springSecurity入门笔记(一)

最新推荐文章于 2023-04-26 15:06:15 发布
最新推荐文章于 2023-04-26 15:06:15 发布
阅读量183 收藏
点赞数
分类专栏: 从0.5开始学习 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aizen_Sousuke/article/details/102746777
版权

介绍

Spring Security是Spring项目组中用来提供安全认证服务的框架,不仅可以基于数据库进行操作,还可以基于配置文件操作
包括两个主要操作:

  1. 认证
  2. 授权

使用spring security快速入门步骤

  1. 导入依赖
<!-- SpringSecurity相关依赖-->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>4.1.0.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>4.1.0.RELEASE</version>
</dependency>
  1. web.xml文件中配置过滤器链
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>
  
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
	
    <!-- Spring Secutiry 过滤器链,springSecurityFilterChain名称不能变,否则无法被识别 -->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
  1. spring security核心配置文件配置(spring-security.xml)
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/security
       http://www.springframework.org/schema/security/spring-security.xsd">
 <!--配置不过滤的资源(静态资源、登录相关)-->
 <security:http security="none" pattern="WEB-INF/view/login.ftl"/>
 
 <security:http auto-config="true" use-expressions="true">
        <!--
        auto-config =true时,会配置十个默认过滤器 
        use-expressions:
		        声明为true,那么在access属性要用access="hasRole(‘ROLE_USER‘)"
		        声明为false(默认),那么access直接就是access="ROLE_USER"
		-->

		<!--  
			intercept-url 定义过滤规则
			pattern 表示对哪些URL进行权限控制
			access 表示在请求对赢得URL需要什么权限
		-->
        <security:intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
        
        
        <!--  自定义登录页面 
	        authentication-failure-url权限校验失败后跳转页面
	        default-target-url登录成功后跳转页
        	登录页面用户名固定为username,密码password,action:login
         -->
        <security:form-login
                    login-page='/login'
                    default-target-url="/welcome"
                    authentication-failure-url="/login?error"
                    username-parameter="username"
                    password-parameter="password"/>
       
	   
	    <!--没有权限错误页面-->
        <security:access-denied-handler error-page="/nopermit"/>      
        
        <!--退出只需要简单配置-->
        <security:logout
                logout-success-url="/login?logout"/>
                
         <!--CSRF跨服务器的request、forward请求访问,默认开启-->
        <security:csrf />  
    </security:http>
    
    <!--
    	 基于内存的用户认证 InMemoryUserDetailsManager
    -->
    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="memory1" password="123456" authorities="ROLE_USER, ROLE_ADMIN" />
                <security:user name="memory2" password="123456" authorities="ROLE_USER" />
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

从别人那剽来的工作原理图

在这里插入图片描述

  • WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。

  • SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContextHolder 中,然后在该次请求处理完成之后,将 SecurityContextHolder 中关于这次请求的信息存储到一个“仓储”中,然后将 SecurityContextHolder 中的信息清除,例如在Session中维护一个用户的安全信息就是这个过滤器处理的。

  • HeaderWriterFilter:用于将头信息加入响应中。

  • CsrfFilter:用于处理跨站请求伪造。

  • LogoutFilter:用于处理退出登录。

  • UsernamePasswordAuthenticationFilter:用于处理基于表单的登录请求,从表单中获取用户名和密码。默认情况下处理来自 /login 的请求。从表单中获取用户名和密码时,默认使用的表单 name 值为 username 和 password,这两个值可以通过设置这个过滤器的usernameParameter 和 passwordParameter 两个参数的值进行修改。

  • DefaultLoginPageGeneratingFilter:如果没有配置登录页面,那系统初始化时就会配置这个过滤器,并且用于在需要进行登录时生成一个登录表单页面。

  • BasicAuthenticationFilter:检测和处理 http basic 认证。

  • RequestCacheAwareFilter:用来处理请求的缓存。

  • SecurityContextHolderAwareRequestFilter:主要是包装请求对象request。

  • AnonymousAuthenticationFilter:检测 SecurityContextHolder 中是否存在 Authentication 对象,如果不存在为其提供一个匿名 Authentication。

  • SessionManagementFilter:管理 session 的过滤器

  • ExceptionTranslationFilter:处理 AccessDeniedException 和 AuthenticationException 异常。

