后端进阶之路——综述Spring Security认证,授权(一)

前言

在这里插入图片描述
「作者主页」:雪碧有白泡泡
「个人网站」:雪碧的个人网站
「推荐专栏」

java一站式服务
前端炫酷代码分享
uniapp-从构建到提升
从0到英雄,vue成神之路
解决算法,一个专栏就够了
架构咱们从0说
★ 数据流通的精妙之道★
★后端进阶之路★

请添加图片描述

文章目录

  • 前言
  • ✍1. 引言
    • ✌ 背景介绍:网络安全的重要性
    • ✌ Spring Security简介:什么是Spring Security,它的作用和优势
  • ✍2. Spring Security基本概念
      • ✌认证(Authentication):验证用户身份
          • 代码演示
        • 1. 创建一个自定义的 `UserDetailsService` 实现来加载用户信息:
        • 2. 配置 Spring Security 来使用上述的 `UserDetailsService` 实现:
        • 3. 在控制器中处理登录请求:
      • ✌授权(Authorization):授予用户访问权限
          • 代码演示
        • 1. 基于角色(Role)的授权:
        • 2. 基于权限(Permission)的授权:
      • ✌安全上下文(Security Context):保存已认证的用户信息
          • 代码演示
        • 一旦你在认证过程中验证了用户的凭据,你可以创建 `CustomUserDetails` 实例,并将其放入安全上下文中:
      • ✌过滤器链(Filter Chain):处理请求的过程
  • ✍小结

以下是在每个标题前添加#符号后的文本:

✍1. 引言

✌ 背景介绍:网络安全的重要性

网络安全的重要性无法被低估。随着我们越来越依赖互联网和数字技术,网络安全问题变得愈发严峻。以下是网络安全的几个重要方面:

  1. 防止数据泄露:网络安全确保我们的个人信息、敏感数据和商业机密不会落入未授权的人手中。这包括银行账户信息、社交媒体账号、医疗记录等。

  2. 防范黑客攻击:黑客可以通过各种方式入侵网络系统,窃取信息、破坏系统或勒索金钱。网络安全措施有助于防止这些攻击,并保护我们的计算机、移动设备和网络连接。

  3. 维护企业安全:对于企业而言,网络安全至关重要。保护公司的数据和机密信息,防止竞争对手或恶意行为者获取敏感信息,确保业务的连续性和声誉。

  4. 保护个人隐私:在数字时代,我们的个人隐私面临威胁。网络安全可以帮助我们保护个人身份和隐私,避免成为身份盗窃、网络欺诈或网络骚扰的受害者。

  5. 防止网络犯罪:网络安全对于打击网络犯罪至关重要。网络犯罪包括电信诈骗、网络钓鱼、恶意软件传播等。通过加强网络安全,可以降低这些犯罪行为的发生率,并维护社会的安全和秩序。

✌ Spring Security简介:什么是Spring Security,它的作用和优势

Spring Security是一个用于在Java应用程序中实现身份验证和授权的框架。它对应用程序进行保护,以防止未经授权的访问,并确保只有经过身份验证的用户可以执行特定操作。

Spring Security的主要作用是提供全面的安全性解决方案,包括用户认证、授权、会话管理和密码加密等功能。它可以轻松集成到Spring应用程序中,并通过配置和自定义来满足各种安全需求。

以下是Spring Security的几个优点:

  1. 统一的安全管控:Spring Security提供了一套完善的安全管理框架,使得开发者可以方便地集中管理应用程序的安全性,而无需重复编写安全相关的代码。

  2. 灵活的身份验证和授权机制:Spring Security支持多种身份验证方式,如基于表单的身份验证、HTTP Basic和Digest身份验证、LDAP身份验证等。它还提供了细粒度的授权机制,可以通过注解或配置的方式定义权限规则。

