Spring Security概述

瓜牛_gn2024-11-15 15:58

Spring Security是一个功能强大且高度可定制的框架,专门用于保护Java Web应用程序。它为开发者提供了一套全面的解决方案,帮助他们在应用程序中实现安全控制,从而确保数据的安全性和完整性。

添加依赖

首先,需要在Spring Boot项目的 pom.xml 文件中添加 Spring Security 的依赖,一定要注意版本问题。

<dependency>
     <groupId>org.springframework.boot</groupId>
     <artifactId>spring-boot-starter-security</artifactId>
</dependency>

配置 Security

以下代码实现了一个简单的Spring Security配置,定义了基本的请求授权规则(部分路径公开,其他需认证)、表单登录方式(包括登录页面路径)、登出设置以及简单的内存用户认证信息(一个测试用户),为Spring Boot应用提供了初步的安全防护机制。

java 复制代码 
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/home").permitAll() // 允许所有人访问主页和/home路径
                .anyRequest().authenticated() // 其他所有请求都需要认证
                .and()
            .formLogin() // 使用表单登录
                .loginPage("/login") // 设置登录页面的路径
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication() // 使用内存中的用户存储
                .withUser("user") // 创建一个用户
                    .password("{noop}password") // 设置密码({noop}表示不进行密码加密)
                    .roles("USER"); // 分配角色
    }
}

控制层

为了处理应用中的主页和登录页面请求,需要创建一个简单的控制器。

java 复制代码 
@Controller
public class SimpleController {

    @GetMapping("/")
    public String home() {
        return "home";
    }

    @GetMapping("/login")
    public String login() {
        return "login";
    }
}

创建前端登录界面,实现应有的逻辑

然后运行应用

启动应用后,在浏览器中访问 http://localhost:8080/ ,此时,如果直接尝试访问受保护的路径,将会被自动重定向到登录页面。输入在配置中设定的用户名 "user" 和密码 "password",即可成功登录并访问相应的受保护资源。

常用注解

在Spring Security中,有几个比较重要的方法安全相关的注解和概念,它们对于实现细粒度的安全控制至关重要:

  1. @EnableMethodSecurity:这个注解用于启用方法安全功能,可以放在配置类上,以开启Spring Security的方法安全支持。
  2. @PreAuthorize:这是一个强大的注解,用于在方法执行之前进行权限检查,它允许使用Spring Expression Language编写表达式,以确定是否授权执行该方法,例如,@PreAuthorize("hasRole('ROLE_VIEWER')")表示只有拥有ROLE_VIEWER角色的用户才能调用该方法。
  3. @PostAuthorize:与@PreAuthorize相对应,这个注解用于在方法执行之后进行权限检查。它也可以访问方法的返回值,并根据返回值做出进一步的权限控制。
  4. @RolesAllowed:这是JSR-250规范中的注解,与@Secured类似,用于指定可以访问方法的角色。Spring Security也支持这个注解。
  5. @Secured:这是一个较旧的注解,用于授权方法调用。
  6. @WithMockUser:这个注解常用于测试中,用于模拟一个已认证的用户。可以指定用户名、角色等信息,以便在测试时模拟不同的用户场景。

这些注解和概念是Spring Security中方法安全的核心,它们使得开发者能够以声明式的方式实现复杂的安全逻辑,保护应用程序的关键部分不被未授权访问。

这些仅仅是 Spring Security 应用的冰山一角,实际上,Spring Security 提供了极为丰富的功能,例如认证、授权、防止CSRF,为构建安全的企业级应用程序提供了强大的支持。

相关推荐
不会编程的懒洋洋1 小时前
Spring Cloud Eureka 服务注册与发现
java·笔记·后端·学习·spring·spring cloud·eureka
NiNg_1_2341 小时前
SpringSecurity入门
后端·spring·springboot·springsecurity
像污秽一样3 小时前
Spring MVC初探
java·spring·mvc
LuckyLay3 小时前
Spring学习笔记_36——@RequestMapping
java·spring boot·笔记·spring·mapping
RainbowSea4 小时前
4. Spring Cloud Ribbon 实现“负载均衡”的详细配置说明
java·spring·spring cloud
2401_857600956 小时前
深入剖析:Spring MVC与Struts的较量
struts·spring·mvc
被猫枕的咸鱼6 小时前
springmvc通过使用map来进行数据的接收和使用
spring
荆州克莱6 小时前
Big Data for AI实践:面向AI大模型开发和应用的大规模数据处理套件
spring boot·spring·spring cloud·css3·技术
酸奶代码8 小时前
Spring AOP技术
java·后端·spring
热门推荐
01玄机平台应急响应—webshell查杀02Ubuntu 20.04使用Livox mid 360 测试 FAST_LIO03【HarmonyOS】HUAWEI DevEco Studio 下载地址汇总04新版微信小程序获取用户手机号05文件或文件夹名称中有空格如何批量去除06组基轨迹建模 GBTM的介绍与实现(Stata 或 R)07【TC3xx芯片】TC3xx芯片电源管理系统PMS详解08优化手机性能,解决卡顿问题:关闭这3个微信开关,释放内存空间09基于YOLOv10深度学习的CT扫描图像肾结石智能检测系统【python源码+Pyqt5界面+数据集+训练代码】深度学习实战、目标检测10智能车联网安全发展形势、挑战