一、Spring Security框架

1. 框架簡介

官方介紹：Spring Security是一個功能強大且可高度自定義的身份驗證和訪問控制框架。它是保護基于Spring的應(yīng)用程序的事實標準。 Spring Security是一個專注于為Java應(yīng)用程序提供身份驗證和授權(quán)的框架。與所有Spring項目一樣，Spring Security的真正強大之處在于它可以輕松擴展以滿足自定義要求。

Spring Security是一個為基于Spring的企業(yè)應(yīng)用系統(tǒng)提供聲明式的安全訪問控制解決方式的安全框架（簡單說是對訪問權(quán)限進行控制），應(yīng)用的安全性包括用戶認證（Authentication）和用戶授權(quán)（Authorization）兩個部分。Spring Security的主要核心功能為 認證和授權(quán)，所有的架構(gòu)也是基于這兩個核心功能去實現(xiàn)的。

• 用戶認證指的是驗證某個用戶是否為系統(tǒng)中的合法主體，也就是說用戶能否訪問該系統(tǒng)。用戶認證一般要求用戶提供用戶名和密碼。系統(tǒng)通過校驗用戶名和密碼來完成認證過程。
• 用戶授權(quán)指的是驗證某個用戶是否有權(quán)限執(zhí)行某個操作。在一個系統(tǒng)中，不同用戶所具有的權(quán)限是不同的。比如對一個文件來說，有的用戶只能進行讀取，而有的用戶可以進行修改。一般來說，系統(tǒng)會為不同的用戶分配不同的角色，而每個角色則對應(yīng)一系列的權(quán)限。

特征：

• 對身份驗證和授權(quán)的全面和可擴展的支持
• 防止會話固定，點擊劫持，跨站點請求偽造等攻擊
• Servlet API集成
• 可選與Spring Web MVC集成

2. 框架原理

想要對對Web資源進行保護，最好的辦法莫過于Filter，要想對方法調(diào)用進行保護，最好的辦法莫過于AOP。所以Spring Security在我們進行用戶認證以及授予權(quán)限的時候，通過各種各樣的攔截器來控制權(quán)限的訪問，從而實現(xiàn)安全。

Spring Security 框架的主要過濾器(Filter) : 

• WebAsyncManagerIntegrationFilter 
• SecurityContextPersistenceFilter 
• HeaderWriterFilter 
• CorsFilter 
• LogoutFilter
• RequestCacheAwareFilter
• SecurityContextHolderAwareRequestFilter
• AnonymousAuthenticationFilter
• SessionManagementFilter
• ExceptionTranslationFilter
• FilterSecurityInterceptor
• UsernamePasswordAuthenticationFilter
• BasicAuthenticationFilter

  Spring Security框架的核心組件:

• SecurityContextHolder：提供對SecurityContext的訪問
• SecurityContext：持有Authentication對象和其他可能需要的信息
• AuthenticationManager 其中可以包含多個AuthenticationProvider
• ProviderManager對象為AuthenticationManager接口的實現(xiàn)類
• AuthenticationProvider 主要用來進行認證操作的類 調(diào)用其中的authenticate()方法去進行認證操作
• Authentication：Spring Security方式的認證主體
• GrantedAuthority：對認證主題的應(yīng)用層面的授權(quán)，含當前用戶的權(quán)限信息，通常使用角色表示
• UserDetails：構(gòu)建Authentication對象必須的信息，可以自定義，可能需要訪問DB得到
• UserDetailsService：通過username構(gòu)建UserDetails對象，通過loadUserByUsername根據(jù)userName獲取UserDetail對象 （可以在這里基于自身業(yè)務(wù)進行自定義的實現(xiàn)  如通過數(shù)據(jù)庫，xml,緩存獲取等）  

二、SpringBoot 整合Spring Security

1. 項目環(huán)境

（1）JDK版本：1.8

（2）Spring Boot：2.1.2.RELEASE

（3）Spring Security 5.1.3

（4）IntelliJ IDEA 2016.3.4

2. 添加依賴并配置

在pom.xml文件中添加Spring Security的依賴：

<!--Spring Security-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency

在application.yml中配置Spring Security的用戶名密碼：

server:
  port: 8082

# spring security
spring:
    security:
        user:
          name: ouyang
          password: 123456

3. 編寫Controller

package com.oycbest.controller;

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Author: oyc
 * @Date: 2019/1/29 10:49
 * @Description: Hello 測試控制類
 */
@RestController
public class HelloController {
    @GetMapping("hello")
    public String hello(HttpServletRequest request, HttpServletResponse response) throws Exception {
        return "hello";
    }
}

三、測試效果

到此這篇關(guān)于SpringBoot+Spring Security基于內(nèi)存用戶認證的實現(xiàn)的文章就介紹到這了,更多相關(guān)SpringBoot Spring Security內(nèi)存用戶認證內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論