  3. 安全性扩展性:Spring Security具有良好的扩展性,可以与其他框架和技术无缝集成,例如Spring框架、OAuth、OpenID等。这使得开发人员可以根据项目需求选择合适的安全性解决方案。

  4. 内置防护措施:Spring Security提供了对常见安全威胁的内置防护机制,如跨站点请求伪造(CSRF)保护、点击劫持保护、会话管理等。这些功能可以有效地提高应用程序的安全性。

在这里插入图片描述

✍2. Spring Security基本概念

Spring Security是一个基于Java的身份验证和访问控制框架,用于保护Web应用程序和服务。它提供了一套功能强大的安全性特性,帮助开发人员在应用程序中实现各种身份验证和授权方案。

在这里插入图片描述

✌认证(Authentication):验证用户身份

认证是确认用户身份的过程。当用户尝试登录系统时,Spring Security会验证用户提供的凭据是否有效,并根据验证结果构建一个代表用户身份的对象,称为Authentication对象。

代码演示

当使用Spring Security进行身份验证时,可以通过以下代码片段来理解认证过程:

1. 创建一个自定义的 UserDetailsService 实现来加载用户信息:

@Service
public class UserDetailsServiceImpl implements UserDetailsService {@Autowiredprivate UserRepository userRepository;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {User user = userRepository.findByUsername(username);if (user == null) {throw new UsernameNotFoundException("User not found with username: " + username);}return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(),getAuthorities(user.getRoles()));}private Collection<? extends GrantedAuthority> getAuthorities(Set<Role> roles) {return roles.stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList());}
}

2. 配置 Spring Security 来使用上述的 UserDetailsService 实现:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Autowiredprivate UserDetailsService userDetailsService;@Overrideprotected void configure(AuthenticationManagerBuilder auth) throws Exception {auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());}// 密码加密器@Beanpublic PasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasAnyRole("USER", "ADMIN").anyRequest().authenticated().and().formLogin().permitAll().and().logout().permitAll();}
}

3. 在控制器中处理登录请求:

@Controller
public class LoginController {@GetMapping("/login")public String login() {return "login";}@GetMapping("/")public String home() {return "home";}
}

在这里插入图片描述

以上代码演示了一个基本的Spring
Security身份验证过程。当用户尝试访问受保护的资源时,会被重定向到登录页面(/login)。用户输入用户名和密码后,Spring
Security将通过 UserDetailsService 加载用户信息,并使用提供的凭据进行验证。如果验证成功,将创建一个
Authentication 对象表示用户身份,并允许用户访问受保护的资源。

✌授权(Authorization):授予用户访问权限

授权是确定用户是否有权限执行某个操作或访问某个资源的过程。Spring Security提供了丰富的授权机制,包括基于角色(Role)和权限(Permission)的授权方式。

代码演示

当涉及到授权时,Spring Security提供了几种常见的授权方式。下面是一些代码片段来帮助理解这些授权机制。

1. 基于角色(Role)的授权:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasAnyRole("USER", "ADMIN").anyRequest().authenticated().and().formLogin();}@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("user").password("{noop}password").roles("USER").and().withUser("admin").password("{noop}password").roles("ADMIN");}
}

在上面的示例中,我们使用了基于角色的授权方式。通过hasRole()hasAnyRole()方法,我们可以指定哪些角色有访问权限。在configureGlobal()方法中,我们使用了一个简单的内存身份验证,其中包含了具有不同角色的两个用户。

2. 基于权限(Permission)的授权:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/admin/**").hasAuthority("ADMIN").antMatchers("/user/**").hasAnyAuthority("USER", "ADMIN").anyRequest().authenticated().and().formLogin();}@Autowiredpublic void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {auth.inMemoryAuthentication().withUser("user").password("{noop}password").authorities("USER").and().withUser("admin").password("{noop}password").authorities("ADMIN");}
}

