您好,登錄后才能下訂單哦!
小編給大家分享一下springsecurity是什么有什么用,希望大家閱讀完這篇文章后大所收獲,下面讓我們一起去探討吧!
一 介紹
給知識(shí)追尋者給大家?guī)淼氖莝pringSecurity入門篇,主要是簡(jiǎn)述下springSecrurity的啟動(dòng)原理和簡(jiǎn)單的入門搭建;
二 核心模塊介紹
當(dāng)然其模塊遠(yuǎn)不止這些,比如CAS,ALC,Aspects,OpenI等等,對(duì)于入門我們了解核心即可;
三 入門搭建
3.1 依賴
springboot 2.3.0
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
3.2 控制層
控制層定義一個(gè)接口,用于瀏覽器請(qǐng)求,請(qǐng)求成功后會(huì)返回 hello zszxz
;
@GetMapping("hello") public String hello() { return "hello zszxz"; }
3.3 訪問登陸頁(yè)
啟動(dòng)項(xiàng)目
訪問 localhost:8080/hello 會(huì)自動(dòng)跳轉(zhuǎn)至localhost:8080/login
可以看到 接口就被保護(hù)起來了,訪問接口需要進(jìn)行賬號(hào)密碼登陸;那么賬號(hào)密碼在哪里?看tiao控制臺(tái)打印的日志
如下所示,一串uuid就是登陸密碼;賬號(hào)是 user;賬號(hào),密碼輸入后就會(huì)跳轉(zhuǎn)至 localhost:8080/hello ;
.UserDetailsServiceAutoConfiguration :
Using generated security password: 8f5b8238-9b35-482f-b2a5-bf440af5271b
3.4 登陸原理解析
由日志打印可以看出 是在 UserDetailsServiceAutoConfiguration
類中發(fā)現(xiàn)的密碼;我們點(diǎn)擊該類發(fā)現(xiàn)有個(gè)
inMemoryUserDetailsManager
方法 里面有 properties.getUser(); 即獲取用戶,說明用戶信息來自 SecurityProperties
;
@Lazy public InMemoryUserDetailsManager inMemoryUserDetailsManager(SecurityProperties properties, ObjectProvider<PasswordEncoder> passwordEncoder) { User user = properties.getUser(); List<String> roles = user.getRoles(); return new InMemoryUserDetailsManager(new UserDetails[]{org.springframework.security.core.userdetails.User.withUsername(user.getName()).password(this.getOrDeducePassword(user, (PasswordEncoder)passwordEncoder.getIfAvailable())).roles(StringUtils.toStringArray(roles)).build()}); }
點(diǎn)擊 SecurityProperties
類其有個(gè)內(nèi)部靜態(tài)類User, 如下所示,賬號(hào)就是user, 密碼就是UUID; roles是個(gè)ArrayList;配置文件的前綴 “spring.security”
@ConfigurationProperties( prefix = "spring.security" ) public class SecurityProperties { // 此處省略......... public static class User { private String name = "user"; private String password = UUID.randomUUID().toString(); private List<String> roles = new ArrayList(); private boolean passwordGenerated = true; // 此處省略.........
現(xiàn)在我們通過配置文件的方式改變賬號(hào)密碼,在application.yml配置賬號(hào)密碼如下
spring: security: user: password: zszxz name: zszxz
重啟服務(wù),訪問http://localhost:8080/login 此時(shí) 的填入的表單賬號(hào)密碼就是zszxz
; 而且發(fā)現(xiàn) 控制臺(tái)不再打印出uuid ;
3.5 springSecurity基本原理
仔細(xì)檢測(cè)日志信息, 可以發(fā)現(xiàn)springSecurity模塊的日志打印信息如下,其實(shí)現(xiàn)原理就是通過一串的Servlet過濾器進(jìn)行基本實(shí)現(xiàn),最后一個(gè)是FilterSecurityInterceptor
攔截器;
[org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@248deced, org.springframework.security.web.context.SecurityContextPersistenceFilter@677b8e13, org.springframework.security.web.header.HeaderWriterFilter@30331109, org.springframework.security.web.csrf.CsrfFilter@1bbae752, org.springframework.security.web.authentication.logout.LogoutFilter@64030b91, org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@78faea5f, ............... .intercept.FilterSecurityInterceptor@2b4c3c29
來自官網(wǎng)的圖片如下;FilterChain 中包含了 Filter 和 Servlet , 其能夠很快速的處理所有的URL請(qǐng)求; 當(dāng)然每個(gè)具體的Filter 功能都不同,以后可能提到,有興趣的讀者也可以參照官網(wǎng)學(xué)習(xí);
比較重要的Filter
四 加密方式
官網(wǎng)有列出 基于 withDefaultPasswordEncoder 方式 創(chuàng)建 用戶,這樣并不是很推薦,原因是其賬號(hào)密碼會(huì)暴露在內(nèi)存和編譯的源碼中,并不是很安全,如果要用于生產(chǎn)環(huán)境還需要對(duì)密碼進(jìn)行一次hash或者加密;
UserBuilder users = User.withDefaultPasswordEncoder(); User user = users .username("user") .password("password") .roles("USER") .build(); User admin = users .username("admin") .password("password") .roles("USER","ADMIN") .build();
官方提供了好多種其它方式進(jìn)行加密:
它們的使用方式都差不多,示例如下,在使用時(shí)替換對(duì)應(yīng)的加密對(duì)象即可;
SCryptPasswordEncoder encoder = new SCryptPasswordEncoder(); String result = encoder.encode("myPassword"); assertTrue(encoder.matches("myPassword", result));
看完了這篇文章,相信你對(duì)springsecurity是什么有什么用有了一定的了解,想了解更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。