news 2026/7/7 20:28:33

SpringSecurity入门

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
SpringSecurity入门

SpringSecurity简介

  • SpringSecurity是一个功能强大且高度可定制身份验证和访问的控制框架;
  • 它是用于保护基于Spring的应用程序的实际标准;
  • 可以将java应用程序提供身份验证和授权。

安全技术方案对比

Shiro是一个强大且灵活的开源框架,能够非常清楚的处理认证,授权,管理会话以密码加密

  • 易于理解的Java Security API;
  • 简单的身份认证(登录),支持多种数据源(JDBC,ActiveDirectory等);
  • 对角色的简单的鉴权(访问控制),支持细粒度的鉴权;
  • 支持一级缓存,以提升应用程序的性能;
  • 内置的基于POJO企业会话管理,适用于Web以及非Web的环境;
  • 异构客户端会话访问;
  • 非常简单的加密API;
  • 不跟任何的框架或者容器捆绑,可以独立运行。

SpringSecurity

  • 除了不能脱离Spring,shiro的功能其都有;
  • 而且Spring Security对Oauth,OpenID也有支持,Shrio则需要自己手动实现;
  • Spring Security的权限细粒度更高。

Spring Security框架功能简介

  1. 认证:用户登录,解决的是"你是谁?";
  2. 授权:判断用户拥有什么权限,可以访问什么资源,解决的是"你能干什么"?
  3. 安全防护,防止跨站请求,session攻击等。

Spring Security应用场景

  1. 用户登录,传统基于web开发的项目的登录功能;
  2. 用户授权,在系统中用户拥有那些权限操作;
  3. 单一登录,一个账号只能在同一时间只能在同一个地方进行登录,如果在其他地方进行二次登录,会删除之间的登录操作;
  4. 集成cas,做单点登录,即多个系统只需要登录一次,无需重复登录;
  5. 集成oauth2,做登录授权,可以用于app登录和第三方登录(QQ,微信等),也可以实现cas的功能。

SpringSecurity入门案例

首先我们需要添加maven依赖

<?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"> <modelVersion>4.0.0</modelVersion> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.3.5.RELEASE</version> <relativePath/> <!-- lookup parent from repository --> </parent> <groupId>com.guslegend</groupId> <artifactId>SpringSecurityDemo</artifactId> <version>1.0-SNAPSHOT</version> <properties> <maven.compiler.source>11</maven.compiler.source> <maven.compiler.target>11</maven.compiler.target> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> </properties> <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-web</artifactId> </dependency> <!-- 引用spring security依赖 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-test</artifactId> <scope>test</scope> <exclusions> <exclusion> <groupId>org.junit.vintage</groupId> <artifactId>junit-vintage-engine</artifactId> </exclusion> </exclusions> </dependency> </dependencies> <build> <plugins> <plugin> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-maven-plugin</artifactId> </plugin> </plugins> </build> </project>

编写controller

@RestController public class SecurityTestController { @GetMapping("/hello") public String hello() { return "Hello World!"; } }

但是当我们访问这个接口时,会自动跳转到http://localhost:8080/login。

通过分析网页结构我们可以知道其实由以下几个部分组成:

  • 表单的提交方式和路径:post/login
  • input输入项的name值:usernamepassword
  • 隐藏域input的name:值为:_csrfvalue值为d4329889-796a-447a-9d08-69e56bc7c296

还有一个问题,我们在此前并没设计用户名和密码,甚至连数据库都没有!

我们应该怎么样才可以登录进去呢?

我们通过查看系统的日志,发现其用户名是user,密码是909aee59-ec25-4808-bcac-f3b3a82a7aec

将用户名和密码输入,发现访问成功,这样最基础的SpringSecurity的案例就成功了。

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 13:49:37

技术面试终极指南:快速掌握面试技巧的完整手册

技术面试终极指南&#xff1a;快速掌握面试技巧的完整手册 【免费下载链接】tech-interview-handbook 这个项目是《技术面试手册》&#xff08;Tech Interview Handbook&#xff09;&#xff0c;为忙碌的软件工程师提供经过策划的编程面试准备材料&#xff0c;包括算法问题、最…

作者头像 李华
网站建设 2026/7/7 11:55:29

行内创建工作者线程代码分析(使用 Blob URL vs Data URL )

行内创建一个 Web Worker//在行内创建工作者线程 const workerScriptself.onmessage({data})>{console.log(data)};; //基于脚本字符串生成Blob对象 const workerScriptBlobnew Blob([workerScript]); //基于Blob实例创建对象URL const workerScriptBlobURLURL.createObject…

作者头像 李华
网站建设 2026/7/7 18:38:32

Kubernetes 高级路由完整配置指南-- 云原生负载均衡架构

云原生负载均衡架构——它完美融合了云厂商的高性能负载均衡器和K8s的智能路由能力。下面这份配置是我在生产环境反复验证的&#xff0c;能让你的系统同时获得高可用性、精细化流量管理和SSL终止。一、架构概览&#xff08;关键点&#xff09; 外部用户 → 云负载均衡器&#x…

作者头像 李华
网站建设 2026/7/7 12:36:42

语音识别8倍速革命:whisper-large-v3-turbo极速部署实战

语音识别8倍速革命&#xff1a;whisper-large-v3-turbo极速部署实战 【免费下载链接】whisper-large-v3-turbo 项目地址: https://ai.gitcode.com/hf_mirrors/openai/whisper-large-v3-turbo 在语音识别技术快速发展的今天&#xff0c;开发者们面临着一个关键抉择&…

作者头像 李华
网站建设 2026/7/7 17:25:31

终极Dio与Provider架构实战:Flutter网络层与状态管理完美融合指南

在Flutter应用开发中&#xff0c;网络请求与状态管理是两大核心技术难题。本文将深入解析如何将Dio这一强大的HTTP客户端与Provider状态管理框架无缝集成&#xff0c;打造高性能、易维护的移动应用架构。通过实战配置、高级技巧和最佳实践&#xff0c;帮助开发者快速掌握这一黄…

作者头像 李华