SpringSecurity

已于 2025-02-23 23:59:59 修改
阅读量100 收藏
点赞数 1
CC 4.0 BY-SA版权
文章标签: 笔记
于 2024-01-28 17:07:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/klcss/article/details/135895607

SpringSecuriry

SpringSecuriry简介:基于Spring提供声明式的安全访问可控制解决方案的安全框架(认证+授权),充分利用了IOC、DI、AOP功能。

引入依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

自定义登录逻辑

SpringSecurity规定使用时容器必须有PasswordEncode的实例,故需要用配置类注入

PasswordEncoder接口:实现对密码进行加密和加密后的校验,这边推荐使用他的BCryptPasswordEncoder实现类。

在Spring Security中,用户输入的密码和查询到的密码(通常为哈希值)的一致性判断是通过PasswordEncoder实现的,具体过程如下:

 1. 用户认证请求:当用户尝试登录时,其提供的用户名和未加密的明文密码会被封装进一个UsernamePasswordAuthenticationToken对象中。

2. 认证管理器调用:接下来,这个AuthenticationToken会被传递给AuthenticationManager,这是Spring Security中处理认证请求的核心组件。

3. UserDetailsService调用AuthenticationManager根据UsernamePasswordAuthenticationToken中的用户名找到对应的UserDetailsService实现类,并调用loadUserByUsername方法来加载用户信息。这个方法返回一个包含用户信息的UserDetails对象,其中就包含了用户加密后的密码(哈希值)。

4. 密码校验:拥有用户信息后,AuthenticationManager会利用配置好的PasswordEncoder来校验用户输入的明文密码。它通过以下步骤完成:

@Configuration
public class SecurityConfig{
    @Bean
    public PasswordEncoder getPasswordEncode(){
        return new BCryptPasswordEncoder();
    }
}

自定义登录校验逻辑

@Service
public class UserSecurityServiceImpl implements UserDetailsService {
    @Autowired
    private PasswordEncoder pe;
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查询数据库,获取用户名和密码
        User u=userMapper.findUser(username);
        //2。拿密码(密文)进行解析
        String password=pe.encode(u.getPassword);
        //返回的User和上面的User不是一个类,此处返回的User为SpringSecurity中的,AuthorityUtils.commaSeparatedStringToAuthorityList用于生成权限
        return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_A"));
        //admin和normal为权限,而ROLE_XXX为角色
    }
}

自定义登录页面

1.配置类补全

在 ‘自定义登录逻辑’ 配置的Config中继承WebSecurityConfigurerAdapter类并实现方法实现。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    /*
    WebSecurityConfigurerAdapter 是 Spring Security 早期版本中用于自定义安全配置的核心类。从 Spring Security 5.7 版本开始,此类已经被标记为过时,并在 Spring Security 6 中彻底移除。
    在新版 Spring Security 中,你可以直接实现 WebSecurityConfigurer 接口或使用 lambda 表达式来自定义安全配置:
     */
    @Autowired
    private UserSecurityServiceImpl userSecurityService;
    @Autowired
    private PasswordEncoder passwordEncoder;
    @Bean
    public PasswordEncoder getPasswordEncode(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()//表单提交
                //设置表单中登录的别名,默认为username和password
                .usernameParameter("uName")
                .passwordParameter("pWord")
                //当发现/submit认为是登录逻辑,此处必须与表单提交的地址一致,才会去执行UserSecurityServiceImpl
                .loginProcessingUrl("/submit")
                .loginPage("login.html")//自定义登录页
                //成功跳转必须是Post请求,所以需要在Controller中自定义跳转方法
                .successForwardUrl("/toMain")
                //这个是错误的跳转页面,Controller必须是Post
                .failureForwardUrl("/toError");

        http.authorizeRequests()
                //login.html为登录页,无需认证
                .antMatchers("/login.html").permitAll()
                //错误页面和登录页面都不需要被认证,下面为正则表达式,功能与上方一致
                //  .regexMatchers("/error.html").permitAll()  此方法效果一致
                .antMatchers("/error.html").permitAll()
                .anyRequest().authenticated();
                

        //csrf防护
        http.csrf().disable();
    }
    //将自定义的userDetail登录逻辑注册进配置类
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userSecurityService)
                .passwordEncoder(passwordEncoder);
    }
}

自定义登录处理器

面对前后端分离项目,如果使用上面的方法(successForwardUrl和failForwardUrl)无法跳转到在外的页面,需要定义一个处理器

1.自定义登录成功和失败处理器
public class PasswordSuccessHandle implements AuthenticationSuccessHandler {
    private String url;
    public PasswordSuccessHandle(String url){
        this.url=url;
    }
    //重定向至相应的页面
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        //可添加其他逻辑
        response.sendRedirect(url);
    }
}

public class PasswordFailHandle implements AuthenticationFailureHandler {
    private String url;
    public PasswordFailHandle(String url){
        this.url=url;
    }
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        //可添加其他逻辑
        response.sendRedirect(url);
    }
}
2.覆盖config中的相应配置
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
    //........

