最新Spring Security实战教程(一)初识Spring Security安全框架
🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志
🎐 个人CSND主页——Micro麦可乐的博客
🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战
🌺《RabbitMQ》专栏主要介绍使用JAVA开发RabbitMQ的系列教程,从基础知识到项目实战
🌸《设计模式》专栏以实际的生活场景为案例进行讲解,让大家对设计模式有一个更清晰的理解
💕《Jenkins实战》专栏主要介绍Jenkins+Docker的实战教程,让你快速掌握项目CI/CD,是2024年最新的实战教程
🌞《Spring Boot》专栏主要介绍我们日常工作项目中经常应用到的功能以及技巧,代码样例完整
如果文章能够给大家带来一定的帮助!欢迎关注、评论互动~
2025最新Spring Security实战教程(一)初识Spring Security
- 前言
- 什么是Spring Security?
- 同类框架对比
- Spring Security典型应用场景
- 传统Web应用安全
- 前后端分离架构
- 微服务安全网关
- 快速搭建安全环境
- ❶ 创建Spring Boot项目
- ❷ 测试安全访问
- ❸ 实现URL身份验证
- 结语
前言
随着Web应用和微服务架构的普及,作为JAVA开发者如何保证系统免受各种安全威胁(如未经授权的访问、数据泄露、跨站请求伪造等)成为一个我们必须要解决的问题。
Spring Security 作为Spring 生态系统中的核心组件,通过提供认证(Authentication)与授权(Authorization)和针对常见攻击等一系列安全功能,为开发者构建安全稳定的应用提供了强有力的支持。
什么是Spring Security?
官方文档:https://docs.spring.io/spring-security/reference/index.html
Spring Security是一个基于Spring框架的强大安全解决方案,它为应用提供了一整套安全服务,主要包括以下几个方面:
- 认证(Authentication): 确定访问者身份的过程。Spring Security通过多种方式(如表单登录、Basic认证、OAuth2等)实现用户身份验证。
- 授权(Authorization): 根据用户身份和权限确定资源访问级别。开发者可以通过配置或注解的方式,灵活地控制不同用户对不同资源的访问权限。
- 防护机制: 包括防止跨站请求伪造(CSRF)、点击劫持等攻击手段,保障应用在网络攻击面前的稳定性。
这种以拦截器和过滤器链为核心的设计,使得Spring Security能够在请求到达业务逻辑之前,先进行安全检查,从而构建出一层坚固的防护屏障。
同类框架对比
说到安全框架,我们就不得不提另外一个轻量级的安全管理框架 Apache Shiro ,它有三个核心组件:Subject, SecurityManager 和 Realms , Shiro 的相关内容大家可以自行学习,这里不做过多介绍了
下面博主总结两个框架的一些对比:
| 特性 | Spring Security | Apache Shiro |
|---|---|---|
| 学习曲线 | 较陡峭 | 易上手 |
| 功能完整性 | ★★★★★ | ★★★☆☆ |
| Spring生态集成 | 原生支持 | 需要适配 |
| 微服务支持 | OAuth2/JWT | 需自行扩展 |
| 社区活跃度 | 极高 | 一般 |
通过上述的对比图,可以总结出:
- Spring Security是一个重量级的安全管理框架;Shiro则是一个轻量级的安全管理框架
- Spring Security 上手稍有难度,Shiro 的配置和使用比较简单
- Shiro 依赖性低,不需要任何框架和容器,可以独立运行
- 如果你的项目基于Spring容器,那么优先推荐Spring Security
Spring Security典型应用场景
传统Web应用安全
通过配置实现URL级权限控制
@Configuration
@EnableWebSecurity
public class WebSecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests(auth -> auth.requestMatchers("/admin/**").hasRole("ADMIN").anyRequest().authenticated()).formLogin(form -> form.loginPage("/login").permitAll());return http.build();}
}
前后端分离架构
- JWT令牌自动校验
- 无状态会话管理
- 跨域安全配置(CORS)
微服务安全网关
资源服务器配置示例
spring:security:oauth2:resourceserver:jwt:issuer-uri: http://auth-server:9000
