SpringSecurity个性化配置

最新推荐文章于 2024-03-14 11:30:00 发布
最新推荐文章于 2024-03-14 11:30:00 发布
阅读量4.3k 收藏 3
点赞数
分类专栏: 系统架构 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JavaMan_chen/article/details/8751836
版权

应用场景

现有的数据库中包含以下几张表格用于权限管理

要求在此基础上集成SpringSecurity,将表格的数据作为数据源来完成登录和权限校验逻辑

SpringSecurity的配置可通过两种方式呈现,基于自身的namespace配置和传统的基于Bean的配置。通过namespace来配置Security非常简洁,隐藏了很多繁琐的实现细节,但也不便于初学者进行理解,而如果要想对Security进行个性化定制(替换现有功能实现),最好还是采用传统的基于Bean的方式进行配置,虽然结构复杂,但是细节清晰明了
以下是两种方式的配置比较:
1.基于namespace来配置 
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                    http://www.springframework.org/schema/security
                    http://www.springframework.org/schema/security/spring-security-3.1.xsd">
    <http pattern="/js/**" security="none" />
    <http use-expressions="true" access-denied-page="/error.html">
        <intercept-url pattern="/peoplemanage/**" access="hasRole('admin')" />
        <form-login login-page='/login.jsp'/>
        <logout />
    </http>
    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="zhangsan" password="zhangsan" authorities="admin,user"/>
                <user name="wangwu" password="wangwu" authorities="user" />
            </user-service>
        </authentication-provider>
    </authentication-manager>
</beans:beans>
2.同样的配置还原成Bean的方式 
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:sec="http://www.springframework.org/schema/security"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
                    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
                    http://www.springframework.org/schema/security
                    http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <bean id="filterChainProxy" class="org.springframework.security.web.FilterChainProxy">
        <constructor-arg>
            <list>
                <sec:filter-chain pattern="/js/**" filters="none"/>
                <sec:filter-chain pattern="/**"
                    filters="securityContextPersistenceFilter,authenticationFilter,exceptionTranslationFilter,filterSecurityInterceptor"/>
            </list>
        </constructor-arg>
    </bean>
    <bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
          <property name="authenticationManager" ref="authenticationManager"/>
          <property name="accessDecisionManager" ref="accessDecisionManager"/>
          <property name="securityMetadataSource">
            <sec:filter-security-metadata-source use-expressions="true">
                  <sec:intercept-url pattern="/peoplemanage/**" access="hasRole('admin')"/>
            </sec:filter-security-metadata-source>
          </property>
    </bean>
    <!-- exceptionTranslationFilter -->
    <bean id="exceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter">
         <property name="authenticationEntryPoint" ref="authenticationEntryPoint"/>
         <property name="accessDeniedHandler" ref="accessDeniedHandler"/>
    </bean>
    <bean id="authenticationEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
         <property name="loginFormUrl" value="/login.jsp"/>
    </bean>
    <bean id="accessDeniedHandler" class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
          <property name="errorPage" value="/error.html"/>
    </bean>
    <!-- securityContextPersistenceFilter -->
    <bean id="securityContextPersistenceFilter" class="org.springframework.security.web.context.SecurityContextPersistenceFilter"/>
    <!-- authenticationFilter -->
    <bean id="authenticationFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
          <property name="authenticationManager" ref="authenticationManager"/>
          <property name="filterProcessesUrl" value="/j_spring_security_check"/>
    </bean>
