2. 程式人生 > >Springboot Web應用中基於預設配置啟用Spring Security時的效果總結

Springboot Web應用中基於預設配置啟用Spring Security時的效果總結

阿新 發佈:2018-12-12

前提: 本文假定你已經擁有一個使用 maven管理基於springbootweb專案。

基於預設配置啟用Spring Security

假定你已經有了一個基於Springboot 的Web應用,想啟用Spring Security並使用預設配置,以下是啟用步驟 :

  1. 專案依賴中增加依賴spring-boot-starter-security;
        <!-- Spring Security 依賴 -->
        <dependency>
            <groupId>org.springframework.boot</
 
groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
  1. 添加註解@EnableWebSecurity啟用Spring Security;
// 啟用 web security  
@EnableWebSecurity  <========
@SpringBootApplication
public class Application {
    public static void main(String[
 
] args) {
        SpringApplication.run(Application.class, args);
    }
}

都有哪些預設配置表現

預設情況使用的web安全配置

	// 摘自預設使用的安全配置介面卡WebSecurityConfigurerAdapter#getHttp方法中HttpSecurity http
	// 物件剛剛被建立之後
	// 這段邏輯在預設情況下被執行並最終生效 
			http
				.csrf().and()
				.addFilter(new WebAsyncManagerIntegrationFilter())
				.
 
exceptionHandling().and()
				.headers().and()
				.sessionManagement().and()
				.securityContext().and()
				.requestCache().and()
				.anonymous().and()
				.servletApi().and()
				.apply(new DefaultLoginPageConfigurer<>()).and()
				.logout();

	// 摘自預設使用的安全配置介面卡WebSecurityConfigurerAdapter#configure方法
	// 該方法在上面程式碼之後立即被執行,對HttpSecurity http物件補充更多設定
	// 這段邏輯在預設情況下被執行並最終生效
		http
			.authorizeRequests()
				.anyRequest().authenticated() 
				.and()
			.formLogin().and()
			.httpBasic();

預設啟用的Spring Security Filter

名稱
WebAsyncManagerIntegrationFilter
SecurityContextPersistenceFilter
HeaderWriterFilter
CsrfFilter
LogoutFilter
UsernamePasswordAuthenticationFilter
DefaultLoginPageGeneratingFilter
DefaultLogoutPageGeneratingFilter
BasicAuthenticationFilter
RequestCacheAwareFilter
SecurityContextHolderAwareRequestFilter
AnonymousAuthenticationFilter
SessionManagementFilter
ExceptionTranslationFilter
FilterSecurityInterceptor

預設提供的認證方式

基於記憶體保持的一個使用者賬號

  • 使用者名稱稱為 user
  • 密碼明文會在程式啟動時顯示在控制檯上

例子 :

Using generated security password: 333166dc-91a6-4555-9adb-d632a2cb7e68
  • 相應的UserDetailsService是一個InMemoryUserDetailsManager例項。
  • 相應的AuthenticationManager是一個ProviderManager例項,它自己包含一個AuthenticationProvider:AnonymousAuthenticationProvider不支援使用者名稱/密碼錶單認證,但它的雙親AuthenticationManager:ProviderManager包含了一個AuthenticationProvider:DaoAuthenticationProvider使用上面的使用者名稱/密碼支援使用者名稱/密碼認證。
  • 相應的密碼加密和比較器使用代理DelegatingPasswordEncoder,最終使用NoOpPasswordEncoder進行明文比較。

密碼驗證方式

預設使用的URL地址

URL 功能
GET /login 登入頁面
展示包含一個登入表單的HTML頁面,
有兩個輸入框供使用者輸入username,password,一個_csrf token隱藏欄位,和一個表單提交按鈕,
表單提交地址是POST /login
表單提交的密碼採用明文傳輸
POST /login 登入請求處理地址
1.登陸自動跳轉:/
2.登入失敗自動跳轉:/login?error
GET /logout 退出登入頁面
展示包含一個退出登入表單的HTML頁面,
有一個退出登入提示訊息,一個_csrf token隱藏欄位,和一個表單提交按鈕
表單提交地址是POST /logout
POST /logout 退出登入請求處理地址
1.退出登入成功自動跳轉:/login?logout

相關推薦

Springboot Web應用基於預設配置啟用Spring Security效果總結

前提: 本文假定你已經擁有一個使用 maven管理基於springboot 的web專案。 基於預設配置啟用Spring Security 假定你已經有了一個基於Springboot 的Web應用,想啟用Spring Security並使用預設配置,以下是啟用步驟

spring-web:在web應用即使用監聽器建立spring容器物件

spring-web2:在web應用中,使用spring。spring管理Service,Dao物件,而servlet、JSP、監聽器物件是由Tomcat生成的 web專案中使用spring的問題: 1.容器物件建立多次了, 應該是建立一次 (在應用啟動的時候建立一次) 2.容器物件需要

使用Azure Functions 在web 應用啟用自動更新(一)分析基於輪詢的 Web 應用的限制

1,引言 上一篇介紹了使用使用 Visual Studio 開發 "Azure Functions" 函式,此篇介紹 “Azure Functions” 的測試以及直接從 Vistual Studio 在 Azure 上的部署 ”Azure Functions“應用。 接著上一篇,本篇介紹在 “Azure F

