Spring Security 6如何使用?

Spring Security 6 是一个功能强大且高度可定制的身份验证和访问控制框架,它专注于为基于Java的应用程序提供全面的安全解决方案。以下是对Spring Security 6的详细解析:

一、核心功能

身份验证(Authentication):

验证用户的身份是否合法。Spring Security提供了多种身份验证机制,如用户名密码登录、HTTP基本身份验证、OAuth2等。
当用户提供凭据(如用户名和密码)时,AuthenticationManager负责处理身份验证逻辑,并创建一个包含用户信息的Authentication对象。

授权(Authorization):

确定用户具有哪些权限,以便控制用户可以访问的资源。
AccessDecisionManager负责处理授权逻辑,根据用户的角色和权限来决定是否允许用户访问特定资源。它使用投票策略来决定是否允许访问,如果赞成票多于反对票,则允许访问。

防止跨站请求伪造(CSRF):

跨站请求伪造是一种攻击方式,攻击者试图利用已登录用户的凭据来执行恶意操作。
Spring Security通过CsrfFilter来防止这种攻击,它会自动为每个表单添加一个隐藏的CSRF令牌,并在表单提交时验证令牌的有效性。


二、使用步骤

使用Spring Security 6主要涉及以下几个步骤:

1. 引入依赖

首先,你需要在你的项目中引入Spring Security 6的依赖。这通常是通过在你的Maven pom.xml 文件或Gradle build.gradle 文件中添加相应的依赖来实现的。以Maven为例,你可以添加如下依赖:

<dependency>

    <groupId>org.springframework.boot</groupId>

    <artifactId>spring-boot-starter-security</artifactId>

    <version>你的Spring Boot版本对应的Spring Security版本</version>

</dependency>

请注意,你需要根据你的Spring Boot版本选择合适的Spring Security版本。

2. 配置Spring Security

在Spring Boot项目中,你可以通过application.properties或application.yml文件来添加Spring Security的相关配置,如自定义登录页面、注销行为、记住我功能等。然而,对于更复杂的配置,你通常需要创建一个配置类来重写Spring Security的默认行为。

由于Spring Security 6中WebSecurityConfigurerAdapter类已经过时,你现在需要将需要重写的方法定义为Bean。以下是一个简单的配置示例:

@Configuration

@EnableWebSecurity

public class SecurityConfig {

 

    @Bean

    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

        http

            .authorizeRequests(authorizeRequests ->

                authorizeRequests

                    .antMatchers("/public/**").permitAll() // 公开访问的URL

                    .anyRequest().authenticated() // 其他所有请求都需要认证

            )

            .formLogin(form ->

                form

                    .loginPage("/login") // 自定义登录页面

                    .permitAll()

            )

            .logout(logout ->

                logout

                    .permitAll()

            );

        return http.build();

    }

 

    @Bean

    public PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder();

    }

    // 其他配置...

}

3. 自定义用户认证

Spring Security通过UserDetailsService接口来加载用户信息。你可以实现这个接口来从数据库或其他存储中查询用户信息。

@Service

public class CustomUserDetailsService implements UserDetailsService {

    @Autowired

    private UserRepository userRepository; // 假设你有一个UserRepository来访问数据库

    @Override

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {

        User user = userRepository.findByUsername(username);

        if (user == null) {

            throw new UsernameNotFoundException("User not found with username: " + username);

        }

        // 根据你的业务逻辑构建UserDetails对象

        return new org.springframework.security.core.userdetails.User(

            user.getUsername(),

            user.getPassword(), // 注意:这里的密码应该是加密后的

            user.getAuthorities() // 假设User类有一个getAuthorities()方法来获取用户的权限

        );

    }

}

4. 整合数据库

如果你打算从数据库中读取用户信息,你需要配置数据源并创建相应的Repository或DAO来访问数据库。这通常涉及到JPA、MyBatis或Spring Data等技术的使用。

5. 测试与调试

配置完Spring Security后,你需要启动你的应用程序并进行测试,以确保安全配置按预期工作。你可以尝试使用不同的用户角色和权限来访问受保护的资源,并检查是否得到了正确的响应。

6. 注意事项

确保你的Spring Boot版本与Spring Security版本兼容。

在生产环境中,不要使用硬编码的密码或内存中的用户存储。

启用HTTPS来保护你的应用程序免受中间人攻击。

考虑使用更复杂的密码策略,如密码长度、复杂度要求等。

定期审查和更新你的安全配置,以应对新的安全威胁。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/52018.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

2024最新50道NLP和人工智能领域面试题+答案(中文+英文双版本)

编者按&#xff1a;分享一个很硬核的免费人工智能学习网站&#xff0c;通俗易懂&#xff0c;风趣幽默&#xff0c; 可以当故事来看&#xff0c;轻松学习。 中文版本 自然语言处理 (NLP)已成为语言学、人工智能和计算机科学交叉领域的变革性领域。随着文本数据量的不断增加&…

树莓派5 笔记26:ollama大型语言模型_中文输入法_Python_espeak文字转语音

今日继续学习树莓派5 8G&#xff1a;&#xff08;Raspberry Pi&#xff0c;简称RPi或RasPi&#xff09; 本人所用树莓派4B 装载的系统与版本如下: 版本可用命令 (lsb_release -a) 查询: Opencv 与 python 版本如下&#xff1a; 下载大语言模型&#xff0c;下载中文输入法&#…

遗传算法原理与实战(python、matlab)

遗传算法 1.什么是遗传算法 遗传算法&#xff08;Genetic Algorithm&#xff0c;简称GA&#xff09;是一种基于生物进化论和遗传学原理的全局优化搜索算法。它通过模拟自然界中生物种群的遗传机制和进化过程来解决复杂问题&#xff0c;如函数优化、组合优化、机器学习等。遗传…

Anki如何安装插件

文章目录 前言如何安装 Anki 插件开始安装如何获取插件代码安装成功 前言 如果需要扩展 Anki 可能就需要安装一些插件。 这里介绍如何安装插件。 如何安装 Anki 插件 当下载完 anki 后打开软件。 开始安装 点击上面的工具栏&#xff0c;然后点击插件。 这时候会跳出新的弹…

【esp32程序编译提示undefined reference to ‘xxxx‘】

案例1&#xff1a; 【背景】 在使用SquareLine Studio设计UI时&#xff0c;成功导出UI代码&#xff0c;在编译代码的时候提示undefined reference to ‘ui_img_1869164015’&#xff0c;有一个变量无法识别&#xff0c;没有定义。 【定位步骤】 1.首先找到用这个变量的.c文件…

spring中事务介绍

shttps://download.csdn.net/blog/column/12302624/131993937 spring中事务介绍&#xff0c;参考链接如上

Vue3+ElementUI中的Table组件的使用

Vue3ElementUI中的Table组件的使用 校验表格内多个输入框校验 表格滚动到底部 校验 表格内多个输入框校验 注意prop如何写。实现&#xff1a;一旦输入框内部有更改&#xff0c;清空校验&#xff1b;实现&#xff1a;自定义校验错误提示信息样式&#xff1b;实现&#xff1a;在…

html文件运行后界面反馈xxx拒绝连接

概述&#xff1a;我的html代码中包含了外站界面&#xff0c;运行后界面反馈到xxx拒绝连接&#xff0c;我尝试了网上的诸多方法&#xff0c;例如换一个浏览器运行&#xff0c;修改主机网络设置&#xff0c;更改浏览器DNS都没有作用。 <!DOCTYPE html> <html> <h…

MySQL数据库专栏(三)数据库服务维护操作

1、界面维护&#xff0c;打开服务窗口找到MySQL服务&#xff0c;右键单击可对服务进行启动、停止、重启等操作。 选择属性&#xff0c;还可以设置启动类型为自动、手动、禁用。 2、指令维护 卸载服务&#xff1a;sc delete [服务名称] 例如&#xff1a;sc delete MySQL 启动服…

REF_PIN_NAME

REF_PIN_NAME是设计中引脚上的只读属性&#xff0c;表示一个逻辑名称 唯一标识该引脚。 该属性由引脚的名称或层次名称自动定义&#xff0c; 并且不能由用户在HDL或XDC中修改。仅供参考。 该属性不影响任何步骤&#xff0c;但在定义过滤器和其他方面非常有用 Vivado Tcl命令查询…

