构建基于Spring Security的安全认证与授权系统

构建基于Spring Security的安全认证与授权系统

大家好,我是微赚淘客系统3.0的小编,是个冬天不穿秋裤,天冷也要风度的程序猿!在现代Web应用开发中,安全性是至关重要的一环。Spring Security作为Spring框架的安全标准,提供了强大的认证和授权功能,本文将深入探讨如何构建基于Spring Security的安全认证与授权系统。

一、Spring Security简介

Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它为Spring应用程序提供了综合的安全服务。主要功能包括身份验证(Authentication)和授权(Authorization),以及防止各种安全攻击。

二、基本概念和术语

在使用Spring Security之前,先了解几个重要的概念:

  1. 认证(Authentication):验证用户的身份,通常通过用户名和密码进行。

  2. 授权(Authorization):确定用户是否有权限执行特定操作或访问资源。

  3. 角色(Role):权限的集合,代表用户的一组权限。

  4. 权限(Authority):授权中的单个权限项,表示用户可以执行的具体操作。

二、配置Spring Security

Spring Security的配置主要通过Spring的Java配置或XML配置来完成。以下是一个基本的Spring Security配置示例。

1. 添加依赖

首先,需要在项目的pom.xml文件中添加Spring Security的依赖。

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

2. 配置SecurityConfig

创建一个Security配置类,继承自WebSecurityConfigurerAdapter,并重写configure方法来配置安全规则。

package cn.juwatech.security;import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {// 配置内存中的用户认证信息auth.inMemoryAuthentication().withUser("user1").password("{noop}password1").roles("USER").and().withUser("admin1").password("{noop}admin123").roles("ADMIN");}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasRole("USER").anyRequest().authenticated().and().formLogin().and().httpBasic();}
}

在上面的示例中,我们配置了两个用户:一个是USER角色的普通用户,另一个是ADMIN角色的管理员。使用了内存中的用户认证信息,并配置了不同URL路径的访问权限规则。

3. 添加Spring Security过滤器

Spring Security通过一系列过滤器来保护应用程序,验证用户的身份并授权其访问资源。在Spring Boot应用中,Spring Security会自动配置这些过滤器。

三、数据库认证

通常,真实项目中用户信息存储在数据库中,Spring Security支持从数据库中加载用户信息进行认证。以下是一个基于数据库的认证配置示例。

1. 实体类

首先创建一个用户实体类和角色实体类,并使用JPA进行持久化。

package cn.juwatech.security.entity;import javax.persistence.*;
import java.util.Set;@Entity
@Table(name = "users")
public class User {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String username;private String password;private boolean active;@ManyToMany(fetch = FetchType.EAGER)@JoinTable(name = "user_roles",joinColumns = @JoinColumn(name = "user_id"),inverseJoinColumns = @JoinColumn(name = "role_id"))private Set<Role> roles;// getters and setters
}

package cn.juwatech.security.entity;import javax.persistence.*;
import java.util.Set;@Entity
@Table(name = "roles")
public class Role {@Id@GeneratedValue(strategy = GenerationType.IDENTITY)private Long id;private String name;@ManyToMany(mappedBy = "roles")private Set<User> users;// getters and setters
}

2. UserRepository和RoleRepository

创建用户和角色的Repository接口,用于数据库操作。

package cn.juwatech.security.repository;import cn.juwatech.security.entity.User;
import org.springframework.data.jpa.repository.JpaRepository;public interface UserRepository extends JpaRepository<User, Long> {User findByUsername(String username);
}

package cn.juwatech.security.repository;import cn.juwatech.security.entity.Role;
import org.springframework.data.jpa.repository.JpaRepository;public interface RoleRepository extends JpaRepository<Role, Long> {Role findByName(String name);
}

3. 配置Spring Security

修改SecurityConfig类,从数据库加载用户信息进行认证。

package cn.juwatech.security;import cn.juwatech.security.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate UserService userService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userService);}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasRole("USER").anyRequest().authenticated().and().formLogin().and().httpBasic();}
}

4. 自定义UserDetailsService

创建一个自定义的UserDetailsService来加载用户信息,并实现Spring Security的UserDetails接口。

package cn.juwatech.security.service;import cn.juwatech.security.entity.Role;
import cn.juwatech.security.entity.User;
import cn.juwatech.security.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;import java.util.HashSet;
import java.util.Set;@Service
public class UserService implements UserDetailsService {@Autowiredprivate UserRepository userRepository;@Override@Transactional(readOnly = true)public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username);if (user == null) {throw new UsernameNotFoundException("User not found with username: " + username);}Set<GrantedAuthority> grantedAuthorities = new HashSet<>();for (Role role : user.getRoles()) {grantedAuthorities.add(new SimpleGrantedAuthority(role.getName()));}return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), user.isActive(), true, true, true, grantedAuthorities);}
}

在上述示例中,我们通过实体类和Repository实现了基于数据库的认证,并使用了自定义的UserDetailsService来加载用户信息。Spring Security的配置类中指定了不同URL路径的访问权限规则,并启用了基本的表单登录和HTTP基本认证。