快速搭建安全环境
以博主本机环境为例
JDK 17+
Spring Boot 3.4.3
Maven 3.9+
IDE(IntelliJ IDEA或VS Code)
为了方便大家学习给大家提供一个官方代码案例地址:
https://github.com/spring-projects/spring-security-samples/tree/main
❶ 创建Spring Boot项目
使用 start.spring.io 生成项目,勾选以下依赖:
<dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>
</dependencies>
❷ 测试安全访问
创建测试控制器,我们希望访问 /public 无需验证身份,访问 /private 需要用户登录
@RestController
public class DemoController {@GetMapping("/public")public String publicApi() {return "无需认证的公开接口";}@GetMapping("/private")public String privateApi() {return "需要登录的私有接口";}
}
现在我们不管访问哪一个接口地址,均会跳出一个登陆页
账号默认 user ,密码由Spring Security 自动帮我们生成,观察控制台
❸ 实现URL身份验证
通过上述测试要求,目前我们访问 /public 还是会出现登录要求,接下来我们创建一个陪你类,以实现这个需求
@Configuration
public class BasicSecurityConfig {// 配置安全策略@Beanpublic SecurityFilterChain filterChain(HttpSecurity http) throws Exception {http.authorizeHttpRequests(authorize -> authorize.requestMatchers("/public/**").permitAll().anyRequest().authenticated()).formLogin(withDefaults()).logout(withDefaults());return http.build();}
}现在我们继续访问 /public 发现已经不再需要身份验证了,可以直接访问测试
访问 /private 需要登录验证,登陆后即可访问
上述配置文件中
requestMatchers(“/public/**”).permitAll() 表明放行public访问路径下所有接口
formLogin(withDefaults()) 采用默认的登录处理
logout(withDefaults()) 采用默认的登出处理
结语
本章节主要带领大家认识Spring Security安全框架,并构建一个简单的 Spring Boot + Spring Security 的项目让大家有一个大致了解。
在接下来的专栏中,我们将逐步深入 Spring Security 的各个技术细节,带你从入门到精通,全面掌握这一安全技术的方方面面。欢迎继续关注!
下一章节:最新Spring Security实战教程(二)表单登录定制到处理逻辑的深度改造
相关文章:
最新Spring Security实战教程(一)初识Spring Security安全框架
🌷 古之立大事者,不惟有超世之才,亦必有坚忍不拔之志 🎐 个人CSND主页——Micro麦可乐的博客 🐥《Docker实操教程》专栏以最新的Centos版本为基础进行Docker实操教程,入门到实战 🌺《RabbitMQ》…...
Docker的常用镜像
Docker的常用镜像命令主要包括镜像的查看、搜索、拉取、删除、构建等操作,以下是综合多个来源的总结: 一、基础镜像操作 查看本地镜像 docker images• 显示所有本地镜像,包含仓库名(REPOSITORY)、标签(TAG…...
告别GitHub连不上!一分钟快速访问方案
一、当GitHub抽风时,你是否也这样崩溃过? 😡 npm install卡在node-sass半小时不动😭 git clone到90%突然fatal: early EOF🤬 改了半天hosts文件,第二天又失效了... 根本原因:传统代理需要复杂…...
MapReduce 深度解析:原理与案例实战
在大数据时代,数据量的爆炸性增长对数据处理提出了前所未有的挑战。MapReduce 作为一种编程模型和并行处理框架,能够让我们在分布式环境下高效处理海量数据。本文将详细讲解 MapReduce 的基本原理、工作流程,并通过一个案例来展示如何应用这种…...
Android中的Fragment是什么以及它有哪些生命周期方法
Android中的Fragment介绍 Fragment,直译为“碎片”或“片段”,是Android中的一种组件,可以看作是Activity的模块化部分。它可以在一个Activity中承载一部分用户界面和逻辑,并能被多个Activity复用。通过Fragment,开发…...
