HttpSecurity初步理解

最新推荐文章于 2025-06-27 16:51:59 发布
原创 最新推荐文章于 2025-06-27 16:51:59 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文介绍 Spring Security 的核心功能,包括用户认证、授权及加密。详细解释如何通过 WebSecurityConfigurerAdapter 自定义认证流程,以及如何设置表单登录和 URL 访问权限。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

为什么会有 web security 这么个东西存在?

  • 为了阻止假用户冒充真实用户访问网站,所以需要 认证(authentication)。
  • 为了阻止真实用户访问本不是他应该访问的页面,所以需要授权(authorization)。
  • 为了阻止真实用户与网站之间传输的信息被第三方窃听到,所以需要加密(encryption)。

Spring Security是一个强大的、可根据需求高度自定义的用户认证访问控制框架。Spring Security 怎么保证所有向 Spring application 发送请求的用户必须先通过认证?怎么保证用户可以通过表单或者 http 的方式进行认证。解决的办法是Spring Security中有个WebSecurityConfigurerAdapter类,程序员通过继承这个类并重写 configure(HttpSecurity http) 方法就可以按照场景需求自定义认证和授权。

// 这是源码中默认的 认证 和 授权 的配置。
    protected void configure(HttpSecurity http) throws Exception {
        this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
        ((HttpSecurity)((HttpSecurity)((AuthorizedUrl)http.authorizeRequests().anyRequest()).authenticated().and()).formLogin().and()).httpBasic();
    }

这个配置规定了以下三点:

  • 若要给应用程序发送请求,则发送请求的用户必须先通过认证。
  • 允许用户采用表单登录的方式进行认证。
  • 允许用户采用 HTTP 基本的认证方式进行认证。

Java配置和表单登录

当配置表单登录后,就需要一个登录页面供用户填写 用户名 和 密码。Spring Secrity 默认了一个页面,如果你觉得它很丑,也可以自己写一个,使用 loginPage("/login") 声明自定义的登录页面所在位置。当用户第一次访问 web 应用时会自动跳转到默认登录界面或者用户自定义的登录界面。

protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()
			.anyRequest().authenticated()
			.and()
		.formLogin()
			.loginPage("/login") 
			.permitAll();        
}

在这个demo中,loginPage("/login")指定了登录页的URL,并允许所有的用户(包括没认证的)访问登录页,formLogin().permitAll()方法允许所有用户访问这个URL。

认证请求

应用程序的每个URL都要求用户通过认证,我们可以通过给http.authorizeRequests()方法添加子方法的方式为每个URL指定自定义要求。例如:

    //请求授权验证
protected void configure(HttpSecurity http) throws Exception {
	http
		.authorizeRequests()                                                                1
			.antMatchers("/resources/**", "/signup", "/about").permitAll()                  2
			.antMatchers("/admin/**").hasRole("ADMIN")                                      3
			.antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")            4
			.anyRequest().authenticated()                                                   5
			.and()
		// ...
		.formLogin();
}

  • **http.authorizeRequests()**下添加了多个匹配器,每个匹配器用来控制不同的URL接受不同的用户访问。简单讲,http.authorizeRequests()就是在进行请求的权限配置。

  • 所有用户都可以访问以/resources/**开头的URL,和/signup、/about两个URL。

  • 拥有ADMIN角色的用户可以访问以/admin/开头的URL。hasRole(String):如果当前用户有String表示的角色,则返回True。
    同时拥有ADMIN和DBA角色的用户可以访问以/db/**开头的URL。

  • access(String):当String为true时才可进行访问。
    所有没被匹配器匹配到的URL都需用户通过认证。

  • and()返回一个SecurityBuilder。Spring Security支持两种认证方式:formLogin()和httpBasic()。

官方文档:https://docs.spring.io/spring-security/site/docs/5.0.7.RELEASE/reference/htmlsingle/#samples

