网站建设与优化推广方案,一般建设一个网站多少钱,做营销网站设计,江门网站建设电话在现今这个数码大展拳脚的时代#xff0c;安全问题无疑是咱们这些搞软件开发的人需要谨慎应对的一块烫手山芋#xff0c;无论是那些大型企业应用#xff0c;还是那种小打小闹的个人项目#xff0c;对我们宝贵的数据和服务的保护都显得尤为关键。
试想一下#xff0c;若是…在现今这个数码大展拳脚的时代安全问题无疑是咱们这些搞软件开发的人需要谨慎应对的一块烫手山芋无论是那些大型企业应用还是那种小打小闹的个人项目对我们宝贵的数据和服务的保护都显得尤为关键。
试想一下若是没有咱这神奇的Spring Security保驾护航那我们的每一个接口岂不成为了互联网世界里的羔羊任由他人肆意挑战这种情况想想就让人心惊胆战啊因此我们会想到在接口被调用时能不能让咱的后端猜出是哪个家伙在捣鬼呢这样就能有效防止别人胡乱开关我们的接口了。除了这个痛点之外还有个问题就是如何判断是哪位用户触发的操作呢这可真是给咱们带来了不小的困扰。这时Spring Security横空出世成了解决这些难题的救星。
作为Spring大家族中的一员猛将Spring Security为我们提供了一整套周全且灵活多变的安全防御体系让应用的安全防线固若金汤。本文中我们就一起来探讨如何运用Spring Security来保卫我们的应用吧。从Spring Security的基础概念讲起逐步介绍如何搭建出扎实的横向跨越式的Spring Security应用接着深入讲解配置Spring Security的细节以满足咱们接口防御和数据防护的各种需求。 文章目录 搭建Spring Security环境第一步创建spring boot应用第二步引入spring security的依赖第三步配置自定义的用户名和密码 搭建Spring Security环境
第一步创建spring boot应用 dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-web/artifactId/dependency我们首先创建一个springboot的应用我们引入了一个web包这样的话我们就可以通过HTTP的方式调用我们的接口。
里面我们可以给他新建一个实体类和一个接口类。用来验证我们的最基础的接口。
User实体类
public class User {private String name;private Integer age;public String getName() {return name;}public void setName(String name) {this.name name;}public Integer getAge() {return age;}public void setAge(Integer age) {this.age age;}
}BasicController接口类
package com.masiyi.springsecuritydemo.demos.web;import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;Controller
public class BasicController {// http://127.0.0.1:8080/hello?namelisiRequestMapping(/hello)ResponseBodypublic String hello(RequestParam(name name, defaultValue unknown user) String name) {return Hello name;}// http://127.0.0.1:8080/userRequestMapping(/user)ResponseBodypublic User user() {User user new User();user.setName(theonefx);user.setAge(666);return user;}}
这个时候我们可以看到我们只要在浏览器上输入这个地址。就可以返回我们服务里面的内容。那么这就有一个问题就是说如果我们把这个服务发布在互联网上面那不是谁都可以调用。所以他就没有一个安全防护的一个环节。 第二步引入spring security的依赖 dependencygroupIdorg.springframework.boot/groupIdartifactIdspring-boot-starter-security/artifactId/dependency我们在项目的pom文件中引入上面的maven代码记得一定要刷新maven并且重新启动项目。这样的话相当于我们的系统就自动引入Spring security的jar包。引入了之后我们就可以直接使用。
可以看到自从引入了这个jar包之后我们的启动的控制台就会多了一些额外的输出。我们可以看到里面有一个默认生成的密码。我们把它复制下来。
0b34de66-bec1-4a00-aea6-f2cc34e35b28现在我们现在在浏览器上输入刚刚一样的内容。 http://localhost:8080/hello就会发现我们已经无法直接请求到服务里面返回的内容了而是直接给我们重定向了一个登录页面的地址。这个登录页面的地址是spring security自己生成的一个默认的登录页面。这个时候我们需要重新输入用户名和密码用户名默认是user。然后密码默认是我们刚刚控制台复制好的密码。 这个时候我们就会发现他又给我们从定向到了hello那个页面这样的话和我们第一步直接访问这个url。所看到的结果是一样的那么他做了什么事呢就是在我们访问这个结果之前多了一个登录的页面这样的话就可以把我们所有系统的接口全部给做一层防护。只有在我们输入用户和密码正确的时候它才会继续给我们访问系统的接口。
第三步配置自定义的用户名和密码
大家可以看到我们刚刚控制台生成的密码其实是一个随机的字符串它是security默认生成的所以现在我们可以给它配一个默认的用户名和密码。我们可以在配置文件中输入以下的配置给他配置自定义的用户名和密码。
spring.security.user.namewangfugui
spring.security.user.password123123我们在用我们自定义的用户名和密码登录成功之后就可以访问我们项目中的任意一个地址。 完成以上三步我们就成功引入了springsecurity并制定了我们自己的用户名和密码。不过你们有没有想过在实际的项目中我们真的会将用户名和密码写在配置文件中吗这显然是不可能的。我们肯定是将这些信息存放在数据库当中然后用户进行登录时我们会依据他们提供的用户名和密码来与数据库中的匹配如果匹配成功那就让他们登录成功并赋予他们访问系统接口的权限。
我们还可以为系统添加一个注册的功能。但这个时候我们就会面临一个新问题。既然我们的每个接口都被spring security拦截了那我们的注册接口岂不是也要被拦截掉这就引出了一个新的问题。到时候我们下一节课会教大家如何在spring security中具体配置哪些接口应该被拦截哪些应该放行即那些不需要登录就能直接访问的接口。
