国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

Spring Security 如何實(shí)現(xiàn)身份認(rèn)證和授權(quán)？

2年前作者：2013crazy分類(lèi)：Toy博客閱讀(21)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了Spring Security 如何實(shí)現(xiàn)身份認(rèn)證和授權(quán)？。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

Spring Security 是一個(gè)開(kāi)源的安全框架，提供了基于權(quán)限的訪問(wèn)控制、身份認(rèn)證、安全性事件發(fā)布等功能。在 Spring Boot 應(yīng)用中使用 Spring Security 可以非常方便地實(shí)現(xiàn)用戶身份認(rèn)證和授權(quán)。

Spring Security 實(shí)現(xiàn)身份認(rèn)證的主要方式是使用認(rèn)證過(guò)濾器鏈，該過(guò)濾器鏈包含多個(gè)過(guò)濾器，用于對(duì)用戶進(jìn)行身份驗(yàn)證和授權(quán)。在 Spring Security 中，認(rèn)證和授權(quán)處理是通過(guò)過(guò)濾器鏈中的過(guò)濾器來(lái)實(shí)現(xiàn)的，最終返回一個(gè)認(rèn)證成功的用戶對(duì)象。本文將介紹 Spring Security 如何實(shí)現(xiàn)身份認(rèn)證和授權(quán)，并提供示例代碼。

Spring Security 如何實(shí)現(xiàn)身份認(rèn)證和授權(quán)？

1. Spring Security 的身份認(rèn)證

Spring Security 的身份認(rèn)證是通過(guò) AuthenticationManager 接口實(shí)現(xiàn)的。AuthenticationManager 接口是一個(gè)認(rèn)證管理器，用于對(duì)用戶進(jìn)行身份驗(yàn)證。在 Spring Security 中，AuthenticationManager 接口的默認(rèn)實(shí)現(xiàn)是 ProviderManager。

ProviderManager 是一個(gè)認(rèn)證管理器，它包含一個(gè)或多個(gè) AuthenticationProvider 實(shí)現(xiàn)，用于對(duì)用戶進(jìn)行身份驗(yàn)證。AuthenticationProvider 接口是一個(gè)認(rèn)證提供者，用于驗(yàn)證用戶身份。在 Spring Security 中，AuthenticationProvider 的默認(rèn)實(shí)現(xiàn)是 DaoAuthenticationProvider。

DaoAuthenticationProvider 是一個(gè)認(rèn)證提供者，用于對(duì)用戶進(jìn)行身份驗(yàn)證。它需要一個(gè) UserDetailsService 實(shí)現(xiàn)來(lái)獲取用戶信息和密碼，然后使用 PasswordEncoder 進(jìn)行密碼校驗(yàn)。UserDetailsService 接口是一個(gè)用戶詳細(xì)信息服務(wù)接口，用于獲取用戶信息和密碼。PasswordEncoder 接口是一個(gè)密碼編碼器接口，用于對(duì)密碼進(jìn)行編碼和解碼。

下面是一個(gè)基本的 Spring Security 配置示例，用于實(shí)現(xiàn)身份認(rèn)證：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout()
            .and()
            .csrf().disable();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder);
    }
  }

在上面的代碼中，使用 @EnableWebSecurity 注解啟用 Spring Security。configure(HttpSecurity http) 方法用于配置訪問(wèn)控制，指定哪些 URL 需要哪些角色才能訪問(wèn)，以及任何請(qǐng)求都需要經(jīng)過(guò)身份驗(yàn)證。formLogin() 方法啟用基于表單的身份驗(yàn)證，logout() 方法啟用注銷(xiāo)支持，csrf().disable() 方法禁用 CSRF 保護(hù)。

configure(AuthenticationManagerBuilder auth) 方法用于配置身份驗(yàn)證，指定使用哪個(gè) UserDetailsService 實(shí)現(xiàn)來(lái)獲取用戶信息和密碼，以及使用哪個(gè) PasswordEncoder 實(shí)現(xiàn)進(jìn)行密碼校驗(yàn)。

2. Spring Security 的授權(quán)

Spring Security 的授權(quán)是通過(guò) AccessDecisionManager 接口實(shí)現(xiàn)的。AccessDecisionManager 接口是一個(gè)訪問(wèn)決策管理器，用于決定用戶是否有權(quán)限訪問(wèn)某個(gè)資源。在 Spring Security 中，AccessDecisionManager 接口的默認(rèn)實(shí)現(xiàn)是 AffirmativeBased。

