springboot security

什么是springboot security

Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,

我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。

工作流程

WebSecurityConfigurerAdapter:自定义Security策略

AuthenticationManagerBuilder:自定义认证策略

@EnableWebSecurity:开启WebSecurity模式

WEB&安全

  1. 登陆/注销

    HttpSecurity配置登陆、注销功能

  2. Thymeleaf提供的SpringSecurity标签支持

    需要引入thymeleaf-extras-springsecurity4

    sec:authentication=“name”获得当前用户的用户名

    sec:authorize=“hasRole(‘ADMIN’)”当前用户必须拥有ADMIN权限时才会显示标签内容

  3. remember me

    表单添加remember-me的checkbox

    配置启用remember-me功能

  4. CSRF(Cross-site request forgery)跨站请求伪造

    HttpSecurity启用csrf功能,会为表单添加_csrf的值,提交携带来预防CSRF;

    实例代码

    安全配置类
    @EnableWebSecurity
public class MySecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //super.configure(http);
        //定制请求的授权规则
        http.authorizeRequests().antMatchers("/").permitAll()
                .antMatchers("/level1/**").hasRole("VIP1")
                .antMatchers("/level2/**").hasRole("VIP2")
                .antMatchers("/level3/**").hasRole("VIP3");

        //开启自动配置的登陆功能,效果,如果没有登陆,没有权限就会来到登陆页面
        http.formLogin().usernameParameter("user").passwordParameter("pwd").loginPage("/userlogin");
        //1、 /login 来到登陆页
        //2、重定向到/login?error表示登陆失败
        //3、更多详细功能
        //4、默认post形式的 /login 代表处理登陆
        //5、一旦定制loginPage  那么 loginPage的post请求就是登陆

        //开启自动配置的注销功能
        http.logout().logoutSuccessUrl("/"); //注销成功以后来到首页
        //1、访问/logout 表示用户注销。清空 session
        //2、注销成功会返回 /login?logout 页面
        //3、默认post形式的 /login代表处理登陆

        //开启记住我功能
        http.rememberMe().rememberMeParameter("remeber");
        //登陆成功以后,将cookie发给浏览器保存,以后访问页面带上这个cookie,只要通过检查就可以免登陆
        //点击注销会删除cookie
    }

    //定义认证规则
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //super.configure(auth);

        //auth.jdbcAuthentication()...
        auth.inMemoryAuthentication().passwordEncoder(new BCryptPasswordEncoder())   //在Spring Security 5.0中新增了多种加密方式,页改变了密码的格式
                .withUser("zhangsan").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP1", "VIP2")
                .and()
                .withUser("lisi").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP2", "VIP3")
                .and()
                .withUser("wangwu").password(new BCryptPasswordEncoder().encode("123456")).roles("VIP1", "VIP3");
    }
}
    启动类:
    /**
 * 1、引入SpringSecurity;
 * 2、编写SpringSecurity配置
 *       @EnableWebSecurity extends WebSecurityConfigurerAdapter
 * 3、控制请求的访问权限
 *
 */
@SpringBootApplication
public class SecurityApplication {

 public static void main(String[] args) {
     SpringApplication.run(SecurityApplication.class, args);
 }

}

原文地址:https://www.cnblogs.com/Soul-xs/p/12237305.html

时间: 2024-10-19 12:55:21

springboot security的相关文章

springboot+security整合(1)

说明 springboot 版本 2.0.3源码地址:点击跳转 系列 springboot+security 整合(1) springboot+security 整合(2) springboot+security 整合(3) 一. 介绍 ??Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架.它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC,DI(控制反转 Inversion o

springboot security+redis+jwt+验证码 登录验证

概述 基于jwt的token认证方案 验证码 框架的搭建,可以自己根据网上搭建,或者看我博客springboot相关的博客,这边就不做介绍了.验证码生成可以利用Java第三方组件,引入 <dependency> <groupId>com.github.penggle</groupId> <artifactId>kaptcha</artifactId> <version>2.3.2</version> </depend

JSP中使用SpringBoot Security步骤

引入POM文件 <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>1.3.3.RELEASE</version> <relativePath /> <!-- lookup parent from repository -->

springboot+security+JWT实现单点登录

本次整合实现的目标:1.SSO单点登录2.基于角色和spring security注解的权限控制. 整合过程如下: 1.使用maven构建项目,加入先关依赖,pom.xml如下: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/20

简单易用的Apache shiro框架,以及复杂完整的springboot security安全框架

Shiro是一个强大的简单的易用的Java安全框架. 实现认证.授权.加密.会话管理 primary concerns:Authentication.Authorization.Cryptography.Session Manager supporting features:web support.caching缓存.concurrency并发.testing.Run as线程.remember me记住密码 Shiro主要架构 1. subject,当前参与应用安全部分的主角,可以是用户,或者

01、springboot+security+vue个人博客系统之项目创建

整体项目结构 更改后的目录结构为 配置pom.xml文件 添加依赖 <!--security--> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!--web--> <dependency> &l

Spring Security整合JWT,实现单点登录,So Easy~!

前面整理过一篇 SpringBoot Security前后端分离,登录退出等返回json数据,也就是用Spring Security,基于SpringBoot2.1.4 RELEASE前后端分离的情况下,实现了登陆登出的功能,亮点就在于以JSON的形式接收返回参数.这个是针对单个后台服务的, 登录信息都存储在SecurityContextHolder缓存里.如果是两个或两个以上的应用呢,那该怎么办?Session是不能用了,Cookie自然也不能用,毕竟它俩是一对的. 曾想过用OAuth2来解决

springboot xss防护

概述 XSS(Cross Site Script)全称跨站脚本攻击,为了跟CSS区分开来,所以变成了XSS.它允许恶意代码植入到正常的页面中,盗取正常用户的账号密码,诱使用户访问恶意的网站. 攻击 实施XSS攻击必须具备两个条件 向web页面注入恶意代码. 这些恶意代码能够被浏览器执行. 看一个简单的demo,更能清晰的了解什么XSS攻击 @RequestMapping(value = "/demo11",method = RequestMethod.GET) public Strin

JavaScript - thymeleaf 在 js 中渲染的一个问题

可能只是一个小小的问题...虽然解决了.但真的有点吐了. 嘛,可能标题取叫 「spring boot ajax 发送 post 方法报 500 状态码,put 方法报405 状态码错误」 更能让遇到相同问题的伙伴很快找到解决办法. 这个问题是我在用 java + springboot + security + thymeleaf + jquery 写网站时遇到的. 先说说的要做的事:在前一个页面点击新建按钮会来到编辑页面,如果点击编辑按钮就将数据加载并进到编辑页面,所以如果是新建,那么保存的时候