五、结语

通过本文的学习,我们深入了解了如何利用Spring Security构建安全认证与授权系统。无论是简单的内存认证还是复杂的数据库认证,Spring Security都提供了灵活且强大的解决方案。在实际项目中,根据具体需求和安全策略,可以进一步扩展和定制Spring Security的功能。

本文著作权归聚娃科技微赚淘客系统开发者团队,转载请注明出

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/46998.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Laravel Blade组件:构建动态视图的神兵利器

Laravel Blade组件:构建动态视图的神兵利器

Laravel Blade组件&#xff1a;构建动态视图的神兵利器 在Laravel框架中&#xff0c;Blade是其内置的模板引擎&#xff0c;为开发者提供了一种简洁、强大的方法来构建动态视图。Blade组件则是Blade模板中的一个核心特性&#xff0c;允许开发者封装HTML、CSS和JavaScript片段&a…
阅读更多...
LeetCode 算法:组合总和 c++

LeetCode 算法:组合总和 c++

原题链接&#x1f517;&#xff1a;组合总和 难度&#xff1a;中等⭐️⭐️ 题目 给你一个 无重复元素 的整数数组 candidates 和一个目标整数 target &#xff0c;找出 candidates 中可以使数字和为目标数 target 的 所有 不同组合 &#xff0c;并以列表形式返回。你可以按 …
阅读更多...
LlaMa 2

LlaMa 2

目录 LlaMa 2 介绍&#xff1a; Llama 的诞生&#xff1a; Llama 2 的训练数据集是如何构建和选择的&#xff1f; Llama 2 在自然语言处理&#xff08;NLP&#xff09;任务中的具体应用案例有哪些&#xff1f; Llama 2 模型在商业应用中的表现如何&#xff0c;有哪些成功案…
阅读更多...
认识sm1,sm2,sm3,sm4以及如何在Node.js实现

认识sm1,sm2,sm3,sm4以及如何在Node.js实现

概述 国密即国家密码局认定的国产密码算法。主要有SM1&#xff0c;SM2&#xff0c;SM3&#xff0c;SM4。密钥长度和分组长度均为128位。 国密算法是指国家密码管理局认定的一系列国产密码算法&#xff0c;包括SM1-SM9以及ZUC等。其中 SM1、SM4、SM5、SM6、SM7、SM8、ZUC等属于…
阅读更多...
verilog刷题笔记

verilog刷题笔记

1、选择器实现方式 &#xff08;1&#xff09;case语句&#xff0c;注意default &#xff08;2&#xff09;if-else语言&#xff0c;注意else&#xff0c;有优先级 &#xff08;3&#xff09;三元运算符 &#xff1f; &#xff1a; 2、阻塞赋值/非阻塞赋值都是过程性赋值&a…
阅读更多...
1千多看图猜成语游戏ACCESS\EXCEL数据库

1千多看图猜成语游戏ACCESS\EXCEL数据库

今天闲来无事想写个代码自己搞定&#xff0c;我不写代码已经很久了&#xff0c;主要是年纪不小了对新技术的学习比较吃力&#xff0c;兴趣也被生活打磨的体无完肤。今天又捡起VB&#xff08;暴露了年纪&#xff09;搞了一下。 当然&#xff0c;很多事情都是这样&#xff0c;自己…
阅读更多...
Docker容器——初识Docker,安装以及了解操作命令

Docker容器——初识Docker,安装以及了解操作命令

一、Docker是什么? 是一个开源的应用容器引擎&#xff0c;基于go语言开发并遵循了apache2.0协议开源&#xff0c;用来管理容器和镜像的工具是在Linux容器里驱动运行应用的开源工具是一种轻量级的“虚拟机” 基于linux内核运行Docker的容器技术可以在一台主机上轻松为任何应用…
阅读更多...
【AI教程-吴恩达讲解Prompts】第1篇 - 课程简介

【AI教程-吴恩达讲解Prompts】第1篇 - 课程简介

文章目录 简介Prompt学习相关资源 两类大模型原则与技巧 简介 欢迎来到面向开发者的提示工程部分&#xff0c;本部分内容基于吴恩达老师的《Prompt Engineering for Developer》课程进行编写。《Prompt Engineering for Developer》课程是由吴恩达老师与 OpenAI 技术团队成员 I…
阅读更多...
webpack生产环境下的配置

webpack生产环境下的配置

css 处理 css提取 下载包 npm i -D mini-css-extract-plugin 配置 module: {rules: [{test: /\.css$/,use: [// style-loader, // 创建style标签&#xff0c;将样式加入js文件MiniCssExtractPlugin.loader, // 提取js中的css成单独的文件css-loader,]}, ]},plugins: [new H…
阅读更多...
react 18中,使用useRef 获取其他组件的dom并操作节点,flushSync强制同步更新useState

react 18中,使用useRef 获取其他组件的dom并操作节点,flushSync强制同步更新useState

React 不允许组件访问其他组件的 DOM 节点。甚至自己的子组件也不行&#xff01;这是故意的。Refs 是一种脱围机制&#xff0c;应该谨慎使用。手动操作 另一个 组件的 DOM 节点会使你的代码更加脆弱。 相反&#xff0c;想要 暴露其 DOM 节点的组件必须选择该行为。一个组件可以…
阅读更多...
鹈鹕优化算法(POA)及其Python和MATLAB实现