    <!-- Core Service -->
    <bean id="authenticationManager" class="org.springframework.security.authentication.ProviderManager">
          <property name="providers">
            <list>
                <ref local="daoAuthenticationProvider"/>
            </list>
          </property>
    </bean>
    <bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
        <property name="userDetailsService" ref="inMemoryDaoImpl"/>
    </bean>
    <bean id="inMemoryDaoImpl" class="org.springframework.security.provisioning.InMemoryUserDetailsManager">
        <constructor-arg name="users">
            <props>
                <prop key="zhangsan">zhangsan,enabled</prop>
                <prop key="wangwu">wangwu,enabled</prop>
            </props>
        </constructor-arg>
    </bean>
    <bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
        <property name="decisionVoters">
            <list>
                <bean class="org.springframework.security.web.access.expression.WebExpressionVoter"></bean>
            </list>
        </property>
    </bean>
</beans>
还原成Bean的配置方式之后,在实现个性化的定制就变得清晰明了了。
一、首先需要修改userDetailsService的实现
在上述Demo配置中使用的是Spring内置的InMemoryUserDetailsManager,该类的主要作用是从配置文件加载zhangsan、wangwu等信息来构建用户数据源,而我们的用户数据是存储在数据库里的,因此需要修改实现,实现方式如下:
1.自定义一个Service,实现org.springframework.security.core.userdetails.UserDetailsService接口 
public class MyUserDetailsService implements UserDetailsService {
    public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException {
    /**
     * TODO 从数据库中加载用户信息,并封装成UserDetails对象
     */
    }
}
2.替换Demo中的对应的配置 
<bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
      <property name="userDetailsService" ref="myUserDetailsService"/>
</bean>
<bean id="myUserDetailsService" class="com.youcompany.MyUserDetailsService"/>
二、修改filterSecurityInterceptor中securityMetadataSource属性的注入方式
在Demo配置中securityMetadataSource属性的配置是静态的,将每一个资源和资源对应的角色封装到<sec:intercept-url>标签里
而我们的需求场景是资源信息存储在数据库里,因此不能通过这种静态的方式去描述,修改方式如下:
1.声明一个Service实现org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource接口 
public class MyFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    private Map<RequestMatcher, Collection<ConfigAttribute>> requestMap;
    public MyFilterInvocationSecurityMetadataSource(){
        requestMap=new HashMap<RequestMatcher, Collection<ConfigAttribute>>();
        loadMetadataInfo();//将数据库中的资源和角色实体封装到requestMap里
    }
    private void loadMetadataInfo() {
        List<Resource> resources=...//TODO 获取数据库中所有的资源实体
        for(Resource res:resources){
            Set<ConfigAttribute> allAttributes = new HashSet<ConfigAttribute>();
            List<Role> roles=...//TODO 获取该资源对应的访问角色
            for(Role role:roles){
                allAttributes.add(new SecurityConfig(role.getRoleName()));
            }
            RequestMatcher key=new AntPathRequestMatcher(res.getUrl()+"/**");
            requestMap.put(key, allAttributes);
        }
    }
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        Set<ConfigAttribute> allAttributes = new HashSet<ConfigAttribute>();
        List<Role> roles...//TODO 获取库中所有的角色实体
        for(Role role:roles){
            allAttributes.add(new SecurityConfig(role.getRoleName()));
        }
        return allAttributes;
    }
    public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException {
        HttpServletRequest request = ((FilterInvocation) object).getRequest();
        for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMap.entrySet()) {
            if (entry.getKey().matches(request)) {
                return entry.getValue();
            }
        }
        return null;
    }
    public boolean supports(Class<?> clazz) {
        return FilterInvocation.class.isAssignableFrom(clazz);
