当前位置: 首页>编程语言>正文

springsecurity搭配jwt认证 springsecurity和jwt区别

1.jwt,spring security,oauth2.0,shiro区别

jwt:是一个鉴权生成加密token的一个名称

Spring security:权限框架,基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架;可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI。

Shiro:权限框架,可在C/S下运行。 shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够)

Shiro 默认是使用Session认证。

oauth2.0 :一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。(如果不介意API的使用依赖于外部的第三方认证提供者,你可以简单地把认证工作留给认证服务商去做。)

2.HttpSecurity常用方法

方法

说明

anyRequest            

匹配所有请求路径

access                

SpringEl表达式结果为true时可以访问

anonymous             

匿名可以访问

denyAll               

用户不能访问

fullyAuthenticated    

用户完全认证可以访问(非remember-me下自动登录)

hasAnyAuthority       

如果有参数,参数表示权限,则其中任何一个权限可以访问

hasAnyRole            

如果有参数,参数表示角色,则其中任何一个角色可以访问

hasAuthority          

如果有参数,参数表示权限,则其权限可以访问

hasIpAddress          

如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问

hasRole               

如果有参数,参数表示角色,则其角色可以访问

permitAll             

用户可以任意访问

rememberMe            

允许通过remember-me登录的用户访问

authenticated         

用户登录后可访问

cors

配置跨域资源共享( CORS )

在 SpringSecurity 中关闭 CSRF 因为前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。

csrf

添加 CSRF 支持,使用WebSecurityConfigurerAdapter时,默认启用

rememberMe

允许配置“记住我”的验证

authorizeRequests

允许基于使用HttpServletRequest限制访问

requestCache

允许配置请求缓存

exceptionHandling

允许配置错误处理

 

 

logout

添加退出登录支持。当使用WebSecurityConfigurerAdapter时,这将自动应用。默认情况是,访问URL”/ logout”,使HTTP Session无效来清除用户,清除已配置的任何#rememberMe()身份验证,清除SecurityContextHolder,然后重定向到”/login?success”

formLogin

指定支持基于表单的身份验证。如果未指定FormLoginConfigurer#loginPage(String),则将生成默认登录页面

oauth2Login

根据外部OAuth 2.0或OpenID Connect 1.0提供程序配置身份验证

requiresChannel

配置通道安全。为了使该配置有用,必须提供至少一个到所需信道的映射

httpBasic

配置 Http Basic 验证

addFilterAt

在指定的Filter类的位置添加过滤器

openidLogin

用于基于 OpenId 的验证

headers

将安全标头添加到响应

sessionManagement

允许配置会话管理

portMapper

允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 PortMapper 从 HTTP 重定向到 HTTPS 或者从 HTTPS 重定向到 HTTP。默认情况下,Spring Security使用一个PortMapperImpl映射 HTTP 端口8080到 HTTPS 端口8443,HTTP 端口80到 HTTPS 端口443

jee

配置基于容器的预认证。 在这种情况下,认证由Servlet容器管理

x509

配置基于x509的认证

securityContext

在HttpServletRequests之间的SecurityContextHolder上设置SecurityContext的管理。 当使用WebSecurityConfigurerAdapter时,这将自动应用

servletApi

将HttpServletRequest方法与在其上找到的值集成到SecurityContext中。 当使用WebSecurityConfigurerAdapter时,这将自动应用

 

@Override
    public void configure(HttpSecurity http) throws Exception {
        //忽略hello post接口(post请求不忽略会报错)
        http.csrf().ignoringAntMatchers("/hellopost");

        http.authorizeRequests()
                .antMatchers("/hello", "/hellopost").permitAll()
                .anyRequest().authenticated()
                .antMatchers("/hello2").hasRole("administrator")
                .and().formLogin().and().httpBasic();

    }

    //配置密码:方式1
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password = passwordEncoder.encode("111111");
        auth.inMemoryAuthentication().withUser("user").password(password).roles("administrator");
    }

3.requestMatchers()方法与authorizeRequests()区别

        requestMatchers()配置的是哪些url进行安全控制,authorizeRequests()配置的是如何进行控制

例如: requestMatchers().anyRequest()=http.authorizeRequests().anyRequest().access(“permitAll”)=http.authorizeRequests().anyRequest().permitAll();

http.authorizeRequests().anyRequest().authenticated() =  http.authorizeRequests().antMatchers("/").authenticated() ;

4.ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter区别

 1.ResourceServerConfigurerAdapter是用于spring-security-oauth2, 配置哪些url要进行oauth2认证。

  2.WebSecurityConfigurerAdapter是用于当前这个项目本身的访问控制,它属于spring-security-config。

  3.ResourceServerConfigurerAdapter与WebSecurityConfigurerAdapter都有一个相同的方法,配置url的访问安全控制策略:如果在这个方法中配置了相同的url访问控制,会发现ResourceServerConfigurerAdapter配置控制策略生效,而WebSecurityConfigurerAdapter配置的策略不起作用。是因为ResourceServerConfigurerAdapter的order值小,优先级高。所以ResourceServerConfigurerAdapter起作用。

4.  WebSecurityConfigurerAdapter在springboot 2.7之后就开始过时了,需要使用SecurityFilterChain进行配置。

 


https://www.xamrdz.com/lan/5w61939527.html

相关文章: