springSecurity用户认证和授权的实现
更新时间:2024年07月02日 10:20:59 作者:毕竟尹稳健
Spring Security 是一个开源的安全框架,提供了基于权限的访问控制、身份认证的功能,本文主要介绍了springSecurity用户认证和授权,具有一定参考价值,感兴趣的可以了解一下
一,框架介绍
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。
(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。
Spring Security其实就是用filter,多请求的路径进行过滤。
(1)如果是基于Session,那么Spring-security会对cookie里的sessionid进行解析,找到服务器存储的sesion信息,然后判断当前用户是否符合请求的要求。
(2)如果是token,则是解析出token,然后将当前请求加入到Spring-security管理的权限信息中去
认证与授权实现思路
二 ,如何实现
1 ,导入依赖
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>2,代码
package com.demo.config;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
@EnableWebSecurity
public class Security extends WebSecurityConfiguration {
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/public/**").permitAll() // 允许访问公开路径
.antMatchers("/public/index").hasRole("vip") // 需要指定用户在可以使用
.antMatchers("/admin/**").hasRole("admin") // 需要指定用户在可以使用
.anyRequest().authenticated() // 其他请求需要认证
.and()
.formLogin() // 使用表单登录
.loginPage("/login") // 指定登录页面
.permitAll() // 允许所有用户访问登录页面
.and()
.logout() // 配置注销
.logoutUrl("/logout") // 注销路径
.logoutSuccessUrl("/login?logout") // 注销成功后跳转的页面
.permitAll();
}
//缓存中
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
//添加 名字为 admin 密码 为 admin123 的用户 基于权限 ADMIN
.withUser("admin").password("admin123").roles("ADMIN")
.and()
.withUser("user").password("user123").roles("USER");
}
//从数据库中
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 从数据库或其他数据源加载用户信息
// 这里简单起见,直接使用内存中的用户信息
if ("admin".equals(username)) {
return org.springframework.security.core.userdetails.User.builder()
.username("admin")
.password("{noop}admin") // {noop}表示不加密,实际项目中应该使用加密的密码
.roles("ADMIN")
.build();
} else if ("user".equals(username)) {
return org.springframework.security.core.userdetails.User.builder()
.username("user")
.password("{noop}user")
.roles("USER")
.build();
} else {
throw new UsernameNotFoundException("User not found");
}
}
}
import org.springframework.security.access.annotation.Secured;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
@Controller
public class MyController {
@GetMapping("/user")
@Secured("ROLE_USER") // 要求用户具有ROLE_USER角色才能访问
public String userPage() {
return "user";
}
}import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
@Controller
public class MyController {
@GetMapping("/admin")
@PreAuthorize("hasRole('ADMIN')") // 要求用户具有ROLE_ADMIN角色才能访问
public String adminPage() {
return "admin";
}
@GetMapping("/user")
@PreAuthorize("hasRole('USER')") // 要求用户具有ROLE_USER角色才能访问
public String userPage() {
return "user";
}
}到此这篇关于springSecurity用户认证和授权的实现的文章就介绍到这了,更多相关springSecurity 认证和授权内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
您可能感兴趣的文章:
- Springboot整合SpringSecurity实现登录认证和鉴权全过程
- SpringBoot整合SpringSecurity和JWT和Redis实现统一鉴权认证
- SpringBoot整合SpringSecurityOauth2实现鉴权动态权限问题
- SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现
- SpringSecurity动态加载用户角色权限实现登录及鉴权功能
- springboot+jwt+springSecurity微信小程序授权登录问题
- SpringSecurity实现权限认证与授权的使用示例
- SpringSecurity进行认证与授权的示例代码
- 深入浅析springsecurity入门登录授权
- mall整合SpringSecurity及JWT实现认证授权实战
- SpringSecurity页面授权与登录验证实现(内存取值与数据库取值)
- SpringSecurity 鉴权与授权的具体使用
相关文章
struts2 validation.xml 验证规则代码解析
这篇文章主要介绍了struts2 validation.xml 验证规则代码解析,具有一定借鉴价值,需要的朋友可以参考下2018-01-01
在使用MyBatis进行持久化框架开发时,经常会遇到属性名和数据库字段名不一致的情况,本文主要介绍了MyBatis属性名和字段名配置不一致的解决,具有一定的参考价值,感兴趣的可以了解一下2024-06-06
这篇文章主要介绍了Java的数据解构基础,希望对广大的程序爱好者有所帮助,同时祝大家有一个好成绩,需要的朋友可以参考下,希望能给你带来帮助2021-07-07
这篇文章主要介绍了Spring MVC整合FreeMarker的示例,帮助大家更好的理解和使用Spring MVC,感兴趣的朋友可以了解下2020-12-12
这篇文章主要介绍了浅谈Java中hashCode的正确求值方法,分享了相关代码示例,小编觉得还是挺不错的,具有一定借鉴价值,需要的朋友可以参考下2018-02-02
这篇文章主要为大家详细介绍了如何利用Java语言实现读写文件功能,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下2022-08-08
如何解决Project SDK is not defined问题
这篇文章主要介绍了如何解决Project SDK is not defined问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-09-09
在MyBatis使用中,有时需要对特定数据类型进行定制处理,自定义类型处理器(TypeHandler)可以实现这一需求,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2024-10-10
这篇文章主要介绍了Springboot居然可以设置动态的Banner,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2021-03-03
下面小编就为大家带来一篇Java内存各部分OOM出现原因及解决方法(必看)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧2017-04-04
最新评论