spring security的简单使用

最新推荐文章于 2023-03-08 10:07:23 发布
最新推荐文章于 2023-03-08 10:07:23 发布
阅读量1.6k 收藏 1
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ang_dd/article/details/12680463
版权

       做权限管理的时候学习了security的使用,包括官方的使用配置示例,学习新东西的时候最好参照官方的使用文档,英文的也好,纵使英文不好,慢慢阅读,养成好习惯,自己的英文水平也会慢慢提高,搞开发英文水平也是很重要的。

     首先引入security所需的包,工程使用maven构建,控制某个用户是否有对资源的访问权限

<!--security-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-cas</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>

在web.xml中配置过滤器,引入security的配置文件,配置过滤器时注意名字springSecurityFilterChain

<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:/spring/applicationContext.xml,classpath:/spring/application-security.xml</param-value>
</context-param>
<!-- 权限 -->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

在applicationContext-security.xml使用命名空间配置 

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:beans="http://www.springframework.org/schema/beans"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
	http://www.springframework.org/schema/security 
	http://www.springframework.org/schema/security/spring-security-3.2.xsd">
<intercept-url pattern="/login.jsp" filters="none"/>//默认login.jsp不拦截
<form-login login-page="/login.jsp" authentication-failure-url="/403.jsp" default-target-url="/index.jsp"/>//自定义登录界面
<http-basic/>
<logout logout-success-url="/login.jsp"/>
<http pattern="/js/**" security="none"/>
<http pattern="/css/**" security="none"></http>
<http pattern="/login.jsp" security="none"/>
<http use-expressions="true" entry-point-ref="authenticationProcessingFilterEntryPoint">
<logout/>
<remember-me />
        <session-management invalid-session-url="/timeout.jsp">
            <concurrency-control max-sessions="30" error-if-maximum-exceeded="true" />
        </session-management>
<custom-filter ref="loginFilter" position="FORM_LOGIN_FILTER"  />
<custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/><!-- 自定义filter在默认过滤器之前 -->
</http>
<beans:bean id="loginFilter"
		class="com.amplesky.security.MyUsernamePasswordAuthenticationFilter">
		<!-- 处理登录 -->
		<beans:property name="filterProcessesUrl" value="/j_spring_security_check"></beans:property>
		<beans:property name="authenticationSuccessHandler" ref="loginLogAuthenticationSuccessHandler"></beans:property>
		<beans:property name="authenticationFailureHandler" ref="simpleUrlAuthenticationFailureHandler"></beans:property>
		<beans:property name="authenticationManager" ref="myAuthenticationManager"></beans:property>
</beans:bean>
<beans:bean id="loginLogAuthenticationSuccessHandler"
		class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
		<beans:property name="defaultTargetUrl" value="/index.jsp"></beans:property>
</beans:bean>
<beans:bean id="simpleUrlAuthenticationFailureHandler"
		class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
		<beans:property name="defaultFailureUrl" value="/login.jsp"></beans:property>
</beans:bean>

 <!-- 用户自定义filter必须包含三个属性 -->
<beans:bean id="myFilter" class="com.amplesky.security.MySecurityFilter">
 <!-- 用户拥有的权限 -->
 <beans:property name="authenticationManager" ref="myAuthenticationManager"/>
 <!-- 用户是否用户访问资源的权限-->
 <beans:property name="accessDecisionManager" ref="myAccessDecisionManager"/>
  <!-- 资源与权限的关系-->
 <beans:property name="securityMedataSource" ref="mySecurityMetadataSource"/>
</beans:bean>
<!-- 认证管理器,实现UsersDetailsService接口 -->
<authentication-manager alias="myAuthenticationManager">
  <authentication-provider user-service-ref="myUserDetailServiceImpl"/>
</authentication-manager>					 
<!-- 访问决策层,决定某个用户具有的角色,是否有足够角色访问某个资源 -->
<beans:bean id="myAccessDecisionManager" class="com.amplesky.security.MyAccessDecisionManager">
</beans:bean>
<!-- 资源数据定义,定义某一资源能被那些角色访问 -->
<beans:bean id="mySecurityMetadataSource" class="com.amplesky.security.MySecurityMetadataSource" init-method="loadResourceDefine">
</beans:bean>
<!-- service -->
<beans:bean id="myUserDetailServiceImpl" class="com.amplesky.security.MyUserDetailServiceImpl">
</beans:bean>
<!-- 未登录的切入点 -->
<beans:bean id="authenticationProcessingFilterEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
<beans:property name="loginFormUrl" value="/login.jsp"></beans:property>
</beans:bean>
</beans:beans>
定义三个对象,五张表