在上面的示例中,我们使用了基于权限的授权方式。通过hasAuthority()hasAnyAuthority()方法,我们可以指定哪些权限有访问权限。在configureGlobal()方法中,我们使用了相同的内存身份验证,但是这次我们分配了不同的权限。

✌安全上下文(Security Context):保存已认证的用户信息

用户详情(User Details):用户详情是Spring Security中表示用户信息的接口,通常由开发人员实现以提供自定义用户信息。它包含用户的用户名、密码、角色等属性。

代码演示

以下是自定义用户详情(User Details)并在安全上下文(Security Context)中保存已认证的用户信息。

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;import java.util.Collection;public class CustomUserDetails implements UserDetails {private String username;private String password;private Collection<? extends GrantedAuthority> authorities;public CustomUserDetails(String username, String password, Collection<? extends GrantedAuthority> authorities) {this.username = username;this.password = password;this.authorities = authorities;}@Overridepublic Collection<? extends GrantedAuthority> getAuthorities() {return authorities;}@Overridepublic String getPassword() {return password;}@Overridepublic String getUsername() {return username;}// 下面的方法可以根据实际需求进行实现@Overridepublic boolean isAccountNonExpired() {return true;}@Overridepublic boolean isAccountNonLocked() {return true;}@Overridepublic boolean isCredentialsNonExpired() {return true;}@Overridepublic boolean isEnabled() {return true;}
}

在上述代码中,CustomUserDetails 类实现了 UserDetails
接口,并提供了必要的方法来获取用户名、密码和用户角色等属性。这个类是开发人员自定义的用户详情实现。

一旦你在认证过程中验证了用户的凭据,你可以创建 CustomUserDetails 实例,并将其放入安全上下文中:

import org.springframework.security.core.Authentication;
import org.springframework.security.core.context.SecurityContextHolder;public class AuthenticationService {public void authenticateUser(String username, String password) {// 通过验证用户名和密码// 创建用户详情UserDetails userDetails = new CustomUserDetails(username, password, authorities);// 创建认证对象Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, password, authorities);// 将认证对象放入安全上下文SecurityContextHolder.getContext().setAuthentication(authentication);}
}

在上述代码中,authenticateUser 方法创建了一个 CustomUserDetails 实例,并使用该实例创建了一个
UsernamePasswordAuthenticationToken
对象。然后,它将认证对象放入安全上下文中,以便后续可以访问已认证的用户信息。

✌过滤器链(Filter Chain):处理请求的过程

过滤器链(Filter Chain):过滤器链是Spring Security的核心组件之一,负责处理请求的安全性。它由多个过滤器组成,每个过滤器负责执行特定的安全操作,例如身份验证、授权检查等。

下面是一个基本的Spring Security过滤器链配置

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http.authorizeRequests().antMatchers("/public/**").permitAll().anyRequest().authenticated().and().formLogin().and().logout();}
}

在上面的示例中,SecurityConfig类继承了WebSecurityConfigurerAdapter,这是一个方便的基类,用于配置Spring
Security。

configure()方法用于配置HttpSecurity对象,它定义了过滤器链的行为。在该示例中,过滤器链执行以下操作:

  1. authorizeRequests():配置请求授权规则。
  2. .antMatchers("/public/**").permitAll():允许所有用户访问以/public/开头的URL。
  3. .anyRequest().authenticated():对于其他所有请求,要求用户进行身份验证。
  4. .formLogin():启用基于表单的身份验证。
  5. .logout():启用退出功能。

✍小结

Spring Security是一个功能强大的Java框架,用于在应用程序中实现认证(Authentication)和授权(Authorization)功能。它提供了一套细粒度的安全性控制机制,帮助保护应用程序免受恶意攻击和未经授权的访问。
在这里插入图片描述
下一篇我们会详细讲述Spring Security配置问题

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/78061.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

SQL Server数据库如何添加mysql链接服务器(Windows系统)

SQL Server数据库如何添加mysql链接服务器&#xff08;Windows系统&#xff09; 一、说明二、下载mysql的odbc驱动三、安装mysql odbc四、配置ODBC4.1 控制面板→ODBC数据源&#xff08;64位&#xff09;→双击打开4.2 添加msql odbc数据源 五、测试添加是否成功六、打开SSMS&a…

【Paper Reading】DETR:End-to-End Object Detection with Transformers

背景 Transformer已经在NLP领域大展拳脚&#xff0c;逐步替代了LSTM/GRU等相关的Recurrent Neural Networks&#xff0c;相比于传统的RNN&#xff0c;Transformer主要具有以下几点优势 可解决长时序依赖问题&#xff0c;因为Transformer在计算attention的时候是在全局维度进行…

Java基础——注解

1 概述 注解用于对Java中类、方法、成员变量做标记&#xff0c;然后进行特殊处理&#xff0c;至于到底做何种处理由业务需求来决定。 例如&#xff0c;JUnit框架中&#xff0c;标记了注解Test的方法就可以被当做测试方法进程执行 2 自定义注解 public interface 注解名称 {p…

8.1 配置环境/Linux进程管理总结/Argument/saveload Module/切片

文章目录 一、配置环境二、Linux 进程管理总结三、ArgumentParser四、Saving and Loading Models nn.ModulesWarmstarting Model Using Parameters from a Different Model五、切片&#xff01;拓展&#xff1a; 一、配置环境 github配置环境可以直接赋值到txt中&#xff0c;然…

一 关于idea如何在svn进行项目下载并运行成功

安装svn客户端 如图 安装时请选择该选项&#xff08;Will be installed on local hard drive&#xff09;并选择自己想要安装的目录路径 如图 svn安装成功 如图 注意 安装完成后&#xff0c;使用svn进行一次checkout的项目导出完成以上五步时&…

Qt应用开发(基础篇)——滑块类 QSlider、QScrollBar、QDial

一、前言 滑块类QScrollBar、QSlider和QDial继承于QAbstractSlider&#xff0c;父类主要拥有最大值、最小值、步长、当前值、滑块坐标等信息&#xff0c;滑动的时候触发包含值数据变化、滑块按下、滑块释放等信号。键盘包括左/上和右/下箭头键通过定义的singleStep改变当前值&a…

程序框架-事件中心模块-观察者模式

一、观察者模式 1.1 观察者模式定义 意图&#xff1a; 定义对象间的一种一对多的依赖关系&#xff0c;当一个对象的状态发生改变是&#xff0c;所有依赖于它的对象都能得到通知并自动更新。 适用性&#xff1a; 当一个对象状态的改变需要改变其他对象&#xff0c; 或实际对…

大模型使用——超算上部署LLAMA-2-70B-Chat

大模型使用——超算上部署LLAMA-2-70B-Chat 前言 1、本机为Inspiron 5005&#xff0c;为64位&#xff0c;所用操作系统为Windos 10。超算的操作系统为基于Centos的linux&#xff0c;GPU配置为A100&#xff0c;所使用开发环境为Anaconda。 2、本教程主要实现了在超算上部署LLAM…

CentOS 安装 Jenkins

本文目录 1. 安装 JDK2. 获取 Jenkins 安装包3. 将安装包上传到服务器4. 修改 Jenkins 配置5. 启动 Jenkins6. 打开浏览器访问7. 获取并输入 admin 账户密码8. 跳过插件安装9. 添加管理员账户 1. 安装 JDK Jenkins 需要依赖 JDK&#xff0c;所以先安装 JDK1.8。输入以下命令&a…

【RabbitMQ(day4)】SpringBoot整合RabbitMQ与MQ应用场景说明

一、SpringBoot 中使用 RabbitMQ 导入对应的依赖 <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-amqp</artifactId></dependency>配置配置文件 spring:application:name: rabbitmq-springbo…