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()//表单提交
                //............
                .loginPage("login.html")//自定义登录页

                //仅仅覆盖此处的配置,使用了自定义的处理器,参数为需要跳转的外部url
                .successHandler(new PasswordSuccessHandle("http://baidu.com"))
                .failureHandler(new PasswordFailHandle("/fail.html"));

        //......
    }
}

权限判断\IP判断

在上文登录校验中在登录成功后赋予了自定义的若干角色和权限,而下面对权限的配置是对其使用的方法之一

目前在MVC中,request.getRemoteAddr()获取访问的ip地址,同理Security也可以对ip地址进行权限的筛选。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //......

        http.authorizeRequests()
                //......

                //下面对角色权限的控制,只有指定的角色才能访问,角色取ROLE_XXX后面的XXX
                .antMatchers("main.html").hasAnyRole("A")
                //下面为权限级别的控制
                .antMatchers("manage.html").hasAnyAuthority("admin,normal")
                //只有以下ip才能访问下面的页面
                .antMatchers("main.html").hasIpAddress("198.159.3.1");
        //csrf防护
        http.csrf().disable();
    }
}

自定义响应状态处理方案

1.定义AccessDeniedHandle
@Component
public class MyAccessDeniedHandle implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        //设置需要处理的响应状态码
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        //不然打印不出中文
        response.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter writer=response.getWriter();
        writer.print("输出文字");
        writer.flush();
        writer.close();
    }
}
2.在WebSecurityConfig中引用
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
    @Autowired
    private MyAccessDeniedHandle myaccessDeniedHandle;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //......

        //设置自定义异常处理方案
        http.exceptionHandling().accessDeniedHandler(myaccessDeniedHandle);

       //......
    }

结合access自定义方法实现权限控制

1.创建对应权限控制方法,逻辑自定
@Service
public class PermissionHandle{
    //该方法的意思为loadByUserDetail返回的user中包含的权限必须包含可以访问的网址和角色
    //即 所包含的网址 允许 所包含的角色访问
    //return new User(username,password, AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_B,ROLE_A,main.html,manage.html"));

    public boolean hasPermission(HttpServletRequest request, Authentication authentication){
        Object obj = authentication.getPrincipal();
        if (obj instanceof UserDetails){
            UserDetails userDetails = (UserDetails) obj;
            Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities();
            return authorities.contains(new SimpleGrantedAuthority(request.getRequestURI()));
        }
        return false;
    }
}
2.在WebSecurityConfig中覆盖原有对于权限判断的代码
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowire
    PermissionHandle permissionHandle;
    //......

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //......

        http.authorizeRequests()                   
        .anyRequest().access("@permissionHandle.hasPermission(request,authentication)");
        //......
    }

    //......
}

角色权限判断

1.@Secured注解

@Secured注解是springsecurity提供的,不用导入额外依赖,用于判断角色权限对于方法的访问

启动类添加@EnableGlobalMethodSecurity(securedEnabled = true),默认为false

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true)
//用于开启SpringSecurity提供的隐藏注解
public class OauthDemoApplication {
    public static void main(String[] args) {
        SpringApplication.run(OauthDemoApplication.class, args);
    }

}

在方法或类上添加@Secured注解,用于判断可以访问该方法的角色(角色在loadUserByUserName中返回时赋予),以 ’ROLE_‘ 开头。

@Controller
public class controller {
    //......
    @GetMapping("/v1/id")
    @Secured("ROLE_ABC")
    public String findUserId(){
        String id ="xxxxxx";
        return id;
    }
}
2.@PreAuthorize/@PostAuthorize注解

与上面的@Secured注解功能类似,但是大多情况下都是使用这两个注解,@PreAuthorize用于执行前的判断权限,而@PostAuthorize用于执行后的判断权限

启动类添加@EnableGlobalMethodSecurity(prePostEnabled = true),默认为false

@SpringBootApplication
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
//用于开启SpringSecurity提供的隐藏注解
public class OauthDemoApplication {
    public static void main(String[] args) {
        SpringApplication.run(OauthDemoApplication.class, args);
    }
}

在方法或类上添加@PreAuthorize/PostAuthorize注解,功能与@Secured同理,参数为hasRole('XXX')

@Controller
public class controller {
    //......
    @GetMapping("/v1/id")
    //@Secured("ROLE_ABC")'
    //与配置类中的hasROle不同的是:允许定于角色可以不以ROLE_开头
    @PreAuthorize("hasRole('ABC')")
    public String findUserId(){
        String id ="xxxxxx";
        return id;
    }
}

RememberMe功能

SpringSecurity中 RememberMe 为”记住我”功能,用户只需要在登录时添加 remember-me复框,取值为true。SpringSecurity 会自动把用户信息存储到数据源中,以后就可以不登录进行访问

1.由于需要将用户信息存储数据库中,故需要引入持久层依赖
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
        </dependency>
        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
        </dependency>
2.在application.yml中设置对应持久层配置
spring:
  datasource:
    url: jdbc:mysql://localhost:3306/security
    username: root
    password: secret
    driver-class-name: com.mysql.cj.jdbc.Driver
3.在webSecurityConfig中注册对应的Bean(PersistentTokenRepository )和 在configure中配置rememberMe的对应设置,并引入PersistentTokenRepository 
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //......
    @Autowired
    private DataSource dataSource;