User.java   Role.java   Resource.java

T_User表

用于存放用户信息,此处只存放基础信息


T_Role表

用于存放系统角色信息

T_User_Role表

用于存放系统用户与角色的匹配关系


T_Resource表

用于存放资源表

T_Role_Resource表

存放角色对应的资源表


 登录页面form提交的路径

 <form action="j_spring_security_check" method="post">

登录处理的filter
public class MyUsernamePasswordAuthenticationFilter extends UsernamePasswordAuthenticationFilter{
	public static final String VALIDATE_CODE = "validateCode";
	public static final String USERNAME = "username";
	public static final String PASSWORD = "password";
	@Resource
	private LoginDao loginDao;
	@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
		if (!request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}		
		String username = request.getParameter("username");
		String password = request.getParameter("password");
		
		//验证用户账号与密码是否对应
		username = username.trim();	
		Users users = this.loginDao.findByName(username);	
		if(users == null || !users.getPassword().equals(password)) {
	/* 
		if (forwardToDestination) {
            request.setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception);
        } else {
            HttpSession session = request.getSession(false);

            if (session != null || allowSessionCreation) {
                request.getSession().setAttribute(WebAttributes.AUTHENTICATION_EXCEPTION, exception);
            }
        }
	 */
			throw new AuthenticationServiceException("password or username is notEquals"); 
		}
		
		//UsernamePasswordAuthenticationToken实现 Authentication
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
		// Place the last username attempted into HttpSession for views
		
		// 允许子类设置详细属性
        setDetails(request, authRequest);
		
        // 运行UserDetailsService的loadUserByUsername 再次封装Authentication
		return this.getAuthenticationManager().authenticate(authRequest);
	}
	
	}
MyUserDetailServiceIMpl.java 

public class MyUserDetailServiceImpl implements UserDetailsService{
   @Resource
   private LoginDao loginDao;
	@Override
	public UserDetails loadUserByUsername(String usersname) {
		// TODO Auto-generated method stub
		System.out.println("Usersname is:"+usersname);
		Users Users=this.loginDao.findByName(usersname);
		Collection<GrantedAuthority> grantedAuths=obtionGrantedAuthorities(this.loginDao.findByName(usersname));
		boolean enables = true;  
       		boolean accountNonExpired = true;  
     		boolean credentialsNonExpired = true;  
      		boolean accountNonLocked = true;  
       		User Usersdetail=new User(Users.getLoginId(),Users.getPassword(),enables, accountNonExpired, credentialsNonExpired, accountNonLocked, grantedAuths);
		return Usersdetail;
	}
	//取得用户权限
	public Set<GrantedAuthority> obtionGrantedAuthorities(Users user){
		  Set<GrantedAuthority> authSet = new HashSet<GrantedAuthority>();  
		         Set<Role> roles = loginDao.findRoleByUsers(user); //根据用户取得用户的角色 	           
		         for(Role role : roles) {  
		            	 authSet.add(new GrantedAuthorityImpl(role.getRoleName()));  
		            }      
		