【解放ipad生产力】如何在平板上使用免费IDE工具完成项目开发

我的博客即将同步至腾讯云开发者社区&#xff0c;邀请大家一同入驻&#xff1a;https://cloud.tencent.com/developer/support-plan?invite_code3o19zyy2pneoo 前言 很多人应该会像我一样吧&#xff0c;有时候身边没电脑突然要写项目&#xff0c;发现自己的平板没有一点作用&…

[openCV]基于赛道追踪的智能车巡线方案V1

import cv2 as cv import os import numpy as npimport time# 遍历文件夹函数 def getFileList(dir, Filelist, extNone):"""获取文件夹及其子文件夹中文件列表输入 dir&#xff1a;文件夹根目录输入 ext: 扩展名返回&#xff1a; 文件路径列表""&quo…

❤ npm不是内部或外部命令,也不是可运行的程序 或批处理文件

❤ npm不是内部或外部命令,也不是可运行的程序 或批处理文件 cmd或者终端用nvm 安装提示&#xff1a; npm不是内部或外部命令,也不是可运行的程序或批处理文件 原因&#xff08;一&#xff09; 提示这个问题&#xff0c;有可能是Node没有安装&#xff0c;也有可能是没有配置…

Docker卸载安装及国内镜像源(详细版)

文章目录 一、卸载已有Docker1、首先判断本地有没有docker&#xff1a;2、判断CentOS下 docker是否在运行&#xff1a;3、停止docker运行&查看状态4、yum查看docker安装的包并卸载5、删除docker安装目录6、查看docker version 二、Docker安装及镜像源配置1、centOS 7 yum源…

钉钉群消息推送

1. 添加钉钉群机器人 PC端登录&#xff08;当前版本手机端无法进行推送关键词设置&#xff09;&#xff0c;群设置--> 机器人 --> webhook进行安全设置复制webhook对应的url 2. 群消息推送 钉钉群消息支持纯文本和markdown类型 2.1 调用示例源码 import com.alibaba.…

设计模式之模板方法

一、概述 定义一个操作中的算法的骨架&#xff0c;将一些步骤延迟到子类中。 TemplateMethod使得子类可以不改变一个算法的结构即可重新定义该算法的某些特定步骤。 二、适用性 1.一次性实现一个算法的不变的部分&#xff0c;并将可变的行为留给子类来实现。 2.各子类中公共…

人机交互与人机混合智能的区别

人机交互和人机融合智能是两个相关但不完全相同的概念&#xff1a; 人机交互是指人与计算机之间的信息交流和互动过程。它关注的是如何设计和实现用户友好的界面&#xff0c;以便人们能够方便、高效地与计算机进行沟通和操作。人机交互通常强调用户体验和界面设计&#xff0c;旨…

6.7.tensorRT高级(1)-使用onnxruntime进行onnx模型推理过程

目录 前言1. python-ort2. C-ort总结 前言 杜老师推出的 tensorRT从零起步高性能部署 课程&#xff0c;之前有看过一遍&#xff0c;但是没有做笔记&#xff0c;很多东西也忘了。这次重新撸一遍&#xff0c;顺便记记笔记。 本次课程学习 tensorRT 高级-使用 onnxruntime 进行 on…

[openCV]基于拟合中线的智能车巡线方案V2

import cv2 as cv import os import numpy as np# 遍历文件夹函数 def getFileList(dir, Filelist, extNone):"""获取文件夹及其子文件夹中文件列表输入 dir&#xff1a;文件夹根目录输入 ext: 扩展名返回&#xff1a; 文件路径列表"""newDir d…

[ MySQL ] — 库和表的操作

目录 库的操作 创建数据库 语法&#xff1a; 使用&#xff1a; 字符集和校验规则 查看系统默认字符集以及校验规则 查看数据库支持的字符集 查看数据库支持的字符集校验规则 校验规则对数据库的影响 操纵数据库 查看数据库 显示创建语句 修改数据库 删除数据库 备…