1.1 Spring Security 概述
Spring Security 概述
1. 什么是 Spring Security?
Spring Security 是 Spring 生态中专注于应用安全的核心框架,为 Java 企业应用提供认证(Authentication)、授权(Authorization)以及安全攻击防护(如 CSRF、会话固定攻击等)的完整解决方案。
- 核心目标:
- 确保合法用户能够访问其权限范围内的资源。
- 防止未授权用户或恶意请求对系统造成破坏。
- 适用场景:
- 传统 Web 应用(Servlet 容器)
- RESTful API 服务
- 前后端分离架构
- 企业级单点登录(SSO)
2. 核心功能
-
认证(Authentication)
- 验证用户身份:确认用户是谁(如用户名密码、证书、生物识别等)。
- 支持多种认证方式:
- 表单登录(Form Login)
- HTTP Basic/Digest 认证
- OAuth2、JWT、SAML
- LDAP、数据库认证
-
授权(Authorization)
- 控制资源访问权限:确定用户是否有权执行某个操作或访问某个资源。
- 粒度控制方式:
- URL 路径级别(如
/admin/**仅允许管理员访问) - 方法级别(通过注解控制 Service 或 Controller 方法)
- 数据级别(动态过滤返回数据)
- URL 路径级别(如
-
安全防护
- 防御常见攻击:
- CSRF(跨站请求伪造)
- CORS(跨域资源共享策略)
- 会话固定(Session Fixation)
- 点击劫持(X-Frame-Options)
- 安全头部(Security Headers):自动添加安全响应头(如
X-Content-Type-Options、Content-Security-Policy)。
- 防御常见攻击:
-
扩展性
- 支持通过自定义组件(如
UserDetailsService、AuthenticationProvider)灵活适配业务需求。 - 集成第三方认证协议(如 OAuth2、OpenID Connect)。
- 支持通过自定义组件(如
3. 核心组件
-
SecurityFilterChain- 作用:定义 HTTP 请求的安全处理流程,通过一系列过滤器(Filter)实现安全控制。
- 关键过滤器:
UsernamePasswordAuthenticationFilter:处理表单登录。BasicAuthenticationFilter:处理 HTTP Basic 认证。AuthorizationFilter:校验请求权限。
-
UserDetailsService- 作用:加载用户详细信息(如用户名、密码、权限)。
- 实现方式:可自定义(如从数据库、LDAP 或外部服务加载用户数据)。
-
AuthenticationManager- 作用:协调认证过程,委托给具体的
AuthenticationProvider实现认证逻辑。 - 默认实现:
ProviderManager。
- 作用:协调认证过程,委托给具体的
-
AccessDecisionManager- 作用:决定用户是否有权限访问资源,基于投票机制(如
AffirmativeBased、ConsensusBased)。
- 作用:决定用户是否有权限访问资源,基于投票机制(如
-
PasswordEncoder- 作用:加密用户密码,防止密码明文存储。
- 常用实现:
BCryptPasswordEncoder、Pbkdf2PasswordEncoder。
4. 架构设计
Spring Security 基于 过滤器链(Filter Chain) 模型,所有 HTTP 请求需经过一系列安全过滤器处理:
-
请求流程:
- 客户端请求 → Servlet 容器 →
DelegatingFilterProxy(入口) →FilterChainProxy(Spring Security 核心) → 具体过滤器链 → 业务逻辑。
- 客户端请求 → Servlet 容器 →
-
认证与授权流程:
- 认证阶段:提取用户凭证(如用户名密码)并验证,生成
Authentication对象。 - 授权阶段:根据用户权限与资源规则(如 URL、方法注解)进行匹配,决定是否放行。
- 认证阶段:提取用户凭证(如用户名密码)并验证,生成
-
上下文存储:
- 认证结果存储在
SecurityContextHolder中,默认基于ThreadLocal实现线程隔离。
- 认证结果存储在
5. 配置方式
-
XML 配置(传统方式)
- 通过
<http>、<authentication-manager>等标签定义安全规则。 - 示例:
<http auto-config="true"><intercept-url pattern="/admin/**" access="ROLE_ADMIN" /><form-login login-page="/login" /> </http>
- 通过
-