    }
}
2.修改Demo中相应的配置 
<bean id="filterSecurityInterceptor" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
      <property name="authenticationManager" ref="authenticationManager"/>
      <property name="accessDecisionManager" ref="accessDecisionManager"/>
      <property name="securityMetadataSource" ref="myFilterInvocationSecurityMetadataSource"/>
</bean>
<bean id="myFilterInvocationSecurityMetadataSource" class="com.youcompany.MyFilterInvocationSecurityMetadataSource"/>
三、修改accessDecisionManager中decisionVoters的实现逻辑
SpringSecurity默认使用AffirmativeBased来进行访问权限控制,该类封装了很多AccessDecisionVoter对象,基于投票的机制来决定访问是否通过
AccessDecisionVoter之间是OR的逻辑(只要有一个AccessDecisionVoter判断权限通过,用户便可访问界面)。
在Demo配置里,使用的是WebExpressionVoter基于表达式的权限认证逻辑(hasRole('admin')),而我们的需求是将用户的角色和访问资源需要的角色进行对比,来判断该用户是否具有访问界面的权限,因此需要进行以下修改:
1.声明一个Service实现org.springframework.security.access.AccessDecisionVoter接口 
public class MyAccessDecisionVoter implements AccessDecisionVoter<Object> {
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }
    public boolean supports(Class<?> clazz) {
        return true;
    }
    public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        int result = ACCESS_DENIED;
        for (ConfigAttribute attribute : attributes) {//可访问该页面的角色
            for (GrantedAuthority authority : authentication.getAuthorities()) {//登录用户具备的角色
                 if (attribute.getAttribute().equals(authority.getAuthority())) {//判断用户是否具有相应角色
                     return ACCESS_GRANTED;
                 }
            }
        }
        return result;
    }
}
2.修改Demo中对应的配置 
<bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <property name="decisionVoters">
        <list>
            <bean class="com.youcompany.MyAccessDecisionVoter"></bean>
        </list>
    </property>
</bean>
至此,SpringSecurity个性化定制修改完成。有点长,部分代码加了TODO,有不理解的可与我联系,需要源码的网友可留邮箱

JavaMan_chen
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
SpringSecurity 入门配置
ahaha413525642的博客
04-05 413
最近在实习中,需要用到Oauth协议来进行资源的认证,所以在此记录一下,让有需要的人少走一些弯路。(PS:Google真是个好东西,Github和官网也是好东西,虽然英文看起来挺费劲的) 这是官方实例: 认证服务器:https://github.com/spring-cloud-samples/authserver SSO客户端:https://github.com/spring-cloud...
【Spring Security】五、自定义过滤器
weixin_34049032的博客
07-04 315
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引入额外的jar包...
spring security详解
Spring为核心
04-29 509
always-use-default-target="true" default-target-url="/index.do" />                   下边这些是标签属性说明: 配置说明:   lowercase-comparisons:表示URL比较前先转为小写。   path-type:表示使用Apache Ant的匹配模式。   access-deni
使用 Spring Security 保护 Web 应用的安全
07-12 969
在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一
Spring Security教程(2)----SpringSecurity简单测试
z69183787的专栏
03-13 1万+
前面讲到了SpringSecurity的简单配置,今天做一个简单的测试,先看配置文件 [html] view plaincopy xml version="1.0" encoding="UTF-8"?>   beans xmlns="http://www.springframework.org/schema/beans"       xmln
Spring Security:身份验证入口AuthenticationEntryPoint介绍与Debug分析
kaven
01-23 2万+
ExceptionTranslationFilter ExceptionTranslationFilter(Security Filter)允许将AccessDeniedException和AuthenticationException转换为HTTP响应。ExceptionTranslationFilter作为Security Filters之一插入到FilterChainProxy中。 首先,ExceptionTranslationFilter调用FilterChain.doFilter(reques
SpringBoot + Spring Security 基本使用及个性化登录配置详解
08-27
SpringBoot + Spring Security 基本使用及个性化登录配置详解 Spring Security 是一个功能强大且灵活的安全框架,它提供了认证、授权、攻击防护等功能。SpringBoot 是一个基于 Spring 框架的框架,它提供了很多便捷...
Spring security自定义用户认证流程详解
08-24
例如,作为一个可复用的登录模块,我们应该提供个性化的登录页面,而不是写死只跳转到 `login.html`。解决这个问题的思想是使用可配置的登录页面,默认使用 `login.html` 即可。 另一个问题是,请求跳转到 `login....
详解Spring Security认证流程
08-25
如果不做任何个性化配置,UsernamePasswordAuthenticationFilter和BasicAuthenticationFilter会在默认的过滤器链中。这两种认证方式也就是默认的认证方式。 四、Filter Chain的工作流程 FilterChain是Spring ...
