spring security使用数据库获取资源、角色和权限保护web应用

最新推荐文章于 2024-01-07 19:40:29 发布
最新推荐文章于 2024-01-07 19:40:29 发布
阅读量7.8k 收藏 3
点赞数 1
分类专栏: security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shierqu/article/details/49538843
版权
本文介绍了如何使用Spring Security结合数据库来管理资源、角色和权限。通过配置web.xml和spring security的applicationContext-security.xml,以及实现资源数据、UserDetailService和决策器,实现了用户访问控制。资源包括/common.action(common角色)、/admin.action(admin角色)和/share.action(common和admin角色)。文章还提到了MD5加密的用户密码处理和相关参考资料。
摘要由CSDN通过智能技术生成


使用数据库定义资源、角色和权限》 中已经定义了该示例的实体关系,本文对其进行实现。web应用中有三种资源。
/main/common.action: 具有common角色的用户就可以访问
/main/admin.action:  具有 admin 角色的用户就可以访问
/main/share.action:  具有common和 admin 角色的用户可以访问,但两角色用户看到的内容不一样。

spring security相关配置和实现过程如下所示。

1. 配置web.xml,加入spring security特性。 
   
   
   

    
    
    

     
     
     <context-param>
    
    
    

    
    
    

     
     
     		<param-name>contextConfigLocation</param-name>
    
    
    

    
    
    

     
     
     		<param-value>classpath:applicationContext*.xml</param-value>
    
    
    

    
    
    

     
     
     	</context-param>
    
    
    

    
    
    

     
     
      
    
    
    

    
    
    

     
     
     	<listener>
    
    
    

    
    
    

     
     
     		<listener-class>
    
    
    

    
    
    

     
     
     			org.springframework.web.context.ContextLoaderListener
    
    
    

    
    
    

     
     
     		</listener-class>
    
    
    

    
    
    

     
     
     	</listener>
    
    
    

   
   
   
    
    
    

     
     
     

      
      
      	<filter>
     
     
     

     
     
     

      
      
      		<filter-name>springSecurityFilterChain</filter-name>
     
     
     

     
     
     

      
      
      		<filter-class>
     
     
     

     
     
     

      
      
      			org.springframework.web.filter.DelegatingFilterProxy
     
     
     

     
     
     

      
      
      		</filter-class>
     
     
     

     
     
     

      
      
      	</filter>
     
     
     

     
     
     

      
      
      	<filter-mapping>
     
     
     

     
     
     

      
      
      		<filter-name>springSecurityFilterChain</filter-name>
     
     
     

     
     
     

      
      
      		<url-pattern>/*</url-pattern>
     
     
     

     
     
     

      
      
      	</filter-mapping>

2. 配置spring security(applicationContext-security.xml)
加入http资源配置(无权访问拒绝页面、form认证页面、退出以及http资源保护的核心filter。 
   
   
   

    
    
    

     
     
     	<http access-denied-page="/auth/denied" >
    
    
    

    
    
    

     
     
     		<intercept-url pattern="/index.jsp" filters="none" />
    
    
    

    
    
    

     
     
     		<form-login login-page="/auth/login"
    
    
    

    
    
    

     
     
     			authentication-failure-url="/auth/login?error=true"
    
    
    

    
    
    

     
     
     			default-target-url="/main/common" />
    
    
    

    
    
    

     
     
     		<logout logout-success-url="/auth/login" logout-url="/auth/logout"/>
    
    
    

    
    
    

     
     
     		<custom-filter before="FILTER_SECURITY_INTERCEPTOR"
    
    
    

    
    
    

     
     
     			ref="myFilter" />
    
    
    

    
    
    

     
     
     	</http>
    
    
    

   
   
   
    
    
    

     
     
     

      
      
      <!-- 一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
     
     
     

     
     
     

      
      
      	我们的所有控制将在这三个类中实现,解释详见具体配置 -->
     
     
     

     
     
     

      
      
      	<beans:bean id="myFilter" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
     
     
     

     
     
     

      
      
      		<beans:property name="authenticationManager"
     
     
     

     
     
     

      
      
      			ref="authenticationManager" />
     
     
     

     
     
     

      
      
      		<beans:property name="accessDecisionManager"
     
     
     

     
     
     

      
      
      			ref="myAccessDecisionManagerBean" />
     
     
     

     
     
     

      
      
      		<beans:property name="securityMetadataSource"
     
     
     

     
     
     

      
      
      			ref="securityMetadataSource" />
     
     
     

     
     
     

      
      
      	</beans:bean>
     
     
     

     
     
     

      
      
      	
     
     
     

     
     
     

      
      
      	<!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->
     
     
     

     
     
     

      
      
      	<authentication-manager alias="authenticationManager">
     
     
     

     
     
     

      
      
      		<authentication-provider
     
     
     

     
     
     

      
      
      			user-service-ref="myUserDetailService">
     
     
     

     
     
     

      
      
      				<password-encoder hash="md5" />
     
     
     

     
     
     

      
      
      		</authentication-provider>
     
     
     

     
     
     

      
      
      	</authentication-manager>
     
     
     

     
     
     

      
      
      	<beans:bean id="myUserDetailService"
     
     
     

     
     
     

      
      
      		class="org.chenwd.security.MyUserDetailService" />
     
     
     

     
     
     

      
      
       
     
     
     

     
     
     

      
      
      	<!-- 访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 -->
     
     
     

     
     
     

      
      
      	<beans:bean id="myAccessDecisionManagerBean"
     
     
     

     
     
     

      
      
      		class="org.chenwd.security.MyAccessDecisionManager">
     
     
     

     
     
     

      
      
      	</beans:bean>
     
     
     

     
     
     

      
      
      	
     
     
     

     
     
     

      
      
      	<!-- 资源源数据定义,即定义某一资源可以被哪些角色访问 -->
     
     
     

     
     
     

      
      
      	<beans:bean id="securityMetadataSource"
     
     
     

     
     
     

      
      
      		class="org.chenwd.security.MyInvocationSecurityMetadataSource" />

3. 资源源数据实现类,用于加载所有角色、资源的关系。 
   
   
   

    
    
    

     
     
     package org.chenwd.security;
    
    
    

    
    
    

     
     
     import java.util.ArrayList;
    
    
    

    
    
    

     
     
     import java.util.Collection;
    
    
    

    
    
    

     
     
     import java.util.HashMap;
    
    
    

    
    
    

     
     
     import java.util.Iterator;
    
    
    

    
    
    

     
     
     import java.util.List;
    
    
    

    
    
    

     
     
     import java.util.Map;
    
    
    

    
    
    

     
     
      
    
    
    

    
    
    

     
     
     import javax.annotation.Resource;
    
    
    

    
    
    

     
     
      
    
    
    

    
    
    

     
     
     import org.hibernate.SessionFactory;
    
    
    

    
    
    

     
     
     import org.hibernate.classic.Session;
    
    
    

    
    
    

     
     
     import org.springframework.context.ApplicationContext;
    
    
    

    
    
    

     
     
     import org.springframework.context.support.ClassPathXmlApplicationContext;
    
    
    

    
    
    

     
     
     import org.springframework.security.access.ConfigAttribute;
    
    
    

    
    
    

     
     
     import org.springframework.security.access.SecurityConfig;
    
    
    

    
    
    

     
     
     import org.springframework.security.web.FilterInvocation;
    
    
    

    
    
    

     
     
     import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
    
    
    

    
    
    

     
     
     import org.springframework.security.web.util.AntUrlPathMatcher;
    
    
    

    
    
    

     
     
     import org.springframework.security.web.util.UrlMatcher;
    
    
    

    
    
    

     
     
     import org.springframework.stereotype.Service;
    
    
    

    
    
    

     
     
      
    
    
    

    
    
    

     
     
     public class MyInvocationSecurityMetadataSource
    
    
    

    
    
    

     
     
     		implements FilterInvocationSecurityMetadataSource {
       
    
    
    

    
    
    

     
     
     	
    
    
    

    
    
    

     
     
     	
    
    
    

    
    
    

     
     
     	private UrlMatcher urlMatcher = new AntUrlPathMatcher();;
    
    
    

    
    
    

     
     
     	private static Map<String, Collection<ConfigAttribute>> resourceMap = null;
    
    
    

    
    
    

     
     
      
    
    
    

    
    
    

     
     
     	public MyInvocationSecurityMetadataSource() {
       
    
    
    

    
    
    

     
     
     		loadResourceDefine();
    
    
    

    
    
    

     
     
     	}
    
    
    

    
    
    

     
     
      
    
    
    

    
    
    

     
     
     	private void loadResourceDefine() {
       
    
    
    

    
    
    

     
     
     		resourceMap = new HashMap<String, Collection<ConfigAttribute>>();
    
    
    

    
    
    

     
     
     		
    
    
    

    
    
    

     
     
     		ApplicationContext context = new ClassPathXmlApplicationContext(
    
    
    

    
    
    

     
     
     				"classpath:applicationContext.xml");
    
    
    

    
    
    

     
     
     		SessionFactory sessionFactory = (SessionFactory) context
    
    
    

    
    
    

     
     
     				.getBean("sessionFactory");
    
    
    

    
    
    

     
     
     		Session session = sessionFactory.openSession();
    
    
    

    
    
    

     
     
     		String sql = "from Resource";
    
    
    

    
    
    

     
     
     		List list = session.createQuery(sql).list();
    
    
    

    
    
    

     
     
     		if(list != null && list.size() > 0){
       
    
    
    

    
    
    

     
     
     			
    
    
    

    
    
    

     
     
     			Collection<ConfigAttribute> atts = null;
    
    
    

    
    
    

     
     
     			org.chenwd.entity.Resource resource = null;
    
    
    

    
    
    

     
     
     			
    
    
    

    
    
    

     
     
     			Iterator iterator = list.iterator();
    
    
    

    
    
    

     
     
     			while(iterator.hasNext()){
       
    
    
    

    
    
    

     
     
     				resource = (org.chenwd.entity.Resource)iterator.next();
    
    
    

    
    
    

     
     
     				sql = "select r.rolename from t_role r,t_role_resource ros" +
    
    
    

