Spring Security 使web应用更加安全

最新推荐文章于 2023-07-19 20:11:50 发布
最新推荐文章于 2023-07-19 20:11:50 发布
阅读量2.8k 收藏 1
点赞数 1
分类专栏: JavaEE 文章标签: spring security 安全 web应用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoping0915/article/details/70184247
版权

一句话介绍

Spring Security 是基于Spring AOP和Servlet过滤器的安全框架,安全主要包括两个操作“认证”与“验证”(有时候也会叫做权限控制)

开始使用

引入类库,例子中使用到的security版本是3.1

    <properties>
        <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
        <org.springframework-version>4.1.4.RELEASE</org.springframework-version>
        <org.slf4j-version>1.7.8</org.slf4j-version>
    </properties>
    <dependencies>
        <!-- Spring -->
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-context</artifactId>
            <version>${org.springframework-version}</version>
            <exclusions>
                <!-- Exclude Commons Logging in favor of SLF4j -->
                <exclusion>
                    <groupId>commons-logging</groupId>
                    <artifactId>commons-logging</artifactId>
                </exclusion>
            </exclusions>
        </dependency>
        <!-- Logging -->
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-api</artifactId>
            <version>${org.slf4j-version}</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>jcl-over-slf4j</artifactId>
            <version>${org.slf4j-version}</version>
        </dependency>
        <dependency>
            <groupId>org.slf4j</groupId>
            <artifactId>slf4j-log4j12</artifactId>
            <version>${org.slf4j-version}</version>
        </dependency>
        <!-- Spring security -->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>3.1.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-crypto</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>3.1.3.RELEASE</version>
        </dependency>
    </dependencies>

配置web.xml

    <!-- security过滤所有请求 -->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!-- 载入security配置文件 -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring/security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

在WEB-INF下创建spring文件夹并新建一个security的配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:security="http://www.springframework.org/schema/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
    xmlns:tx="http://www.springframework.org/schema/tx"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd 
               http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.0.xsd  http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd ">

    <!-- Spring Security 3.1 基于Spring AOP和Servlet过滤器的安全框架 -->
    <!-- pattern需要控制的url  access 权限级别 这里指定的权限级别是管理员权限 -->
    <security:http auto-config="true">
        <security:intercept-url pattern="/**" access="ROLE_ADMIN" />
    </security:http>
    <!-- AuthenticationManager用于配置认证身份  -->
    <security:authentication-manager>
        <security:authentication-provider>
            <!-- 这里配置两个不同权限账户测试 -->
            <security:user-service>
                <security:user name="user" password="user" authorities="ROLE_USER" />
                <security:user name="admin" password="admin" authorities="ROLE_USER, ROLE_ADMIN" />
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

启动项目

这里写图片描述

可以看到的是由于我们并没有登录(Session中没有登录信息),Spring 会给我们一个登录页面,即我们的安全框架生效了。使用user/user 登录会跳403(没有访问权限) ;admin/admin 会跳 index 首页。

那么

我们也没有写这个登录页面,它从哪里来呢?
这时我们需要看security的配置文件

 <security:http auto-config="true">

这个配置项即告诉spring,我们使用默认的配置项,框架中的
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter 的 generateLoginPageHtml() 方法会生成这个登录页面,大家可以去查阅一下这部分的源代码

还有一个问题就是这个action是怎么被处理的?
同样的,默认配置中框架中的
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter 的 attemptAuthentication() 会去处理这个请求。

