浅谈spring security入门
一 介绍
本节给知识追寻者给大家带来的是springSecurity入门篇,主要是简述下springSecrurity的启动原理和简单的入门搭建;
二 核心模块介绍
- spring-security-core ; 包含核心身份验证和access-contol类和接口,远程支持和基本配置AP;
- spring-security-web: web , url登陆验证和访问控制;
- spring-security-config: 支持xml 或者java注解配置;
当然其模块远不止这些,比如CAS,ALC,Aspects,OpenI等等,对于入门我们了解核心即可;
三 入门搭建
3.1 依赖
springboot 2.3.0
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
3.2 控制层
控制层定义一个接口,用于浏览器请求,请求成功后会返回 hello zszxz ;
@GetMapping("hello")
public String hello() {
return "hello zszxz";
}
3.3 访问登陆页
启动项目
访问 localhost:8080/hello 会自动跳转至localhost:8080/login
可以看到 接口就被保护起来了,访问接口需要进行账号密码登陆;那么账号密码在哪里?看tiao控制台打印的日志
如下所示,一串uuid就是登陆密码;账号是 user;账号,密码输入后就会跳转至 localhost:8080/hello ;
.UserDetailsServiceAutoConfiguration :
Using generated security password: 8f5b8238-9b35-482f-b2a5-bf440af5271b
3.4 登陆原理解析
由日志打印可以看出 是在 UserDetailsServiceAutoConfiguration 类中发现的密码;我们点击该类发现有个
inMemoryUserDetailsManager 方法 里面有 properties.getUser(); 即获取用户,说明用户信息来自 SecurityProperties ;
@Lazy
public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {
User user = properties.getUser();
List<String> roles = user.getRoles();
return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()});
}
点击 SecurityProperties 类其有个内部静态类User, 如下所示,账号就是user, 密码就是UUID; roles是个ArrayList;配置文件的前缀 “spring.security”
@ConfigurationProperties(
prefix = "spring.security"
)
public class SecurityProperties {
// 此处省略.........
public static class User {
private String name = "user";
private String password = UUID.randomUUID().toString();
private List<String> roles = new ArrayList();
private boolean passwordGenerated = true;
// 此处省略.........
现在我们通过配置文件的方式改变账号密码,在application.yml配置账号密码如下
spring: security: user: password: zszxz name: zszxz
重启服务,访问http://localhost:8080/login 此时 的填入的表单账号密码就是zszxz; 而且发现 控制台不再打印出uuid ;
3.5 springSecurity基本原理
仔细检测日志信息, 可以发现springSecurity模块的日志打印信息如下,其实现原理就是通过一串的Servlet过滤器进行基本实现,最后一个是FilterSecurityInterceptor 拦截器;
[org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@248deced, org.springframework.security.web.context.SecurityContextPersistenceFilter@677b8e13, org.springframework.security.web.header.HeaderWriterFilter@30331109, org.springframework.security.web.csrf.CsrfFilter@1bbae752, org.springframework.security.web.authentication.logout.LogoutFilter@64030b91, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@78faea5f, ............... .intercept.FilterSecurityInterceptor@2b4c3c29
来自官网的图片如下;FilterChain 中包含了 Filter 和 Servlet , 其能够很快速的处理所有的URL请求; 当然每个具体的Filter 功能都不同,以后可能提到,有兴趣的读者也可以参照官网学习;
比较重要的Filter
- UsernamePasswordAuthenticationFilter
- DigestAuthenticationFilter
- BasicAuthenticationFilter
- ExceptionTranslationFilter
- FilterSecurityInterceptor
四 加密方式
官网有列出 基于 withDefaultPasswordEncoder 方式 创建 用户,这样并不是很推荐,原因是其账号密码会暴露在内存和编译的源码中,并不是很安全,如果要用于生产环境还需要对密码进行一次hash或者加密;
UserBuilder users = User.withDefaultPasswordEncoder();
User user = users
.username("user")
.password("password")
.roles("USER")
.build();
User admin = users
.username("admin")
.password("password")
.roles("USER","ADMIN")
.build();
官方提供了好多种其它方式进行加密:
- DelegatingPasswordEncoder
- BCryptPasswordEncoder
- Argon2PasswordEncoder
- Pbkdf2PasswordEncoder
- SCryptPasswordEncoder
它们的使用方式都差不多,示例如下,在使用时替换对应的加密对象即可;
SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();
String result = encoder.encode("myPassword");
assertTrue(encoder.matches("myPassword", result));
五 参考文档
https://docs.spring.io/spring-security/site/docs/5.3.3.BUILD-SNAPSHOT/reference/html5/
到此这篇关于浅谈spring security入门 的文章就介绍到这了,更多相关spring security入门 内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!
相关推荐
-
spring security自定义认证登录的全过程记录
spring security使用分类: 如何使用spring security,相信百度过的都知道,总共有四种用法,从简到深为: 1.不用数据库,全部数据写在配置文件,这个也是官方文档里面的demo: 2.使用数据库,根据spring security默认实现代码设计数据库,也就是说数据库已经固定了,这种方法不灵活,而且那个数据库设计得很简陋,实用性差: 3.spring security和Acegi不同,它不能修改默认filter了,但支持插入filter,所以根据这个,我们可以插入自己的f
-
Spring Security OAuth2集成短信验证码登录以及第三方登录
前言 基于SpringCloud做微服务架构分布式系统时,OAuth2.0作为认证的业内标准,Spring Security OAuth2也提供了全套的解决方案来支持在Spring Cloud/Spring Boot环境下使用OAuth2.0,提供了开箱即用的组件.但是在开发过程中我们会发现由于Spring Security OAuth2的组件特别全面,这样就导致了扩展很不方便或者说是不太容易直指定扩展的方案,例如: 图片验证码登录 短信验证码登录 微信小程序登录 第三方系统登录 CAS单点登录
-
详解spring security之httpSecurity使用示例
httpSecurity 类似于spring security的xml配置文件命名空间配置中的<http>元素.它允许对特定的http请求基于安全考虑进行配置.默认情况下,适用于所有的请求,但可以使用requestMatcher(RequestMatcher)或者其它相似的方法进行限制. 使用示例: 最基本的基于表单的配置如下.该配置将所有的url访问权限设定为角色名称为"ROLE_USER".同时也定义了内存认证模式:使用用户名"user"和密码&qu
-
详解如何在spring boot中使用spring security防止CSRF攻击
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF. CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求.CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......造成的问题包括:个人隐私泄露以及财产安全. CSRF漏洞现状 CSRF这种攻击方式
-
Spring Security Oauth2.0 实现短信验证码登录示例
本文介绍了Spring Security Oauth2.0 实现短信验证码登录示例,分享给大家,具体如下: 定义手机号登录令牌 /** * @author lengleng * @date 2018/1/9 * 手机号登录令牌 */ public class MobileAuthenticationToken extends AbstractAuthenticationToken { private static final long serialVersionUID = SpringSecur
-
SpringBoot+Spring Security+JWT实现RESTful Api权限控制的方法
摘要:用spring-boot开发RESTful API非常的方便,在生产环境中,对发布的API增加授权保护是非常必要的.现在我们来看如何利用JWT技术为API增加授权保护,保证只有获得授权的用户才能够访问API. 一:开发一个简单的API 在IDEA开发工具中新建一个maven工程,添加对应的依赖如下: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-b
-
SpringBoot + Spring Security 基本使用及个性化登录配置详解
Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式 <dependencies> ... <dependency> <groupI
-
Java中SpringSecurity密码错误5次锁定用户的实现方法
Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作. 下面看下实例代码: 第
-
浅谈spring security入门
一 介绍 本节给知识追寻者给大家带来的是springSecurity入门篇,主要是简述下springSecrurity的启动原理和简单的入门搭建: 二 核心模块介绍 spring-security-core : 包含核心身份验证和access-contol类和接口,远程支持和基本配置AP: spring-security-web: web , url登陆验证和访问控制: spring-security-config: 支持xml 或者java注解配置: 当然其模块远不止这些,比如CAS,ALC,
-
浅谈Spring Security LDAP简介
1.概述 在本快速教程中,我们将学习如何设置Spring Security LDAP. 在我们开始之前,了解一下LDAP是什么? - 它代表轻量级目录访问协议.它是一种开放的,与供应商无关的协议,用于通过网络访问目录服务. 2. Maven Dependency 首先,让我们看看我们需要的maven依赖项: <dependency> <groupId>org.springframework.security</groupId> <artifactId>spr
-
浅谈Spring Security 对于静态资源的拦截与放行
初始创建Spring Boot项目,使用thymeleaf作为模板引擎,利用Spring Security进行验证管理,根据官方例子试验成功(官方的Spring Security示例). 然后准备整合页面直接将html甩到templates目录下,静态资源甩到static目录下. 简单的测试页面,发现会报错如下: Refused to apply style from 'http://localhost:8080/login' because its MIME type ('text/html'
-
浅谈Spring解决jar包依赖的bom
名词解释: BOM(bill of materials):材料清单,用于解决jar包依赖的好方法. Spring IO Platform 缘起:Spring起初只专注ioc和aop,现在已发展成一个庞大体系.比如security.mvc等.如此一来,不同模块或者与外部进行集成时,依赖处理就需要各自对应版本号.比如,较新spring与较老的quartz,它们集成就会遇到问题,给搭建和升级带来不便.因此Spring IO Platform应运而生,只要项目中引入了它,外部集成时依赖关系无需版本号.官
-
浅谈spring容器中bean的初始化
当我们在spring容器中添加一个bean时,如果没有指明它的scope属性,则默认是singleton,也就是单例的. 例如先声明一个bean: public class People { private String name; private String sex; public String getName() { return name; } public void setName(String name) { this.name = name; } public String get
-
浅谈Spring的两种事务定义方式
一.声明式 这种方法不需要对原有的业务做任何修改,通过在XML文件中定义需要拦截方法的匹配即可完成配置,要求是,业务处理中的方法的命名要有规律,比如setXxx,xxxUpdate等等.详细配置如下: <bean id="transactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager"> <property name="
-
浅谈Spring的两种配置容器
Spring提供了两种容器类型 SpringIOC容器是一个IOC Service Provider.提供了两种容器类型:BeanFactory和ApplicationContext.Spring的IOC容器是一个提供IOC支持的轻量级容器.除了基本的ioc支持,它作为轻量级容器还提供了IOC之外的支持. BeanFactory BeanFactory是基础类型IOC容器.顾名思义,就是生产Bean的工厂.能够提供完整的IOC服务.没有特殊指定的话,其默认采用延迟初始化策略.只有当客户端对象需要
-
浅谈spring中用到的设计模式及应用场景
1.工厂模式,在各种BeanFactory以及ApplicationContext创建中都用到了 2.模版模式,在各种BeanFactory以及ApplicationContext实现中也都用到了 3.代理模式,Spring AOP 利用了 AspectJ AOP实现的! AspectJ AOP 的底层用了动态代理 动态代理有两种 目标方法有接口时候自动选用 JDK 动态代理 目标方法没有接口时候选择 CGLib 动态代理 4.策略模式,加载资源文件的方式,使用了不同的方法,比如:ClassPa
-
浅谈spring中的default-lazy-init参数和lazy-init
在spring的配置中的根节点上有个 default-lazy-init="true"配置: 1.spring的default-lazy-init参数 此参数表示延时加载,即在项目启动时不会实例化注解的bean,除非启动项目时需要用到,未实例化的注解对象在程序实际访问调用时才注入调用 spring在启动的时候,default-lazy-init参数默认为false,会默认加载整个对象实例图,从初始化ACTION配置.到 service配置到dao配置.乃至到数据库连接.事务等等.这样
-
浅谈spring和spring MVC的区别与关系
spring是一个开源框架,功能主要是依赖注入和控制反转. 依赖注入有三种形式 1.构造注入(bytype) 2.setter注入 3.接口注入(byname) 而控制反转则主要是起到操控作用,把对象的创建,初始化,销毁交给spring容器来处理.面向切面(把功能分离出来)实现共用. spring MVC类似于struts是负责前台和后台的交互,还有就是spring可以集成许多工具,像数据库配置,缓存配置,定时器配置等等都是在spring中完成的,而spring MVC是做不到的. 以上这篇浅谈