Leetcode 1477. 找两个和为目标值且不重叠的子数组 前缀和+DP
原题链接: Leetcode 1477. 找两个和为目标值且不重叠的子数组 class Solution { public:int minSumOfLengths(vector<int>& arr, int target) {int narr.size();int sum0;int maxnINT_MAX;vector<int> dp(n,maxn);//dp[i]表示以索引i之前的满足要求…...
Ubuntu 22.04安装NVIDIA A30显卡驱动
一、安装前准备 1.禁用Nouveau驱动 Ubuntu默认使用开源Nouveau驱动,需要手动禁用: vim /etc/modprobe.d/blacklist-nouveau.conf # 添加以下内容: blacklist nouveau options nouveau modeset0 # 更新内核并重启: update-initr…...
R语言绘图:韦恩图
韦恩分析 韦恩分析(Venn Analysis)常用于可视化不同数据集之间的交集和并集。维恩图(Venn diagram),也叫文氏图、温氏图、韦恩图、范氏图,用于显示元素集合重叠区域的关系型图表,通过图形与图形…...
Stable Diffusion Prompt编写规范详解
Stable Diffusion Prompt编写规范详解 一、语法结构规范 (一)基础模板框架 [质量强化] [主体特征] [环境氛围] [风格控制] [镜头参数]质量强化:best quality, ultra detailed, 8k resolution主体特征:(1girl:1.3), long …...
大模型推理框架Triton使用教程:从青铜到王者的修炼
1 相关预备知识 模型:包含了大量参数的一个网络(参数结构),体积10MB-10GB不等模型格式:相同的模型可以有不同的存储格式(可类比音视频文件),目前主流有torch、tf、onnx和trt&#x…...
C#+Halcon 检测稳定性提升的方式
前言 众所周知,C#是一个带垃圾回收机制的语言,开发过程中不需要考虑垃圾回收,你就可劲造吧。但我们在设计图像处理软件时,应时刻对图像等大内存资源进行管控,做到自行管控,及时释放,不应将其交…...
智谱AI-FunctionCall
智谱AI-FunctionCall 编写FuncationCall大模型的函数调用,先直观的感受一下的感受下FunctionCall的魅力 文章目录 智谱AI-FunctionCall[toc]1-参考网址2-思路整理3-代码拆件1-[非核心]两个业务函数2-[非核心]业务函数的JsonSchema定义3-[核心]FunctionCall的调用1-打…...
android亮灭屏流程分析
前言 亮灭涉及的东西非常多,因此单独写一个文档,进行详细说明,亮灭屏包括的东西不只是亮灭屏,还包括亮度调节、屏幕状态变化等东西。本文仅作学习使用,不涉及商业,侵权请联系删除。 framework层的学习链接…...
Docker Desktop常见问题记录
1.docker pull报错,无法连接https://registry-1.docker.io/v2/ 报错信息如下: Error response from daemon: Get "https://registry-1.docker.io/v2/": net/http: request canceled while waiting for connection(Client.Timeout exceeded …...
vscode+vue前端开发环境配置
目录 一、安装Vue二、使用vue新建项目 一、安装Vue 在node.js安装好之后, npm config set registry https://registry.npmmirror.com# 安装vue相关工具,webpack用来项目构建、打包、资源整合等。 npm install webpack -g# 安装vue-cli脚手架 npm insta…...
Qt5 C++ QMap使用总结
文章目录 功能解释代码使用案例代码解释注意事项代码例子参考 功能解释 QList<T> QMap::values() const Returns a list containing all the values in the map, in ascending order of their keys. If a key is associated with multiple values, all of its values wi…...
《解锁HarmonyOS NEXT高阶玩法:艺术图像识别功能开发全攻略》
在当今数字化时代,AI技术不断拓展其应用边界,为各行业带来前所未有的变革。在艺术领域,AI图像识别技术能够帮助艺术从业者、爱好者快速识别艺术品风格、作者,甚至挖掘艺术品背后的历史文化信息。本文将结合HarmonyOS NEXT API 12及…...
post get 给后端传参数
post 方式一 : data: params 作为请求体(Request Body)传递: 你已经展示了这种方式,通过data字段直接传递一个对象或数组。这种方式通常用于传递复杂的数据结构。dowmfrom: function (params) { return request({ u…...
