Spring Security 入门篇(一)-- 简介

引言

Spring Security 官方文档
https://spring.io/projects/spring-security
Spring Security 中文文档 :
https://springdoc.cn/spring-security/
Spring Cloud 中文文档
https://www.springcloud.cc/spring-security.html#overall-architecture

一、简介

1. 什么是安全框架

开发软甲系统时,Web安全非常重要,Java安全框架,使用最多的是Spring Security、Apache Shiro
一个功能完善的安全框架,一般都需要支持以下特性,安全框架的底层是一批过滤器,原理大似相同:

  • 认证(Authentication):验证用户的身份信息用户名和密码
  • 授权(Authorization):验证用户的访问和权限,对已认证用户进行访问控制
  • 加密:对重要信息进行加密处理,比如密码加密
  • 会话管理:对用户认证、会话信息进行存储管理
  • 防御攻击:对常见的网络攻击进行防御

2. Spring Security 简介

Spring Security 是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。Spring Security基于过滤器链的概念,可以轻松地集成到任何基于Spring的应用程序中。它支持多种身份验证选项和授权策略,开发人员可以根据需要选择适合的方式。此外,Spring Security还提供了一些附加功能,如集成第三方身份验证提供商和单点登录,以及会话管理和密码编码等。总之,Spring Security是一个强大且易于使用的框架,可以帮助开发人员提高应用程序的安全性和可靠性。
认证和授权作为 Spring Security 安全框架的核心功能:

  • 认证(Authentication):验证当前访问系统用户是否是本系统用户,并且要确认具体是哪个用户。
    在这里插入图片描述

  • 授权(Authorization):经过认证后判断当前用户是否具有权限进行某个操作。

  • Spring Security 学习路线
    在这里插入图片描述

3. Spring Security 底层过滤器

在Spring Security中,认证授权等功能都是基于过滤器,下列为Spring Security中常见的过滤器

在这里插入图片描述

二.SpringSecurity 集成

1. 引入 Maven 依赖

spring-boot-starter-security是SpringBoot官方提供的启动器,提供了自动配置和依赖包管理
主要包含以下几个模块:

  • spring-security-core:核心包,包含核心认证和访问权限功能类和接口、远程支持和基本配置API
  • spring-security-web:WEB框架集成包,包含过滤器和相关的web安全基础设置代码
  • spring-security-config:包含security命名空间解析代码和Java配置代码
<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>

由于Spring Boot提供Maven BOM来管理依赖版本,因此无需指定版本。如果您希望覆盖Spring Security版本,可以通过提供Maven属性来实现:
pom.xml中。

<properties><!-- ... --><spring-security.version>5.1.2.RELEASE</spring-security.version>
</dependencies>

2. WebSecurityConfig 配置

(1)HttpSecurity接口中有很多方法,以下列举一些常用的方法:

  1. antMatchers(String… antPatterns): 配置Ant风格的URL匹配规则,可以指定哪些URL需要进行安全约束。
  2. requestMatchers(RequestMatcher… requestMatchers): 配置自定义的请求匹配规则,可以更加灵活地指定哪些URL需要进行安全约束。
  3. sessionManagement(): 配置会话管理相关的设置,例如会话创建策略、会话超时时间等。
  4. csrf(): 配置跨站请求伪造(CSRF)相关的设置,例如是否启用CSRF保护、是否禁用SameSite属性等。
  5. httpBasic(): 启用HTTP基本认证,可以配置基本认证的Realm名称、是否使用Preemptive认证等。
  6. formLogin(): 启用表单登录功能,可以配置表单登录时的登录页面、登录处理程序、登录失败处理器等。
  7. logout(): 配置登出功能,可以配置登出时的处理程序、是否注销用户会话等。
  8. hasAnyRole(String… roles): 配置多个角色的访问权限,例如要求用户角色或管理员角色才能访问某些URL。
  9. anonymous(): 配置匿名用户的表示方法。默认情况下匿名用户将使用org.springframework.security.authentication.AnonymousAuthenticationToken表示。
  10. rememberMe(): 启用“记住我”功能,可以配置自定义的RememberMeAuthenticationProvider来提供“记住我”功能。
  11. headers(): 添加安全标头到响应中,例如设置CSP(内容安全策略)。
  12. cors(): 配置跨域资源共享相关的设置,例如是否允许跨域请求、允许哪些域名进行跨域等。
  13. portMapper(): 允许配置一个PortMapper,用于将HTTP请求的端口映射到特定的处理器或安全约束上。
  14. jee(): 配置基于容器的预认证,例如使用Servlet容器提供的认证机制。
  15. openidLogin(): 用于基于OpenID的认证,可以配置OpenID的服务端点、客户端ID和秘钥等。

(2)Spring Security WebSecurityConfig 示例:

Spring Boot 2.7.0 版本之前,需要写个配置类继承 WebSecurityConfigurerAdapter,然后重写 Adapter 中方法进行配置;

@EnableWebSecurity  
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {  @Override  protected void configure(HttpSecurity http) throws Exception {  http  // 配置安全约束,限制对特定 URL 的访问权限  .antMatcher("/admin/**")  .hasRole("ADMIN")  .and()  // 配置跨站请求伪造(CSRF)保护  .csrf().disable()  // 配置基本认证  .httpBasic()  .realmName("MyApp")  .and()  // 配置表单登录  .formLogin()  .loginPage("/login")  .permitAll()  .and()  // 配置登出功能  .logout()  .logoutUrl("/logout")  .permitAll();  }  @Bean  @Override  public UserDetailsService userDetailsService() {  // 配置用户详情服务,用于验证用户凭据并返回对应的用户信息  return new JdbcUserDetailsService(dataSource);  }  @Bean  @Override  public RememberMeServices rememberMeServices() {  // 配置“记住我”功能,使用数据库保存用户的登录状态信息  return new JdbcRememberMeServices(dataSource);  }  
}

Spring Boot 2.7.0 版本之后无需再继承 WebSecurityConfigurerAdapter,只需直接声明配置类,再配置一个生成 SecurityFilterChainBean 方法,把原来 HttpSecurity 配置移动到该方法中即可。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {/*** 授权* @param http* @return* @throws Exception*/@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {//链式编程// 首页所有人都可以访问,功能也只有对应有权限的人才能访问到// 请求授权的规则return http.authorizeRequests()//首页所有人可以访问.antMatchers("/").permitAll()//特定权限访问页.antMatchers("/level1/**").hasRole("vip1").antMatchers("/level2/**").hasRole("vip2").antMatchers("/level3/**").hasRole("vip3").and()//无权限默认跳转登录页.formLogin().and()//注销,开启注销功能,跳转到首页.logout().logoutSuccessUrl("/").and().build();}/*** 认证* @return*/@Beanpublic UserDetailsService userDetailsService() {//密码加密PasswordEncoder encoder= PasswordEncoderFactories.createDelegatingPasswordEncoder();//设置用户UserDetails user2=User.builder().username("root").password(encoder.encode("123456")).roles("vip1","vip2","vip3").build();return new InMemoryUserDetailsManager(user2);}@Beanpublic AuthenticationManager authenticationManager(AuthenticationConfiguration configuration) throws Exception {return configuration.getAuthenticationManager();}
}

(3)定义登录成功跳转首页

@RestController
public class HelloController {/*** 默认登录成功跳转* @return*/@RequestMapping("/")public String hello(){return "hello,spring security";}
}

(4)登录

访问 http://localhost:8080/login

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/1614.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

poll实现echo服务器的并发

poll实现echo服务器的并发 代码实现 #include <stdio.h> #include <string.h> #include <sys/types.h> #include <sys/socket.h> #include <stdlib.h> #include <arpa/inet.h> #include <sys/time.h> #include <unistd.h> #…

