认证授权概述和SpringSecurity安全框架快速入门

1. 认证授权的概述

1.1 什么是认证

进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条、抖音等

以微信为例说明认证的相关基本概念。在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账户和密码登录微信的过程就是认证

系统为什么需要认证?

认证是为了保护系统的隐私数据和资源,用户的身份合法,方可访问该系统的资源

认证:用户认证就是判断一个用户的信息是否合法的过程,用户去访问系统资源时,系统需要要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名和密码登录二维码登录手机短信登录指纹认证等方式

1.2 什么是会话

用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式

1.2.1 基于session的认证

它的交互流程是:

用户认证成功后,在服务端生成用户相关的数据保存在session(当前会话)中,发给客户端的session_id存放到cookie中。

这样用户客户端请求时带上session_id就可以验证服务器端是否存在session数据,以此完成用户的合法校验,当前用户退出系统或session过期销毁时,客户端的session_id也就无效了

在这里插入图片描述

1.2.2 基于Token的认证

它的交互流程是

用户认证成功后,服务端生成一个token(令牌)【唯一字符串】发给客户端,客户端可以放到cookie或sessionStorage等存储中,每次请求时带上token,服务端收到token通过验证后即可确认用户身份

基于session的认证方式由servlet规范定制,服务端要存储session信息,需要占用内存资源,客户端需要支持cookie;基于token的方式则一般不需要服务端存储token,并且不限制客户端的存储方式cookie sessionStorage LocalStorage Vuex。如今移动互联网时代更多类型的客户端[pC ,android,IOS,]需要接入系统,系统多是采用前后端分离的架构进行实现,所以基于token的方式更适合

使用前后端分离或后台使用了集群—一定采用token模式。

传统的项目前端和后端都在一个工程下—基于session模式。

1.3 什么是授权

还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的权限才可以正常使用发送红包功能,拥有发朋友圈功能的权限才可以便用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。

  1. 权限【权限表】----资源【接口】

1.3.1 为什么要授权

认证是为了保证用户身份的合法性,授权则是为了更细粒度的对隐私数据进行划分,授权是在认证通过后发生的,控制不同的用户能够访问不同的资源。
授权:授权是用户认证通过根据用户的权限来控制用户访问资源的过程,拥有资源的访问权限则正常访问,没有权限则拒绝访问。

认证授权的框架: [1]shiro 轻量级的认证授权 它可以整合任意框架 它支持javase和javaee

​ [2]springsecurity 重量级的认证授权框架。它只能和spring整合,只支持javaee web框架。

spring非常麻烦,但是现在和springboot整合就很简单了。

2.概述springsecurity

官网:https://spring.io/projects/spring-security#overview

2.1 什么是spring security?

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Sprirg应用上下文中配置的Bean,充分利用了Spring IoC [],DI(控制反转Inversion of Control ,DI:Dependency Injection依赖主入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
以上解释来源于百度白科。可以一句话来概括,SpringSecurity 是一个安全框架。可以帮我们完成认证,密码加密,授权,,rememberme的功能【security:安全】

3.快速入门springsecurity

基于内存的数据。

引入依赖

 <!--引入springsecurity的依赖--><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>

创建接口资源——创建一个controller

@RestController
public class HelloController {@GetMapping("/hello")public String hello(){return "Hello~~~~~~~~~~~~~~~";}

启动项目并访问资源

在这里插入图片描述

发现:帮你跳转到登录页面。 因为springsecurity包含了很多过滤器,认证过滤器发现你没有登录就访问资源。默认调整到它内置的登录页面

在这里插入图片描述

账号为: user

密码: 在控制台可以看见

在这里插入图片描述

4. 自定义账号和密码

在配置文件中添加配置——但只能定义一个用户

#定义账号和密码 一旦自定义了账号和密码 原来自带的就不存在了 这里只能定义一个账号和密码
spring.security.user.name=admin
spring.security.user.password=123456

5. 定义多用户–基于内存

定义一个配置类——springboot版本2.7.0以下

@Configuration
public class MySecurityConfig extends WebSecurityConfigurerAdapter {//配置文件中的账号和密码失效@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.//基于内存完成认证和授权inMemoryAuthentication()// 表示用户名.withUser("lay")//表示密码.password("123456")//当前用户具有的角色.roles("admin")//表示具有的权限.authorities("user:select","user:delete","user:insert","user:update").and().withUser("xiumin").password("123456").roles("user").authorities("user:select","user:export");}

在这里插入图片描述

输入密码登录后报错

在这里插入图片描述

没有使用密码加密器。

解决:修改配置类——1.在配置类中添加密码加密器

    @Beanpublic PasswordEncoder passwordEncoder(){PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();return passwordEncoder;}