    @Autowired PersistentTokenRepository persistentTokenRepository;
    //(1) 定义PersistentTokenRepository 
    @Bean
    public PersistentTokenRepository getPersistentTokenRepository(){
        JdbcTokenRepositoryImpl jdbcTokenRepository = new JdbcTokenRepositoryImpl();
        jdbcTokenRepository.setDataSource(dataSource);
        //自动建表,只有第一次启动才需要,第二次需要注释掉
        jdbcTokenRepository.setCreateTableOnStartup(true);
        return jdbcTokenRepository;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //......
        //(2)在configure中配置rememberMe
        http.rememberMe()
                //失效时间,单位为秒
                .tokenValiditySeconds(60*15)
                //自定义登录逻辑
                .userDetailsService(userSecurityService)
                //持久层对象
                .tokenRepository(persistentTokenRepository);


        //csrf防护
        http.csrf().disable();
    }

    //......
}
4.前端添加组件

退出登录

1.在webSecurityConfigurer中配置参数
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
    //......
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //......
        http.logout()
                //自定义登出请求
                .logoutUrl("/user/logout")
                //登出按钮跳转页面
                .logoutSuccessUrl("/login.html");

        //csrf防护
        http.csrf().disable();
    }

    //......
}
2.前端配置href

csrf防护

      上文中的http.csrf().disable();如果没有这个则会导致用户无法被认证。这行代码的含义是:关闭csrf防护。 CSRF为跨域请求伪造,通过伪造用户请求访问受信任站点的非法请求访问。

       跨域:只要网络协议、ip地址、端口中任意一项不相同则为跨域请求。

       从SringSecurity4.0开始,CSRF防护为默认开启,在部分开发过程中则会要求关闭默认防护,访问时携带参数名为_csrf,值为token(服务器产生)的内容,如果token和服务器记录的token一致则匹配成功,则访问成功。

2024.03.18

SpringSecurity框架【认证】
m0_65078452的博客
07-11 1379
Spring Security是Spring家族中的一个安全管理框架,相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说大型项目用Spring Security比较多,小项目用Shiro比较多,因为相比于Spring Security,Shiro上手比较简单。一般Web应用需要进行认证和授权。认证:验证当前访问系统的是不是本系统用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作。
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security简介
...
04-12 266
概要 Spring是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。 正如你可能知道的关于安全方面的两个主要区域是 “认证” 和 “授权” (或者访问控制),一般来说,Web 应用的安全性包括 用户认证(Authentication) 和 用户授权(Authorization) 两个部分,这两点也是 Spring Security 重要核心功能。 (1) 用户认
面试篇:Spring Security
最新发布
2301_79902294的博客
05-13 997
Spring Security 是 Spring 家族中用于提供认证(Authentication)和授权(Authorization)的安全框架。它是高度可定制的安全解决方案,支持 Web 安全、方法级安全、OAuth2、JWT 等主流安全机制。:表示用户的核心信息,如用户名、密码、权限等。:用于根据用户名加载用户信息,是认证过程的关键接口。@Override// 查询数据库返回 UserDetails实现加载用户信息。注入和自定义。可重写添加自定义登录 URL、登录成功/失败处理器等。
Spring Security介绍
weixin_53227829的博客
05-05 751
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“”和“”,一般来说,Web 应用的安全性包括两个部分,这两点也是 SpringSecurity 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。
Spring Security 详解
wynn的博客
08-10 2163
Spring Security是一个高度自定义的安全框架。利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用Spring Secruity的原因有很多,但大部分都是发现了javaEE的Servlet规范或EJB规范中的安全功能缺乏典型企业应用场景。同时认识到他们在WAR或EAR级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity简介
justlpf的专栏
04-10 1650
SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLocal实现的(),这样就保证了本线程内所有的方法都可以获得SecurityContext对象。
权限控制与安全认证 Spring Security
张锦的博客
06-11 1521
仅为个人学习使用。
尚硅谷-SpringSecurity
hxinx的博客
01-04 624
功能强于Shiro,但比Shiro复杂。
SpringSecurity(一)——简介及项目搭建
老程的小白博客空间
02-07 3452
SpringSecurity框架是一款权限管理框架,与之相同功能的还有一款Shiro框架(后续说明,本系列只说明SpringSecurity),本篇笔记会先说明`权限`这个概念,然后说说明最基础的集成SpringSecurity框架的项目搭建。
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity 从入门到精通详解
天行健,君子以自强不息;地势坤,君子以厚德载物。
01-28 688
SpringSecurity 从入门到精通详解
springsecurity详解
热门推荐
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
SpringSecurity详解
cycyong的博客
05-09 991
是 Spring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​认证:验证当前访问系统的是否为系统的用户,并且要确认具体是哪个用户​授权:经过认证后判断当前用户是否有权限进行某个操作​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值