    
    
    

     
     
     						" where ros.resourceid = '" + resource.getId() + "' and ros.roleid = r.id";
    
    
    

    
    
    

     
     
     				List list2 = session.createSQLQuery(sql).list();
最低0.47元/天 解锁文章
shierqu
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring security 读取数据库权限信息
03-17
项目自身的权限信息结合spring security 框架的实现。 本DEMO只包括从数据库读取登录认证信息,认证通过后 从数据库读取授权信息来控制用户的访问.权限元素包括 用户,角色,菜单以及这三者的关系。 本DEMO使用spring security, hibernate jpa 以及struts.
基于springsecurity的用户角色权限
08-24
适合初学者使用,代码简单,未连接数据库,全部集成在.xml中。有注释,注释全面。可以进行二次开发。
ssm下的spring-security登录权限角色记录
食火的埃尔德里奇
11-14 1463
配置文件记录 &amp;lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot;?&amp;gt; &amp;lt;beans:beans xmlns=&quot;http://www.springframework.org/schema/security&quot; xmlns:beans=&quot;http://www.springframework.or
SpringSecurity资源权限加入到数据库
Marvel__Dead 胡艺宝的博客
08-10 1080
Learn-SpringSecurity 学习SpringSecurity时,写的小案例。已达目标:完成了资源权限数据库持久化。主要功能实现都是归功于该博客:学习博客地址数据库文件下载GitHub代码下载你只需要写一个类,就是下面的类,再把该类配置一下(配置SpringSecurity.xml里面)就能够实现上面的目标了。 该打注释的地方,我写了的,祝福你能够看懂,谢谢!!!/** * C
java权限获取代码_springsecurity轻松实现角色权限的示例代码
weixin_26949673的博客
02-16 289
问题:如何在springboot项目中使用springsecurity去实现角色权限管理呢?本文将尽可能简单的一步步实现对接口的角色权限管理。项目框架:sql:user表:CREATE TABLE `user` (`Id` int NOT NULL AUTO_INCREMENT,`UserName` varchar(255) NOT NULL,`CreatedDT` datetime DEFAUL...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
springsecurity角色权限
12-13
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的Web应用程序。这个框架提供了全面的安全解决方案,包括用户身份验证、角色分配、权限管理以及对HTTP请求的细粒度过滤。让...
详解Spring SecurityWeb应用和指纹登录实践
08-26
总结来说,Spring Security提供了一个全面的框架来处理Web应用的安全问题,其核心组件包括SecurityContext、SecurityContextHolder、Authentication、UserDetails和AuthenticationManager,它们协同工作以确保用户...
SpringBoot + SpringSecurity + JPA 实现用户角色权限登录认证
09-10
在项目中,它可能负责定义如何使用JPA来操作用户角色权限数据,以及如何配置SpringSecurity的过滤规则。 在实际的实现过程中,开发者首先会创建一个用户实体(User),并关联角色实体(Role)。每个角色都有多个...
SpringSecurity+OAuth2+JWT分布式权限控制.zip
07-23
本项目“SpringSecurity+OAuth2+JWT分布式权限控制”旨在提供一个完整的解决方案,帮助开发者构建安全的、基于微服务的分布式应用程序。 Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于...
基于springsecurity+springmvc+spring+hibernate的权限管理系统(免积分)
01-16
基于springsecurity+springmvc+spring+hibernate的权限管理系统,实现资源、用户、权限角色的增删改查,角色-资源管理,用户-角色管理等基础功能,可以作为springmvc+spring+hibernate的增删改查入门项目,也可以对spring-security简单了解,界面使用bootstrap3,非常简洁,免积分
spring security 实现动态权限和短信验证码登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
Spring SecurityWeb资源保护功能研究与扩展
10-17
总的来说,Spring SecurityWeb资源保护功能通过认证和授权确保了Web应用的安全性。然而,通过扩展和改进,我们可以进一步优化其对企业级安全特性的支持,如动态授权和授权信息的外化存储。这样的扩展不仅提高了...
如何使用SpringSecurity保护程序安全
08-25
同时,SpringSecurity还提供了登录登出、CSRF保护和异常处理等功能,帮助你构建安全的Web应用。在实际开发中,根据项目需求选择合适的用户认证方式,并结合访问控制策略,可以有效地保护程序安全。
Spring Security权限管理
brushli的专栏
09-04 3928
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3335
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
SpringSecurity权限管理
最新发布
weixin_73412838的博客
01-07 1265
这个拓展点是整个SpringSecurity的核心部分;在实际开发过程中,最常规的方式是通过覆盖WebSecurityConfigurerAdapter中的protected void configure(HttpSecurity http)方法;通过Http来配置自定义的拦截规则,包含访问控制、界面及逻辑、退出页面及逻辑等;自定义登录http.loginPage()方法配置登录页,http.loginProcesingUrl()方法定制登录逻辑;
Spring Security 动态url权限控制
程序员小明1024
12-19 2519
一、前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-plus 2.2.0 mysql 数据库 maven项目 Spring Security入门学习可参考之前文章: SpringBoot集成Spring Security入门体验(一)blog....
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值