修改配置类——给密码使用加密器

@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("lay").password(passwordEncoder().encode("1007"))//添加密码加密器.roles("admin").authorities("user:select").and().withUser("lays").password(passwordEncoder().encode("10072")).roles("user").authorities("user:export");}

在password中添加密码加密器:passwordEncoder().encode("密码")

6. 密码加密器

分成两种类型: 对称加密和非对称加密

对称加密:表示加密和解密使用同一把密钥。

非对称加密: 表示加密和解密不是使用同一个密钥。 md5 hash

public class Test {public static void main(String[] args) {PasswordEncoder passwordEncoder=new BCryptPasswordEncoder();//用于加密String encode = passwordEncoder.encode("123456");String encode2 = passwordEncoder.encode("123456");String encode3 = passwordEncoder.encode("123456");System.out.println(encode);System.out.println(encode2);System.out.println(encode3);//安全.boolean matches = passwordEncoder.matches("123456", encode2);System.out.println("是否密码正确:"+matches);}

7. 获取当前用户的信息

// springsecurity默认把当前用户的信息保存SecurityContext上下文中.
@GetMapping("info")public Authentication info(){//获取SecurityContext对象SecurityContext context = SecurityContextHolder.getContext();//把用户得到信息封装到Authontication类中--用户名---角色以及权限---状态[]Authentication authentication = context.getAuthentication();UserDetails principal = (UserDetails) authentication.getPrincipal();// System.out.println(principal.getUsername());return authentication;}

springsecurity默认为当前用户的信息保存在SecurityContext上下文中

  1. 首先获取SecurityContext对象

    SecurityContext context = SecurityContextHolder.getContext();

    SecurityContextHolder:是安全上下文容器,可以在此得知操作的用户是谁,该用户是否已经被验证,它拥有哪些角色权限,这些都被保存在SecurityContextHolder中

  2. 返回认证信息——getAuthentication()方法

    Authentication authentication = context.getAuthentication();

  3. 返回身份信息——getPrincipal()方法。UserDetail便是Spring对身份信息封装的一个接口

    UserDetails principal = (UserDetails) authentication.getPrincipal();

  4. Authentication接口-认证信息包括:

    • getAuthorities():权限信息列表,默认是GrantedAuthority接口的一些实现类,通常是代表权限信息的一系列字符串
    • getCredentials():密码信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全
    • getDetails():细节信息,web应用中的实现接口通常为WebAuthenticationDetails,它记录了访问者的ip地址和sessionId的值
    • getPrincipal():身份信息,大部分情况下返回的是UserDetails接口的实现类,也是框架中常用接口之一

8. security零散配置

    @Overrideprotected void configure(HttpSecurity http) throws Exception {http.formLogin()//登录页面;.loginPage("/login.html")//登录的处理路径 默认 /login.loginProcessingUrl("/login").successForwardUrl("/success") //登录成功转发的路径 必须为post请求.failureForwardUrl("/fail") //登录失败转发的路径 必须为post请求.permitAll(); //上面的请求路径无需认证http.csrf().disable();//禁用跨域伪造请求的过滤器//除了上的请求,其他请求都需要认证http.authorizeRequests().anyRequest().authenticated();}
  1. 设置跳转到指定的登录页面——loginPage("/login.html")
  2. 设置登录的处理路径——loginProcessingUrl("/login")【默认登录的处理路径为:/login】
  3. 设置成功转发的路径——successForwardUrl("/success")必须为Post请求
  4. 设置登录失败转发的路径——failureForwardUrl("/fail")必须为Post请求
  5. 表名上面的请求路径无需认证——permitAll()
  6. 禁用跨域伪造请求的过滤器——http.csrf().disable();
  7. 设置处理以上的请求,其他请求都需要认证——http.authorizeRequests().anyRequest().authenticated();

9. security完成授权

授权:把当前用户具有的权限和对应的资源绑定的过程

授权一定发生在认证后

步骤

  • 定义一些资源接口
    @GetMapping("select")public String select(){System.out.println("查询用户");return "查询用户";}@GetMapping("insert")public String insert(){System.out.println("添加用户");return "添加用户";}@GetMapping("update")public String update(){System.out.println("修改用户");return "修改用户";}@GetMapping("delete")public String delete(){System.out.println("删除用户");return "删除用户";}@GetMapping("export")public String export(){System.out.println("导出用户");return "导出用户";}
  • 修改配置类

    在配置类中将资源和权限绑定

http.authorizeRequests().
//user/select资源与user:select权限绑定
antMatcher("/user/select").hasAuthority("user:select")
antMatcher("/user/insert").hasAuthority("user:insert")
antMatcher("/user/update").hasAuthority("user:update")
antMatcher("/user/delete").hasAuthority("user:delete")
antMatcher("/user/export").hasAuthority("user:export");