WebSphere配置的數據源在Web應用引用的寫法

padding websphere 技術分享 org info href adding title framework WebSphere中配置的數據源在Web應用中引用時名稱一定要和數據源的JNDI名稱保持一致,否則會出現無法找到數據源的錯誤。 引用WAS的數據源時只需要

基於nginx tomcat redis分散式web應用的session共享配置

apply plugin: 'java' apply plugin: 'maven' apply plugin: 'signing' group = 'com.orangefunction' version = '2.0.0' repositories { mavenCentral

Java-Servlet--《12-WEB應用的普通Java程序如何讀取資源文件.mp4》 有疑問

疑問 文件 什麽 get java程序 blog java rop col \第五天-servlet開發和ServletConfig與ServletContext對象\12-WEB應用中的普通Java程序如何讀取資源文件.mp4; 多層時,DAO為了得到資源文件中的配置

web應用的異常處理

異常類 row server ade actor pack exc request ext 樓主前幾天寫了一篇“Java子線程中的異常處理(通用)”文章,介紹了在多線程環境下3種通用的異常處理方法。 但是平時大家的工作一般是基於開發框架進行的(比如

[轉] SpringBoot RESTful 應用的異常處理小結

bject common -h ports interface cep exce 源碼 tps [From] https://segmentfault.com/a/1190000006749441 SpringBoot RESTful 應用中的異常處理小結

Java Web應用支持跨域請求

通過 sca info def gist time 並且 tomcat json 轉載:https://blog.csdn.net/lmy86263/article/details/51724221 由於工程合作開發的需要,後臺的應用要能支持跨域訪問,但是在這個跨域

springboot---web 應用開發-文件上傳

lec clas bst for boot multi 成功 suffix www. 一、Spring Boot 默認使用 springMVC 包裝好的解析器進行上傳 二、添加代碼 <form method="POST" enctype="multipart/f

web.xml一個filter配置多個url-pattern

需要在filter標籤後新增多個filter-mapping標籤,一個url-pattern就對應一個filter-mapping標籤,不能直接把多個url-pattern配置到同一個filter-mapping標籤裡,也不能直接把多個url直接配置到一個url-pattern標籤裡。 正確地配置方式如下所

將訓練好的Tensorflow模型部署到web應用

  做一個簡易web使用Flask是最好的選擇,不僅上手快,使用也很便利。Django很強大也很好用,但一次就會建立一個專案的所需的檔案,我覺得對於測試一個模型在web端有沒有效果沒必要用它。   flask依賴jinja和werkzeug,所以再稍微學一點jinja的語法即可。   關於TensorFl

Springweb應用獲得Bean的方法 實現getBean方法

1.新建類,並實現 org.springframework.context.ApplicationContextAware 介面. package com.abc.framework.util; import org.springframework.beans.BeansExc

Web應用路徑問題

絕對路徑:指無法改變的路徑,根據給出的路徑可以準確定位的路徑。(帶訪問協議的路徑) 本地據對路徑:帶有碟符的路徑。如:E:\BaiduNetdiskDownload(對於本地路徑,其實質是省略了file協議,帶協議實際路徑為:file:///E:\BaiduNetdiskDownload)

SpringBoot——web開發之SpringMVC自動配置原理

一、SpringBoot為SpringMVC提供的自動配置 2、SpringBoot為SpringMVC提供的自動配置:參考類WebMvcAutoConfiguration ①Inclusion of ContentNegotiatingViewResolver an

Web應用的快取一致性問題

上篇總結了快取中出現頻率比較高的一些問題,今天詳細說說web應用中的快取一致性問題。 主要說以下三個方面 資料庫與快取中資料不一致出現的情形 發生不一致時的優化思路 如何保證資料庫與快取的一致性 先來討論下結論 由於操作快取與操作資料庫不是原子的,所以非常有可能出現執行失敗的情況。

web應用的檔案上傳

原型:public void saveAs(java.lang.String destFilePathName)或者public void saveAs(java.lang.String destFilePathName,int optionSaveAs)其中,destFilePathName另存的檔名,op

JavaMail java郵件開發_在Web應用增加郵件傳送功能

建立一個web專案 在lib下新增兩個jar包,mail.jar和之前寫的JavaMail02.jar SendMailServlet: package com.yuming.servlet; import java.io.IOException; import javax.se

spring_(28)Spring_在 WEB 應用使用 Spring

Spring 如何在 WEB 應用中使用 ? 1). 需要額外加入的 jar 包: spring-web-4.0.0.RELEASE.jar spring-webmvc-4.0.0.RELEASE.jar 2). Spring 的配置檔案, 沒有什麼不同

spring_(27)Spring_在 WEB 應用使用 Spring 的基本思路md

Spring如何在WEB應用中使用? spring-web-4.0.0.RELEASE.jar spring-webmvc-4.0.0.RELEASE.jar Spring的配置檔案,沒有什麼不同 如何建立IOC容器