Spring Security的使用 #Web安全#权限认证《Spring实战》第4版笔记 (一)

最新推荐文章于 2026-06-15 14:39:24 发布
原创 最新推荐文章于 2026-06-15 14:39:24 发布 · 508 阅读 · 0 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#java #spring #数据安全
本文介绍了Spring Security的基本概念,包括其过滤Web请求的机制、简单的安全性配置以及用户信息查询服务的选择,如内存存储、数据库认证和LDAP认证。在配置过程中强调了密码编码的重要性,建议避免明文存储密码,推荐使用加密算法。

9.1 Spring Security简介

Spring Security 是基于Spring AOP和Servlet规范中的Filter实现的安全框架,能够在Web请求级别和方法调用级别处理身份认证和授权。

Spring Security 从两个角度来解决安全性问题。它使用Servlet 规范中的Filter的保护Web请求并限制URL级别的访问。Spring Security 通过使用Spring AOP 保护方法调用——借助于对象代理和使用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法。

9.1.1 Speing Security的模块

9.1.2 过滤Web请求

通过web.xml或者AbstractSecurityWebApplicationInitializer的子类配置 DelegatingFilterProxy,都会拦截发往应用中的请求,并将请求委托给ID为 springSecurityFilterChain 的bean。

9.1.3 简单的安全性配置

@Configuration
@EnableWebSecurity  // ->启用web应用的安全性功能
public class SecurityConfig extends WebSecurityConfigurerAdapter{
}

使用SpringMVC开发,则用 @EnableWebMvcSecurity替代@EnableWebSecurity,通过重载 WebSecurityConfigurerAdapter的是哪个configure()方法来配置Web安全性。

方法描述
configure(WebSecurity)通过重载,配置Spring Security的Filter链
configure(HttpSecurity)通过重载,配置如何通过拦截器保护请求
configure(AuthenticationManagerBuilder)通过重载,配置user-detail服务

默认的configure(HttpSecurity) 代码

prorected void configure(HttpSecurity http) throws Exception{
   http
     .authrizeRequests()
       .anyRequest().authenicated()  // 所有进入应用的HTTP请求都要验证
       .and()
     .formLogin().add() // 支持基于表单的登录以及HTTP Basic方式的认证
     .httpBasic();  
}
//单没有用户存储支撑认证过程,没有用户存储,实际上就等于没有用户,没人能登录成功
  • 配置用户存储
  • 指定哪些请求需要认证,哪些请求不需要认证,以及所需要的权限;
  • 提供一个自定义的登录界面,替代原来简单的默认登录页。

9.2 选择查询用户信息的服务

9.2.1 基于内存的用户存储

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth.inMemoryAuthentication() //启用内存用户存储
                .withUser("user").password("password").roles("USER").and()
                .withUser("admin").password("password").roles("USER","ADMIN");
    }
}

配置用户详细信息的方法

方法描述
accountExpired(boolean)定义账号是否已经过期
accountLocked(boolean)定义账号是否已经锁定
and()用来连接配置
authorities(GrantedAuthority…)授予某个用户一项或多项权限
authorities(List<? extendsGrantedAuthority…> )授予某个用户一项或多项权限
authorities(String…)授予某个用户一项或多项权限
credentialsExpired(boolean)定义凭证是否已经过期
disabled(boolean)定义账号是否已被禁用
password(String)定义用户的密码
roles(String…)授予某个用户一项或多项角色

以上方法在学习实现过程中,发现了已经有几个地方出现了更改
1.@EnbaleWebMvcSecurity已被启用 -> 改为@EnableWebSecurity
2.执行测试之后出现异常

java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"
	at org.springframework.security.crypto.password.DelegatingPasswordEncoder$UnmappedIdPasswordEncoder.matches(DelegatingPasswordEncoder.java:250) ~[spring-security-core-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.security.crypto.password.DelegatingPasswordEncoder.matches(DelegatingPasswordEncoder.java:198) ~[spring-security-core-5.2.2.RELEASE.jar:5.2.2.RELEASE]
	at org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter$LazyPasswordEncoder.matches(WebSecurityConfigurerAdapter.java:592) ~[spring-security-config-5.2.2.RELEASE.jar:5.2.2.RELEASE]

测试成功的代码

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder()) //启用内存用户存储
                .withUser("user").password(new BCryptPasswordEncoder().encode("password")).roles("USER").and()
                .withUser("admin").password(new BCryptPasswordEncoder().encode("password")).roles("USER","ADMIN");
    }
}

9.2.2 基于数据库表进行认证

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    DataSource dataSource;
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth
                .jdbcAuthentication()
                .dataSource(dataSource)
                .usersByUsernameQuery(
                        "select user_id,user_pwd,true from t_user where user_id=?" 
                )
                .authoritiesByUsernameQuery(
                        "select user_id,'ROLE_USER' from t_user where user_id=?"
                )
                .passwordEncoder(NoOpPasswordEncoder.getInstance());
               //.passwordEncoder(new BCryptPasswordEncoder());
    }
}

注意 passwordEncoder( )这个方法,Spinrg实战第4版给讯息:Spring Security的加密模块包括了三个这样的实现:BCryptPasswordEncoder、NoOpPasswordEncoder和StandardPasswordEncoder,也可以自己实现特定的加密解密算法。
不管使用那一个密码转码器,都需要劣迹一点,数据库中的密码是永远不会解码的。所采取的的策略与之相反,用户在登录时输入的密码会按照相同的算法进行转码,然后再与数据库中已经转码过的密码进行对比。

简单的说就是 如果你数据库中存的是明文密码,即假设123456,那是不需要这个属性的,使用NoOpPasswordEncoder!但是这个“无”加码器与后面的那个标准解码器在新版本的Spring Security已经被弃用了,但是出于安全考虑的启用,官方推荐不要使用明文存储密码 。