Masscan下载Linux安装
masscan 是一款高速的端口扫描工具,能够在极短的时间内扫描大量IP地址和端口。以下是关于如何在Linux系统上下载并安装 masscan 的详细步骤。 ### 通过包管理器安装 对于一些Linux发行版,你可以直接使用系统的包管理器来安装 masscan。例如,…...
Hive-08之数据仓库之建模、分析
一、目标 掌握数据仓库基本概念熟悉数据仓库的模型建立 二、知识要点 1. 数据仓库基本介绍 英文名称为Data Warehouse,可简写为DW或DWH。数据仓库的目的是构建面向分析的集成化数据环境,为企业提供决策支持(Decision Support)…...
仿12306项目(4)
基本预定车票功能的开发 对于乘客购票来说,需要有每一个车次的余票信息,展示给乘客,供乘客选择,因此首个功能是余票的初始化,之后是余票查询,这两个都是控台端。对于会员端的购票,需要有余票查询…...
MySQL零基础教程16—表连接进阶
复习表别名 之前已经学习过,查询的时候可以使用as来对检索的列进行重命名,这样可以让sql更加简介,增强易读性(as可以省略) 此外,使用表别名还可以支持在一条select语句中,一个表是被多次使用 …...
【JavaSE-3】运算符
1、什么是运算符 就是对常量或者变量进行操作的符号,如:,-,*,/ 表达式: 用运算符把常量或者变量连接起来的,符合java语法的式子就是表达式。 2、 算术运算符 2.1、基本四则运算符 - * / % 都…...
直接法估计相机位姿
引入 在前面的文章:运动跟踪——Lucas-Kanade光流中,我们了解到特征点法存在一些缺陷,并且用光流法追踪像素点的运动来替代特征点法进行特征点匹配的过程来解决这些缺陷。而这篇文章要介绍的直接法则是通过计算特征点在下一时刻图像中的位置…...
VS2022C#windows窗体应用程序调用DeepSeek API
目录 一、创建DeepSeek API Key 二、创建窗体应用程序 三、设计窗体 1、控件拖放布局 2、主窗体【Form1】设计 3、多行文本框【tbContent】 4、提交按钮【btnSubmit】 5、单行文字框 四、撰写程序 五、完整代码 六、运行效果 七、其它 一、创建DeepSeek API Ke…...
kettle插件-高性能插入更新插件Upsert
场景:假如T日需要将a表中T-1日的数据同步到b表。由于某种业务需求a表中已经同步到b表中的数据发生了变化需要重新同步,这个时候就会用到插入更新插件,也就是 说a表中数据重新同步b表,若b表中存在此数据(根据唯一id&am…...
python里调用外部控制台应用程序的方法~
有时候我们需要在python里调用外部控制台应用程序,方法如下: step.1 引用suprocess import subprocess # call an external program in python step.2 比如调用一个叫Audio_status.exe的控制台程序 result subprocess.run(["Au…...
工厂方法模式的C++实现示例
核心思想 工厂方法模式是一种创建型设计模式,它定义了一个用于创建对象的接口,但让子类决定实例化哪一个类。工厂方法模式将对象的实例化过程推迟到子类,从而使得子类可以根据需要决定创建哪种对象。 **Product:**定义产品的接口…...
本地部署Qwen2.5-VL-7B-Instruct模型
本地部署Qwen2.5-VL-7B-Instruct模型 本地部署Permalink **创建环境** conda create -n qwenvl python3.11 -y# 报错: Solving environment: failedPackagesNotFoundError: The following packages are not available from current channels:# 处理: c…...
【C++学习篇】智能指针
目录 1. 智能指针的使用场景分析 2. RAII和智能指针的设计思路 3. C标准库智能指针的使用 4.shared_ptr和weak_ptr 4.1shared_ptr的循环引用问题 4.2 weak_ptr 1. 智能指针的使用场景分析 下⾯程序中我们可以看到,new了以后,我们也delete了,…...