2. 程式人生 > >Spring Security原理學習--簡介與示例(一)

Spring Security原理學習--簡介與示例(一)

阿新 發佈:2019-01-06

一、簡介

Spring Security 提供了基於javaEE的企業應有個你軟體全面的安全服務。這裡特別強調支援使用SPring框架構件的專案,Spring框架是企業軟體開發javaEE方案的領導者。如果你還沒有使用Spring來開發企業應用程式,我們熱忱的鼓勵你仔細的看一看。熟悉Spring特別是一來注入原理兩幫助你更快更方便的使用Spring Security。

人們使用Spring Secruity的原因有很多,單大部分都發現了javaEE的Servlet規範或EJB規範中的安全功能缺乏典型企業應用場景所需的深度。提到這些規範,重要的是要認識到他們在WAR或EAR級別無法移植。因此如果你更換伺服器環境,這裡有典型的大量工作去重新配置你的應用程式設計師安全到新的目標環境。使用Spring Security 解決了這些問題,也為你提供許多其他有用的,可定製的安全功能。

正如你可能知道的兩個應用程式的兩個主要區域是“認證”和“授權”(或者訪問控制)。這兩個主要區域是Spring Security 的兩個目標。“認證”,是建立一個他宣告的主題的過程(一個“主體”一般是指使用者,裝置或一些可以在你的應用程式中執行動作的其他系統)。“授權”指確定一個主體是否允許在你的應用程式執行一個動作的過程。為了抵達需要授權的店,主體的身份已經有認證過程建立。這個概念是通用的而不只在Spring Security中。

在身份驗證層,Spring Security 的支援多種認證模式。這些驗證絕大多數都是要麼由第三方提供,或由相關的標準組織,如網際網路工程任務組開發。另外Spring Security 提供自己的一組認證功能。具體而言,Spring Security 目前支援所有這些技術整合的身份驗證:

  • HTTP BASIC 認證頭 (基於 IETF RFC-based 標準)

  • HTTP Digest 認證頭 ( IETF RFC-based 標準)

  • HTTP X.509 客戶端證書交換 ( IETF RFC-based 標準)

  • LDAP (一個非常常見的方法來跨平臺認證需要, 尤其是在大型環境)

  • Form-based authentication (用於簡單的使用者介面)

  • OpenID 認證

  • Authentication based on pre-established request headers (such as Computer Associates Siteminder) 根據預先建立的請求有進行驗證

  • JA-SIG Central Authentication Service (CAS,一個開源的SSO系統 )

  • Transparent authentication context propagation for Remote Method Invocation (RMI) and HttpInvoker (Spring遠端協議)

  • Automatic "remember-me" authentication (你可以勾選一個框以避免預定的時間段再認證)

  • Anonymous authentication (讓每一個未經驗證的訪問自動假設為一個特定的安全標識)

  • Run-as authentication (在一個訪問應該使用不同的安全標識時非常有用)

  • Java Authentication and Authorization Service (JAAS)

  • JEE container autentication (所以如果願你以可以任然使用容器管理的認證)

  • Kerberos

  • Java Open Source Single Sign On (JOSSO) *

  • OpenNMS Network Management Platform *

  • AppFuse *

  • AndroMDA *

  • Mule ESB *

  • Direct Web Request (DWR) *

  • Grails *

  • Tapestry *

  • JTrac *

  • Jasypt *

  • Roller *

  • Elastic Path *

  • Atlassian Crowd *

  • Your own authentication systems (see below)

  • 表示由第三方提供

很多獨立軟體供應商,因為靈活的身份驗證模式二選擇Spring Security。這樣做允許他們快速的整合到他們的終端客戶需求的解決方案而不用進行大量工程或者改變客戶的環境。如果上面的驗證機制不符合你的需求,Spring Security 是一個開放的平臺,要實現你 自己的驗證機制檢查。Spring Security 的許多企業使用者需要與不遵循任何安全標準的“遺留”系統整合,Spring Security可以很好的與這類系統整合。

無論何種身份驗證機制,Spring Security提供一套的授權功能。這裡有三個主要的熱點區域,授權web請求、授權方法是否可以被呼叫和授權訪問單個域物件的例項。為了幫助讓你分別瞭解這些差異,認識在Servlet規範網路模式安全的授權功能,EJB容器管理的安全性和檔案系統的安全。Spring Security在這些重要的區域提供授權功能,我們將在手冊後面進行介紹。

二、示例

1、pom.xml引用spring security相關jar包

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter</artifactId>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>

2、Spring security 相關初始化後設置

使用預設登入地址:/login

登入成功跳轉地址:/hello

登出地址:/logout

除了登入地址為其他都需要校驗:anyRequest().authenticated()

不攔截路徑中包含/test的請求:antMatchers("/test").permitAll()

通過記憶體方式設定使用者名稱密碼和角色:admin,admin和USER

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                //不攔截路徑中包含test的請求
                .antMatchers("/", "/test").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin().successForwardUrl("/hello").permitAll()
                .and()
                .logout().logoutUrl("/logout").logoutSuccessUrl("/login").permitAll()
                .and()
                .httpBasic();
        http.csrf().disable();
    }

    @Override
    public void configure(WebSecurity web) throws Exception{
        super.configure(web);
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("admin").password("admin").roles("USER");
        //在記憶體中建立了一個使用者,該使用者的名稱為user,密碼為password,使用者角色為USER
    }

}

3、Spring boot應用方式啟動

(1)不用登入可以直接訪問test介面

(2)使用者名稱和密碼登入訪問hello介面,Spring Security自帶的簡單登入頁面

相關推薦

Spring Security原理學習--簡介示例

一、簡介 Spring Security 提供了基於javaEE的企業應有個你軟體全面的安全服務。這裡特別強調支援使用SPring框架構件的專案,Spring框架是企業軟體開發javaEE方案的領導者。如果你還沒有使用Spring來開發企業應用程式,我們熱忱的鼓

Docker簡介安裝

TP width Go src apache container 資源利用率 代碼托管 docker Docker簡介 Docker 是 Docker.Inc 公司開源的一個基於 LXC技術之上構建的Container容器引擎, 源代碼托管在 GitHub 上, 基於Go

核心除錯神器SystemTap — 簡介使用

a linux trace/probe tool. 簡介 SystemTap是我目前所知的最強大的核心除錯工具,有些傢伙甚至說它無所不能:) (1) 發展歷程 Debuted in 2005 in Red Hat Enterprise Linux 4 Update

Spring Security 實現圖片驗證碼登陸

生成圖形驗證碼 根據隨機數生成圖片 將隨機數存到session中 在將生成的圖片寫到介面的響應中 在收到服務請求之後 根據隨機數生成圖片 ,然後把隨機數存入到session中,在提交表單的時候從

IOS中 Block簡介用法

Block簡介: Block的實際行為和Function很像,最大的差別是在可以存取同一個Scope的變數值。Block實體形式如下: ^(傳入引數列){行為主體}; Block實體開頭是“^”,接著是由小括號所包起來的引數列(比如 int a, int b, int c)

Git&GitHub簡介入手

顯示 更新 分享 out 控制 取消 b- src 信息保存 一、Git版本控制 1、集中式版本控制工具:SVN(版本控制集中在服務器端,會有單點故障風險); 2、分布式版本控制工具:Git; 3、Git簡史 Talk is cheap, show me the cod

【譯】Rust巨集:教程示例

原文標題:Macros in Rust: A tutorial with examples 原文連結:https://blog.logrocket.com/macros-in-rust-a-tutorial-with-examples/ 公眾號: Rust 碎碎念 翻譯 by: Praying 在

Spring學習——配置檔案註解

bean標籤 一、屬性 name 給被管理的物件起個名字,獲得物件時根據該名稱獲得物件 可以重複,可以使用特殊字元 class 被管理物件的完整類名 id 與name屬性功能一樣 名稱不可重複,不能使用特殊字元 儘量使用name

YAML的Java實現——JYAML基本原理示例1匯出資料為YAML格式檔案

1. Overview JYAML是YAML的Java實現,YAML的全稱是YAML Ain't Markup Language,是否定遞迴定義,和LINUX的Linux Is Not UniX是一個意思。其結構之簡單,常常成為匯出或匯入配置檔案、資料結構等應用場景的常用A

Spring Security原理學習--許可權校驗(四)

      在上一篇部落格Spring Security原理學習--使用者名稱和密碼認證(三)中我們已經瞭解到Spring Security關於使用者名稱和密碼在UsernamePasswordAuthenticationFilter中的認證處理邏輯,接下來我們看看許可權的校

YAML的Java實現——JYAML基本原理示例3YAML對檔案流的處理

請您先閱讀: 1. FileOutputStream 以流的方式,將資料寫入到YAML檔案中。 /* Output data structure into a YAML file as a

DeepLearning深度學習原理實現

       經過三年的狂刷理論,覺得是時候停下來做些有用的東西了,因此決定開博把他們寫下來,一是為了整理學過的理論,二是監督自己並和大家分享。先從DeepLearning談起吧,因為這個有一定的實用性(大家口頭傳的“和錢靠的很近”),國內各個大牛也都談了不少,我儘量從其他

Spring Security原理學習--核心過濾器Filter(二)

在上一篇部落格Spring Security原理學習--簡介與示例(一)中已經簡單介紹了Spring Security相關的東西, 這篇部落格我們介紹一下Spring Security相關的實現機制  。首先Spring Security的認證功能是依賴Filter實現的,當

YAML的Java實現——JYAML基本原理示例2匯入YAML格式檔案

1. 定義好的YAML檔案testYaml.yaml --- &0 !com.sinosuperman.yaml.Person age: 24 children: &2 !com

Spring Security技術棧開發企業級認證授權環境搭建

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

Spring Boot自動配置原理實踐

前言   Spring Boot眾所周知是為了簡化Spring的配置,省去XML的複雜化配置(雖然Spring官方推薦也使用Java配置)採用Java+Annotation方式配置。如下幾個問題是我剛開始接觸Spring Boot的時候經常遇到的一些疑問,現在總結出來希望能幫助到更多的人理解Spring B

spring security原理-學習筆記1-整體概覽

整體概述 執行時環境 Spring Security 3.0需要Java 5.0 Runtime Environment或更高版本。 核心元件 SecurityContextHolder,SecurityContext和Authentication Objects 最基本的物件是SecurityContext

spring security原理-學習筆記2-核心元件

核心元件 AuthenticationManager,ProviderManager和AuthenticationProvider AuthenticationManager只是一個介面,實際中是如何運作的?如果我們需要檢查多個身份驗證資料庫或不同身份驗證服務(如資料庫和LDAP伺服器)的組合,該怎麼辦? S

機器學習之SVM初解淺析:最大距離

機器學習 svm 最大距離 2 / ||w|| 這段時間在看周誌華大佬的《機器學習》,在看書的過程中,有時候會搜搜其他人寫的文章,對比來講,周教授講的內容還是比較深刻的,但是前幾天看到SVM這一章的時候,感覺甚是晦澀啊,第一感覺就是比較抽象,特別是對於像本人這種I

機器學習之SVM初解淺析:

機器學習 svm 最大距離 2 / ||w||sdsshngshan‘gccha 這段時間在看周誌華大佬的《機器學習》,在看書的過程中,有時候會搜搜其他人寫的文章,對比來講,周教授講的內容還是比較深刻的,但是前幾天看到SVM這一章的時候,感覺甚是晦澀啊,第一感覺就