鹈鹕优化算法(POA)及其Python和MATLAB实现

鹈鹕优化算法&#xff08;Pelican Optimization Algorithm&#xff0c;简称POA&#xff09;是一种基于仿生学原理的优化算法&#xff0c;灵感来源于大自然中鹈鹕的觅食行为。POA被设计用于解决优化问题&#xff0c;尤其在连续型和离散型的优化问题中展现出了较好的性能。 ### …
阅读更多...
单例模式-C#

单例模式-C#

在C#中实现单例模式&#xff0c;主要目的是确保一个类仅有一个实例&#xff0c;并提供一个全局访问点来获取这个实例。以下是一个简单的单例模式实现示例&#xff0c;它使用了一个私有静态变量来保存类的唯一实例&#xff0c;并提供了一个公有的静态方法来获取这个实例。此外&a…
阅读更多...
【Unity C#基础】浅谈List底层逻辑

【Unity C#基础】浅谈List底层逻辑

1.内部实现 List实际是通过数组来实现的&#xff0c;而不是链表。并且没设定初始容量的情况下&#xff0c;初始容量默认为0。 2.扩容 每次容量不够时&#xff0c;数组容量会扩充一倍。按照4、8、16、32、64、128、256……递增。 按照2的指数进行扩容可以为GC减少负担。 每…
阅读更多...
CentOS 7 网络配置

CentOS 7 网络配置

如想了解请查看 虚拟机安装CentOS7 第一步&#xff1a;查看虚拟机网络编辑器、查看NAT设置 &#xff08;子网ID&#xff0c;网关IP&#xff09; 第二步&#xff1a;配置VMnet8 IP与DNS 注意事项&#xff1a;子网掩码与默认网关与 第一步 保持一致 第三步&#xff1a;网络配置…
阅读更多...
客服新纪元:Transformer模型在自动化客户服务的革命性应用

客服新纪元:Transformer模型在自动化客户服务的革命性应用

客服新纪元&#xff1a;Transformer模型在自动化客户服务的革命性应用 随着人工智能技术的飞速发展&#xff0c;自动化客户服务已成为企业提升效率、降低成本的关键途径。Transformer模型&#xff0c;以其在处理序列数据方面的强大能力&#xff0c;正在自动化客户服务领域扮演…
阅读更多...
掌握Xcode的魔术:自定义Storyboard的创建与管理

掌握Xcode的魔术:自定义Storyboard的创建与管理

掌握Xcode的魔术&#xff1a;自定义Storyboard的创建与管理 在iOS应用开发中&#xff0c;Storyboard提供了一种直观的方式来设计和管理用户界面。通过Storyboard&#xff0c;开发者可以轻松地构建应用的视图控制器&#xff0c;同时定义它们之间的转换。然而&#xff0c;随着应…
阅读更多...
用Pytorch实现线性回归(Linear Regression with Pytorch)

用Pytorch实现线性回归(Linear Regression with Pytorch)

使用pytorch写神经网络的第一步就是需要准备好数据集&#xff0c;设计模型&#xff08;用于计算y_hat&#xff08;y的预测值&#xff09;&#xff09;&#xff0c;构造损失函数和优化器&#xff08;使用PyTorch API&#xff09;&#xff0c;写训练周期&#xff08;前馈&#xf…
阅读更多...
Centos7 rpm 安装 Mysql 8.0.28

Centos7 rpm 安装 Mysql 8.0.28

Centos7 rpm 安装 Mysql 8.0.28 一、检查系统是否已经安装了Mysql 如果安装了则卸载 [rootiZbp1byzaznzn9jncxr010Z /]# rpm -qa | grep mysql[rootiZbp1byzaznzn9jncxr010Z /]# rpm -qa | grep mariadb mariadb-libs-5.5.68-1.el7.x86_64如果安装了 mysql &#xff0c;maria…
阅读更多...
2-36 基于matlab的流行学习算法程序

2-36 基于matlab的流行学习算法程序

基于matlab的流行学习算法程序。通过GUI的形式将MDS、PCA、ISOMAP、LLE、Hessian LLE、Laplacian、Dissusion MAP、LTSA八种算法。程序以可视化界面进行展示&#xff0c;可直接调用进行分析。多种案例举例说明八种方法优劣&#xff0c;并且可设置自己数据进行分析。程序已调通&…
阅读更多...
【12】奇偶数判断

【12】奇偶数判断

奇偶数判断 题目描述 给定一个整数&#xff0c;判断该数是奇数还是偶数。如果 n n n 是奇数&#xff0c;输出 odd&#xff1b;如果 n n n 是偶数&#xff0c;输出 even。 输入格式 输入仅一行&#xff0c;一个整数 n n n。 输出格式 输出仅一行&#xff0c;如果 n n …
阅读更多...
最新文章

Copyright @ 2022~2023