当前位置: 首页 > article >正文

SpringSecurity框架(入门)

  1. 简介:

Spring Security 是一个用于构建安全的 Java 应用程序的框架,尤其适用于基于Spring的应用程序。它提供了全面的安全控制,从认证(Authentication)到授权(Authorization),以及一系列的中间件功能,如CSRF防护、会话管理等。以下是Spring Security的核心概念和使用方式的详细说明:

  1. What: Spring Security 是什么?

Spring Security 是一套用于保护Web应用程序免受未经授权访问的框架。它提供了以下核心功能:

  • 认证:验证用户身份,例如通过用户名和密码登录。

  • 授权:控制对资源的访问,例如,只有管理员才能访问某些页面。

  • 会话管理:确保会话安全,防止会话劫持和固定会话攻击。

  • CSRF防护:防止跨站请求伪造(Cross-Site Request Forgery)。

  • 过滤器链:通过一系列的过滤器来处理HTTP请求,执行安全相关的操作。(我们主要就是写自定义的过滤器)

  1. Why: 为什么使用Spring Security?

  • 声明式安全:通过注解或配置文件轻松声明谁可以访问什么资源,无需手动编写安全检查代码。

  • 高度可定制:可以根据需求调整认证和授权逻辑,支持多种认证和授权机制。

  • 与Spring的集成:无缝集成Spring框架,与Spring Boot、Spring MVC等组件配合良好。

  • 安全功能丰富:提供多种安全特性,覆盖了Web应用安全的多个方面。

  1. How: 如何使用Spring Security?

使用Spring Security通常包括以下步骤:

  • 依赖配置:在项目中引入Spring Security的依赖,如果是Spring Boot项目,可以通过添加相应的starter依赖。

  • 配置安全:创建一个WebSecurityConfigurerAdapter的子类,重写其配置方法来定义安全规则,例如哪些URL需要保护,使用哪种认证方式等。

  1. SpringSecurity认证管理流程

下图是一个简单的Security认证管理流程

  1. 快速入门实践

接下来,我们创建一个小的Module感受下SpringSecurity在登录情景下的使用

  1. 创建Module

  1. 在当前最外层根目录下,右键,选择 "New"-->"Module"--"Spring Initializer"-->选择"设置"->将初始化服务器地址设置为https://start.aliyun.com国内阿里云

  1. 按照下图所示的内容创建 "securityDemo"

  1. 添加六个依赖

  1. 删除原有的demos目录及文件

  1. 如图所示修改application.properties

    # 应用服务 WEB 访问端口
    server.port=8080
    
    # 数据库连接信息
    spring.datasource.url=jdbc:mysql://localhost:3306/ivos?characterEncoding=utf8&useSSL=false&serverTimezone=Asia/Shanghai&rewriteBatchedStatements=true
    spring.datasource.username=root
    spring.datasource.password=root
  1. 启动项目,控制台会出现如下图所示的一个密码

 复制这个密码,马上要用

  1. 访问登录页面

SpringSecurity自己提供了一个登录页,我们可以直接通过 http://localhost:8080/login 访问

  • 默认用户名 user

  • 密码为之前控制台输出的password 1854cb7d-e2ef-4d84-a4f7-df2e18855a24

注意:这个密码每个人不一样,而且这个登录页打开比较慢,需要等一下

  1. 认证流程拆分

结合上面的这个登录认证流程,我们来继续补充完善完整的流程,Spring Security 的流程控制涉及了一系列的过滤器,这些过滤器构成了大家俗称的“安全过滤器链”。完整流程是这样的:

  1. 用户尝试访问受Spring Security保护下的URL地址

  2. 访问此URL需要检验有没有认证,Spring Security会检查该请求是否允许放行

  3. 如果不允许放行

    1. 我们指定的过滤器会返回拒绝访问的状态码,一般为401未授权(SC_UNAUTHORIZED)与403拒绝访问(SC_FORBIDDEN)

    2. 如果在没有登录的情况下,所有的前端请求应该都需要接收到后端返回的未授权状态

  4. 如果允许放行

    1. 会根据请求调用对应的接口加载资源

          (比如生成接口文档无需验证都可放行http://localhost:8080/doc.html)

