详解Springboot2.3集成Spring security 框架(原生集成)

我来为你详细讲解“详解Springboot2.3集成Spring security框架(原生集成)”的完整攻略。

1. 简介

Spring Security是Spring Framework的一个安全框架,为Spring应用程序提供综合的认证(Authentication)和授权(Authorization)解决方案。这个框架提供了一种方式来将应用程序的用户(user)和用户的角色(role)与底层操作系统解耦。本文介绍如何在Spring Boot 2.3版本中集成Spring Security框架。

2. 集成Spring Security框架

2.1 项目依赖配置

在你的Spring Boot项目中,需要在pom.xml中添加以下依赖:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

2.2 自定义Security配置类

在Spring Boot中,可以通过编写自定义的WebSecurityConfigurerAdapter类来设置Spring Security的配置。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/dashboard")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER");
    }
}

这个配置类定义了Spring Security的登录页、登出页、用户角色、拦截规则等。

2.3 配置密码存储方式

Spring Security默认使用BCryptPasswordEncoder对密码进行加密。

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

2.4 启用HTTPS

建议在生产环境中启用HTTPS。下面的示例演示了如何在Spring Boot中启用HTTPS。

@Configuration
public class HttpsConfig {

    @Bean
    public TomcatServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory() {
            @Override
            protected void postProcessContext(Context context) {
                SecurityConstraint securityConstraint = new SecurityConstraint();
                securityConstraint.setUserConstraint("CONFIDENTIAL");
                SecurityCollection collection = new SecurityCollection();
                collection.addPattern("/*");
                securityConstraint.addCollection(collection);
                context.addConstraint(securityConstraint);
            }
        };
        tomcat.addAdditionalTomcatConnectors(httpToHttpsRedirectConnector());
        return tomcat;
    }

    private Connector httpToHttpsRedirectConnector() {
        Connector connector = new Connector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL);
        connector.setScheme("http");
        connector.setPort(8080);
        connector.setSecure(false);
        connector.setRedirectPort(8443);
        return connector;
    }

    @Bean
    public ServletWebServerFactory servletContainer() {
        TomcatServletWebServerFactory tomcat = new TomcatServletWebServerFactory();
        tomcat.addAdditionalTomcatConnectors(createHttpConnector());
        return tomcat;
    }

    private Connector createHttpConnector() {
        Connector connector =
                new Connector(TomcatServletWebServerFactory.DEFAULT_PROTOCOL);
        connector.setScheme("http");
        connector.setPort(8080);
        connector.setSecure(false);
        connector.setRedirectPort(8443);
        return connector;
    }
}

2.5 使用Spring Security验证API

可以使用Spring Security的AuthenticationManager验证API。

@RestController
public class UserController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @PostMapping("/login")
    public ResponseEntity<?> authenticate(@RequestBody AuthenticationRequest request) throws Exception {
        try {
            Authentication authentication = authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(request.getUsername(), request.getPassword())
            );
            SecurityContextHolder.getContext().setAuthentication(authentication);
            return ResponseEntity.ok(new AuthenticationResponse("SUCCESS"));
        } catch (BadCredentialsException e) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(new AuthenticationResponse("INVALID_CREDENTIALS"));
        }
    }
}

3. 示例

3.1 基本示例

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/dashboard")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER");
    }
}
@RestController
public class UserController {

    @Autowired
    private AuthenticationManager authenticationManager;

    @PostMapping("/login")
    public ResponseEntity<?> authenticate(@RequestBody AuthenticationRequest request) throws Exception {
        try {
            Authentication authentication = authenticationManager.authenticate(
                    new UsernamePasswordAuthenticationToken(request.getUsername(), request.getPassword())
            );
            SecurityContextHolder.getContext().setAuthentication(authentication);
            return ResponseEntity.ok(new AuthenticationResponse("SUCCESS"));
        } catch (BadCredentialsException e) {
            return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(new AuthenticationResponse("INVALID_CREDENTIALS"));
        }
    }

    @GetMapping("/secure")
    public String secure() {
        return "Secure!";
    }
}

3.2 OAuth2.0示例

<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.3.3.RELEASE</version>
</dependency>
@Configuration
@EnableAuthorizationServer
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {

    @Autowired
    private AuthenticationManager authenticationManager;

    @Override
    public void configure(ClientDetailsServiceConfigurer configurer) throws Exception {
        configurer
            .inMemory()
                .withClient("client")
                .authorizedGrantTypes("password", "refresh_token")
                .scopes("read", "write")
                .secret("{noop}secret")
                .accessTokenValiditySeconds(300)
                .refreshTokenValiditySeconds(3600);
    }

    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints
            .authenticationManager(authenticationManager)
            .tokenStore(tokenStore())
            .accessTokenConverter(accessTokenConverter());
    }

    @Bean
    public TokenStore tokenStore() {
        return new InMemoryTokenStore();
    }

    @Bean
    public JwtAccessTokenConverter accessTokenConverter() {
        JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
        converter.setSigningKey("secret");
        return converter;
    }
}
@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/hello/**").authenticated()
                .anyRequest().permitAll();
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.resourceId("my_resource");
    }

    @Bean
    public RemoteTokenServices tokenServices() {
        RemoteTokenServices tokenServices = new RemoteTokenServices();
        tokenServices.setCheckTokenEndpointUrl("http://localhost:8080/oauth/check_token");
        tokenServices.setClientId("client");
        tokenServices.setClientSecret("secret");
        return tokenServices;
    }
}
@RestController
public class HelloController {

    @GetMapping("/hello/{name}")
    public String hello(@PathVariable String name) {
        return "Hello, " + name + "!";
    }
}

以上就是详解Springboot2.3集成Spring security 框架(原生集成)的完整攻略,希望对你有所帮助。

本站文章如无特殊说明,均为本站原创,如若转载,请注明出处:详解Springboot2.3集成Spring security 框架(原生集成) - Python技术站

(0)
上一篇 2023年5月20日
下一篇 2023年5月20日

相关文章

  • Java中Lambda表达式和函数式接口的使用和特性

    Java中Lambda表达式和函数式接口的使用和特性 什么是Lambda表达式 Lambda表达式是Java 8中引入的新特性,简化了在Java中使用函数式编程的写法。Lambda表达式本质是一个匿名函数,可以被看作是一个代码块,使得代码更加简洁清晰。 Lambda表达式使用类似于箭头的符号(->)将参数列表和函数体分开,其语法格式为: (parame…

    Java 2023年5月26日
    00
  • Java实现微信公众号获取临时二维码功能示例

    Java实现微信公众号获取临时二维码功能示例 在微信公众号开发中,获取临时二维码是一个常见的功能。本文将介绍如何使用Java实现微信公众号获取临时二维码功能的完整攻略。 1. 准备工作 在实现微信公众号获取临时二维码功能之前,需要进行以下准备工作: 注册微信公众号,并申请开发者权限,获取相关开发信息(如appID、appSecret等)。 使用Java开发环…

    Java 2023年5月26日
    00
  • Java根据模板导出Excel报表并复制模板生成多个Sheet页

    讲解”Java根据模板导出Excel报表并复制模板生成多个Sheet页”的攻略,具体步骤如下: 步骤一:引入依赖 首先需要引入以下依赖: <dependency> <groupId>org.apache.poi</groupId> <artifactId>poi</artifactId> <v…

    Java 2023年5月20日
    00
  • 详细理解JAVA面向对象的封装,继承,多态,抽象

    JAVA面向对象的基本概念 在Java中,“一切皆对象”,Java程序就是通过面向对象的编程思想来实现的。面向对象的编程思想的核心概念主要包括封装、继承、多态和抽象。这些概念描述了Java对象与类之间的关系和相互作用。 封装 封装是指将数据和行为包装在一起,形成一个类。封装的主要目的是隐藏类的实现细节,只对外部暴露必要的接口,从而达到数据的安全性。 在Jav…

    Java 2023年5月26日
    00
  • Spring Security基本架构与初始化操作流程详解

    Spring Security基本架构与初始化操作流程详解 介绍 Spring Security是一个基于Spring框架的安全性框架,处理了身份认证(authentication)与授权(authorization)等一系列的安全性问题,能够使我们更快更简单地集成到Spring应用程序中,保障应用程序的安全性。 本篇文章将会为您详细介绍Spring Sec…

    Java 2023年6月3日
    00
  • java如何实现自动生成数据库设计文档

    实现Java自动生成数据库设计文档的过程可以分为以下几个步骤: 获取数据库的基本信息 首先需要连接到数据库,获取其中的基本信息,例如数据库的名称、版本号等。在Java中可以使用JDBC连接数据库,通过执行SQL语句获取这些信息。 获取数据库中的表信息 获取数据库中的表信息,包括表名、表的列信息等。可以通过执行SQL语句查询system表或metadata元数…

    Java 2023年5月19日
    00
  • lombok 找不到get/set方法的原因及分析

    下面是“lombok 找不到get/set方法的原因及分析”的完整攻略。 1. 什么是 Lombok Lombok 是一个 Java 工具库,可以通过注解的方式减少 Java 代码的冗余,提高代码的可读性和易维护性。在 Java 中,通常需要定义许多 getter/setter 方法和构造函数以满足各种需求,使用 Lombok 可以自动生成这些代码,减少了代…

    Java 2023年5月20日
    00
  • Java Arrays.asList使用方法解析

    Java Arrays.asList使用方法解析 Arrays.asList是Java中常用的快速创建列表的方法之一,它可以方便地将数组转换成List。在这篇攻略中,我们将深入探讨Arrays.asList的用法。 Arrays.asList用法 首先,让我们来看一个简单的例子: String[] array = {"a", "…

    Java 2023年5月26日
    00
合作推广
合作推广
分享本页
返回顶部