集成Spring Security详解
集成Spring Security详解
一、Spring Security简介
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它专注于为Java应用程序提供全面的安全解决方案。作为Spring项目的一部分,Spring Security继承了Spring框架的灵活性和可扩展性,能够轻松地集成到任何Spring应用程序中。Spring Security不仅提供了基本的身份验证和授权功能,还支持多种认证方式(如表单登录、HTTP Basic、Digest认证等)、细粒度的访问控制、会话管理、安全审计等高级功能。
二、Spring Security的核心组件
-
SecurityFilterChain:负责定义HTTP请求的安全过滤链。Spring Security通过一系列的过滤器(Filter)来处理HTTP请求,这些过滤器按照配置的顺序依次执行,完成身份验证、授权、会话管理、安全审计等安全检查或操作。
-
UserDetailsService:用于加载用户信息,提供身份验证所需的数据。开发者需要实现这个接口,从数据库或其他持久化存储中加载用户的详细信息(如用户名、密码、角色等)。
-
PasswordEncoder:处理用户密码的加密与解密。为了保障密码的安全性,Spring Security推荐使用强密码加密算法(如BCrypt)来存储用户密码。开发者需要配置一个PasswordEncoder实例,用于在存储密码时加密,以及在验证密码时解密。
-
AuthenticationManager:认证管理器,是认证相关的核心接口。它接收一个Authentication对象(通常封装了用户名和密码),并返回一个已填充了用户权限等信息的Authentication对象(如果认证成功),或者抛出一个异常(如果认证失败)。
-
AuthenticationProvider:认证提供者,是实际执行认证操作的组件。Spring Security支持多种认证方式,每种认证方式都对应一个AuthenticationProvider实现。AuthenticationManager内部维护了一个AuthenticationProvider列表,根据配置的顺序依次尝试认证。
-
AccessDecisionManager:授权管理器,用于决定用户是否有权访问某个资源。它根据用户的权限信息、被访问资源的权限要求以及配置的投票策略(如一票决定、一票否定、少数服从多数等)来做出决策。
三、Spring Boot集成Spring Security的步骤
-
添加依赖
在Spring Boot项目的
pom.xml文件中添加Spring Security的依赖:<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId> </dependency> -
配置安全设置
在
application.yml或application.properties文件中配置一些基本的安全设置,如用户密码的加密方式、会话管理等。但通常情况下,Spring Security的自动配置已经足够满足大部分需求,因此这一步可以省略。 -
创建SecurityConfig配置类
创建一个SecurityConfig类,继承自
WebSecurityConfigurerAdapter,并添加@EnableWebSecurity注解来启用Web安全配置。在这个类中,可以通过覆盖configure(HttpSecurity http)方法来定义HTTP请求的安全策略。@EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/", "/index").permitAll() // 首页和/index路径允许所有人访问.antMatchers("/level1/**").hasAnyRole("vip1") // level1目录下的所有页面需要vip1角色才能访问.antMatchers("/level2/**").hasAnyRole("vip2").antMatchers("/level3/**").hasAnyRole("vip3").anyRequest().authenticated() // 其他请求都需要认证.and().formLogin() // 启用表单登录.and().httpBasic(); // 启用HTTP Basic认证(可选)}// 自定义认证逻辑(可选)@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication() // 使用内存中的用户数据进行认证(仅用于演示).withUser("user").password(passwordEncoder().encode("password")).roles("USER").and().withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN");}// 配置密码编码器@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();} } -
自定义UserDetailsService
在实际应用中,用户数据通常存储在数据库中。因此,需要自定义一个UserDetailsService实现类,从数据库中加载用户信息。
@Service public class CustomUserDetailsService implements UserDetailsService {@Autowiredprivate UserRepository userRepository; // 假设有一个UserRepository用于访问数据库中的用户数据@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username);if (user == null) {throw new UsernameNotFoundException("User not found");}return new org.springframework.security.core.userdetails.User(user.getUsername(),user.getPassword(), // 注意:这里的密码应该是加密后的密码user.getAuthorities() // 用户权限列表,可以从数据库中获取并转换为GrantedAuthority对象列表);} }然后,在SecurityConfig配置类中,将自定义的UserDetailsService配置到AuthenticationManagerBuilder中:
@Autowired public void configureGlobal(AuthenticationManagerBuilder auth, CustomUserDetailsService userDetailsService) throws Exception {auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } -
自定义登录页面和成功/失败处理
默认情况下,Spring Security提供了一个简单的登录页面。如果需要自定义登录页面,可以在
configure(HttpSecurity http)方法中使用.formLogin(Customizer<FormLoginConfigurer<HttpSecurity>> customizer)来配置自定义的登录页面、登录处理URL、成功和失败的处理程序等。http.authorizeRequests()// ...(之前的配置).and().formLogin().loginPage("/customLogin") // 自定义登录页面路径.loginProcessingUrl("/authenticate") // 自定义登录处理URL.defaultSuccessUrl("/success") // 登录成功后的跳转页面.failureUrl("/failure") // 登录失败后的跳转页面.permitAll();然后,在控制器中创建对应的处理方法:
@Controller public class LoginController {@GetMapping("/customLogin")public String showLoginForm() {return "customLogin"; // 返回自定义登录页面的视图名}@GetMapping("/success")public String loginSuccess() {return "success"; // 登录成功后的视图名}@GetMapping("/failure")public String loginFailure() {return "failure"; // 登录失败后的视图名} } -
其他安全配置
-
CSRF保护:Spring Security默认启用了CSRF保护,以防止跨站请求伪造攻击。如果需要禁用CSRF保护(通常不推荐这样做),可以在
configure(HttpSecurity http)方法中使用.csrf().disable()来禁用。 -
记住我功能:可以使用
.rememberMe()方法来启用“记住我”功能,允许用户在关闭浏览器后再次访问时无需重新登录。 -
会话管理:可以使用
.sessionManagement()方法来配置会话管理策略,如设置会话超时时间、会话固定攻击保护等。 -
安全审计:可以使用
.exceptionHandling().authenticationEntryPoint()和.accessDeniedHandler()来配置认证失败和访问被拒绝时的处理逻辑,并记录安全事件以供审计。
-
四、总结
Spring Security是一个功能强大且灵活的安全框架,能够为Java应用程序提供全面的安全解决方案。通过集成Spring Security,可以轻松地实现身份验证、授权、会话管理、安全审计等安全功能。本文详细介绍了如何在Spring Boot项目中集成Spring Security的步骤和关键配置点,包括添加依赖、配置安全设置、创建SecurityConfig配置类、自定义UserDetailsService、自定义登录页面和成功/失败处理以及其他安全配置。希望这些内容能够帮助读者更好地理解和使用Spring Security来保障应用程序的安全性。
相关文章:
集成Spring Security详解
集成Spring Security详解 一、Spring Security简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架,它专注于为Java应用程序提供全面的安全解决方案。作为Spring项目的一部分,Spring Security继承了Spring框架的灵活性和可扩展性…...
Kettle9.4支持Clickhouse数据源插件开发以及性能测试
前言 最近业务这边有个指标需要用到大数据这边的列式数据库进行处理,由于kettle不支持clickhouse数据源驱动,这里查了一下网上的相关资料,发现了一些别人开发好的驱动包,下载下来后使用效果不尽人意。总结下来有以下几个问题&…...
微信支付V3 yansongda/pay 踩坑记录
Pay - 让支付开发更简单 | Pay 使用laravel 8框架 2.1 报错 Parse [mch_public_cert_path] Serial Number Error 是mch_secret_cert,mch_public_cert_path配置错误 2.2 报错 Get Wechat Public Cert Error 是mch_secret_key配置错误 #正确 Pay::config(config(w…...
AndroidStudio实验报告——实验一、二
目录 实验一: AS安装与安卓环境搭建 一、实验目标 二、实验内容 (一)Android Studio安装 (二)JDK安装与配置 (三)Android SDK安装与配置 三、实验结果:(实…...
Nginx超简洁知识:负载均衡-反向代理,动静分离,配置文件
首先介绍一下为什么需要nginx? 在低并发场景下(也就是用户量特别少的情况下),我们只需要部署一台服务器就能满足用户数量少的需求。 但是如果用户量逐渐增多,只有一台服务器是不够的。于是我们需要部署多台服务器。 …...
云手机:社交平台运营的热门工具
随着互联网的飞速发展,社交平台已经成为企业推广和营销的核心渠道。传统的运营方式已经无法满足高效运营的需求,而云手机作为新兴工具,逐渐成为社交平台运营的前沿趋势。本文将深入分析云手机如何优化社交平台的运营流程,助力企业…...
iptables限速规则
环境: iptables服务器:172.16.12.33 client:192.168.1.2 1、在防火墙上配置客户端的下载速度是1M/s (1个包是1.3KB) #限速客户端每秒的下载速度是1024KB,超出限制的流量就丢弃 [rootiptables-172-16-12-…...
易泊车牌识别:海外车牌快速定制,开启智能识别新时代
在当今数字化快速发展的时代,车牌识别技术已经成为了智能交通系统中不可或缺的一部分。而在众多车牌识别解决方案中,易泊车牌识别系统以其卓越的性能和独特的优势脱颖而出,尤其是在海外车牌快速定制方面,更是展现出了强大的实力。…...
同一个交换机不同vlan的设备为什么不能通信
在同一个交换机上,不同 VLAN 的设备不能直接通信,这是因为 VLAN(虚拟局域网)通过在数据链路层(OSI 第2层)对设备进行逻辑隔离,将不同 VLAN 的设备视为属于不同的网络。具体原因如下:…...
《业务三板斧:定目标、抓过程、拿结果》读书笔记4
管理者抓技能的第二个动作是构地图 管理者如何构建能力地图? 梳流程 构建能力地图的关键是梳理业务流程,明确“要做什么”及“怎么 做”。管理者只有明晰每一项业务流程对应的策略、关键举措、风 险、工具、话术、案例等,才能将方法复制给每一…...
PRCV 2024 - Day2
主会场 —— 主旨报告 报告题目:大模型背景下的数字内容取证 讲者:谭铁牛(中科院自动化所,中国科学院院士) 图1 大模型背景下的数字内容取证 在数字化时代,随着人工智能技术的迅猛发展,尤其是深度学习的广泛应用&…...
大厂面试真题-了解云原生吗,简单说一下docker和k8s
K8s(Kubernetes)和Docker都是容器化技术中的关键组件,但它们各自扮演着不同的角色。以下是对这两者的详细解析: 一、Docker Docker是一个开源的容器化平台,它允许开发人员将应用程序及其依赖项打包为一个独立的镜像&…...
Python基础入门
目录 1. 简介 2. 安装与设置 2.1 检查是否已安装Python 2.2 使用Python解释器 2.3 使用代码编辑器 3. Python基础语法 3.1 注释 3.2 变量和数据类型 3.3 输入输出 3.4 基本运算 4. 条件语句与循环 4.1 条件判断 4.2 循环 while循环 for循环 break与continue 5.…...
深入了解路由
目录 1. 什么是路由?2. 路由与网关的关系3. 路由表4. 静态路由与动态路由5. 下一跳6. 动态路由及常用路由协议7. 路由算法解析 1. 什么是路由? 路由 是网络中将数据包从源地址传送到目标地址的过程。它涉及网络设备(如路由器)根据…...
三大编程思想(POP、OOP、AOP、FOP)及oop 五大设计原则
概述 POP:面向过程编程(Procedure Oriented Programming) OOP:面向对象编程(Object Oriented Programming) AOP:面向切面编程(Aspect Oriented Programming) FOP&#x…...
JavaWeb开发4
JS对象 Array Array对象用于定义数组 var 变量名new Array(元素列表); var 变量名[元素列表] 访问 arr[索引]值; 注意:JS中数组相对于Java中集合,数组的长度是可变的,JS是弱类型,所以可以存储任意类型…...
Git中Update和Pull的区别
在本文中,我们将介绍Git中的两个操作——”Update”和”Pull”,并解释它们之间的区别。 1、“Update”的含义和用法 “Update”是Git中用于更新本地仓库和工作区的操作。它的作用是将远程仓库中的最新变更同步到本地。当我们执行”Update”操作时&…...
物理安全概述
目录 物理安全概念物理安全威胁物理安全威胁物理安全保护物理安全分析与防护 物理安全概念 我不需要通过高深的网络技术来攻击你,直接在物理层面把你干倒,不要小瞧,其实这种攻击是最致命的,你把我的电脑给入侵了,可能…...
