什么是Spring Security?具有哪些功能? |
您所在的位置:网站首页 › spring like squirrels什么意思 › 什么是Spring Security?具有哪些功能? |
本篇将带你快速了解什么是Spring Security,通过入门案例以及相关原理和类的分析让你快速入门。 一、概述官网:https://spring.io/projects/spring-security Spring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。 1、身份认证是验证谁正在访问系统资源,判断用户是否为合法用户。认证用户的常见方式是要求用户输入用户名和密码。 2、授权是指用户进行身份认证后,系统会控制谁能访问哪些资源。用户无法访问没有权限的资源。 3、防御常见攻击:如CSRF、HTTP Headers、HTTP Requests 比如我们打开网页版京东进行登录,可以使用密码登录、短信登录、QQ登录、微信登录以及扫码登录几种方式。用户登录的过程其实就是一个身份认证的过程。 普通用户登录京东后,可以查看商品,加购物车,结算订单等,这些都是系统授予普通用户资源访问的权限。 二、入门案例1、入门准备这里我们参考官方文档来完成一个简单的Spring Security入门案例。 官方文档:https://springdoc.cn/spring-security/servlet/getting-started.html 点击示例库,进入如下目录 目录下对应的代码如下 1)Application启动类:HelloSecurityApplication.java 代码语言:java复制package example; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class HelloSecurityApplication { public static void main(String[] args) { SpringApplication.run(HelloSecurityApplication.class, args); } }2)Controller控制类:IndexController.java。可以看到里面有一个index方法,返回了一个视图解析index 代码语言:java复制package example; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; @Controller public class IndexController { @GetMapping("/") public String index() { return "index"; } }3)index.html,用到了thymeleaf模板语法 代码语言:html复制 Hello Security! Hello Security Log Out注:Thymeleaf是一个现代服务器端Java模板引擎,适用于Web和独立环境。 2、创建SpringBoot工程,编写代码打开IDEA,创建SpringBoot工程,如下 添加对应依赖,完成后点击Finish等待联网创建 如果在创建工程时忘记添加,也可以自己手动在pom.xml文件中添加依赖 代码语言:xml复制 org.springframework.boot spring-boot-starter-security org.springframework.boot spring-boot-starter-thymeleaf org.springframework.boot spring-boot-starter-web org.thymeleaf.extras thymeleaf-extras-springsecurity6创建controller包并在包下创建IndexController控制类,并在templates目录下创建一个index.html文件,代码可以参考上述官方文档模板里面的。 注:index.html里面使用动态链接的好处是:如果应用程序发布在了不同的目录下,thymeleaf的标签会做自动的相对路径的处理,而普通的a标签则不会。很好理解,动态的好处就是更加灵活方便。 3、启动运行,校验登录启动项目,浏览器访问 http://localhost:8080/ ,用户名默认为user,密码为控制台输出的一串 访问后,会自动进入如下登录页进行身份认证 输入用户名和密码,登录进去后如下 点击Log Out后,提示如下 此时再次点击Log Out后,就会退回到刚开始的登录页。 4、案例总结通过上述简单的入门案例,可以得出Spring Security要求对应用程序的任何交互进行身份验证。具体如下: 1)程序启动时生成一个默认用户“user”。 2)生成一个默认的随机密码,并将此密码记录在控制台上。 3)生成默认的登录表单和注销页面。 4)提供基于表单的登录(Sign in)和注销(Log Out)流程。 5)对于web请求,重定向到登录页面(http://localhost:8080/login); 三、底层相关原理几个关键核心的部分如下: 1)DelegatingFilterProxy:作为过滤器的代理,能够帮助我们调用Spring容器中所有注册的过滤器。 2)FilterChainProxy:能够帮助我们管理多个不同的过滤器链。 3)SecurityFilterChain(0)~SecurityFilterChain(n):能够帮助我们处理复杂的业务逻辑。 当不同的客户端请求发送到服务端时,通过匹配不同的URL,由不同的过滤器组合来接收,从而实现由不同的过滤器来完成不同的业务功能。 四、程序启动运行相关的类1、DefaultSecurityFilterChain是SecurityFilterChain接口的实现,加载了默认的16个Filter。 可通过添加断点的方式进行追踪:在IDEA中 Ctrl + N,输入DefaultSecurityFilterChain进行检索,点击即可进入查看源码。在35行处添加断点,重新启动调试项目。 注:使用快捷键 Ctrl + N可以快速检索类/文件。 2、SecurityProperties初始化配置,配置了默认的用户名(user)和密码(uuid) 同理,在IDEA中 Ctrl + N,输入SecurityProperties进行检索,点击即可进入查看源码。 在application.properties中配置自定义用户名和密码 代码语言:yml复制# 配置用户名和密码 spring.security.user.name=admin spring.security.user.password=123456配置完成后,重启项目,访问 http://localhost:8080/ ,就可以用自己配置好的用户名和密码登录了。 我正在参与2024腾讯技术创作特训营最新征文,快来和我瓜分大奖! |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |