中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

如何在Spring Boot中配置 Security

發布時間:2021-05-23 11:04:06 來源:億速云 閱讀:505 作者:Leah 欄目:編程語言

本篇文章給大家分享的是有關如何在Spring Boot中配置 Security,小編覺得挺實用的,因此分享給大家學習,希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

2.默認Security設置

為了增加Spring Boot應用程序的安全性,我們需要添加安全啟動器依賴項:

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

這將包括SecurityAutoConfiguration類 - 包含初始/默認安全配置。

注意我們在這里沒有指定版本,假設項目已經使用Boot作為父項。

簡而言之,默認情況下,為應用程序啟用身份驗證。此外,內容協商用于確定是否應使用basic或formLogin。

有一些預定義的屬性,例如:

spring.security.user.name
spring.security.user.password

如果我們不使用預定義屬性spring.security.user.password配置密碼并啟動應用程序,我們會注意到隨機生成默認密碼并在控制臺日志中打印:

Using default security password: c8be15de-4488-4490-9dc6-fab3f91435c6

3.禁用自動配置

要放棄安全性自動配置并添加我們自己的配置,我們需要排除SecurityAutoConfiguration類。

這可以通過簡單的排除來完成:

@SpringBootApplication(exclude = { SecurityAutoConfiguration.class })
public class SpringBootSecurityApplication {
 
  public static void main(String[] args) {
    SpringApplication.run(SpringBootSecurityApplication.class, args);
  }
}

或者通過在application.properties文件中添加一些配置:

spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.SecurityAutoConfiguration

還有一些特殊情況,這種設置還不夠。

例如,幾乎每個Spring Boot應用程序都在類路徑中使用Actuator啟動。
這會導致問題,因為另一個自動配置類需要我們剛剛排除的那個,因此應用程序將無法啟動。

為了解決這個問題,我們需要排除該類;并且,特定于Actuator情況,我們需要排除

ManagementWebSecurityAutoConfiguration。

3.1. 禁用和超越 Security Auto-Configuration
禁用自動配置和超越它之間存在顯著差異。

通過禁用它,就像從頭開始添加Spring Security依賴項和整個設置一樣。這在以下幾種情況下很有用:

將應用程序security與自定義security提供程序集成

將已有security設置的舊Spring應用程序遷移到Spring Boot

但是,大多數情況下我們不需要完全禁用安全自動配置。

Spring Boot的配置方式允許通過添加我們的新/自定義配置類來超越自動配置的安全性。這通常更容易,因為我們只是定制現有的安全設置以滿足我們的需求。

4.配置Spring Boot Security
如果我們選擇了禁用Security自動配置的路徑,我們自然需要提供自己的配置。

正如我們之前討論過的,這是默認的安全配置;我們可以通過修改屬性文件來自定義它。

例如,我們可以通過添加我們自己的密碼來覆蓋默認密碼:

security.user.password=password

如果我們想要一個更靈活的配置,例如多個用戶和角色 - 您現在需要使用完整的@Configuration類:

@Configuration
@EnableWebSecurity
public class BasicConfiguration extends WebSecurityConfigurerAdapter {
 
  @Override
  protected void configure(AuthenticationManagerBuilder auth)
   throws Exception {
    auth
     .inMemoryAuthentication()
     .withUser("user")
      .password("password")
      .roles("USER")
      .and()
     .withUser("admin")
      .password("admin")
      .roles("USER", "ADMIN");
  }
 
  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
     .authorizeRequests()
     .anyRequest()
     .authenticated()
     .and()
     .httpBasic();
  }
}

如果我們禁用默認安全配置,則@EnableWebSecurity注釋至關重要。

如果丟失,應用程序將無法啟動。只有在我們使用WebSecurityConfigurerAdapter覆蓋默認行為時,注釋才是可選的。

現在,我們應該通過幾個快速實時測試驗證我們的安全配置是否正確應用:

@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment = RANDOM_PORT)
public class BasicConfigurationIntegrationTest {
 
  TestRestTemplate restTemplate;
  URL base;
  @LocalServerPort int port;
 
  @Before
  public void setUp() throws MalformedURLException {
    restTemplate = new TestRestTemplate("user", "password");
    base = new URL("http://localhost:" + port);
  }
 
  @Test
  public void whenLoggedUserRequestsHomePage_ThenSuccess()
   throws IllegalStateException, IOException {
    ResponseEntity<String> response 
     = restTemplate.getForEntity(base.toString(), String.class);
 
    assertEquals(HttpStatus.OK, response.getStatusCode());
    assertTrue(response
     .getBody()
     .contains("Baeldung"));
  }
 
  @Test
  public void whenUserWithWrongCredentials_thenUnauthorizedPage() 
   throws Exception {
 
    restTemplate = new TestRestTemplate("user", "wrongpassword");
    ResponseEntity<String> response 
     = restTemplate.getForEntity(base.toString(), String.class);
 
    assertEquals(HttpStatus.UNAUTHORIZED, response.getStatusCode());
    assertTrue(response
     .getBody()
     .contains("Unauthorized"));
  }
}

實際上,Spring Boot Security的背后是Spring Security,所以任何可以用這個完成的安全配置,或者這個支持的任何集成都可以實現到Spring Boot中。

5. Spring Boot OAuth3自動配置
Spring Boot為OAuth3提供專用的自動配置支持。

在我們開始之前,讓我們添加Maven依賴項來開始設置我們的應用程序:

<dependency>
  <groupId>org.springframework.security.oauth</groupId>
  <artifactId>spring-security-oauth3</artifactId>
</dependency>

此依賴項包括一組能夠觸發OAuth3AutoConfiguration類中定義的自動配置機制的類。

現在,我們有多種選擇可以繼續,具體取決于我們的應用范圍。

5.1。 OAuth3授權服務器自動配置
如果我們希望我們的應用程序是OAuth3提供程序,我們可以使用@EnableAuthorizationServer。

在啟動時,我們會在日志中注意到自動配置類將為我們的授權服務器生成客戶端ID和客戶端密鑰,當然還有用于基本身份驗證的隨機密碼。

Using default security password: a81cb256-f243-40c0-a585-81ce1b952a98
security.oauth3.client.client-id = 39d2835b-1f87-4a77-9798-e2975f36972e
security.oauth3.client.client-secret = f1463f8b-0791-46fe-9269-521b86c55b71

這些憑據可用于獲取訪問令牌:

curl -X POST -u 39d2835b-1f87-4a77-9798-e2975f36972e:f1463f8b-0791-46fe-9269-521b86c55b71 \
 -d grant_type=client_credentials -d username=user -d password=a81cb256-f243-40c0-a585-81ce1b952a98 \
 -d scope=write http://localhost:8080/oauth/token

5.2。其他Spring Boot OAuth3自動配置設置

Spring Boot OAuth3涵蓋了一些其他用例,例如:

資源服務器 - @EnableResourceServer

客戶端應用程序 - @ EnableOAuth3Sso或@ EnableOAuth3Client

如果我們需要將我們的應用程序作為上述類型之一,我們只需要為應用程序屬性添加一些配置。

6. Spring Boot 2 security與Spring Boot 1 security

與Spring Boot 1相比,Spring Boot 2大大簡化了自動配置。

在Spring Boot 2中,如果我們想要自己的安全配置,我們可以簡單地添加一個自定義的WebSecurityConfigurerAdapter。這將禁用默認自動配置并啟用我們的自定義安全配置。

Spring Boot 2使用Spring Security的大部分默認值。因此,默認情況下,Spring Boot 1中默認不安全的某些端點現在是安全的。

這些端點包括靜態資源,如/ css / ,/ js / ,/ images / ,/ webjars / ,//favicon.ico和錯誤端點。如果我們需要允許對這些端點進行未經身份驗證的訪問,我們可以明確地配置它**。

為了簡化與安全相關的配置,Spring Boot 2刪除了以下Spring Boot 1屬性:

security.basic.authorize-mode
security.basic.enabled
security.basic.path
security.basic.realm
security.enable-csrf
security.headers.cache
security.headers.content-security-policy
security.headers.content-security-policy-mode
security.headers.content-type
security.headers.frame
security.headers.hsts
security.headers.xss
security.ignored
security.require-ssl
security.sessions

springboot是什么

springboot一種全新的編程規范,其設計目的是用來簡化新Spring應用的初始搭建以及開發過程,SpringBoot也是一個服務于框架的框架,服務范圍是簡化配置文件。

以上就是如何在Spring Boot中配置 Security,小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

水城县| 黔西| 航空| 德格县| 云林县| 北川| 清镇市| 崇阳县| 上蔡县| 南汇区| 抚远县| 东港市| 泾阳县| 江门市| 阿拉善左旗| 柯坪县| 丰城市| 达尔| 天门市| 漾濞| 潢川县| 印江| 垣曲县| 星子县| 嘉峪关市| 新巴尔虎左旗| 罗定市| 姚安县| 高清| 华阴市| 临洮县| 江川县| 台江县| 思南县| 沙洋县| 华容县| 无棣县| 蒙阴县| 鄂伦春自治旗| 沂南县| 吴桥县|