		        return authSet;  
		     }  
	}
MySecurityMetadaSource.java //加载所有的资源和权限关系
public class MySecurityMetadataSource implements FilterInvocationSecurityMetadataSource{
    @Resource(name="resourceDao")
    private ResourceDao resourceDao;
    public void setResourceDao(ResourceDao resourceDao){
    	this.resourceDao=resourceDao;
    }
	private static Map<String,Collection<ConfigAttribute>> resourceMap=null;
   //加载所有的资源和权限关系
	public  void loadResourceDefine(){
    	if(resourceMap==null){
    		resourceMap=new HashMap<String,Collection<ConfigAttribute>>();
    		List<Resource> list=resourceDao.getResourceAll();
    		for(Resource functionTree:list){
    			Collection<ConfigAttribute> configAttributes=new ArrayList<ConfigAttribute>();
    			List<Role> roles=resourceDao.getRoleByFunc(functionTree);//根据资源得到需要的角色
    			for(Role role:roles){
    				ConfigAttribute configAttribute=new SecurityConfig(role.getRoleName());
    				configAttributes.add(configAttribute);
    			}
    			resourceMap.put(functionTree.getUrl(), configAttributes);			
    		}
    	}  	
    	  Set<Map.Entry<String, Collection<ConfigAttribute>>> resourceSet = resourceMap.entrySet();  
    	  Iterator<Map.Entry<String, Collection<ConfigAttribute>>> iterator = resourceSet.iterator(); 
    }
	@Override
	public Collection<ConfigAttribute> getAllConfigAttributes() {
		// TODO Auto-generated method stub
		return null;
	}
//返回请求资源所需的权限
	@Override
	public Collection<ConfigAttribute> getAttributes(Object object)
			throws IllegalArgumentException {
		// TODO Auto-generated method stub
		String requestUrl=((FilterInvocation)object).getRequestUrl();
		System.out.println("request url is"+requestUrl);
		if(resourceMap==null){
			loadResourceDefine();
		}
		return resourceMap.get(requestUrl);
	}

	@Override
	public boolean supports(Class<?> arg0) {
		// TODO Auto-generated method stub
		return true;
	}
	public static Map<String,Collection<ConfigAttribute>> getResourceMap() {
		return resourceMap;
	}
	public static void setResourceMap(Map<String,Collection<ConfigAttribute>> resourceMap) {
		MySecurityMetadataSource.resourceMap = resourceMap;
	}

}
MyAccessDecisionManager.java  //访问决策层,决定某个用户具有的角色,是否有足够角色访问某个资源 

public class MyAccessDecisionManager implements AccessDecisionManager{

	@Override
	public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttribute) throws AccessDeniedException,
			InsufficientAuthenticationException {
		// TODO Auto-generated method stub
			if(configAttribute==null){
				return;
			}
			Iterator<ConfigAttribute> iterator=configAttribute.iterator();
			while(iterator.hasNext()){
				ConfigAttribute configAttr=iterator.next();
				String needPermission=configAttr.getAttribute();
				System.out.println(needPermission+">>>>>>");
				for(GrantedAuthority ga:authentication.getAuthorities()){
					if(needPermission.equals(ga.getAuthority())){//判断需要的角色名是否和用户的角色名相同,否则没有权限
						return;
					}
				}
			}
	        throw new AccessDeniedException(" 没有权限访问! ");  
			
	}

	@Override
	public boolean supports(ConfigAttribute arg0) {
		// TODO Auto-generated method stub
		return true;
	}

	@Override
	public boolean supports(Class<?> arg0) {
		// TODO Auto-generated method stub
		return true;
	}	
}

MySecurityFilter.java //用户自定义filter 

public class MySecurityFilter extends AbstractSecurityInterceptor implements Filter{
	
	private FilterInvocationSecurityMetadataSource securityMedataSource;
	public void setSecurityMedataSource(
			FilterInvocationSecurityMetadataSource securityMedataSource) {
		this.securityMedataSource = securityMedataSource;
	}

	@Override
	public Class<? extends Object> getSecureObjectClass() {
		// TODO Auto-generated method stub
		return FilterInvocation.class;
	}

	@Override
	public SecurityMetadataSource obtainSecurityMetadataSource() {
		// TODO Auto-generated method stub
		return this.securityMedataSource;
	}
	private void invoke(FilterInvocation fi){
		InterceptorStatusToken token=super.beforeInvocation(fi);
		try{
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}catch(Exception e){
			e.printStackTrace();
		}finally{
			super.afterInvocation(token, null);
		}	
	}
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}
	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		// TODO Auto-generated method stub
		FilterInvocation fi=new FilterInvocation(request,response,chain);
		invoke(fi);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}	

}
  至此,简单的权限控制完成了,判断用户是否对某个资源具有访问权限,否则提示没有权限访问。





        


 

Ang_DD
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity应用
08-18
springsecurity简单应用代码
Security之入门篇
qq_43654581的博客
10-22 883
1.查询数据库,获取用户信息,赋予用户角色交给Security管理 2.自定义登录页面、无权访问跳转页面
security 简单用法
weixin_46277490的博客
05-25 431
1.导入security依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> thymeleaf 依赖 前端使用 <dependency>
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4372
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Security初步使用
Wulawuba的博客
04-03 2884
1.添加依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 2.启动时会提供一个默认密码 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SH8php0b-1648975626290)(C
学习security(一)
青春正在燃烧的博客
03-08 1064
一.security是什么? Spring Security 是基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码...
Spring Security模块
09-03
Spring Security完整用户权限认证模块,放上去修修改改就可简单使用Spring Security实际上就是filte过滤器
详解Spring Security 简单配置
08-30
本篇文章主要介绍了详解Spring Security 简单配置,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
springSecurity.zip
06-23
spring security 简单入门 spring security 简单入门 spring security 简单入门
springSecurity简易实例
12-28
JDK1.7,Maven为阿里镜像。操作按照API的操作来(资源分默认为2,没有免费选项)
Security快速入门
程序三两行
07-05 579
Spring Security是一个安全框架,主要功能有用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权:指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。...
Spring security搭建与使用
zpgrzy的博客
11-23 567
Spring security权限管理 意义: Spring security是一个为基于Spring的应用系统提供一个声明式的访问控制的安全框架, 提供了一组在Spring应用上下文中配置的Bean,利用IOC,DI,AOP等功能, 减少了为企业应用系统安全控制编写大量重复代码的工作   原理: Spring security 使用的是 servlet 规范中标准的过滤器
Spring Security安全框架
Lamb_quan的博客
02-13 389
一、Spring Security 的原理介绍 Spring Security 是基于spring和Servlet规范中的Filter实现的,使用Filter保护web请求并心智URL级别的访问,为企业应用系统提供声明式的安全访问控制的安全框架,它提供了一组可以在spring应用上下文配置的Bean,充分利用了Spring IOC 、DI和AOP的功能,为应用系统提供声明式的安全访问控制功能,减...
权限框架springSecurity的入门(二)
kebo_china的博客
03-31 310
       之前说在springSecurity.xml文件中用户名和密码不会固定死,需要从数据库中查询,需要在service层实现UserDetailSerive接口,重写方法loadUserByUsername方法.完成调用dao层实现和数据库的交互. 1.UserDetailService实现类的编写.a.返回值如果为null,用户登陆都会失败;b.查询数据库后,返回密码和springsc...
04SpringSecurity
简单&高效
07-17 126
SpringSecurity安全框架 在web.xml中配置过滤器 和上下文加载.xml文件 <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring-security.xml</param-v...
SpringSecurity安全框架(xml版)
武汉小喽啰
02-04 1037
1. 简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明...
SpringSecurity - 登录注册加密/登录拦截/失败信息回显详解(慢步骤解析)
江南烟雨却痴缠丶
01-24 3854
配置文件中form-login标签详解 login-page // 自定义登录页面的url,例如login.htmllogin-processing-url // 登录请求拦截的url,即form表单提交的url,默认值是/login // 以下2个需要配合使用,如果需要认证成功跳转的url,则always-use-d...
Security 认证授权入门教程(非常详细)
浮世与人心的博客
07-24 4897
Security 认证授权入门教程单独基于Security作为权限管理框架 简单阐述一下基本的名词: 认证:保护服务器的内部资源被合理的请求,只允许那些合理(服务器校验过请求者的身份)能访问,而没有校验过的校验不通过的请求无法访问。 授权:请求认证成功后,用来判断改请求是否有权限进行该项工作 单独基于Security作为权限管理框架 Spring Security的基本原理是过滤链,不同的过滤器过滤不同的操作,多个过滤器分工合作组成一套较为完整便与扩展的权限框架(有兴趣的同学可以自己去深入了解) m
SpringSecurity详解
m0_71012114的博客
10-19 4879
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
springsecurity简单使用
最新发布
09-12
以下是一个简单的示例,演示了如何在 Spring Security 中进行基本配置和使用。 首先,在 pom.xml 文件中添加 Spring Security 的依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值