Java 配置(现代方式)
- 通过
@Configuration类继承WebSecurityConfigurerAdapter(旧版本)或直接配置SecurityFilterChain(新版本)。 - 示例:
@Configuration @EnableWebSecurity public class SecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests(authorize -> authorize.requestMatchers("/admin/**").hasRole("ADMIN")).formLogin(form -> form.loginPage("/login"));return http.build();} }
- 通过
6. 与其他模块的关系
-
Spring MVC
- 集成在 Servlet 容器中,通过
DispatcherServlet处理请求,与 Spring Security 过滤器链协作。
- 集成在 Servlet 容器中,通过
-
Spring Data
- 通过
UserDetailsService实现从数据库加载用户信息(如结合 JPA 或 JDBC)。
- 通过
-
Spring LDAP
- 支持企业级 LDAP 认证集成。
7. 优势与适用性
- 优势:
- 标准化:提供安全领域的通用解决方案,减少重复开发。
- 灵活性:支持深度定制,适应复杂业务场景。
- 社区支持:Spring 生态的官方维护,文档和社区资源丰富。
- 适用场景:
- 需要精细化权限控制的企业级应用。
- 需要集成多种认证协议的系统(如 OAuth2、SAML)。
- 对安全性要求较高的金融、政务等领域。
通过本章节,你可以理解 Spring Security 的核心定位、功能模块及其在企业应用中的关键作用。接下来的学习将深入认证、授权及高级配置的实现细节。
相关文章:
1.1 Spring Security 概述
Spring Security 概述 1. 什么是 Spring Security? Spring Security 是 Spring 生态中专注于应用安全的核心框架,为 Java 企业应用提供认证(Authentication)、授权(Authorization)以及安全攻击防护&#x…...
Kotlin协程详解——协程上下文
目录 一、上下文结构 get()获取元素 minusKey()删除元素 fold()元素遍历 plus()添加元素 CombinedContext Key 二、协程名称CoroutineName 三、上下文组合 四、协程作用域CoroutineScope 五、典型用例 协程的上下文,它包含用户定义的一些数据集合&#x…...
手写一个C++ Android Binder服务及源码分析
手写一个C Android Binder服务及源码分析 前言一、 基于C语言编写Android Binder跨进程通信Demo总结及改进二、C语言编写自己的Binder服务Demo1. binder服务demo功能介绍2. binder服务demo代码结构图3. binder服务demo代码实现3.1 IHelloService.h代码实现3.2 BnHelloService.c…...
)
今日AI和商界事件(2025-02-10)
今日AI领域的相关事件包括: 一、技术与应用进展 全球首例AI驱动供应链攻击曝光: 网络安全机构披露一起新型供应链攻击事件,攻击者利用AI技术生成高度仿真的供应商邮件,诱骗目标企业员工下载恶意软件,进而渗透至大众汽…...
全面理解-c++中的异常处理机制
C 的异常处理机制是一种用于处理程序运行时错误的结构化方法,通过分离正常逻辑与错误处理代码,提高代码的可读性和可维护性。以下是其核心组成部分和工作原理的详细说明: 1. 异常处理的三大关键字 1.1 try 块 作用:包裹可能抛出异…...
Deep Dive into LLMs like ChatGPT - by Andrej Karpathy
https://www.youtube.com/watch?v7xTGNNLPyMIhttps://www.youtube.com/watch?v7xTGNNLPyMIDeep Dive into LLMs like ChatGPT - by Andrej Karpathy_哔哩哔哩_bilibilihttps://www.youtube.com/watch?v7xTGNNLPyMI转载自Andrej Karpathy Youtube ChannelThis is a general a…...
react实例与总结(一)
目录 一、简单认识 1.1、特点 1.2、JSX语法规则 1.3、函数组件和类式组件 1.4、类组件三大属性state、props、refs 1.4.1、state 1.4.2、props 1.4.3、refs 1.5、事件处理 1.6、收集表单数据—非受控组件和受控组件 1.7、高阶函数—函数柯里化 1.8、生命周期—新旧…...
51单片机(国信长天)矩阵键盘的基本操作
在CT107D单片机综合训练平台上,首先将J5处的跳帽接到1~2引脚,使按键S4~S19按键组成4X4的矩阵键盘。在扫描按键的过程中,发现有按键触发信号后(不做去抖动),待按键松开后,在数码管的第一位显示相应的数字:从左至右&…...
在cursor/vscode中使用godot C#进行游戏开发
要在 Visual Studio Code(VS Code)中启动 C#Godot 项目,可以按照以下步骤进行配置: 1.安装必要的工具 • 安装 Visual Studio Code:确保你已经安装了最新版本的 VS Code。 • 安装.NET SDK:下载并安装.NET 7.x SDK(…...
机器学习怎么学习,还有算法基本的源代码
1.scikit-learn官方文档,中文版/英文版 中文社区:https://scikit-learn.org.cn/ 中文官方文档:https://scikitlearn.com.cn/ 英文版:https://scikit-learn.org/stable/(翻墙) 2.菜鸟教程:AI&a…...
STM32 RTC亚秒
rtc时钟功能实现:rtc模块在stm32内部,由电池或者主电源供电。如下图,需注意实现时仅需设置一次初始化。 1、stm32cubemx 代码生成界面设置,仅需开启时钟源和激活日历功能。 2、生成的代码,需要对时钟进行初始化,仅需…...
【Linux】深入理解linux权限
🌟🌟作者主页:ephemerals__ 🌟🌟所属专栏:Linux 目录 前言 一、权限是什么 二、用户和身份角色 三、文件属性 1. 文件属性表示 2. 文件类型 3. 文件的权限属性 四、修改文件的权限属性和角色 1. …...
json格式,curl命令,及轻量化处理工具
一. JSON格式 JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。它基于一个子集的JavaScript编程语言,使用人类易于阅读的文本格式来存储和表示数据。尽管名字中有“JavaScript”,但JSON是语言无关的,几…...
DeepSeek模拟阿里面试——java面向对象
作为一位阿里高级Java程序员面试官,我会围绕Java面向对象编程的核心概念、实际应用以及设计原则设计问题,以全面评估候选人的理解和应用能力。以下是可能的面试问题: 基本概念与实现方式 请解释Java中封装、继承、多态的基本概念及其在Java中…...
web直播弹幕抓取分析 signature
声明: 本文章中所有内容仅供学习交流使用,不用于其他任何目的,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关! 前言 最近遇到太多难点了卡了很久&am…...
【04】RUST特性
文章目录 隐藏shadowing所有权ownership堆区&栈区所有权规则变量&数据Copy Trait与Drop TraitCopy TraitDrop Trait移动克隆函数参数与返回值的所有权参数引用可变引用悬垂引用slice生命周期隐藏shadowing 有点像同名覆盖 let mut guess = String::new();let guess: u3…...
PL/SQL块结构
目录 一、声明部分(declare) 二、执行部分(begin end) 三、异常处理部分 (Exception end) 四、代码示例 PL/SQL(Procedural Language/Structured Query Language)是Oracle数据库…...
基于 FFmpeg 和 OpenGLES 的 iOS 视频预览和录制技术方案设计
基于 FFmpeg 和 OpenGLES 的 iOS 视频预览和录制技术方案设计 在 iOS 上实现一个基于 FFmpeg 和 OpenGLES 的视频预览和录制功能,需要结合 FFmpeg 的强大音视频处理能力和 OpenGLES 的高效图形渲染能力。以下是一个完整的技术方案设计,包含项目的架构设计、模块划分、技术选…...
-区间问题)
【LeetCode 刷题】贪心算法(4)-区间问题
此博客为《代码随想录》贪心算法章节的学习笔记,主要内容为贪心算法区间问题的相关题目解析。 文章目录 55. 跳跃游戏45. 跳跃游戏 II452. 用最少数量的箭引爆气球435. 无重叠区间763. 划分字母区间56. 合并区间 55. 跳跃游戏 题目链接 class Solution:def canJu…...
提示工程 | 目的 | 常用技巧
什么是提示工程 提示工程也叫指令工程,Prompt就是你发给大模型的指令,比如:画幅画,写首诗等。貌似简单,但意义非凡,Prompt是AGI时代的编程语言,Prompt工程是AGI时代的软件工程,提示…...
ABP框架9——自定义拦截器的实现与使用
一、AOP编程 AOP定义:面向切片编程,着重强调功能,将功能从业务逻辑分离出来。AOP使用场景:处理通用的、与业务逻辑无关的功能(如日志记录、性能监控、事务管理等)拦截器:拦截方法调用并添加额外的行为,比如…...
Generate html
"Generate HTML"(生成 HTML)指的是通过程序或工具自动创建 HTML 代码的过程。HTML(超文本标记语言)是用于创建网页内容和结构的标准语言。生成 HTML 通常意味着通过某些方式自动化地构建或生成网页的结构和元素…...
CUDA 计算平台 CUDA 兼容性【笔记】
在 b 站看过的两个关于 CUDA 的技术分享,整理分享下对自己有用的课件。 20231130 2023第9期 聊一聊常见的AI计算平台库_哔哩哔哩_bilibili20230831 2023第6期 聊一聊CUDA兼容性_哔哩哔哩_bilibili 文章目录 CUDA 计算平台CUDA 函数库介绍英伟达三大护城河࿱…...
魔百盒刷机教程[M301A_YS])
移动(新)魔百盒刷机教程[M301A_YS]
刚刚成功刷了一个坏的魔百盒,简单记录一下。 刷电视盒子有两种:卡刷和线刷。 线刷 一、线刷准备 1.刷机工具 Amlogic USB Burning Tool 晶晨线刷烧录工具 2.固件 根据盒子的型号、代工等找到对应的固件 二、线刷步骤 电脑打开下好的 Amlogic US…...
最新消息 | 德思特荣获中国创新创业大赛暨广州科技创新创业大赛三等奖!
2024年12月30日,广州市科技局公开第十三届中国创新创业大赛(广东广州赛区)暨2024年广州科技创新创业大赛决赛成绩及拟获奖企业名单,德思特获得了智能与新能源汽车初创组【第六名】【三等奖】的好成绩! 关于德思特&…...
基于机器学习的DDoS检测系统实战
基于机器学习的DDoS检测系统实战(PythonScikit-learn)|毕业设计必备 摘要:本文手把手教你从0到1实现一个轻量级DDoS攻击检测系统,涵盖数据预处理、特征工程、模型训练与可视化分析。 一、项目背景与意义 DDoS&#x…...
ubuntu安装VMware报错/dev/vmmon加载失败
ubuntu安装VMware报错/dev/vmmon加载失败,解决步骤如下: step1:为vmmon和vmnet组件生成密钥对 openssl req -new -x509 -newkey rsa:2048 -keyout VMW.priv -outform DER -out VMW.der -nodes -days 36500 -subj "/CNVMware/"ste…...
进行文本分类并评估模型性能)
使用条件随机场(CRF)进行文本分类并评估模型性能
目标: 使用条件随机场(CRF)模型对文本数据进行分类,并评估模型的性能。任务包括读取数据、划分训练集和测试集、训练CR # 1.数据读取与预处理: # o使用open函数读取包含文本和标签的CSV文件。 # o将每一行数据分为文本…...
python的列表、元组、深拷贝、浅拷贝(四)
python的列表 一、序列1. 序列定义2. 序列数据类型包括3.特点:都支持下面的特性 二、 列表1. 列表的创建2. 列表的基本特性(1) 连接操作符喝重复操作符(2) 成员操作符(in , not in )(3) 索引(4) 切片练习(5) for循环 3. 列表的常用方法(1) 一…...
2.10作业
思维导图 C C语言...