10. 使用注解完成授权

上述的授权代码比较麻烦,我们可以使用注解完成授权的过程

步骤

  • 开启security授权的注解驱动

    @EnableGlobalMethodSecurity(prePostEnabled = true)
    
  • 在资源上使用注解

    @PreAuthorize("hasAuthority(‘权限’)——资源执行前判断当前用户是否拥有该权限

     @GetMapping("select")@PreAuthorize("hasAuthority('user:select')") //资源执行前判断当前用户是否拥有user:select权限public String select(){System.out.println("查询用户");return "查询用户";}
    
  • 修改配置类*——将配置类中上述的手动绑定的代码删除

11. 处理权限不足

权限不足,使其跳转到指定页面

  • 首先创建一个用于当权限不足时要跳转的页面

    <!DOCTYPE html>
    <html lang="en">
    <head><meta charset="UTF-8"><title>Title</title>
    </head>
    <body>
    权限不足, 请联系管理员!!!!!!!!
    </body>
    </html>
    
  • 修改配置类

    http.exceptionHandling().accessDeniedPage("/页面名称");

    //指定权限不足跳转的页面http.exceptionHandling().accessDeniedPage("/403.html");
    

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/386823.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

git 推送时出现错误 Locking support detected on remote “origin“

背景&#xff1a;代码托管是局域网搭建的gitlab 按照提示配置 lfs.locksverify true 还是没有用。 网上搜索了一番&#xff0c;其中有人提到可能时服务器磁盘满了&#xff0c;连到服务器上 df -h 查看&#xff0c; 发现根目录已经写满了&#xff1a; 使用命令行&#xff1a; d…

scipy.fft.fft函数与scipy.fft.rfft函数的异同

import numpy as np from scipy import signal import matplotlib.pyplot as plt思路&#xff1a;1&#xff09;先利用fft计算得出其幅频值2&#xff09;在利用rfft计算得出其幅频值&#xff0c;看1&#xff09;和2&#xff09;那个能还原出信号的原始幅值# 生成一个示例信号 n…

c#实际开发长到的知识

基础科普: 个人建议先把rotion的库导入进来再操作,具体需要导入的库有,helper库包含了modbus通讯封装好的模块,而mvvm则可以用来做设计mvvm模块,你可以使用里面封装好的实现方法,用起来特别简单更容易实现其中的操作,但是我担心那天被卡脖子了啊啊啊,要是我罗工把库下…

【CTFHub】文件上传漏洞详解!

Webshell&#xff1a; 又称一句话木马。WebShell就是以网页文件形式存在的一种代码执行环境&#xff0c;主要用于网站管理、服务器管理、权限管理等操作。 WebShell根据不同的语言分为:ASP木马、PHP木马、JSP木马(上传解析类型取决于网站服务端编写语言类)&#xff0c;该类木马…

(二)延时任务篇——通过redis的key监听,实现延迟任务实战

前言 本节内容是关于使用redis的过期key&#xff0c;通过开启其监听失效策略&#xff0c;模拟订单延迟任务的执行流程。其核心原理是通过使用redis订阅与发布的方式&#xff0c;将过期失效的key通过广播的方式&#xff0c;发布给客户端&#xff0c;客户端可以监听此消息进而消…

LNMP动态网站环境部署

1、LINUX部署 stop firewallddisable selinux 2、Nginx部署 ​ vim /etc/yum.repos.d/nginx.repo [nginx-stable] namenginx stable repo baseurlhttp://nginx.org/packages/centos/$releasever/$basearch/ gpgcheck1 enabled1 gpgkeyhttps://nginx.org/keys/nginx_signing.…

【前端 · 面试 】JavaScript 之你不一定会的基础题(一)

最近我在做前端面试题总结系列&#xff0c;感兴趣的朋友可以添加关注&#xff0c;欢迎指正、交流。 争取每个知识点能够多总结一些&#xff0c;至少要做到在面试时&#xff0c;针对每个知识点都可以侃起来&#xff0c;不至于哑火。 JavaScript 之你不一定会的基础题 前言 面试往…

Windows蓝屏问题解决(电脑只要安装了VPN_SV独立客户端)必蓝屏

一、SERNEL_SECURITY_CHECK_FAILURE (139) 蓝屏分析 官方介绍蓝屏现象&#xff0c;官方Windows为了保护电脑&#xff0c;出现故障&#xff0c;自动蓝屏&#xff0c;避免损坏电脑的一种现象&#xff0c;别名buckcheck、蓝屏。 100%复现软件&#xff1a;天融信VPN&#xff0c;同事…

为了方便写CURD代码,我在UTools写了个插件SqlConvert来生成代码!

-1. 前言 为了方便摸鱼&#xff0c;我之前写过一个通过sql生成代码的工具&#xff0c;但是服务器到期了&#xff0c;也就懒得重新部署了。 技术框架是 SpringBoot MybatisPlus Velocity Vue ElementUI Sql-ParseeSql-Parser-ui 0. Utools应用安装 官网地址: https://u.too…

【HZHY-AI300G智能盒试用连载体验】使用YOLOv8进行车辆流量监测

目录 YOLOv8的RKNN模型 程序的部署 流量统计 本文首发于电子发烧友论坛&#xff1a;【新提醒】【HZHY-AI300G智能盒试用连载体验】 智能工业互联网网关 - 北京合众恒跃科技有限公司 - 电子技术论坛 - 广受欢迎的专业电子论坛! (elecfans.com) 环境准备好之后&#xff0c;接…

福建聚鼎:现在装饰画好做吗

在当今社会&#xff0c;随着人们审美情趣的提升和生活品质的改善&#xff0c;家居装饰画已经成为了一种流行的墙面装饰方式。许多人都在思考&#xff0c;现在做装饰画是否是一个好时机? “逆水行舟&#xff0c;不进则退。”在日新月异的市场中&#xff0c;装饰画行业的竞争愈发…

商用密码测评之对HTTPS(TLS)协议中各个参数解释

1、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 是一个广泛使用的TLS&#xff08;传输层安全协议&#xff09;加密套件&#xff0c;它结合了多种技术和算法来确保网络通信的安全。下面是对该加密套件中各个参数的详细解释&#xff1a; 1. TLS 定义&#xff1a;TLS&#xff08;传…

JMeter 使用

1.JMeter 是什么&#xff1f; JMeter 是一款广泛使用的开源性能测试工具&#xff0c;由 Apache 软件基金会维护。它主要用于测试 Web 应用程序的负载能力和性能&#xff0c;但也支持其他类型的测试&#xff0c;如数据库、FTP、JMS、LDAP、SOAP web services 等。 2.特点&#x…

Infuse Pro for Mac全能视频播放器

Mac分享吧 文章目录 效果一、下载软件二、开始安装1、双击运行软件&#xff0c;将其从左侧拖入右侧文件夹中&#xff0c;等待安装完毕2、应用程序显示软件图标&#xff0c;表示安装成功 三、运行测试安装完成&#xff01;&#xff01;&#xff01; 效果 一、下载软件 下载软件…

Qt系统机制

Qt系统 Qt文件概述输入输出设备类QFileQFileInfoQt多线程Qt多线程常用API使用Qt多线程 线程安全互斥锁读写锁条件变量信号量 Qt网络QUdpSocketQNetworkDatagram设计一个UDP回显服务器QTcpServerQTcpSocketTcp版本的回显服务器HttpClient核心API Qt 音频Qt视频 Qt文件概述 ⽂件操…

【C++BFS】1020. 飞地的数量

本文涉及知识点 CBFS算法 LeetCode1020. 飞地的数量 给你一个大小为 m x n 的二进制矩阵 grid &#xff0c;其中 0 表示一个海洋单元格、1 表示一个陆地单元格。 一次 移动 是指从一个陆地单元格走到另一个相邻&#xff08;上、下、左、右&#xff09;的陆地单元格或跨过 gr…

【C++初阶】string类

【C初阶】string类 &#x1f955;个人主页&#xff1a;开敲&#x1f349; &#x1f525;所属专栏&#xff1a;C&#x1f96d; &#x1f33c;文章目录&#x1f33c; 1. 为什么学习string类&#xff1f; 1.1 C语言中的字符串 1.2 实际中 2. 标准库中的string类 2.1 string类 2.…

前缀表达式(波兰式)和后缀表达式(逆波兰式)的计算方式

缀是指操作符。 1. 前缀表达式&#xff08;波兰式&#xff09; &#xff08;1&#xff09;不需用括号&#xff1b; &#xff08;2&#xff09;不用考虑运算符的优先级&#xff1b; &#xff08;3&#xff09;操作符置于操作数的前面。&#xff08;如 3 2 &#xff09; 1.1 中…

《Programming from the Ground Up》阅读笔记:p75-p87

《Programming from the Ground Up》学习第4天&#xff0c;p75-p87总结&#xff0c;总计13页。 一、技术总结 1.persistent data p75, Data which is stored in files is called persistent data, because it persists in files that remain on disk even when the program …

hash表如何形成,hash函数如何计算,什么是hash冲突 如何解决 ,Golang map的底层原理及扩容机制

散列表 散列表&#xff08;hash表&#xff09;:根据给定的关键字来计算出关键字在表中的地址的数据结构。也就是说&#xff0c;散列表建立了关键字和 存储地址之间的一种直接映射关系。 问题&#xff1a;如何建立映射管血 散列函数:一个把查找表中的关键字映射成该关键字对应…