- 1笔记小结:现代卷积神经网络之批量归一化_batchnormalization的作用
- 2安全篇 ━━ 网络安全等级保护测评-MYSQL篇_应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除
- 3vscode配c++环境(acm刷题向)_vscode makefile 刷题
- 4FASTAPI_fastapi 返回图片
- 5【鸿蒙实战开发】HarmonyOS 对称加密_鸿蒙系统 加密
- 6Linux 某进程 CPU 高问题,用 Shell 脚本发现处理_linux 系统 cpu 100% 异常问题,能否用一个 shell 脚本完美解决?
- 7【已解决】pycharm突然双击无法打开,重启电脑也不管用_pycharm打不开
- 8js map修改数组_js map 修改 原数组
- 9MobaXterm | 个人使用笔记
- 10Ubuntu22.04本地部署qwen模型、jupyterlab开发环境、LoRA微调全流程_ubuntu安装jupyterlab
springboot md5加密_SpringSecurity入门-SpringBoot集成SpringSecurity
赞
踩
前言
至今Java能够如此的火爆Spring做出了很大的贡献,它的出现让Java程序的编写更为简单灵活,而Spring如今也形成了自己的生态圈,今天咱们探讨的是Spring旗下的一个款认证工具:SpringSecurity,如今认证框架主流“shiro”和“SpringSecurity”,由于和Spring的无缝衔接,使用SpringSecurity的企业也越来越多。
基本概念
1.什么是认证
认证是对主体/用户身份的确认,在我们的生活中随处可见认证场景,如:小区门禁卡,人脸识别,指纹识别等都是对用户身份的确认,在传统的应用中我们通常使用用户名/用户ID和密码来进行用户的身份确认,即登录,但登录的方式不仅限制于用户名/密码的方式,认证是我们应用的第一道安全门,所以对于整个系统的安全来说显得极其重要。
2.什么是授权
控制不同的用户访问不同的权限 ,用户认证成功后,就可以对某些资源进行访问,但是不同的用户有不同的资源访问权利,那么对用户的授权也都不一样。如:公司老板拥有对公司的所有权限,而部门主管只能有对自己管理的部门的权限,所以在程序中授权的过程就是赋予不同用户不同权限的过程。
3.RBAC介绍
RBAC:是基于角色的访问控制(Role-Based Access Control )在 RBAC 中,权限与角色相关联,用户通过成为适当角色的成员而得到这些角色的权限。这就极大地简化了权限的管理。这样管理都是层级相互依赖的,权限赋予给角色,而把角色又赋予用户,这样的权限设计很清楚,管理起来很方便。
举例:可以把部门的展示,添加,修改,删除等资源或功能打包成角色“部门管理”,然后把“部门管理”这个角色赋予某个用户,那么这个用户就是部门管理员,拥有部门的相关权限。
RBAC 认为授权实际上是Who 、What 、How 三元组之间的关系,也就是Who 对What 进行How 的操作。
- 主体(Who ) :是权限的拥有者或主体(如:User,Role)。**
- 资源 (what): 是操作或对象,如:页面,菜单,按钮,控制器(controller,hanler)等
- 权限(how) :具体的权限, 如:张三可以删除员工。 那么删除员工就是一个权限
4.SpringSecurity介绍
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,SrpingSecurity为我们在做认证,授权方面提供了很多方便。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot+SpringSecurity快速上手
本案例是基于SpringBoot集成SpringSecurity,如果对SpringBoot不熟悉的小伙伴请先学习SpringBoot
1.搭建工程
基于SpringBoot搭建工程
2.导入依赖
org.springframework.boot spring-boot-starter-parent 2.0.5.RELEASE cn.itsource.security security-demo 1.0-SNAPSHOT security-demo UTF-81.81.8 org.springframework.boot spring-boot-starter-security org.springframework.boot spring-boot-starter-web org.springframework.boot spring-boot-starter-test test junit junit 4.12test SpringBoot集成Security基础依赖:spring-boot-starter-security
3.主配置类
SpringBoot的主启动类,
@SpringBootApplication public class ApplicationConfig { public static void main(String[] args) { SpringApplication.run(ApplicationConfig.class); } }4.控制器
这里编写了一个登陆成功后的跳转地址
@Controller public class AuthController { //登录成功后重定向地址 @RequestMapping("/loginSuccess") @ResponseBody public String loginSuccess(){ return "登录成功"; } } 5.UserDetailService