xiaoping0915
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
security:Spring Security 开发安全的REST服务 —— JoJozhai
05-13
本来是 fork 了 老师的源码的() 跟着学了两章后,发现还是少了点感觉,干脆自己重新码一遍吧 :beaming_face_with_smiling_eyes: 小目标 IDEA 构建 使用最新的 Spring 版本 Spring Security 开发安全的REST服务 视频来源: 视频作者: 章节目录和总结文档 第1章 课程导学 第2章 开始开发 第3章 使用Spring MVC开发RESTful API 3-4 用户创建请求 3-5 修改和删除请求 3-6 服务异常处理 3-7 使用切片拦截REST服务 3-8 使用Filter和Interceptor拦截REST服务 3-9 使用REST方式处理文件服务 3-10 使用多线程提高REST服务性能 3-11 使用Swagger自动生成文档 3-12 使用WireMock伪造REST服务 第4章 使用Spring Security开发基于表单的登录 4-1 简介 4-2
使用SpringSecurity保护Web应用安全
03-03
本文将详细介绍如何使用SpringSecurity框架为Web应用提供安全支持。在Web应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才...
26.JavaWeb-SpringSecurity安全框架
LB_bei的博客
07-19 1229
Spring Security是一个功能强大且灵活的安全框架,它专注于为Java应用程序提供身份验证(Authentication)、授权(Authorization)和其他安全功能。:Spring Security支持多种身份验证方式,如基于表单的身份验证、基于HTTP基本认证、基于OAuth2等。它可以轻松地集成到现有的用户认证系统中,也可以自定义认证逻辑。:Spring Security允许您定义资源的访问控制规则,以控制哪些用户有权访问哪些资源。
Spring Security开发安全的REST服务
12-14 94
第1章 课程导学 介绍课程内容、课程特点,使用的主要技术栈,以及学习课程所需的前置知识 第2章 开始开发 安装开发工具,介绍项目代码结构并搭建,基本的依赖和参数设置,开发hello world 第3章 使用Spring MVC开发RESTful API 本章主要开发一些R...
Web安全Web框架组成和各部分作用(持续更新)
weixin_44431280的博客
02-03 2149
Web框架组成和各部分作用: 提要:了解Web框架的组成和作用有助于了解学习Web安全漏洞的原理和通信过程。 一:Web框架组成 1,显示层(浏览器,前端语言) 作用:解析前端语言显示和展示给用户想看到的内容。 2,业务逻辑层(后端脚本语言,操作系统Web容器) 作用:逻辑,解析用户请求,加载并执行脚本语言。 3,数据访问层(数据库) **作用:**数据存储和执行SQL语句。 Web访问流程(使用靶场XSS-LABS举例): 第1步:Web浏览器输入目标网站的URL(请求URL中的文件level等),浏
流行的 Web 框架安全性比较
allway2的博客
08-05 1813
Java Spring 是一个成熟的框架,具有许多针对常见安全问题的内置防御措施。实际 Rails 框架的一个明确的安全问题是它对用户会话的默认处理。事实上,大多数成熟的开发框架都有必要的部分来保护应用程序免受最常见的漏洞的影响。它为开发人员提供了出色的默认设置和强大的工具,以帮助防止最常见的漏洞。Spring Security 是高度可定制的,是许多企业应用程序的支柱。我提到的宝石是众所周知的,并且经过 OWASP 之类的审查,因此您不必太担心。Django 的一个令人担忧的问题当然是子域的会话管理。..
SpringSecurityWeb应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题时,通常会采用两个非常流行的安全框架,Shiro和SpringSecurity。Shiro配置简单,上手快,满足一般应用安全需求,但是功能相对单一。SpringSecurity安全粒度细,与Spring...
详解Spring SecurityWeb应用和指纹登录实践
08-26
主要介绍了详解Spring SecurityWeb应用和指纹登录实践,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
「第十二章」Web框架安全
hacckjacking
03-26 536
「第三篇」服务器端应用安全 批注 [……] 表示他人、自己、网络批注 参考资料来源于 * 书中批注 * CSDN * GitHub * Google * 维基百科 * YouTube * MDN Web Docs 由于编写过程中无法记录所有的URL 所以如需原文,请自行查询 {……} 重点内容 *……* 表示先前提到的内容,不赘述 「第三篇」服务器端应用安全 「0.6本书结构」 就常见的服务器端应用安全问题.
[Chapter1-3]Spring Security开发安全的REST服务视频教程
08-26
百度网盘,[Chapter1-3]Spring Security开发安全的REST服务视频教程,第1-3章,无加密
[后端开发] Springboot Security开发安全的REST服务 视频教程 Chap5
01-19
[后端开发] Spring boot Security开发安全的REST服务 视频教程 系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者 我的CSDN博客地址: http://blog.csdn.net/mimica247706624/article/details/78617419
Spring Security开发安全的REST服务包含视频和源码
04-01
Spring Security开发安全的REST服务包含视频和源码,最细致地讲解Spring SecuritySpring Social 、Spring Security OAuth三种技术开发安全的REST服务,彻底掌握一线互联网公司主流的身份认证和授权方式。
Web安全框架与标准
06-19
里面有OWASP中top10中A1-A10的详细解释 A1:注入攻击漏洞,如SQL、OS 、LDAP注入等,最常见的如SQL注入漏洞 攻击者将不可信的数据作为命令或者查询语句的一部分,被发送给解释器 攻击者发送的恶意数据可以欺骗解释器,以执行计划外的命令或者在未被授权时访问数据 举例:Discuz论坛存在SQL注入,导致国内很多论坛沦陷 以此类推,通过本文档你可以对web注入有一个概要了解,开了一个好头
Spring Security 认证处理流程源码
11-27
Spring Security 认证处理流程源码,Spring Security开发安全的REST服务视频源码,包含了rbac模块的页面, Spring Security开发安全的REST服务视频源码,包含了rbac模块的页面
使用 Spring Security 保护 Web 应用安全
07-12 956
Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一
Spring Security 升级到 5.5.7、5.6.4 及以上启动报错出现版本不兼容解决思路
Master_Shifu_的博客
10-09 7649
修复spring-security-web:5.2.1.RELEASE版本启动报错spring版本不兼容
[后端开发] Springboot Security开发安全的REST服务 视频教程 Chap01-03
01-20
[后端开发] Spring boot Security开发安全的REST服务 视频教程 系统学习完该视频教程后,你将成为J2EE 微服务框架Springboot的最佳实践者 我的CSDN博客地址: http://blog.csdn.net/mimica247706624/article/details/78617419
springsecurity安全框架
最新发布
09-23
Spring Security是一种功能强大且高度可定制的身份验证和访问控制框架。它是Spring全家桶的一员,旨在保护基于Spring应用程序。Spring Security允许用户通过提供配置信息来定制安全策略,并提供了两个主要的配置对象:WebSecurity和HttpSecurity。它可以轻松扩展以满足自定义需求。Spring Security是Java应用程序中最常用的身份验证和授权框架之一。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值