AffirmativeBased 是一個(gè)訪問(wèn)決策管理器，它包含一個(gè)或多個(gè) AccessDecisionVoter 實(shí)現(xiàn)，用于決定用戶是否有權(quán)限訪問(wèn)某個(gè)資源。AccessDecisionVoter 接口是一個(gè)投票者，用于決定用戶是否有權(quán)限訪問(wèn)某個(gè)資源。在 Spring Security 中，AccessDecisionVoter 的默認(rèn)實(shí)現(xiàn)是 RoleVoter。

RoleVoter 是一個(gè)投票者，用于根據(jù)用戶的角色決定用戶是否有權(quán)限訪問(wèn)某個(gè)資源。在 Spring Security 中，我們可以通過(guò)實(shí)現(xiàn) AccessDecisionVoter 接口來(lái)自定義投票者，根據(jù)自己的需求來(lái)決定用戶是否有權(quán)限訪問(wèn)某個(gè)資源。

下面是一個(gè)基本的 Spring Security 配置示例，用于實(shí)現(xiàn)授權(quán)：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout()
            .and()
            .csrf().disable();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder);
    }

@Bean在上面的代碼中，使用 @Bean 注解創(chuàng)建了一個(gè)自定義的 AccessDecisionVoter 實(shí)例，用于自定義投票邏輯。在 configure(HttpSecurity http) 方法中，通過(guò) accessDecisionManager() 方法將自定義的 AccessDecisionVoter 實(shí)例添加到訪問(wèn)決策管理器中。

3. 完整的示例代碼

下面是一個(gè)完整的 Spring Security 配置示例代碼，用于實(shí)現(xiàn)身份認(rèn)證和授權(quán)：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserDetailsService userDetailsService;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/user/**").hasRole("USER")
            .anyRequest().authenticated()
            .and()
            .formLogin()
            .and()
            .logout()
            .and()
            .csrf().disable()
            .exceptionHandling()
            .accessDeniedPage("/403");
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService)
            .passwordEncoder(passwordEncoder);
    }

    @Bean
    public AccessDecisionVoter<Object> accessDecisionVoter(){
        RoleHierarchyVoter roleHierarchyVoter = new RoleHierarchyVoter(roleHierarchy());
        return roleHierarchyVoter;
    }

    @Bean
    public RoleHierarchyImpl roleHierarchy() {
        RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
        roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
        return roleHierarchy;
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

在上面的代碼中，使用 @EnableWebSecurity 注解啟用 Spring Security。configure(HttpSecurity http) 方法用于配置訪問(wèn)控制，指定哪些 URL 需要哪些角色才能訪問(wèn)，以及任何請(qǐng)求都需要經(jīng)過(guò)身份驗(yàn)證。formLogin() 方法啟用基于表單的身份驗(yàn)證，logout() 方法啟用注銷(xiāo)支持，csrf().disable() 方法禁用 CSRF 保護(hù)，并且使用 accessDeniedPage() 方法指定訪問(wèn)被拒絕時(shí)跳轉(zhuǎn)的頁(yè)面。

configure(AuthenticationManagerBuilder auth) 方法用于配置身份驗(yàn)證，指定使用哪個(gè) UserDetailsService 實(shí)現(xiàn)來(lái)獲取用戶信息和密碼，以及使用哪個(gè) PasswordEncoder 實(shí)現(xiàn)進(jìn)行密碼校驗(yàn)。

accessDecisionVoter() 方法創(chuàng)建了一個(gè)自定義的 AccessDecisionVoter 實(shí)例，用于自定義投票邏輯。在這個(gè)例子中，我們使用了 RoleHierarchyVoter 類(lèi)實(shí)現(xiàn)了一個(gè)基于角色繼承關(guān)系的投票邏輯。RoleHierarchyImpl 類(lèi)用于定義角色繼承關(guān)系。

passwordEncoder() 方法用于創(chuàng)建一個(gè)密碼編碼器實(shí)例，這里我們使用了 BCryptPasswordEncoder 類(lèi)實(shí)現(xiàn)密碼編碼。

最后，我們需要實(shí)現(xiàn) UserDetailsService 接口，用于獲取用戶信息和密碼。下面是一個(gè)簡(jiǎn)單的實(shí)現(xiàn)示例：