    2. 登录请求也不需要验证即可放行,我们需要在表单中拿到用户的身份信息进行进一步的身份认证

      1. Authentication Manager认证管理器会进行用户信息认证

      2. Authentication Provider 会调用UserDetailsService,将用户名与数据库中的用户信息进行匹配,同时验证密码

      3. 如果验证成功,创建一个Authentication认证对象,包含用户及权限信息

    3. 验证成功后,Spring Security会调用配置的AuthenticationSuccessHandler,将用户信息返回给前端

          我们存在localStorage中的userVO就是通过上面的AuthenticationSuccessHandler返回给前端的

进阶练习,在你的项目中使用Security

新增依赖(在你的pom.xml中添加):

 <!-- Security依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!-- JSON处理工具类 -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.36</version>
        </dependency>
  1. 自定义配置类SpringSecurityConfig

  1. 我们需要在cn.tedu.ivos.base 包下新建一个security 包

  2. 在 security 包下创建一个自定义配置类 SpringSecurityConfig

  1. 这个配置类需要继承WebSecurityConfigurerAdapter

  • SpringSecurity框架提供了WebSecurityConfigurerAdapter安全基类

  • 该类提供了默认的安全配置,当我们的自定义类继承该类时,实际上在创建一个配置Bean

  • 这个Bean会被Spring自动检测到并用来定制我们自己的安全设置

  • 通过继承可以大大简化安全配置,而且重写 configure(HttpSecurity http)方法可以定制化内容

package cn.tedu.ivos.base.security;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

//表示这是一个配置类,交由Spring容器管理
@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

}
  1. 设置请求放行的处理方案(登录后端改造)

  1. SpringSecurity基础安全配置1

重写configure(HttpSecurity http)进行配置

这些配置组合起来,创建了一个基础的安全策略,其中大部分资源需要认证,登录页面对所有人开放,且使用HTTP基本认证和自定义的登录成功/失败处理器

package cn.tedu.ivos.base.security;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

//表示这是一个配置类,交由Spring容器管理
@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);//这个表示调用父类的实现,我们不需要
        http.csrf().disable() // 禁用CSRF(跨站请求伪造)保护
                .httpBasic() // 配置HTTP基本认证
                .and().authorizeRequests() // 配置请求授权,默认禁用所有请求
                .antMatchers().permitAll() // 对指定的资源不进行权限检查,允许所有用户访问
                .anyRequest().authenticated() //对其他所有请求要求用户必须认证通过
                .and().formLogin() // 配置表单登录,默认拦截的登录请求地址为/login
                .successHandler(authenticationSuccessHandler) //设置认证成功处理器
                .failureHandler(authenticationFailureHandler) //设置认证失败处理器
                .permitAll() //允许所有用户进行登录尝试
        ;
    }
}
  1. 自定义的认证成功处理器CustomAuthenticationSuccessHandler

当用户成功通过认证后,会调用这个处理器的onAuthenticationSuccess方法

package cn.tedu.ivos.base.security;

import cn.tedu.ivos.base.response.JsonResult;
import cn.tedu.ivos.user.mapper.UserMapper;
import cn.tedu.ivos.user.pojo.vo.UserVO;
import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.stereotype.Service;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/*
 * 自定义的认证成功处理器
 * 当用户成功通过认证后,会调用这个处理器的onAuthenticationSuccess方法
 * */
@Slf4j
@Service
public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
    @Autowired
    UserMapper userMapper;
    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        //可以根据我们的业务需要编写认证成功后的逻辑
        log.debug("认证成功");
        //从认证信息中获取用户名信息
        String username = authentication.getName();
        //根据用户名查询用户信息
        UserVO userVO = userMapper.selectByUsername(username);
        //设置响应的字符编码和内容类型,确保前端能正确解析JSON格式的数据
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json;charset=UTF-8");
        //将查询到的用户信息封装成JSON格式,写入响应中返回给前端
        response.getWriter().write(JSON.toJSONString(JsonResult.ok(userVO)));
    }
}
  1. 自定义的认证失败处理器CustomAuthenticationFailureHandler

 当用户认证失败后,会调用这个处理器的onAuthenticationFailure方法

package cn.tedu.ivos.base.security;

import cn.tedu.ivos.base.response.JsonResult;
import cn.tedu.ivos.base.response.StatusCode;
import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.stereotype.Service;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/*
 * 自定义的认证失败处理器
 * 当用户认证失败后,会调用这个处理器的onAuthenticationFailure方法
 * */
@Slf4j
@Service
public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
        //可以根据我们的业务需要编写认证失败后的逻辑
        log.debug("认证失败");
        //设置响应的字符编码为UTF-8,确保传输的数据在客户端能够正确解析
        response.setCharacterEncoding("UTF-8");
        //设置响应的内容类型为application/json,指定客户端应以JSON格式解析响应数据
        //同时指定字符集为UTF-8,与前面的设置保持一致
        response.setContentType("application/json;charset=UTF-8");
        //将用户名错误的响应结果转换为JSON格式,并写入响应流
        //JsonResult封装了状态码和可能的错误信息,这里使用StatusCode.USERNAME_ERROR表示用户名错误的特定状态码
        response.getWriter().write(JSON.toJSONString(new JsonResult(StatusCode.USERNAME_ERROR)));
    }
}
  1. SpringSecurity基础安全配置2

重写configure(AuthenticationManagerBuilder auth) 方法

package cn.tedu.ivos.base.security;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

//表示这是一个配置类,交由Spring容器管理
@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    CustomAuthenticationSuccessHandler authenticationSuccessHandler;
    @Autowired
    CustomAuthenticationFailureHandler authenticationFailureHandler;
    @Autowired
    CustomAuthenticationProvider authenticationProvider;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);//这个表示调用父类的实现,我们不需要
        http.csrf().disable() // 禁用CSRF(跨站请求伪造)保护
                .httpBasic() // 配置HTTP基本认证
                .and().authorizeRequests() // 配置请求授权,默认禁用所有请求
                .antMatchers().permitAll() // 对指定的资源不进行权限检查,允许所有用户访问
                .anyRequest().authenticated() //对其他所有请求要求用户必须认证通过
                .and().formLogin() // 配置表单登录,默认拦截的登录请求地址为/login
                .successHandler(authenticationSuccessHandler) //设置认证成功处理器
                .failureHandler(authenticationFailureHandler) //设置认证失败处理器
                .permitAll() //允许所有用户进行登录尝试
        ;
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //super.configure(auth);
        auth.authenticationProvider(authenticationProvider);
    }
}

后续稍后更新.... 


http://www.kler.cn/a/375277.html

相关文章:

  • UG NX二次开发(C#)-机电概念设计-UIStyler中selection块选择信号等对象的过滤器设置
  • 梳理你的思路(从OOP到架构设计)_简介设计模式
  • 【经验总结】AUTOSAR架构下基于TJA1145收发器偶发通信丢失不可恢复问题分析
  • 20241230 机器学习ML -(1)线性回归(scikitlearn)
  • 【模型压缩】原理及实例
  • Java基于SSM框架的无中介租房系统小程序【附源码、文档】
  • PostgreSQL的奥秘:表结构、TOAST与大对象
  • 网络一些相关术语
  • axios 如何取消请求
  • 移植 AWTK 到 纯血鸿蒙(HarmonyOS NEXT)系统 (0) - 序
  • IP 欺骗以及其他常见网络攻击手段(附hping3的实际应用)
  • Qml-Gif的显示
  • 13 实战:使用Python和Pygame实现视频运动估计播放器
  • 二维legendre多项式
  • Oracle 第10章:触发器
  • 关于校验码的算法
  • 《向量数据库指南》——解锁GenAI生态系统新纪元
  • 面试题整理 2
  • 金蝶云星空与致远OA集成:简化审批流程,提升效率,确保数据一致性
  • SpringBoot实现zip压缩包下载
  • sprintf函数使用指南
  • 0.STM32F1移植到F0的各种经验总结
  • html中cookie如何存储
  • ChatGPT-o1在辅助论文参考文献写作中的表现如何?有哪些提升?
  • 整车功能架构 --- 智能座舱
  • 红日安全-ATT CK实战:Vulnstack靶场实战