spring security(springsecurity是什么有什么用)

一 介紹

給知識追尋者給大家帶來的是springSecurity入門篇,主要是簡述下springSecrurity的啟動原理和簡單的入門搭建;

二 核心模塊介紹

• spring-security-core ; 包含核心身份驗證和access-contol類和接口,遠程支持和基本配置AP;
• spring-security-web: web , url登陸驗證和訪問控制;
• spring-security-config: 支持xml 或者java注解配置;

當然其模塊遠不止這些,比如CAS,ALC,Aspects,OpenI等等,對于入門我們了解核心即可;

三 入門搭建

3.1 依賴

springboot 2.3.0

 <dependency>      <groupId>org.springframework.boot</groupId>      <artifactId>spring-boot-starter-security</artifactId>    </dependency>

3.2 控制層

控制層定義一個接口,用于瀏覽器請求,請求成功后會返回 hello zszxz ;

@GetMapping("hello")  public String hello() {    return "hello zszxz";  }

3.3 訪問登陸頁

啟動項目

訪問 localhost:8080/hello 會自動跳轉至localhost:8080/login

可以看到 接口就被保護起來了,訪問接口需要進行賬號密碼登陸;那么賬號密碼在哪里?看tiao控制臺打印的日志

如下所示,一串uuid就是登陸密碼;賬號是 user;賬號,密碼輸入后就會跳轉至 localhost:8080/hello ;

.UserDetailsServiceAutoConfiguration :

Using generated security password: 8f5b8238-9b35-482f-b2a5-bf440af5271b

3.4 登陸原理解析

由日志打印可以看出 是在 UserDetailsServiceAutoConfiguration 類中發現的密碼;我們點擊該類發現有個

inMemoryUserDetailsManager 方法 里面有 properties.getUser(); 即獲取用戶,說明用戶信息來自 SecurityProperties ;

  @Lazy  public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) {    User user = properties.getUser();    List<String> roles = user.getRoles();    return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()});  }

點擊 SecurityProperties 類其有個內部靜態類User, 如下所示,賬號就是user, 密碼就是UUID; roles是個ArrayList;配置文件的前綴 “spring.security”

@ConfigurationProperties(  prefix = "spring.security")public class SecurityProperties {// 此處省略.........public static class User {    private String name = "user";    private String password = UUID.randomUUID().toString();    private List<String> roles = new ArrayList();    private boolean passwordGenerated = true;// 此處省略.........

現在我們通過配置文件的方式改變賬號密碼,在application.yml配置賬號密碼如下

spring: security:  user:   password: zszxz   name: zszxz

重啟服務,訪問http://localhost:8080/login 此時 的填入的表單賬號密碼就是zszxz; 而且發現 控制臺不再打印出uuid ;

3.5 springSecurity基本原理

仔細檢測日志信息, 可以發現springSecurity模塊的日志打印信息如下,其實現原理就是通過一串的Servlet過濾器進行基本實現,最后一個是FilterSecurityInterceptor 攔截器;

[org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@248deced, org.springframework.security.web.context.SecurityContextPersistenceFilter@677b8e13, org.springframework.security.web.header.HeaderWriterFilter@30331109, org.springframework.security.web.csrf.CsrfFilter@1bbae752, org.springframework.security.web.authentication.logout.LogoutFilter@64030b91, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@78faea5f,............... .intercept.FilterSecurityInterceptor@2b4c3c29

來自官網的圖片如下;FilterChain 中包含了 Filter 和 Servlet , 其能夠很快速的處理所有的URL請求; 當然每個具體的Filter 功能都不同,以后可能提到,有興趣的讀者也可以參照官網學習;

比較重要的Filter

• UsernamePasswordAuthenticationFilter
• DigestAuthenticationFilter
• BasicAuthenticationFilter
• ExceptionTranslationFilter
• FilterSecurityInterceptor
  

四 加密方式

官網有列出 基于 withDefaultPasswordEncoder 方式 創建 用戶,這樣并不是很推薦,原因是其賬號密碼會暴露在內存和編譯的源碼中,并不是很安全,如果要用于生產環境還需要對密碼進行一次hash或者加密;

UserBuilder users = User.withDefaultPasswordEncoder();User user = users .username("user") .password("password") .roles("USER") .build();User admin = users .username("admin") .password("password") .roles("USER","ADMIN") .build();

官方提供了好多種其它方式進行加密:

• DelegatingPasswordEncoder
• BCryptPasswordEncoder
• Argon2PasswordEncoder
• Pbkdf2PasswordEncoder
• SCryptPasswordEncoder
  

它們的使用方式都差不多,示例如下,在使用時替換對應的加密對象即可;

SCryptPasswordEncoder encoder = new SCryptPasswordEncoder();String result = encoder.encode("myPassword");assertTrue(encoder.matches("myPassword", result));

看完了這篇文章,相信你對springsecurity是什么有什么用有了一定的了解,想了解更多相關知識,歡迎關注本站行業資訊頻道,感謝各位的閱讀!