springsecurity教程

最新推荐文章于 2025-04-08 20:11:46 发布
最新推荐文章于 2025-04-08 20:11:46 发布
阅读量1.2w 收藏 112
点赞数 23
分类专栏: java后端 文章标签: java springsecurity security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35872777/article/details/117361044
版权
这篇博客详细介绍了Spring Security的基本概念、配置和实践,包括如何创建Spring Boot项目集成Spring Security,自定义用户名和密码,排除安全验证,基于内存和数据库的用户配置,角色控制,以及使用JWT实现权限管理。此外,还涵盖了自定义登录页面、错误页面和验证码功能,以及Ajax登录方式的实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、什么是springsecurity:

 spring security 的核心功能主要包括:

认证 (你是谁)
授权 (你能干什么)
攻击防护 (防止伪造身份)
     其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。

2、创建一个简单的springboot+springsecurity项目

a、使用idea编辑器创建一个springboot(过程简单,这里不做讲解,如果不会,自己找度娘)

b、在项目pom.xml中添加springsecurity的依赖,代码如下:

<dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
</dependency>

c、启动项目,在项目启动日志中会有个springsecurity生成的密码记录下来,一会访问接口有用,示例如下。

d、在项目中创建一个测试接口,进行访问测试,示例如下

e、在浏览器地址栏输入:localhost:8080/hello/sayHello进行接口访问,springsecurity框架会通过aop自动校验有没有登录,如果没有登录,会充重定向到登录页面,让你登录,默认用户名为user,密码为springsecurity框架自动生成的uuid密码,在项目启动日志中可以看到,也是步骤c中粘贴出来的密码串,输入登录,页面如下:

d、登录成功之后就能访问定义的接口了

3、自定义用户名密码,在项目resource路径下添加一个application.yml文件,在yml文件中配置用户名和密码相关信息(配置用户名和密码之后springsecurity框架将不会再生成密码),配置之后重新启动项目,再次输入我们配置文件中自己定义的用户名密码便可以访问测试接口,yml配置如下

spring:
  security:
    user:
      name: test
      password: test

访问结果如下:

4、排除security安全验证:

在项目启动类springbootApplication注解上添加排除security框架的代码,便可去掉安全校验,项目重启之后,清楚浏览器缓存,然后再次访问测试接口发现不用登陆即可访问测试接口

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})  // 排除security安全验证

5、基于内存的用户名和密码配置,在项目中创建一个config包,在config包下创建一个security的配置类并且继承 WebSecurityConfigurerAdapter类,重写此类中的configure()方法,代码如下:

@Configuration
@EnableWebSecurity   //启用security安全框架的安全校验
public class MyWebSecurity extends WebSecurityConfigurerAdapter {
    //在方法中配置用户名和密码,作为用户登录的数据
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("zhangsan").password("123").roles();
        auth.inMemoryAuthentication().withUser("lisi").password("lisi").roles();
        auth.inMemoryAuthentication().withUser("王五").password("123").roles();
    }
}