引领智慧文旅新纪元,开启未来旅游新境界
融合创新科技,重塑旅游体验,智慧文旅项目定义旅游新未来 在全球化的浪潮中,旅游已成为连接世界的重要纽带。智慧文旅项目,不仅仅是一次技术的革新,更是对旅游行业未来发展的一次深刻思考。信鸥科技通过运用云计算、大数…...
Qt开发技巧(十七):新窗口控件用智能指针,将一些配置类变量封装起来,Qt窗体的Z序叠放,子窗体的释放,Qt中的事件发送,Qt的全局头文件
继续讲一些Qt开发中的技巧操作: 1.新窗口控件用智能指针 通过对Qt自带Examples的源码研究你会发现,越往后的版本,越喜欢用智能指针QScopedPointer来定义对象,这样有个好处就是用的地方只管new就行,一直new下去…...
5G 现网信令参数学习(1) - MIB
MIB消息中的参数 systemFrameNumber 000101B, subCarrierSpacingCommon scs30or120, ssb-SubcarrierOffset 6, dmrs-TypeA-Position pos2, pdcch-ConfigSIB1 { controlResourceSetZero 10, searchSpaceZero 4 }, cellBarred notBarred, intraFreqReselection allowed, sp…...
stm32单片机个人学习笔记9(TIM输入捕获)
前言 本篇文章属于stm32单片机(以下简称单片机)的学习笔记,来源于B站教学视频。下面是这位up主的视频链接。本文为个人学习笔记,只能做参考,细节方面建议观看视频,肯定受益匪浅。 STM32入门教程-2023版 细…...
ubuntu 安装haproxy
####安装##### sudo apt update sudo apt install haproxy sudo haproxy -v sudo systemctl status haproxy sudo cp /etc/haproxy/haproxy.cfg /etc/haproxy/haproxy.cfg-org####配置站点##### nano /etc/haproxy/haproxy.cfgfrontend www-httpbind *:5001mode httpdefault_ba…...
TF-A(Trusted Firmware-A)及其启动流程详解:以stm32MP1平台为例
0 参考资料 stm32官网 wiki https://www.trustedfirmware.org/ https://git.trustedfirmware.org/TF-A/trusted-firmware-a.git Trusted Firmware-A documentation ARM Power State Coordination Interface SMC Calling Convention (SMCCC) Arm System Control and Management…...
FL Studio 2024 发布,添加 FL Cloud 插件、AI 等功能
作为今年最受期待的音乐制作 DAW 更新之一,FL Studio 2024发布引入了新功能,同时采用了新的命名方式,从现在起将把发布年份纳入其名称中。DAW 的新增功能包括在 FL Cloud 中添加插件、AI 驱动的音乐创作工具和 FL Studio 的新效果。 FL Clou…...
webpack实战 | 医保服务平台信息查询 | 国密SM4 | SM2 | 逆向分析
请求头参数加密,请求参数encData用的是SM4加密,signData用的是SM2加密,响应数据用的是SM4解密 请求头不要也没关系,直接搜signData,都打上断点,点击分页 signData的核心代码 o.doSignature就是4d09模块…...
脉冲扩散模型
论文 Spiking Diffusion Models 主要内容是提出了“脉冲扩散模型(Spiking Diffusion Models, SDMs)”,一种基于脉冲神经网络(SNN)的生成模型,旨在解决传统人工神经网络(ANN)在图像生…...
blender分离含有多个动作的模型,并导出含有材质的fbx模型
问题背景 笔者是模型小白,需要将网络上下载的fbx模型中的动作,分离成单独的动作模型,经过3天摸爬滚打,先后使用了blender,3d max,unity,最终用blender完成,期间参考了众多网络上大佬…...
胤娲科技:AI大模型的隐秘战争——当“智能”成为双刃剑
当AI不再是单纯的助手 想象一下,你正在训练一个AI模型,希望它能成为你的得力助手,帮你解决各种复杂问题。然而,有一天,你突然发现,这个模型不仅没有如你所愿, 反而悄悄地在代码库中埋下了“炸弹…...
RK平台 GPIO序号转换软件
RK平台 GPIO序号转换软件 下载地址 https://download.csdn.net/download/ruidongren/89900151 链接: link...