@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
                .orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));

        return new org.springframework.security.core.userdetails.User(
                user.getUsername(),
                user.getPassword(),
                user.getRoles().stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList()));
    }
}

在上面的代碼中，我們使用 UserRepository 類(lèi)獲取用戶信息和密碼，并將其包裝成一個(gè) UserDetails 實(shí)例返回。在這個(gè)例子中，我們使用了 org.springframework.security.core.userdetails.User 類(lèi)實(shí)現(xiàn)了 UserDetails 接口。

結(jié)語(yǔ)

Spring Security 是一個(gè)非常強(qiáng)大的安全框架，可以為 Spring Boot 應(yīng)用提供完整的身份認(rèn)證和授權(quán)功能。本文介紹了 Spring Security 如何實(shí)現(xiàn)身份認(rèn)證和授權(quán)，并提供了示例代碼。使用 Spring Security 可以非常方便地保護(hù)應(yīng)用程序，防止惡意攻擊和數(shù)據(jù)泄露。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-458855.html

到了這里，關(guān)于Spring Security 如何實(shí)現(xiàn)身份認(rèn)證和授權(quán)？的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

實(shí)施PCIDSS認(rèn)證：確保您的身份驗(yàn)證和授權(quán)在安全環(huán)境中運(yùn)行
作者：禪與計(jì)算機(jī)程序設(shè)計(jì)藝術(shù) “Payment Card Industry Data Security Standard”（PCI DSS）是一個(gè)美國(guó)信息安全標(biāo)準(zhǔn)，是20世紀(jì)90年代末由美國(guó)國(guó)家信用卡行業(yè)組織（National Institute of Standards and Technology，NIST）提出的安全標(biāo)準(zhǔn)。它是防止信用卡交易被不法侵入者竊取、篡改或泄露個(gè)人信息
2024年02月05日
瀏覽(23)
Spring Boot 如何使用 Spring Security 進(jìn)行認(rèn)證和授權(quán)
在 Web 應(yīng)用程序中，認(rèn)證和授權(quán)是非常重要的功能。Spring Security 是一個(gè)基于 Spring 框架的強(qiáng)大的安全框架，它提供了完整的認(rèn)證和授權(quán)解決方案，并且可以輕松地集成到 Spring Boot 應(yīng)用程序中。本文將介紹如何在 Spring Boot 中使用 Spring Security 進(jìn)行認(rèn)證和授權(quán)，并提供示例代碼。
2024年02月11日
瀏覽(37)
統(tǒng)一身份認(rèn)證，構(gòu)建數(shù)字時(shí)代的安全壁壘——統(tǒng)一身份認(rèn)證介紹、原理和實(shí)現(xiàn)方法
隨著數(shù)字化時(shí)代的來(lái)臨，個(gè)人和機(jī)構(gòu)在互聯(lián)網(wǎng)上的活動(dòng)越來(lái)越頻繁，對(duì)于身份認(rèn)證的需求也愈發(fā)迫切。為了有效應(yīng)對(duì)身份欺詐、數(shù)據(jù)泄露等問(wèn)題，統(tǒng)一身份認(rèn)證（Unified Identity Authentication）應(yīng)運(yùn)而生。在本文博主將介紹統(tǒng)一身份認(rèn)證的概念、原理以及其具體的實(shí)現(xiàn)方案。統(tǒng)一
2024年02月03日
瀏覽(29)
EMQ X如何生成認(rèn)證信息？身份認(rèn)證流程和操作步驟
