Spring Security 简单了解使用

Jimmy2023-07-31 23:31

本文,我们来说说 Spring Security

spring security 是什么?

Spring Security 是一个基于 Spring 框架的安全框架 ,提供了一套安全性认证和授权的解决方案,用于保护 Web 应用程序和服务。

Spring Security 提供了多种身份验证和授权方式,例如基于表单的身份验证和授权方式、基于 HTTP 基本身份验证、基于 OAuth2 的身份验证等。

Spring Security 还提供了许多常见的安全特性,比如防止跨站点请求伪造 CSRF 攻击、防止点击劫持等。

CSRF -> Cross-Site Request Forgery

Spring Security 核心概念

它有三个核心概念,如下:

概念 说明
Principle 代表用户的对象 Principle(User),不仅指人类,还包括一切可以用于验证的设备。
Authority 代表用户的角色 Authority(Role),每个用户都应该有一种角色,例如管理员或者是会员。
Permission 代表授权,复杂的应用环境需要对角色的权限进行表述。

AuthorityPermission 是两个完全独立的概念,两者没有必然的联系。它们直接需要通过配置进行关联,可以是自己定义的各种关系。

案例

在项目 了解 MyBatis 的基础上,我们来进行测试。

首先,我们添加依赖:

xml 复制代码 
<!-- Spring Security -->
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

我们启动项目,可以在控制台上看到动态生成的访问密码:

默认的用户名是 user

这个时候,我们在浏览器上访问用户列表接口 http://localhost:8080/api/user/,会自动跳转到登陆页面。

输入默认用户名 user 和上图中动态生成的密码 3019398a-a10f-43e9-9e21-199f6892f689,登陆成功后,自动跳转到接口 http://localhost:8080/api/user/

当然,我们也可以自定用户名和密码,不然每次启动项目后,密码都需要重新生成一遍,着实尴尬。

自定义用户名和密码

方式一:application.properties 文件内配置:

bash 复制代码 
spring.security.user.name=jimmy
spring.security.user.password=123456

重启项目,输入用户名 jimmy,密码 123456 即可授权登陆。

如果不生效,请清空浏览器上的缓存

方式二: Java 上配置用户名和密码:

在包 config 下,新建文件 SecurityConfig.java,如下:

java 复制代码 
package com.launch.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        // 用户存在内存中
        auth.inMemoryAuthentication()
                .withUser("jimmy")
                .password(encoder.encode("111111"))
                .roles("admin")
                .and()
                .withUser("kimmy")
                .password(encoder.encode("222222"))
                .roles("user");
    }

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

注意,密码需要加密,如 encoder.encode("222222")

重启项目,清空浏览器缓存,输入用户名/密码 - kimmy / 222222 或者 jimmy / 111111 即可登陆。

PostMan 上统一设定凭证

在现实的开发中,我们使用 Postman 工具调试的多点,那么我们怎么操作呢?

第一步,设定环境变量,这里设置 usernamepassword 就行了:

这里设置的变量名为 username 和 password

然后,我们在接口上配置认证信息,比如这里的获取用户列表的接口:

选择 Type 为 Basic Auth,填写上面第一步👆设定的变量 {{username}}{{password}}

参考

相关推荐
京东云开发者42 分钟前
京东市民服务又“上新”!这次是黑龙江“龙易办”
前端
NE_STOP1 小时前
Vide Coding--AI编程工具的选择
java
袋鱼不重1 小时前
我的神奇同事,AI 用多了居然写了个 Open In Codex
前端·后端·ai编程
用户8356290780511 小时前
使用 Python 操作 Word 内容控件
后端·python
像我这样帅的人丶你还1 小时前
啥? 前端也要会干Java?🛵🛵🛵
后端
Hommy882 小时前
【剪映小助手】添加贴纸接口(Add Sticker)
后端·github·剪映小助手·视频剪辑自动化·剪映api
码云数智-园园2 小时前
C++20 Modules 模块详解
java·开发语言·spring
Fireworks2 小时前
深入vue3源码解读 -- 1、响应式的基础概念
前端
程序员黑豆2 小时前
JDK 下载安装与配置详细教程
java·前端·ai编程
hunterandroid2 小时前
文件存储:内部存储与外部存储
前端
热门推荐
012026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf04【AI】2026 年具身智能模型和世界模型总结05GitHub 镜像站点06HTTP 与 HTTPS 的区别:从原理到实战详解07上线仅72小时被强制下架:Claude Fable 5 的短命082026年6月AI大模型全景报告:GPT-5.6、Claude Opus 4.8、Gemini 3.5,中美AI三足鼎立谁主沉浮?09AI科技热点日报 | 2026年6月1日10Codex 下载安装指南:Windows 和 macOS 官方版下载