深入理解MySQL安全(四)-DVWA High security SQL注入方法
zhujiu_fu的博客
02-15 257
前面完成了low,miedia level sql的注入的思路和方法,本章继续讲解high level sql注入的思路及方法。
HttpSecurity
weixin_45822542的博客
06-12 1372
防御CSRF攻击的方法包括使用CSRF token , Referer验证 ,双重提交Cookie和设置SameSite Cookie;Spring Security 提供了内置的CSRF保护机制 ,通过简单配置启用和定制这个功能,以确保应用程序的安全性;这是Spring Security提供的配置类, 用户保护基于HTTP的请求 ,通过。,通过诱导用户在不知情的情况下执行恶意操作;
Spring Boot2 总结(四) Spring Security 动态权限配置
09-15 1215
  使用HttpSecurity配置认证授权并不是很灵活,无法实现资源和角色之间的动态调整,要实现动态配置URL权限,开发者需要自定义权限配置。(结合总结三实现) 1.数据库设计   在总结三的基础上新增一张资源表和一张角色关联表,如下图所示,资源表中定义了用户能够访问的URL模式,资源角色表定义了访问该模式的URL需要什么样的角色。 2.自定义 FilterInvocationSecurityMetadataSource   要实现动态配置权限,首先自定义一个类实现FilterInvocationS
SpringSecurity动态配置权限
小夢書亭的博客
09-14 893
SpringSecurity动态配置权限 自定义 UserDetailsService UserDetailsService 的主要作用是,获取数据库里面的信息,然后封装成对象,我们既然需要从数据库中读取用户,那么我们就需要实现自己的 UserDetailsService ,按照我们的逻辑完成从数据库中获取信息; /** * 主要是封装从数据库获取的用户信息 * * @author yiaz * @date 2019年3月19日10:50:58 */ @Component public c
spring-security原理与应用系列:requestMatchers和authorizeRequests
最新发布
lingdian23的专栏
06-27 626
本篇文章研究了spring-security框架里http.requestMatchers和http.authorizeRequests的作用。
SpringSecurity实现动态加载权限信息
qq_43960768的博客
01-04 685
SpringSecurity动态加载权限
springBoot2.2.2+springsecurity+mybatis(三)动态配置权限,简单
weixin_43119351的博客
01-13 535
数据库设计 2.自定义CustomFilterInvocationSecurityMetadaSource(获取角色信息) @Component public class CustomFilterInvocationSecurityMetadaSource implements FilterInvocationSecurityMetadataSource { AntPathMatcher ...
spring security初步搭建
09-26
2. **配置安全豆**:创建`WebSecurityConfigurerAdapter`的子类,并重写`configure(HttpSecurity http)`方法,设置安全规则。 3. **用户认证**:配置用户存储,例如使用内存中的用户列表,或者与数据库集成。这通常...
深入理解Spring Security基础Demo教程
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它是保护基于Spring的应用程序的事实上的...完成这个Demo后,你将有一个初步了解如何在Spring框架中使用Spring Security来保护Web应用的安全。
Spring Security 3.x 入门教程 中文WORD版
11-06
9. **OAuth2支持**: Spring Security 3.x对OAuth2有初步支持,可以学习如何构建OAuth2服务器端和客户端。 10. **自定义扩展**: 了解如何根据项目需求定制Spring Security,如自定义认证提供者、权限表达式等。 ...
HTTP及SSL简单理解
qq_43371350的博客
09-01 1487
浏览器访问URL的一般过程: 1、格式验证与协议选择(默认为HTTP) 首先我们应该知道,浏览器也是有自己独立的人格的,主人的命令如果是对的,那自然照做。那如果是错误的,那就必然不会听取命令,当然也不能听取命令? 故当我们在浏览器中输入希望查询的URL,如果输入的是非法无效的网址,浏览器就会提示出错了。 所以,第一步是浏览器对用户输入的网址做初步的格式化检查,只有通过以上检查才会进入下一步。 那么...
HttpSecurity和WebSecurity
mingzq123的博客
03-22 1163
它提供了一些方法,用于配置 Spring Security 的一些基本行为,如忽略某些请求、设置用户信息来源、启用 HTTPS 等。它提供了一些方法,用于配置请求的身份认证、授权、跨站请求伪造防护等。在该方法之后,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。方法用于开启请求授权配置,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。配置请求的授权策略,如哪些请求需要进行身份认证、哪些请求需要授权等。
【https】 1 HTTP Security (bb102-1)
qfzhangwei的专栏
06-01 4769
A secure system shall provide the following assurances: 安全系统应提供以下保证: Authentication:"The person is who he says he is."This is usually carried out via "username and password".Other techniques in...
springboot集成springsecurity实现权限管理
m0_66725604的博客
03-22 1254
简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。 Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正威力在于它可以容易地扩展以满足定制需求。 spring是非常流行和成功的Java应用开发框架,Spring Security正是Spring家族中的成员。Spring Security基于Spring框架,提供了一套We
`HttpSecurity`类
ranbo_Q的博客
05-27 330
类是Spring Security中用于配置Web安全性的主要类之一。它提供了一系列方法,用于配置不同方面的Web安全性。下面是:配置请求的授权规则,定义哪些请求需要经过身份验证或授权。:指定需要授权的URL路径模式。可以设置多个URL路径,并通过其他方法来设置访问权限要求,如hasRole()等。:允许所有用户访问指定的URL路径,即无需进行身份验证。:要求用户进行身份验证,即需要登录后才能访问指定的URL路径。hasRole():要求用户具有特定的角色才能访问指定的URL路径。:配置基于表单的身份验证。
Springboot+SpringSecurity实现权限控制(四、授权)
一念永恒
03-09 1071
345
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

后端码匠

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值