  • FilterSecurityInterceptor:可以看做过滤器链的出口。

  • RememberMeAuthenticationFilter:当用户没有登录而直接访问资源时, 从 cookie 里找出用户的信息, 如果 Spring Security 能够识别出用户提供的remember me cookie, 用户将不必填写用户名和密码, 而是直接登录进入系统,该过滤器默认不开启。

Spring Security登录认证

使用UserDetails和UserDetailsService来认证

  • UserDetails:封装当前正在认证的用户信息
  • UserDetailsService:规范了进行认证的方法
使用Spring Security之前的登录流程
  1. 登录页面提交登录信息
  2. controller获得登录信息交给service
  3. service调用dao层完成认证,根据用户名密码查询数据库
  4. dao层返回用户对象给service
  5. service将用户对象返回给controller
  6. controller去判断登录成功失败跳转页面
使用Spring Security登录流程
  1. 不需要controller层,这一部分由Spring Security完成,在security.xml进行配置
  2. 让自己的myUserDetailsService类 实现 UserDetailsService接口,重写loadUserByUsername方法,在调用service时就会调用这个接口
  3. 调用dao层返回我们自己的user对象封装成security提供的user对象

在spring-security.xml配置

<security:authentication-manager>
    <security:authentication-provider user-service-ref='myUserDetailsService'/>
</security:authentication-manager>

<!--
	<bean id="myUserDetailsService"
      	class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
        <!--<property name="dataSource" ref="dataSource"/>
	</bean>
-->

这个配置中的myUserDetailsService需要自己定义,去扩展UserDetailsService
userService

public interface userService extends UserDetailsService {

}

**userServiceImpl **

@Service("myUserDetailsService")
@Transactional
public interface userServiceImpl implements interface {
	@Autowired
	private UserDao userDao;
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		UserInfo userInfo = null;
		try {
			userInfo = userDao.findByUsername(username) ;
		} catch (Exception e) {
			e.printStackTrace();
		}
		//security提供的user对象,三个参数分别是 账号、密码、权限
		User user = new User(userInfo.getUsername(), userInfo.getPassword(),null );
		return user ;
	}

}

userDao

public class UserDao {
	/**
	 *返回的对象和数据库表对应,为了和security提供的user对象区分,叫UserUnfo
	 */
	@Select("select * from users where username=#{username}")
	public UserInfo findByUsername(String username) throws Exception;
}

例子1

创建一个web工程
pom.xml

		<dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>4.1.0.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>commons-logging</groupId>
            <artifactId>commons-logging</artifactId>
            <version>1.2</version>
        </dependency>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4"
         xmlns="http://java.sun.com/xml/ns/j2ee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
        http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>

    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <welcome-file-list>
        <welcome-file>index.jsp</welcome-file>
    </welcome-file-list>
</web-app>

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
       http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/security
       http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置不过滤的资源(静态资源、登录相关)-->
    <security:http security="none" pattern="/login.jsp"/>

    <security:http auto-config="true" use-expressions="true">
        <!--
        auto-config =true时,会配置十个默认过滤器
        use-expressions:
                声明为true,那么在access属性要用access="hasRole(‘ROLE_USER‘)"
                声明为false(默认),那么access直接就是access="ROLE_USER"
        -->
        <!--
            intercept-url 定义过滤规则
            pattern 表示对哪些URL进行权限控制
            access 表示在请求对赢得URL需要什么权限
        -->
        <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"/>
        <!--没有权限错误页面-->
        <security:access-denied-handler error-page="/noauthority.jsp"/>
        <!--CSRF跨服务器的request、forward请求访问,默认开启-->
        <security:csrf/>
    </security:http>

    <!--
         基于内存的用户认证 InMemoryUserDetailsManager
    -->
    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="root1" password="123456" authorities="ROLE_USER, ROLE_ADMIN"/>
                <security:user name="root2" password="123456" authorities="ROLE_USER"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

使用root1登录,跳转到index.jsp
使用root2登录,跳转到noauthority.jsp

例子2,从数据库查询用户(非自定义数据库)

pom.xml增加数据库依赖

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <version>5.1.46</version>
        </dependency>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-jdbc</artifactId>
            <version>5.1.8.RELEASE</version>
        </dependency>

spring-security.xml认证配置修改

    <security:authentication-manager>
        <security:authentication-provider>
            <security:jdbc-user-service data-source-ref="dataSource"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <property name="driverClassName" value="com.mysql.jdbc.Driver"/>
        <property name="url" value="jdbc:mysql://127.0.0.1:3306/test?useUnicode=true&amp;characterEncoding=UTF8"/>
        <property name="username" value="root"/>
        <property name="password" value="123456"/>
    </bean>

创建表

#用户表
create table users(
    username VARCHAR(50) not null primary key,
    password VARCHAR(50) not null,
    enabled boolean not null
);
#权限表
create table authorities (
    username VARCHAR(50) not null,
    authority VARCHAR(50) not null,
    constraint fk_authorities_users foreign key(username) references users(username)
);
#权限表username,authority两个字段创建唯一索引(可以不用)
create unique index ix_auth_username on authorities (username,authority);


insert into users(username,password,enabled) values('admin','admin',true);
insert into users(username,password,enabled) values('user','user',true);

insert into authorities(username,authority) values('admin','ROLE_ADMIN');
insert into authorities(username,authority) values('admin','ROLE_USER');
insert into authorities(username,authority) values('user','ROLE_USER');

security.xml 配置属性部分介绍

Spring EL表达式

表达式描述
hasRole([role])当前用户是否拥有指定角色。
hasAnyRole([role1,role2])多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。
hasAuthority([auth])等同于hasRole
hasAnyAuthority([auth1,auth2])等同于hasAnyRole
Principle代表当前用户的principle对象
authentication直接从SecurityContext获取的当前Authentication对象
permitAll总是返回true,表示允许所有的
denyAll总是返回false,表示拒绝所有的
isAnonymous()当前用户是否是一个匿名用户
isRememberMe()表示当前用户是否是通过Remember-Me自动登录的
isAuthenticated()表示当前用户是否已经登录认证成功了。
isFullyAuthenticated()如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true。
	<!-- 指定login.jsp安全性为none-->
   <security:http security="none" pattern="/login.jsp" />

   <security:http auto-config="true">

      <security:form-login
      	 <!-- 指定自定义登录页 -->
      	 login-page="/login.jsp"
		<!-- 指定提action,默认为login-->
         login-processing-url="/login.do" 
		 <!-- 指定登陆成功后跳转页 -->
         default-target-url="/success.jsp"
         <!--登录失败跳转页,默认会返回登录页,要配置成未登录也可以访问-->
         authentication-failure-url="/login_failure.jsp"
         <!-- 认证成功处理 -->
         authentication-success-handler-ref ="authSuccess"
         <!-- 认证失败处理,配置后authentication-failure-url属性将不再发生作用 -->
        authentication-failure-handler-ref="authFailure"
         <!-- 指定用户名参数,默认为username -->
         username-parameter="username"
		 <!-- 指定密码,默认为password -->
         password-parameter="password" />
		 <!-- 为所有请求配置权限 -->
      <security:intercept-url pattern="/**" access="ROLE_USER" />

   </security:http>
      
    <!-- 认证成功后的处理类 -->
    <bean id="authSuccess" class="com.xxx.AuthenticationSuccessHandlerImpl"/>
        <!-- 认证成功后的处理类 -->
    <bean id="authFailure" class="com.xxx.AuthenticationFailureHandlerImpl"/>

public class AuthenticationSuccessHandlerImpl implements AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {

    }
}

public class AuthenticationFailureHandlerImpl implements AuthenticationFailureHandler {
    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        
    }
}
Aizen_Sousuke
关注
专栏目录
SpringSecurity入门(二)
m0_69526738的博客
04-23 670
String getUsername(); boolean isAccountNonExpired(); boolean isAccountNonLocked(); boolean isCredentialsNonExpired(); boolean isEnabled(); } UserDetails的主要实现类是:org.springframework.security.core.userdetails.User [](()案例整合 ===================================
springsecurity笔记
雪儿的博客
06-05 307
package com.imooc.security.browser; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.security.core.authority.AuthorityUtils; import org.springframework.sec...
Spring Security入门学习笔记
CakeandSnowCake的博客
11-21 280
Spring Security入门学习笔记 一 什么是权限管理 1 权限管理概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中有两个关键字: 1.认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份。 2.授权:系统根据当前用户的角色,给其授予对...
Spring Security学习笔记入门(一)
liu911025的博客
07-26 743
什么是 Spring Security? Spring Security,这是一种基于Spring AOP和Servlet过滤器 [7] 的安全框架。它提供全面 的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。在 Spring Framework 基础上,Spring Security 充分利用了依赖注入(DI,Dependency Injection)和 面向切面技
Spring security 知识笔记入门
weixin_30369087的博客
07-06 68
一、生成spring boot项目文件 二、pom文件如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ...
springSecurity入门笔记(二)--认证、加密
Aizen_Sousuke的博客
03-19 344
spring security的类 Authentication接口: 表示用户认证信息 SecurityContextHolder: 保存SecurityContext 用户登录认证之前相关信息,封装到Authentication接口的具体实现类的对象 登录成功后将更全面的信息,封装到Authentication接口的具体实现类的对象,保存在SecurityContextHolder所持有的S...
Spring Security笔记
zzxzzxhao的博客
12-07 408
SecurityContextPersistenceFilter位于过滤器顶端,是第一个起作用的过滤器 其作用:     1.执行其他过滤器之前率先判断用户的session是否存在Spring Security上下文的SecurityContext        如果存在,则取出来放入SecurityContextHolder,供Spring Security其他部分使用;        如果...
springsecurity入门笔记+教程
09-20
springsecurity入门笔记+教程
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
SpringSecurity笔记
最新发布
09-24
**Spring Security 入门** 1. **创建项目结构**:首先创建一个父工程,如 "Spring-Security",然后在其中创建子模块,用于管理和组织各个组件。 2. **创建 Spring Boot 工程**:在 "Spring-Security" 父工程下创建...
SpringSecurity学习笔记
HRX98的博客
01-14 482
SpringSecurity
SpringSecurity5.7从入门到精通全套教程-入门
weixin_46040278的博客
04-26 2956
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
SpringSecurity入门(三)
仰望星空
01-20 643
前言:这是本人在学习  Spring Security技术栈开发企业级认证与授权 第五章 使用SpringSocial开发第三方登陆 课程时做的笔记,供复习之用,不会很全. 目录 第一章 OAuth协议简介 1.1 OAuth协议要解决的问题是什么 1.2 OAuth协议中的各种角色 1.3 OAuth协议运行的流程 1.3.1 授权码模式 第二章 Spring Social的基本原...
SpringBoot + Spring Security 学习笔记(一)自定义基本使用及个性化登录配置
weixin_30642305的博客
06-04 132
https://www.cnblogs.com/mujingyu/p/10701026.html 转载于:https://www.cnblogs.com/tanhao/p/10971410.html
使用idea启动ssh项目
热门推荐
Aizen_Sousuke的博客
11-04 1万+
项目结构 配置
spring boot整合MyBatis使用的一些扫描类
Aizen_Sousuke的博客
10-25 1833
@Configuration可理解为用spring的时候xml里面的标签 @Bean可理解为用spring的时候xml里面的标签 从Spring3.0,@Configuration用于定义配置类,可替换xml配置文件,被注解的类内部包含有一个或多个被@Bean注解的方法 @Configuration和@Bean的Demo类 在项目中 @Autowired private DataSource d...
注册中心工作原理
Aizen_Sousuke的博客
04-19 1350
注册中心作用 动态加入,服务提供者通过注册中心动态的把自己暴露给消费者,消费者逐个更新配置文件 动态发现服务,小芬这可以动态发现新的服务,无需重启生效 统一配置,避免本地配置导致每个服务配置不一致 动态调整,注册中心支持参数动态调整,新参数自动更新到所有相关的服务节点 统一管理,依靠注册中心的数据,可以统一管理配置服务节点 主要工作流程 服务提供者启动之后,会将服务注册到注册中心 消费者启动后主动订阅注册中心上提供者服务,从而获得可用服务,同时留下一个回调函数 若服务提供者新增或者下线,注册中心将通过
springboot接口WebMvcConfigurer,自定义拦截器转换器等
Aizen_Sousuke的博客
01-13 1193
WebMvcConfigurer 源码: public interface WebMvcConfigurer { /** *访问路径处理。比如PathMatchConfigurer的setUseTrailingSlashMatch()方法 *默认为true,匹配url不考虑结尾的"/",如 “/users”和“/users/”都可以匹配 */ default void con...
json转换实体类
Aizen_Sousuke的博客
11-13 1081
import net.sf.json.JSONArray; import net.sf.json.JSONObject 实体类转换成json JSONObject jsonStu = JSONObject.fromObject(实体类); json转换成实体类Person Person person= (Person) JSONObject.toBean(jsonObj,Person.class...
SpringSecurity入门与认证授权详解
SpringSecurity笔记 SpringSecurity是一个强大的企业级安全框架,专为基于Spring的应用程序设计,旨在简化安全访问控制的实现,减少代码冗余。它利用Spring框架的核心特性,如依赖注入(DI)和面向切面编程(AOP)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值