@CrossOrigin的使用

CrossOrigin的使用 1.使用场景2.用法3.示例3.1 标注在方法上3.2 标注在类上 3.属性配置 1.使用场景 前后端分离应用&#xff1a;当前端应用和后端服务部署在不同的域或端口上时&#xff0c;前端应用尝试向后端服务发起请求时&#xff0c;可能会遇到同源策略的限制。这时&#…

python开发应该具备哪些能力

Python开发能力涵盖了多个方面&#xff0c;这些能力不仅涉及Python语言本身&#xff0c;还包括与Python开发相关的技术栈、工具和方法论。以下是一些关键的Python开发能力&#xff1a; Python语言基础&#xff1a; 熟练掌握Python的语法和核心特性&#xff0c;如变量、数据类型…

常用命令合集

设置永久清华源 pip config set global.index-url https://pypi.tuna.tsinghua.edu.cn/simpleDocker dockerfile FROM nvidia/cuda:11.8.0-devel-ubuntu20.04RUN rm -rf /var/lib/apt/lists/* RUN apt-get clean RUN apt update RUN apt upgrade -yRUN apt install vim -yRU…

【JAVA】实现只有一个窗口弹出的底层逻辑——单身模式

目录 背景说明 代码实现 手写笔记 背景说明 有的时候&#xff0c;当你点击一个选项时会弹出来多个窗口&#xff0c;而有的时候只会弹出一个。 实际上&#xff0c;弹出多个窗口就是创建了多个相同的对象&#xff0c;而只弹出一个就是我们今天即将分享的单身模式——一个类只产生…

【Python】使用Python计算简单数值积分

题外话&#xff0c;Python语言命名的来源&#xff1a;&#xff08;见下图&#xff09;Monty Python巨蟒剧团 1、积分题目&#xff08;3&#xff09; 2、解析解答 3、Python计算代码 import math import scipy.integrate as integrate# 积分区间 # x_min 0.0 # 1 # x_min …

润石科技(RUNIC)汽车电子应用方案和物料选型

一、润石科技&#xff08;RUNIC&#xff09;简介 江苏润石科技有限公司是一家专注于高性能、高品质模拟/混合信号集成电路研发和销售的高科技半导体设计公司。公司主要产品线分为两类&#xff1a;信号链和电源管理&#xff0c;其中信号链包含运算放大器、比较器、模拟开关、数…

PotCSS 概述

PotCSS 并不是一个广泛认知的术语或者一个特定的技术&#xff0c;至少在提供的搜索结果中没有直接提到 PotCSS 的相关信息。因此&#xff0c;无法提供关于 PotCSS 的背景渊源介绍。 然而&#xff0c;如果你指的是 PostCSS&#xff0c;那么可以提供一些关于它的背景信息。PostC…

王者荣耀防御塔如何开发!新手小白做游戏开发采坑经过。phaser前端游戏框架

好嘞&#xff0c;游戏开发框架是js 开发的网页小游戏&#xff01; phaser这个框架。好我们先上图&#xff01; 目前大概是这么一个样子。 然后防御塔功能呢。简单的说就是当人物进去的时候打他。人物扣血。 我们的小人物是这样的代码 遇到的问题如下&#xff1b; 小白刚开始…

C++从入门到精通——模板

模板 前言一、泛型编程二、函数模板函数模板的概念函数模板格式示例 函数模板的原理函数模板的实例化隐式实例化显式实例化示例 auto做模板函数的返回值模板参数的匹配原则总结 三、类模板类模板的定义格式类模板的实例化 前言 C模板是C语言中的一种泛型编程技术&#xff0c;可…

centos 7.9 安装 ftp 传输文件

ftp server 端 sudo yum install vsftpd ftp其中 vsftpd 为 ftp server 端&#xff0c;ftp 包含 ftp 这个客户端命令。 # sudo rpm -ql vsftpd/etc/logrotate.d/vsftpd /etc/pam.d/vsftpd /etc/vsftpd /etc/vsftpd/ftpusers /etc/vsftpd/user_list /etc/vsftpd/vsftpd.conf /…