- UserDetailsService
是SpringSecurity提供用来获取认证用户信息(用户名,密码,用户的权限列表)的接口,我们可以实现该接口,复写loadUserByUsername(username)方法加载我们数据库中的用户信息
- UserDetails
是SpringSecurity用来封装用户信息的对象,我们使用它的实现类User封装用户信息并返回,我们这里模拟从数据库查询用户名
/** * 用来提供给security的用户信息的service, * 我们需要复写 loadUserByUsername 方法返回数据库中的用户信息 */ @Service public class UserDetailServiceImpl implements UserDetailsService { /** * 加载数据库中的认证的用户的信息:用户名,密码,用户的权限列表 * @param username: 该方法把username传入进来,我们通过username查询用户的信息 (密码,权限列表等)然后封装成 UserDetails进行返回 ,交给security 。 */ @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { //User是security内部的对象,UserDetails的实现类 , 用来封装用户的基本信息(用户名,密码,权限列表) //模拟存储在数据库的用户的密码:123 String password = "123"; //用户的权限列表,暂时为空 Collection authorities = new ArrayList<>(); User user = new User(username,password, authorities); return user; } }6.配置Security
SpringSecurity提供了一个配置类WebSecurityConfigurerAdapter用来提供给我们对SpringSecurity做自定义配置,我们需要配置如下几个信息:
- 认证管理配置
需要指定我们自己定义的userDetailService,这样SpringSecurity才会调用我们的userDetailService从而获取到用户信息,同时指定密码比对方式
- 授权规则配置
配置请求拦截规则,哪些资源需要认证,哪些资源不需要认证等等
@Configuration public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailServiceImpl userDetailService ; //把我们自己的userDetailService替换掉默认的userDetailService,然后指定密码编码方式和密码匹配 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailService).passwordEncoder(new PasswordEncoder() { @Override public String encode(CharSequence rawPassword) { //对密码进行加密后返回,可以自定义加密方式(如md5),因为我们使用的明文所以直接返回 return rawPassword.toString(); } @Override public boolean matches(CharSequence rawPassword, String encodedPassword) { //密码比较方式 return rawPassword.equals(encodedPassword); } }); } //授权规则配置 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/login").permitAll() //登录路径放行 .anyRequest().authenticated() //其他路径都要拦截 .and().formLogin() //允许表单登录, 设置登陆页 .successForwardUrl("/loginSuccess") // 设置登陆成功页 .and().logout().permitAll(); //登出 } }7.访问测试
启动访问: http://localhost:8080/login
输入用户名:zs ,密码 :123 (见UserDetailServiceImpl.loadUserByUsername ) ,登录成功页面跳转/loginSuccess,显示“登录成功”
总结
SpringBoot+SpringSecurity集成入门案例到这里就结束了,这里并没有多SpringSecurity原理做过多解释(留在后面章节),那么这个案例大概的实现思路是:
1.SpringSecurity根据我们在WebSecurityConfig中的配置会对除了“/login”之外的资源进行拦截做认证检查,
2.如果没有认证会跳转到默认的认证页面“/login” ,
3.输入用户名和密码后点击登录,SpringSecurity会带着用户名调用 UserDetailsService.loadUserByUsername获取用户的认证信息(用户名,密码,权限等),
4.然后执行认证工作:表单密码和loadUserByUsername加载的数据库的密码进行匹配(PasswordEncoder)
5.认证成功跳转成功地址