身份認(rèn)證是大多數(shù)應(yīng)用的重要組成部分，EMQ X 中的認(rèn)證指的是當(dāng)一個(gè)客戶端連接到 EMQ X 的時(shí)候，通過(guò)服務(wù)器端的配置來(lái)控制客戶端連接服務(wù)器的權(quán)限。 EMQ X 的認(rèn)證支持包括兩個(gè)層面： ? MQTT 協(xié)議本身在 CONNECT 報(bào)文中指定用戶名和密碼，EMQ X 以插件形式支持基于 Username、 Cl
2024年02月11日
瀏覽(21)
SpringCloud整合spring security+ oauth2+Redis實(shí)現(xiàn)認(rèn)證授權(quán)
在微服務(wù)構(gòu)建中，我們一般用一個(gè)父工程來(lái)通知管理依賴(lài)的各種版本號(hào)信息。父工程pom文件如下：在SpringCloud微服務(wù)體系中服務(wù)注冊(cè)中心是一個(gè)必要的存在，通過(guò)注冊(cè)中心提供服務(wù)的注冊(cè)和發(fā)現(xiàn)。具體細(xì)節(jié)可以查看我之前的博客，這里不再贅述。我們開(kāi)始構(gòu)建一個(gè)eureka注冊(cè)中
2024年02月06日
瀏覽(25)
多因素認(rèn)證與身份驗(yàn)證：分析不同類(lèi)型的多因素認(rèn)證方法，介紹如何在訪問(wèn)控制中使用身份驗(yàn)證以增強(qiáng)安全性
隨著數(shù)字化時(shí)代的到來(lái)，信息安全問(wèn)題變得愈發(fā)重要。在網(wǎng)絡(luò)世界中，用戶的身份往往是保護(hù)敏感數(shù)據(jù)和系統(tǒng)免受未經(jīng)授權(quán)訪問(wèn)的第一道防線。單一的密碼已經(jīng)不再足夠，多因素認(rèn)證（MFA）應(yīng)運(yùn)而生，成為提升身份驗(yàn)證安全性的重要工具之一。本文將深入探討不同類(lèi)型的多因
2024年02月10日
瀏覽(26)
AI 欺詐事件頻出，如何重塑身份認(rèn)證的安全性？
據(jù)報(bào)告表示，生成式人工智能每年可為世界經(jīng)濟(jì)注入相當(dāng)于 4.4 萬(wàn)億美元的資金。預(yù)計(jì)到 2030 年，人工智能對(duì)全球財(cái)政的潛在貢獻(xiàn)將達(dá)到 15.7 萬(wàn)億美元。人們驚嘆于 AI 強(qiáng)大工作效率，期待能幫忙節(jié)省不必要的勞動(dòng)力，但事實(shí)上 AI 出現(xiàn)之后，AI 造假的恐慌也隨之不斷蔓延。借
2024年02月19日
瀏覽(24)
學(xué)習(xí)node之——如何在項(xiàng)目中使用MySQL、前后端的身份認(rèn)證
上一篇文章只寫(xiě)了一丟丟，這篇才是正片，look look look 這里連接數(shù)據(jù)庫(kù)的用戶和密碼都是我們?cè)诎惭bmysql時(shí)配置的密碼。每個(gè)人的users表格里面數(shù)據(jù)不同，結(jié)果也會(huì)不一樣喲！巧2小黑板啦！這里有兩個(gè)知識(shí)點(diǎn)： 1、可以通過(guò)英文？符號(hào)占位符指定具體的值 2、用insert into插入數(shù)
2024年02月10日
瀏覽(20)
【安全】簡(jiǎn)單解析統(tǒng)一身份認(rèn)證：介紹、原理和實(shí)現(xiàn)方法
隨著互聯(lián)網(wǎng)的發(fā)展和各種在線服務(wù)的普及，用戶在不同的應(yīng)用和平臺(tái)上需要進(jìn)行多次身份驗(yàn)證。為了簡(jiǎn)化用戶的登錄和減少重復(fù)操作，統(tǒng)一身份認(rèn)證（Single Sign-On，簡(jiǎn)稱(chēng)SSO）技術(shù)應(yīng)運(yùn)而生。本文將簡(jiǎn)單介紹統(tǒng)一身份認(rèn)證的概念、原理和實(shí)現(xiàn)方法，希望能幫助你更好地理解和應(yīng)
2024年02月15日
瀏覽(34)
使用Token方式實(shí)現(xiàn)用戶身份鑒權(quán)認(rèn)證
Token，也稱(chēng)為“令牌”，是服務(wù)端生成的一串字符串，以作客戶端進(jìn)行請(qǐng)求的一個(gè)令牌，當(dāng)?shù)谝淮蔚卿浐螅?wù)器生成一個(gè)Token便將此Token返回給客戶端，以后客戶端只需帶上這個(gè)Token前來(lái)請(qǐng)求數(shù)據(jù)即可，無(wú)需再次帶上用戶名和密碼。比如如下形式： 39faf62271944fe48c4f1d69be71bc9a 傳
2024年02月11日
瀏覽(19)