SpringSecurity

最新推荐文章于 2024-07-07 20:23:20 发布
原创 最新推荐文章于 2024-07-07 20:23:20 发布 · 481 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#服务器 #后端

部署运行你感兴趣的模型镜像

一.概念

1.认证

认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。

用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。

2.会话

  用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于 session 方式、基于 token 方式等。

基于 session 的认证方式如下图:

它的交互流程是,用户认证成功后,在服务端生成用户相关的数据保存在 session (当前会话)中,发给客户端的 sesssion_id 存放到 cookie 中,这样用户客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验,当用户退出系统或 session 过期销毁时,客户端的 session_id 也就无效了。

基于token方式如下图:

它的交互流程是,用户认证成功后,服务端生成一个 token 发给客户端,客户端可以放到 cookie 或 localStorage 等存储中,每次请求时带上 token,服务端收到token通过验证后即可确认用户身份。

基于 session 的认证方式由 Servlet 规范定制,服务端要存储 session 信息需要占用内存资源,客户端需要支持 cookie;基于 token 的方式则一般不需要服务端存储 token,并且不限制客户端的存储方式。如今移动互联网时代更多类型的客户端需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于 token 的方式更适合。

3.授权

授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。

授权的数据模型

授权可简单理解为Who对What(which)进行How操作,包括如下:

Who,即主体(Subject),主体一般是指用户,也可以是程序,需要访问系统中的资源。 What,即资源(Resource),如系统菜单、页面、按钮、代码方法、系统商品信息、系统订单信息等。系统菜单、页面、按钮、代码方法都属于系统功能资源,对于web系统每个功能资源通常对应一个URL;系统商品信息、系统订单信息都属于实体资源(数据资源),实体资源由资源类型和资源实例组成,比如商品信息为资源类型,商品编号 为001的商品为资源实例。How,权限/许可(Permission),规定了用户对资源的操作许可,权限离开资源没有意义,如用户查询权限、用户添加权限、某个代码方法的调用权限、编号为001的用户的修改权限等,通过权限可知用户对哪些资源都有哪些操作许可。

主体、资源、权限相关的数据模型如下:

主体(用户id、账号、密码、…)

权限(权限id、权限标识、权限名称、资源名称、资源访问地址、…)

角色(角色id、角色名称、…)

角色和权限关系(角色 id、权限id、…)

主体(用户)和角色关系(用户id、角色id、…)

4.RBAC

1)基于角色的访问控制

  RBAC基于角色的访问控制(Role-Based Access Control)是按角色进行授权,比如:主体的角色为总经理可以查询企业运营报表,查询员工工资信息等,访问控制流程如下:

2)基于资源的访问控制

 按资源进行授权(Resource-Based Access Controller)

5.基于Session的认证方式

  基于 Session 认证方式的流程是,用户认证成功后,在服务端生成用户相关的数据保存在 session (当前会话),而发给客户端的 sesssion_id 存放到 cookie 中,这样用客户端请求时带上 session_id 就可以验证服务器端是否存在 session 数据,以此完成用户的合法校验。当用户退出系统或 session 过期销毁时,客户端的 session_id 也就无效了。

下图是 session 认证方式的流程图:

基于 Session 的认证机制由 Servlet 规范定制,Servlet 容器已实现,用户通过 HttpSession 的操作方法即可实现,如下是 HttpSession 相关的操作 API 。

方法

含义

HttpSession getSession(Boolean create)

获取当前HttpSession对象

void setAttribute(String name,Object value)

向session中存放对象

object getAttribute(String name)

从session中获取对象

void removeAttribute(String name)

移除session中对象

void invalidate()

使HttpSession失效

二.使用 Spring Security

1.什么是Spring Security

Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。

SpringSecurity的核心功能:

用户认证(Authentication):系统判断用户是否能登录

用户授权(Authorization):系统判断用户是否有权限去做某些事情

SpringSecurity 特点:

Spring 技术栈的组成部分,与Spring 无缝整合。

全面的权限控制,能提供完整可扩展的认证和授权支持保护

专门为 Web 开发而设计。

重量级,需要引入各种家族组件与依赖

2.使用SpringSecurity

1)创建springboot项目

引入jir包

<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>

2)创建测试类

3)访问

访问主页会被拦截 , 登录后放行

默认账号为user

默认密码在后端控制台

登录后 访问成功

3.自定义用户名和密码

1)在配置文件设置用户信息

spring.security.user.name=test
spring.security.user.password=123456

登录

访问成功

2)在内存中定义用户信息

package com.example.demo.config;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    /**
     * AuthenticationManagerBuilder  认证管理器的构建者
     * @param auth
     * @throws Exception
     */
//    @Override
//    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        //  UserDeatils
//        UserDetails user = User.withDefaultPasswordEncoder() // 默认不支持明文密码    加密   使用默认的加密方式
//                .username("test")  //  用户名   user
//                .password("123456")// 密码   123456
//                .roles("USER")
//                .build();
//        auth.inMemoryAuthentication()  // inMemoryAuthentication  内存 // 将用户的信息 存放到内存里面
//                .withUser(user);//  user
//    }


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // dgjsgfhgfwkhsabvksghsgksgkws -> 123456
        //bCryptPasswordEncoder.encode("123456") == dgjsgfhgfwkhsabvksghsgksgkws




        //不支持 明文
        BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
        String encode = bCryptPasswordEncoder.encode("123456");
        System.out.println(encode);
        auth.inMemoryAuthentication()
                .passwordEncoder(bCryptPasswordEncoder)
             .withUser("test")
             .password(encode)
             .roles("USER");
    }
}

或者

也可以储存多个用户

登录成功

4.自定义页面

1)创建login页面

<form action="/test" method="post">
用户名:<input type="text" name="myname">
<br/>
用户名:<input type="password" name="mypwd">
<br/>
<input type="submit" value="login">
</form>

注意 请求方法为post

2)修改配置类

     //自定义登录
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //配置登录表单   路径前必须加  "/"
        http.formLogin().loginPage("/login.html")//登录的页面
                .loginProcessingUrl("/test")
                .defaultSuccessUrl("/test");//默认路径
//                .usernameParameter("myname")   .passwordParameter("mypwd")  //自定义密码和账号
        http.authorizeHttpRequests().antMatchers("/login.html","/userlogin","/").permitAll();//表示放行
        //除了以上三个路径其他的路径都需要认证
        http.authorizeHttpRequests().anyRequest().authenticated();
        //csrf  方便html文件通过
        http.csrf().disable();
    }

登录页面改变

参数

表示配置资源信息的时候角色一定是以ROLE_为开始的

5.使用注解

1)修改启动类

@EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true,jsr250Enabled=true)

2)判断是否有对象

@Secured({"ROLE_admin"})
@RequestMapping("testSecured")
public String testSecured() {
return "testSecured";
}

 

表示用户拥有ROLE_ADMIN角色时才允许访问

以上方法是将用户信息存储到内存中

6.自定义实现类完成登录

1)实现 UserDetailsService 接口

2)获取用户信息

3)操作

BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
String encode = passwordEncoder.encode("123456");
TabUser tabUser= new TabUser("admin1",encode);
if(username.equals(tabUser.getUsername())){
    List<SimpleGrantedAuthority> authorities = new ArrayList<>();
    // authorities  代表的是所有的资源的信息
    // 菜单   角色
    // 如果是角色  ROLE_
    // 菜单 随便写
    authorities.add(new SimpleGrantedAuthority("testpath"));// 菜单
    authorities.add(new SimpleGrantedAuthority("ROLE_USER"));// 角色
    return new User(username,encode,authorities);
}

4)修改配置文件

@Resource
private UserDetailsService userDetailsService;
    @Bean
    public PasswordEncoder getPassword(){
        return new BCryptPasswordEncoder();
    }
    // 自定义用户的信息
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService).passwordEncoder(getPassword());
    }

您可能感兴趣的与本文相关的镜像

Stable-Diffusion-3.5

Stable-Diffusion-3.5

图片生成
Stable-Diffusion

Stable Diffusion 3.5 (SD 3.5) 是由 Stability AI 推出的新一代文本到图像生成模型,相比 3.0 版本,它提升了图像质量、运行速度和硬件效率