所以要么使用启用的No··Encoder 要么在数据库存储的数据就采用算法进行加密

9.2.3 基于LDAP进行认证

9.2.4 配置自定义的服务

如果内置的用户存储无法通用认证需求时,才有配置自定义的必要,假设用户存储在NoSQL中

public class SpitterUserService implements UserDetailsService {

    @Autowired
    private SpitterRepository spitterRepository;  //注入

    @Override
    public UserDetails loadUserByUsername(String userId) throws UsernameNotFoundException {
        Spitter spitter=spitterRepository.findByUserId(userId);  //查找Spitter
        if(spitter!=null){
            List<GrantedAuthority> authorities=new ArrayList<>();
            authorities.add(new SimpleGrantedAuthority("ROLE_SPITTER")); //创建权限列表
            return new User(   //返回User
                spitter.getUserId(),
                spitter.getUserPwd(),
                authorities);
            }
        throw new UserIdNotFoundException();
        }
    }
}

@Autowired
SpitterRepository spitterRepository;
@Override
protected void configure(AuthenticationManagerBuilder auth) throw Exception{
   auth.userDetailsService(new SpitterUserService(spitterRepository));
}

通过实现UserDetailsService 可以不管用户数据在哪,只会查找Spitter对象,甚至可以伪造一个,也不用关心底层所使用的数据存储,只是获得Spitter对象,并用它来创建User(User是UserDetails的具体实现)

Spring Security使用 #Web安全#权限认证Spring实战》第4笔记 (二)
TheJam的博客
03-13 510
9.3 拦截请求 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity) 方法。如下代码中的重载configure,为不同的URL路径有选择性的应用安全性 @Override protected void configure(HttpSecurity http) throws Exception{ http.authorizeRe...
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 4500
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是使用套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于个单独的项目,代码量明显减少,遇到问题也相对来
Spring Security Java Config 浅析
carl.zhao的专栏
03-08 1538
在之前的项目中使用接触过 xml 配置使用 Spring Security。但是最近比较流行 java config。并且对它的 builder 模式比较感兴趣,就会查看了它的源码实现。下面就把自己的分析结果记录下来,希望对阅读这篇博客的你也有帮助。在 Spring Security 里面有两个非常重要的概念认证与授权。 - 认证:是确认某主体在某系统中是否合法、可用的过程。这里的主体既可以是登陆系统的用户也可以是接入 的设备或者其他系统 - 授权:是指当前主体通过认证之后,是否允许其执行某项操作的过程
SpringSecurity安全框架使用尝试
匿名攻城狮
02-05 694
之前在写尚筹网的过程中,需要用到SpringSecurity进行权限控制,所以写下这篇文章记录SpringSecurity框架的学习过程。
Spring Security
weixin_49822012的博客
04-06 1007
Spring Security 是依托于 Spring 框架的安全管控框架,可为 Java 应用提供整套安全解决方案,核心聚焦于 ** 认证(Authentication)
spring security 超详细使用教程(接入springboot、前后端分离)
2509_93985794的博客
11-26 265
如果需要更复杂的授权逻辑,可以实现自定义的或。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的安全管理框架。相比与另外安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建个简单的SpringBoot工程① 设置父工
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 2万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
AI智能体9秒删库攻防实录:Fortinet七道防线实战配置
最新发布
06-15 400
数据库安全本质是访问控制与行为审计的协同防御体系。其核心原理在于识别异常身份、阻断越权操作、解析协议语义、关联多源日志,从而实现从网络层到应用层的纵深防护。在AI原生攻击时代,传统签名检测已难以应对自动化编排的漏洞利用链,技术价值正转向AI驱动的实时行为分析、动态策略响应与跨设备证据链构建。典型应用场景包括金融核心库防护、API网关SQL注入拦截、影子AI调用管控及数据库协议深度解析。本文基于FortiOS 7.4.5环境,详解AI智能体攻击五步路径与Fortinet AI防御体系落地配置,覆盖FortiA
Spring Security详解
JAVA_KX的博客
05-15 3万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
如何使用SpringSecurity
weixin_41553701的博客
08-17 4651
如何使用Spring Security
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1361
整合Security的旧和新的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
SpringSecurity详解
m0_71012114的博客
10-19 5494
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
SpringSecurity 总结
北执南念的博客
06-10 5281
Spring Security 总结
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 5220
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
spring-security安全框架(超精细附带流程讲解图)
边走、边悟、迟早变好
06-30 7924
用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。 用户授权指的是验证某个用户是否有权限执行某个操作。在个系统中,不同用户所具有的权限是不同的。比如对个文件来说,有的用户只能进行读取,而有的用户可以进行修改。般来说,系统会为不同的用户分配不同的角色,而每个角色则对应系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。
SpringSecurity使用
zuochangping的博客
11-01 1956
SpringSecurity使用,运行原理及源码的查看,还有在不同场景的应用
Spring Security——入门介绍
代码星辰的博客
10-05 3674
Spring Security——入门介绍
Spring Security的基础使用
m0_48972623的博客
03-10 8696
目录 . 什么是spring security 二. Spring security使用 1.创建springboot项目 2.主启动类 2.配置controller层 3.配置config类 4.配置多用户登录以及注入权限及登录config注入 5.配置config层 6.登录成功处理类及无权限处理类 7.配置工具类 8.启动测试 三. 总结 . 什么是spring security Spring Security个能够为基于Spring的企业应用系统提供声明.
SpringSecurity介绍及基本使用
qq_47075878的博客
05-13 1566
Spring Security个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值