实验五之用Processing绘画

1.案例代码如下&#xff1a; import generativedesign.*; import processing.pdf.*; import java.util.Calendar; Tablet tablet; boolean recordPDF false; float x 0, y 0; float stepSize 5.0; PFont font; String letters "Sie hren nicht die folgenden Gesnge…

灵神题单——定长滑动窗口

滑动窗口 1343&#xff1a;大小为k且平均值大于等于阈值的子数组数目 class Solution { public:int numOfSubarrays(vector<int>& arr, int k, int threshold) { int ant0;int q[100005],hh0,tt-1;int sum0;for(int i0;i<arr.size();i){if(hh<tt&&i-…

解决方案上新了丨趋动科技推出基于银河麒麟操作系统的异构算力池化解决方案

趋动科技携手麒麟软件打造基于银河麒麟操作系统的异构算力池化解决方案&#xff0c;共同探索AI领域新场景。 人工智能技术作为数字经济发展的重要推手&#xff0c;在各行业业务场景中落地需要大量AI算力资源的有效保障。在IT基础设施普遍云化的今天&#xff0c;AI算力一方面需…

CDN劫持总结

CDN劫持是指黑客通过各种手段&#xff0c;如DNS缓存污染、中间人攻击等&#xff0c;对内容分发网络&#xff08;CDN&#xff09;进行非法控制&#xff0c;导致用户访问被重定向至恶意服务器&#xff0c;从而遭受数据泄露或恶意软件感染的风险。 一、CDN劫持的定义与影响 定义…

【Python】APScheduler:Python中强大的任务调度库

我听见有人猜 你是敌人潜伏的内线 和你相知多年 我确信对你的了解 你舍命救我画面 一一在眼前浮现 司空见惯了鲜血 你忘记你本是娇娆的红颜 感觉你我彼此都那么依恋 &#x1f3b5; 许嵩《内线》 在 Python 开发中&#xff0c;定时任务是非常常见的需求&am…

AI学习记录 - transformers 的 linear 词映射层的详细分析, CrossEntropyLoss 函数解析

创作不易&#xff0c;有用的话点个赞。。。。。。 1. 假设条件 词汇表&#xff1a;假设词汇表包含四个词汇&#xff1a;[token_0, token_1, token_2, token_3]。 模型的输出概率分布&#xff1a;模型的输出经过 Softmax 转换后&#xff0c;得到概率分布&#xff1a;[0.1,0.5,…

88.SAPUI5 Model Binding的问题-在view更改数据,model却不变

目录 1.背景 2.sap.ui.model.BindingMode sap.ui.model.BindingMode.OneWay sap.ui.model.BindingMode.TwoWay 3.oModel.setDefaultBindingMode 方法说明 execOneWay方法 execTwoWay方法 1.背景 在做一个UI5项目&#xff0c;后台读取sap.ui.model.Model后&#xff0c;把…

qt-12工具盒(ToolBox)

工具盒--ToolBox drawer.hdrawer.cppmain.cpp运行图 drawer.h #ifndef DRAWER_H #define DRAWER_H #include <QWidget> #include <QToolBox> #include <QToolButton> #include <QGroupBox> #include <QVBoxLayout>class Drawer : public QToolB…

MiniCPM-V: A GPT-4V Level MLLM on Your Phone论文阅读

大模型的趋势&#xff1a;模型性能越来越好&#xff0c;模型参数变小&#xff0c;端边设备计算能力变强。 MiniCPM-V优点 结果好、OCR能力突出、多分辨率、多语言、易于部署 模型结构 图片encoder适用vit。输入整体以及切片。切片使用自适应算法&#xff0c;通过计算分数&am…

[LitCTF 2024]浏览器也能套娃?

题目有标志SSRF SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下&#xff0c;SSRF攻击的目标是从外网无法访问的内部系统。&#xff08;正是因为它是由服务端发起的&#xff0c;所以它能够请求到与它相…