若依学习记录

1.克隆我的gitee项目地址 https://gitee.com/xuge520/ruo-yi-vue-master.git 2.前期工作&#xff08;注意&#xff1a;我的Mysql使用的是3308端口&#xff0c;数据库名是ry-vue&#xff09; 使用若依框架RuoYi前后端分离版(超详细步骤)-CSDN博客 3.使用若依代码生成 若依代…

服务器渲染技术(JSPELJSTL)

目录 前言 一.JSP 1.基本介绍 3.page指令(常用) 4.JSP三种常用脚本 4.1 声明脚本 <%! code %> 4.2 表达式脚本 <% code %> 4.3 代码脚本 <% code %> 4.4 注释 <%-- 注释 --%> 5. JSP 内置对象 5.1 基本介绍 5.2 九个内置对象 6.JSP域对象 二…

Ubuntu20.04 ISAAC SIM仿真下载使用流程

机器&#xff1a;华硕天选X2024 显卡&#xff1a;4060Ti ubuntu20.04 安装显卡驱动版本&#xff1a;525.85.05 参考&#xff1a; What Is Isaac Sim? — Omniverse IsaacSim latest documentationIsaac sim Cache 2023.2.3 did not work_isaac cache stopped-CSDN博客 Is…

shell 脚本基础练习

编写脚本 sysinfo.sh&#xff0c;显示当前主机系统信息&#xff0c;包括:主机名&#xff0c;IPv4地址&#xff0c;操作系统版本&#xff0c;内核版 本&#xff0c;CPU型号&#xff0c;内存大小&#xff0c;硬盘大小 tr命令用于替换或删除字符。 cut命令用于从文件或标准输入…

linux 安装openjdk-1.8

安装命令 yum install java-1.8.0-openjdk-1.8.0.262.b10-1.el7.x86_64查看安装路径 find / -name java 默认的安装路径 /usr/lib/jvm 查看到jre 以及java-1.8.0-openjdk-1.8.0.262.b10-1.el7.x86_64 配置环境变量 vim /etc/profile 添加的内容 export JAVA_HOME/usr/li…

每日一题:地下城游戏

恶魔们抓住了公主并将她关在了地下城 dungeon 的 右下角 。地下城是由 m x n 个房间组成的二维网格。我们英勇的骑士最初被安置在 左上角 的房间里&#xff0c;他必须穿过地下城并通过对抗恶魔来拯救公主。 骑士的初始健康点数为一个正整数。如果他的健康点数在某一时刻降至 0…

基于非线性控制策略的电力电子电路——DC-DC电路的3种滑模控制器【MATLAB/simulink】

第一种&#xff0c;滞环滑模控制器Buck电路 在滑模控制系统中&#xff0c;采用滞环技术&#xff0c;直接将切换函数转换成开关控制信号&#xff0c;滞环技术被看做一种降低系统结构的切换频率的调制方法&#xff0c;业界也把基于滞环滑模技术实现的滑模控制称为直接滑模控制技…

分类网络总结

欢迎大家订阅我的专栏一起学习共同进步&#xff0c;主要针对25届应届毕业生 祝大家早日拿到offer&#xff01; lets go http://t.csdnimg.cn/dfcH3 目录 4. 经典分类网络与发展 4.1 AlexNet 4.2 VGGNet 4.3 GoogLeNet Inception 4.4 ResNet 4.5 DenseNet 4.6 MobileN…

Python基础04-操作系统中的文件与目录操作

在与操作系统交互时&#xff0c;我们经常需要执行文件和目录的操作。Python提供了丰富的库来帮助我们完成这些任务。以下是一些常见的操作&#xff0c;以及如何使用Python代码来实现它们。 1. 导航文件路径 在不同的操作系统中&#xff0c;文件路径的格式可能不同。Python的o…