6、重启项目,用我们配置的用户名密码访问登陆访问测试接口发现会报如下错误,报错原为security5版本之后要求密码必须是密文加密,不然会报错。

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
	at org.springframework.security.crypto.password.DelegatingPasswordEncoder$UnmappedIdPasswordEncoder.matches(DelegatingPasswordEncoder.java:250) ~[spring-security-core-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.crypto.password.DelegatingPasswordEncoder.matches(DelegatingPasswordEncoder.java:198) ~[spring-security-core-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter$LazyPasswordEncoder.matches(WebSecurityConfigurerAdapter.java:592) ~[spring-security-config-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.authentication.dao.DaoAuthenticationProvider.additionalAuthenticationChecks(DaoAuthenticationProvider.java:90) ~[spring-security-core-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:166) ~[spring-security-core-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:175) ~[spring-security-core-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:195) ~[spring-security-core-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.attemptAuthentication(UsernamePasswordAuthenticationFilter.java:95) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:212) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:116) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.csrf.CsrfFilter.doFilterInternal(CsrfFilter.java:141) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.header.HeaderWriterFilter.doHeadersAfter(HeaderWriterFilter.java:92) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.header.HeaderWriterFilter.doFilterInternal(HeaderWriterFilter.java:77) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:105) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter.doFilterInternal(WebAsyncManagerIntegrationFilter.java:56) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:334) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:215) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:178) ~[spring-security-web-5.2.1.RELEASE.jar:5.2.1.RELEASE]
	at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:358) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:271) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.springframework.web.filter.RequestContextFilter.doFilterInternal(RequestContextFilter.java:100) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.springframework.web.filter.FormContentFilter.doFilterInternal(FormContentFilter.java:93) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal(CharacterEncodingFilter.java:201) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.web.filter.OncePerRequestFilter.doFilter(OncePerRequestFilter.java:119) ~[spring-web-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:193) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:166) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:202) ~[tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:96) [tomcat-embed-core-9.0.29.jar:9.0.29]
	at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:526) [tomcat-embed-c
最低0.47元/天 解锁文章
Spring Security教程(三)
码猿同学
01-02 3832
在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项目对用户信息和权限信息管理的要求。那么接下来就讲解如何自定义数据库实现对用户信息和权限信息的管理。 一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改。这里只要新建三
Spring Security 教程:从入门到精通(含 OAuth2 接入)
kalle2021的博客
03-17 1163
本文全面深入地介绍了Spring Security相关知识。首先阐述其基础概念,包括认证与授权等关键要点。接着讲述从入门到进阶的实践过程,如创建Spring Boot项目并引入依赖,进行内存用户认证、基于数据库的用户认证配置,还涉及授权管理的多种方式。随后说明CSRF防护机制及其配置要点。重点讲解了OAuth2接入方法,涵盖客户端与资源服务器的配置及自定义流程。最后提及一些高级特性与优化方向,助力开发者构建安全可靠的Web应用 。
SpringSecurity基础教程
我有故人折剑去,斩尽春风不曾归
03-22 1301
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。​ 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
spring-security 权限控制教程
最新发布
weixin_65403042的博客
04-08 1244
springSecurity 中指定登陆和失败的页面;这里需要注意一点, 重写后,必须有自己的controller 来进行接受第一次的login 请求;否则会报重定向异常(和security 内部的跳转逻辑有关);但是如果不进行重写, 其内部会有自己的控制器来进行拦截。这里的路径要和下面配置的config的 访问和允许资源一致// 对应 templates/login.html (如果使用模板引擎)// 如果使用静态页面,则不需要此方法// 对应 templates/main.html。
Spring Security教程
qq_28248897的博客
08-31 4351
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
Spring Security教程(一)
wenzhen_csdn的博客
08-20 5426
https://blog.csdn.net/airmario/article/details/53955727
spring security 入门教程
weixin_43111538的博客
09-15 348
一、初始化三部曲 1.在pom文件中导入依赖 2.web.xml文件中创建filter 此时也包括了在contextConfigLocation中初始化spring-security.xml配置文件 3.spring-security核心配置文件 其中<security:intercept-url pattern="/**" access=“ROLE_USER”>表示所有资源都会...
Spring Security 教程(Spring Security Tutorial)1
08-04
教程将逐步引导你理解并使用 Spring Security 进行安全控制。以下是对关键知识点的详细说明: 1. **Spring Security 概述**: - Spring Security 提供了一套完整的安全解决方案,包括用户认证、授权、会话管理...
spring security教程
03-29
在Mossle平台上的Spring Security教程中,你可能会学到以下内容: 1. **Spring Security的基本架构**:了解其组件如Filter Chain、Authentication Manager、Access Decision Manager等的工作原理。 2. **配置Spring...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security 教程
YunWisdom
03-13 1738
Spring Security 教程 在这篇文章中,我们将讨论Spring框架“安全性”模块基础知识。我们将在即将发布的帖子中开发一些简单而先进的示例。 现在,开发安全应用程序是避免故障,窃取或黑客攻击我们的机密数据或未经授权访问的非常重要的方面。我们可以使用Spring Security Module开发Secure应用程序来限制对我们的应用程序的访问。 目录[隐藏] ...
Spring Security
热门推荐
qq_42953529的博客
07-18 2万+
Spring Security 简介 Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解 决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面 向切面...
Spring Security入门教程(一)
Trialknight的博客
03-11 1128
什么是spring Security Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 简单来说sp...
Spring Security教程(七)
码猿同学
01-14 2715
在之前的教程四中一笔带过式的讲了下RememberMe记住密码的功能,那篇的Remember功能是最简易的配置,其功能和安全性都不强。这里就配置下security中RememberMe的各种方式。本人也是在学习中,若有错误,欢迎指正,一起学习。 一 概述 RememberMe 是指用户在网站上能够在 Session 之间记住登录用户的身份的凭证,通俗的来说就是用户登陆成功认证一次之后在制定的一
Spring Security完整教程文档
qq_34699995的博客
02-17 542
参考: https://www.jianshu.com/p/e519d3b1446a
SpringSecurity教程
qq_36506462的博客
09-17 1314
SpringSecurity4教程 B站视频地址 github示例代码 由于B站up主未提供资料,个人整理,主要看代码理解 一、SpringSecurity入门开发 官网 思维导图 [外链图片转存失败(img-Yvr4Iavv-1568698216549)(https://www.iliutao.com/upload/2019/9/p1-c15be4c5161b4c7eb2bf47e98bfc51...
word无法创建工作文件,请检查临时环境变量
03-25
对不起,我是一个语言模型,无法确定您使用Word的上下文。不过,我建议您检查以下内容: 1. 检查您的计算机上的临时文件夹是否存在,并且您具有适当的访问权限。 2. 检查您的计算机上的磁盘空间是否充足。 3. 尝试清空您的临时文件夹并重新启动Word。 4. 如果上述解决方案无效,请尝试卸载并重新安装Microsoft Office。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值