一文带你搞懂 Spring Security

最新推荐文章于 2025-06-10 23:59:04 发布
最新推荐文章于 2025-06-10 23:59:04 发布
阅读量2.2k 收藏 9
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_71777195/article/details/128452235

今天来一篇 Spring Security 精讲,相信你看过之后能彻底搞懂 Spring Security。

Spring Security简介

Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,「减少了为系统安全而编写大量重复代码的工作」 。

「核心功能:认证和授权」

Spring Security 认证流程

SpringSecurity认证执行流程

Spring Security 项目搭建

导入依赖

Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

访问页面

导入spring-boot-starter-security启动器后,Spring Security已经生效,默认拦截全部请求,如果用户没有登录,跳转到内置登录页面。

在浏览器输入:http://localhost:8080/ 进入Spring Security内置登录页面

用户名:user。

密码:项目启动,打印在控制台中。

自定义用户名和密码

修改「application.yml」 文件

# 静态用户,一般只在内部网络认证中使用,如:内部服务器1,访问服务器2
spring:
  security:
    user:
      name: test  # 通过配置文件,设置静态用户名
      password: test # 配置文件,设置静态登录密码

UserDetailsService详解

什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过「自定义逻辑控制认证逻辑」 。如果需要自定义逻辑时,只需要实现UserDetailsService接口

@Component
public class UserSecurity implements UserDetailsService {

    @Autowired
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {

        User user = userService.login(userName);
        System.out.println(user);
        if (null==user){
            throw new UsernameNotFoundException("用户名错误");
        }
        org.springframework.security.core.userdetails.User result =
                new org.springframework.security.core.userdetails.User(
                        userName,user.getPassword(), AuthorityUtils.createAuthorityList()
                );
        return result;
    }

}

PasswordEncoder密码解析器详解

PasswordEncoder

「PasswordEncoder」 是SpringSecurity 的密码解析器,用户密码校验、加密 。自定义登录逻辑时要求必须给容器注入PaswordEncoder的bean对象

SpringSecurity 定义了很多实现接口「PasswordEncoder」 满足我们密码加密、密码校验 使用需求。

PasswordEncoder密码解析器详解

自定义密码解析器

  1. 编写类,实现PasswordEncoder 接口

/**
 * 凭证匹配器,用于做认证流程的凭证校验使用的类型
 * 其中有2个核心方法
 * 1. encode - 把明文密码,加密成密文密码
 * 2. matches - 校验明文和密文是否匹配
 * */
public class MyMD5PasswordEncoder implements PasswordEncoder {

    /**
     * 加密
     * @param charSequence  明文字符串
     * @return
     */
    @Override
    public String encode(CharSequence charSequence) {
        try {
            MessageDigest digest = MessageDigest.getInstance("MD5");
            return toHexString(digest.digest(charSequence.toString().getBytes()));
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return "";
        }
    }

    /**
     * 密码校验
     * @param charSequence 明文,页面收集密码
     * @param s 密文 ,数据库中存放密码
     * @return
     */
    @Override
    public boolean matches(CharSequence charSequence, String s) {
  &
最低0.47元/天 解锁文章