小Q学代码
关注
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
SpringSecurity自定义用户权限信息的存取
04-16
SpringSecurity自定义用户权限信息的存取,SpringSecurity教程,用户权限信息存取
spring security自定义指南
weixin_34296641的博客
12-24 278
序 本文主要研究一下几种自定义spring security的方式 主要方式 自定义UserDetailsService 自定义passwordEncoder 自定义filter 自定义AuthenticationProvider 自定义AccessDecisionManager 自定义securityMetadataSource 自定...
SpringSecurity学习笔记之三:配置用户存储
zhoucheng05_13的博客
03-05 7833
没有用户存储的应用相当于没有用户,因为任何用户都会被拒之门外。我们所需要的是用户存储,也就是用户名、密码以及其他信息存储的地方,在进行认证决策的时候,会对其进行检索。Spring Security非常灵活,能够基于各种数据存储来认证用户。它内置了多种常见的用户存储场景,如内存、关系型数据库以及LDAP。同时,我们也可以编写并插入自定义的用户存储实现。借助Spring Security的Java配置,
一篇文章带你搞定 Spring Security 将用户数据存储到数据库
南淮北安的博客
09-15 4353
文章目录一、UserDetailService二、JdbcUserDetailsManager三、数据库支持四、测试登录 一、UserDetailService Spring Security 支持多种不同的数据源,这些不同的数据源最终都将被封装成 UserDetailsService 的实例,在微人事(https://github.com/lenve/vhr)项目中,我们是自己来创建一个类实现 UserDetailsService 接口,除了自己封装,我们也可以使用系统默认提供的 UserDetailsS
使用java代码配置 Spring Boot 中的 Spring Security 和 Rember me, Cookie记住密码
神夏的博客
05-07 771
前言 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编...
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
10-22
SpringBoot集成Spring security是当前许多Java Web开发人员关注的热点,因为安全是互联网应用不可或缺的一部分。Spring Security 为基于Spring的应用提供了一个全面的安全解决方案。它不仅提供了认证...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Security自定义登录原理及实现详解
09-07
主要介绍了Spring Security自定义登录原理及实现详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security 自定义用户认证
victoryyounger的博客
02-02 390
前言 Spring security内置的用户存储非常便利,但是当我们的应用需要一些更特殊的功能时,当开箱即用的用户存储无法满足需求的时候,我们就需要创建和配置自定义的的用户 详情服务,最终数据位于关系型数据库中,使用Spring Data respository 一、定义用户实体 如下是一个Boss类 package sia.tacocloud.DAO; import com.sun.istack.NotNull; import lombok.Data; import org.springframewo
Spring Security自定义用户认证
艾华生的博客
08-19 4508
Spring Security自定义用户认证 在Spring Boot中开启Spring Security一节中我们简单地搭建了一个Spring Boot + Spring Security的项目,其中登录页、用户名和密码都是由Spring Security自动生成的。Spring Security支持我们自定义认证的过程,如使用自定义的登录页替换默认的登录页,用户信息的获取逻辑、登录成功或失败后的处理逻辑等。这里将在上一节的源码基础上进行改造。 配置自定义登录页 为了方便起见,我们直接在src/main/
SpringSecurity自定义实现
twj1350409909的博客
05-12 293
SpringSecurity自定义实现
Spring Security自定义登录认证
qeqw787的博客
03-17 9270
一.准备环境 开发工具:Intellij IDEA,Gradle,JDK14,MySql 二.创建项目 创建Spring Initializr项目 依赖选择Spring WEB,Mysql Driver,Spring Security 检查Gradle依赖! plugins { id 'org.springframework.boot' version '2.4.3' id 'io.spring.dependency-management' version '1.0.11.RELEASE
SpringSecurity简单自定义配置
2301_76288478的博客
07-07 1619
如果没有指定密码加密算法 默认执行的是BCrypt算法 下图指定使用SHA-1加密。工厂的静态构造方法把常用的几种密码方案都注入到了缓存Map中,默认注入的 encodingId 对应的是 BCryptPasswordEncoder加密方案,这样系统就可以达到在新存储密码可以使用 BCryptPasswordEncoder 加密方案进行加密,但是对于数据库里面以前用其他方式加密的密码也支持比对。我们可以复写该方法,然后修改这个“encodingId”的值,就可以在几种加密算法中进行切换了。
Spring Security(二) —— 自定义配置
eyes++的博客
07-24 1475
http.authorizeRequests().regexMatchers("/login1").permitAll()//注意要开放登录请求接口.mvcMatchers("/hello1").permitAll().anyRequest().authenticated().and().formLogin().loginPage("/login1")//指定登录页面路径.loginProcessingUrl("/doLogin");时会拦截请求并抛出。...
6-SpringSecurity:数据库存储用户信息
2401_84415589的博客
04-17 849
首先看下表结构,是实际应用中相对比较通用的,共5张表,遵循了RBAC的模式:三个抽象实体(用户、角色、权限)表,两张关系表(用户-角色,角色-权限),即:;USE;t_useridbigint(20) NOT NULL COMMENT ‘用户id’,usernamepasswordrealnamevarchar(255) NOT NULL COMMENT ‘真实姓名’,mobilevarchar(11) DEFAULT NULL COMMENT ‘手机号’,enabled。
SPringsecurity
最新发布
09-21
Spring SecuritySpring 生态系统中的核心组件,也是一个功能强大且高度可定制的身份验证和访问控制框架,是保护基于 Spring 的应用程序的事实上的标准,致力于为 Java 应用程序提供身份验证和授权,通过提供认证...
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值