3.5整合Spring Security6.5默认密码没有打印输出控制台排查过程
daimeijin的博客
06-08 647
遇到问题不要慌,由于之前没有看过源码,所以遇到这种小问题还是要花大量时间排查。不过也不必太过慌张,耐心点,总能找到蛛丝马迹的,然后就是慢慢跟代码。我们总能获得解决办法。希望大家也少遇到bug。
Spring Security深入配置指南与实战案例
最新发布
weixin_30336531的博客
07-13 683
Spring Security是一个功能强大且可高度定制的身份验证和访问控制框架,它在Spring技术栈中广泛应用于企业级安全解决方案。它不仅提供了全面的安全性功能,还拥有灵活的扩展点,以适应各种安全需求。Spring Security的核心功能包括但不限于身份验证、授权、防范常见攻击如CSRF和XSS、会话管理以及与其他Spring技术的无缝集成。该框架旨在为开发者提供一套安全机制,以简化安全实现的复杂性。认证是验证用户身份的过程,它是授权的前提。
spring boot项目引入Spring Security
qq_61920623的博客
05-19 571
EnableWebSecurity //开启SpringSecurity@EnableGlobalMethodSecurity(prePostEnabled = true) //权限应用于方法级别@Override.antMatchers(urls).permitAll() // 放行的接口.anyRequest() .authenticated()//所有请求都需要认证.and().formLogin() //启用表单认证.and()
Spring Cloud Gateway 整合Spring Security
Be Like
05-24 8154
做了一个Spring Cloud项目,网关采用 Spring Cloud Gateway,想要用 Spring Security 进行权限校验,由于 Spring Cloud Gateway 采用 webflux ,所以平时用的 mcv 配置是无效的,本文实现了 webflu 下的登陆校验。 1. Security配置 这里先贴出配置类,方便了解大致情况。 其中涉及到的三个处理器均为自定义 package com.shop.jz.gateway.security.config; import com.sh
day11-项目集成SpringSecurity-今日指数
lisus2007的专栏
02-25 2017
day11-项目集成SpringSecurity-今日指数
SpringSecurity-从入门到精通
m0_49692893的博客
04-29 959
SpringSecurity 是一个强大且高度自定义的认证和访问控制框架。这是保证基于 Spring 的应用程序安全的实际标准。
软件建模基础
weixin_42715287的博客
08-03 3066
摘录自某PPT 文章目录软件建模基础0 软件质量属性0.1 如何评价代码质量0.2 软件质量属性1 面向对象1.0 面向对象知识点1.1 面向对象四大特性1.1 (封装)1.1 (抽象)1.1 (继承)1.1 (多态)1.2 面向对象 VS 面向过程1.3 OOA、OOD、OOP1.3 面向对象设计1.4 接口 VS 抽象类1.5 基于接口而非实现编程1.6 多用组合少用继承1.7 贫血模型 VS 充血模型2 设计原则、设计模式、编程规范、重构2.1 设计原则2.2 设计模式2.2 设计模式 —— 创建.
Spring-Security 6.x版本入门讲解
Always_WHD的博客
08-17 1674
简单介绍了SpringSecurity的原理和执行流程,并给出简单的配置样例。
SpringSecurity】基本开发流程
m0_46926606的博客
01-22 425
3、定义OncePerRequestFilter (OncePerRequestFilter是Spring提供的一个过滤器基类,它确保了在一次完整的HTTP请求中,无论请求经过多少次内部转发,过滤器的逻辑都只会被执行一次。这对于需要在请求处理之前或之后进行一次性设置或清理资源的场景特别有用。提供先进的推理,复杂的指令,更多的创造力。2 、AccessToken处理器。1、编写各种Handler。
Spring Security6 快速实战
持续学习,坚持原创,分享技术笔记及经验。
12-04 1054
Spring Security6 快速实战
SpringSecurity6从入门到上天系列第一篇:SpringSecurity6开篇介绍从概念开始把SpringSecurity6送上天
热门推荐
七叔的博客
10-30 2万+
本文是SpringSecurity6从入门到上天系列第一篇,让我们从概念开始把SpringSecurity6送上天
菜鸟spring security学习教程
最强菜鸟
05-31 1万+
菜鸟spring security学习教程说明一、Spring Security简介二、 说明 近期要用到spring security这个框架,由于spring security是之前学的,而且当时也没有深入的学习,对于该框架的用法有点陌生了,现重新学习spring security并在此做好笔记,本文会持续更新,不断地扩充 本文仅为记录学习轨迹,如有侵权,联系删除 一、Spring Security简介 Spring SecuritySpring 家族中的一个安全管理框架,主要用于 Spring
Spring Security教程(六)
码猿同学
01-13 2128
这里接着上篇的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程。在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为UsernamePasswordAuthenticationFilter,通过查看源码知道,做认证处理的方法为attemptAuthentication,这个方法的主要作用就是将用户输入的账号和密码,封装成一个U
Spring Security中的AccessDeniedException处理教程
JavaSpring框架中,安全性是由Spring Security这个强大的库所支持的。Spring Security是一个提供全面安全性解决方案的库,它可以保护应用免受多种安全威胁。其中,AccessDeniedException是一个在权限验证失败时...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值