200万优质内容无限畅学
狂神说SpringBoot18:集成SpringSecurity
狂神说
03-29 1万+
狂神说SpringBoot系列连载课程,通俗易懂,基于SpringBoot2.2.5版本,欢迎各位狂粉转发关注学习。未经作者授权,禁止转载SpringSecurity安全简介在 Web ...
一文你读懂Spring Security 6.0的实现原理
m0_73311735的博客
07-28 420
本文重点分析了Spring Security的源码和架构,帮助读者理解其实现原理。由于篇幅有限,本文只覆盖了身份认证和鉴权模块的核心逻辑,很多特性没有涉及,包括Session管理,Remember Me服务,异常分支和错误处理等等,不过有了上述的基础知识,读者完全可以自己分析源码并深入理解这些特性。
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 1141
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证和授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
Spring Security
最新发布
hqxstudying的博客
06-10 1214
建议从简单的表单登录开始,逐步尝试 JWT、OAuth2 等复杂场景,并通过实战项目巩固知识。遇到问题时,结合官方文档和调试工具(如断点跟踪过滤器链)分析流程,逐步掌握其底层逻辑。(Spring Boot 2.7+ 需实现。
SpringSecurity最全实战讲解
roykingw的专栏
09-28 3706
文章目录Spring Security 专题一、基本概念认证授权会话RBAC模型二、一个自己实现的权限模型 BasicAuth:三、SpringBoot Security 快速上手1、项目搭建步骤2、用SpringBoot Security重新实现我们上个应用的认证和授权逻辑。3、项目测试4、了解SpringBoot Security项目的扩展点四、SpringBoot Security工作原理1、 结构总览2、认证流程2.1 AuthenticationProvider接口:认证处理器2.2 Authen
SpringSecurity实战
2402_83415279的博客
04-17 2738
和Shiro相比,Spring Security重量级并且配置烦琐,直至今天,依然有人以此为理由而拒绝了解Spring Security。还拿微信来举例子,微信登录成功后用户即可使用微信的功能,比如,发红包、发朋友圈、添加好友等,没有绑定银行卡的用户是无法发送红包的,绑定银行卡的用户才可以发红包,发红包功能、发朋友圈功能都是微信的资源即功能资源,用户拥有发红包功能的权限才可以正常使用发送红包功能,拥有发朋友圈功能的权限才可以使用发朋友圈功能,这个根据用户的权限来控制用户使用资源的过程就是授权。
一文入门SpringSecurity 5
qq_73181349的博客
07-23 978
spring security案例、底层原理初探、认证授权流程图
一文弄懂spring security 授权方式及源码跟踪
q1472750149的博客
12-03 820
spring security 授权方式(自定义)及源码跟踪 ​ 这节我们来看看spring security的几种授权方式,及简要的源码跟踪。在初步接触spring security时,为了实现它的授权,特别是它的自定义授权,在网上找了特别多的文章以及例子,觉得好难,但是现在自己尝试结合官方文档及demo来学习,颇有收获。 基于表达式Spel的访问控制 ​ Spring Security 使用 Spring EL 进行表达式支持,不了解Spring EL的童鞋自行学习。根据文档https://d..
一文上手SpringSecurity【二】
ldcigame的专栏
09-26 1129
spring boot3.3.4自动装配、spring security过滤器链、自动装配分析、默认登录页处理流程、认证流程源码分析
Spring Security实战
rhwayfun专栏
08-20 3574
spring security是一个多方面的安全认证框架,提供了基于JavaEE规范的完整的安全认证解决方案。并且可以很好与目前主流的认证框架(如CAS,中央授权系统)集成。使用spring security的初衷是解决不同用户登录不同应用程序的权限问题,说到权限包括两部分:认证和授权。认证是告诉系统你是谁,授权是指知道你是谁后是否有权限访问系统(授权后一般会在服务端创建一个token,之后用这个t
springsecurity实战(一)
qq_19126341的博客
04-16 397
前言 一个良好的认证服务应该同时支持以下几点: 同时支持多种认证方式 同时支持多种前端渠道 支持集群环境,跨应用工作,防护与身份认证相关的攻击 完成这样的工作不难,如何写出可重用可扩展的代码来,可能就需要多花一些心思。下面就给我一起实战起来吧。 项目搭建 工程结构 jy-security 该工程是一个聚合工程.在该工程中我们先引入spirng io platform和spring clo...
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1111
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
[Springsecurity]springsecurity 基础实战
green hand的博客
06-02 472
spring security入门实战,描述了基本组件。spring security基于spring Aop原理开发的一个认证鉴权组件。
Spring Security】 入门实战
m0_46638350的博客
04-17 465
这是因为,你在pom.xml中导入了依赖包,等于告诉maven要导入Spring Security依赖,但是不等于已经导入了Spring Securtiy,因为maven可能还没来得及导入,你就已经启动项目了。但是有时候导入依赖之后访问页面,也没有跳转到指定验证页面,这就是Spring Security没有生效。在pom.xml文件映入SpringSecutrity依赖启动器,启动项目,访问文章列表页面时,出现默认的登录页,需要用默认用户名:user,密码源于控制台输出,也就是最基础的登录。
Spring Security:保护Spring应用程序的最佳实践
qq_28245087的博客
06-27 953
Spring Security过滤器链是一系列过滤器的集合,用于在Web应用程序中执行安全性检查。每个过滤器都负责执行不同的安全性任务,例如身份验证、授权、注销等。过滤器链的顺序很重要,因为每个过滤器都依赖于前一个过滤器执行的结果。Spring Security的过滤器链是基于Servlet Filter的,它通过FilterChainProxy将多个过滤器链接在一起。FilterChainProxy是一个特殊的过滤器,它将请求传递给一系列过滤器,并在适当的时候停止传递请求。} }
Spring Security 实战 - 表单认证
blurooo的博客
09-01 667
在上一节中,我们初步引入了Spring Security,并使用了其默认生效的HTTP Basic认证形式保护url资源,本节我们将尝试使用表单认证来达到同样的目的。 说明 本章节摘自《Spring Security 实战》第二章 - 表单认证,更多内容请购书学习。 目前已经上线京东,首批仅需6.8折,猛搓购买:京东 -《Spring Security 实战》 默认表单认证 首先新建一个conf...
spring security 6.0
09-01
- *1* *2* *3* [一文你读懂Spring Security 6.0的实现原理](https://blog.csdn.net/m0_71777195/article/details/131975198)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值