详解Spring Security的formLogin登录认证模式
08-25
在构建复杂且高度定制化的企业级应用时,登录验证页面往往需要满足各种个性化需求,例如美观的界面和多样化的登录方式。Spring Security 提供了formLogin模式,允许开发者自定义登录页面,以满足这种定制化需求。...
springsecurity_logout.rar
04-08
例如,清除用户的个性化设置或通知系统管理员。 4. **登出事件监听**:SpringSecurity还提供了`LogoutSuccessEvent`,可以在登出成功后触发监听器。通过实现`ApplicationListener<LogoutSuccessEvent>`接口,可以...
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
AuthenticationEntryPoint使用
qq_36022463的博客
06-03 2118
spring security 中的一个接口,用于处理认证失败或者未认证的请求。当用户尝试访问受保护的资源而未经过身份验证,,或者身份验证失败的时候,调用。: 处理身份验证和访问控制过程中的异常,,主要捕获spring security中抛出的异常,,并根据异常的类型,,来处理。这个拦截器会去判断是否认证,是否有权限访问,,如果没有权限,,,会被跳到。: 对受保护资源的控制访问 和 权限验证。配置到spring-security中。所有需要被认证的请求 都会走。
AuthenticationEntryPoint:实现自定义的未授权访问处理逻辑
最新发布
wddblog的博客
03-14 1543
是一个接口,它用于定义当用户尝试访问受保护的资源但没有进行身份验证时应该执行的操作。当用户未通过身份验证就尝试访问安全资源时,Spring Security会调用。现在,当用户尝试访问需要身份验证的资源但未通过身份验证时,Spring Security将使用我们自定义的。方法被重写以设置响应的状态码为401,并附带一条错误消息"Unauthorized access"。的实现来启动身份验证过程或提供有关未授权访问的反馈。下面是一个简单的示例,展示了如何实现一个自定义的。的bean,并将其设置为。
spring security 概述& 配置文件详解
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器在web.xml:     springSecurityFilterChain     org.springframework.
接口-AuthenticationEntryPoint
amber0552的专栏
05-27 4636
AuthenticationEntryPoint简介 AuthenticationEntryPoint是Spring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 该接口只定义了一个方法 : void commence(HttpServletRequest request, HttpServlet
Spring Security Web : AuthenticationEntryPoint 认证入口点及其实现类简介
热门推荐
Details Inside Spring
06-09 4万+
AuthenticationEntryPoint简介 AuthenticationEntryPoint是Spring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 该接口只定义了一个方法...
读淘宝数据库架构之体会
JavaMan_chen的专栏
09-04 9402
原文档下载地址:点击打开链接 体会如下 1.SQL语句复杂程度由繁到简 多表关联查询致使应用的耦合性偏高,不利于数据的分布式拆分部署。在执行查询时,如遇代理对象,对数据的远程传递和缓存都会产生影响(代理对象无法序列化,代理方法执行时找不到session)。打散库表关系后,对数据库的访问主要通过主键ID来完成,其他查询方法可通过倒排索引库来操作。 2.服务的拆分 系统发展到
配置Spring Security
09-12
配置Spring Security可以通过以下步骤完成: 1. 添加Spring Security依赖:在项目的pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 2. 创建Security配置类:创建一个类,并使用`@Configuration`注解标记,同时继承`WebSecurityConfigurerAdapter`类。这个配置类将用于定义安全规则和自定义认证配置。 ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // 配置用户认证的方式,如基于数据库的认证 auth.inMemoryAuthentication() .withUser("admin").password("{noop}password").roles("ADMIN") .and() .withUser("user").password("{noop}password").roles("USER"); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") // 配置特定URL需要特定角色访问 .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .anyRequest().authenticated() // 其他请求需要认证 .and() .formLogin() // 启用表单登录 .and() .httpBasic(); // 启用基本认证 } } ``` 在`configureGlobal`方法中,我们可以配置用户的认证方式,上述示例使用了内存中的用户认证方式。可以将其替换为其他方式,如基于数据库的认证。 在`configure`方法中,我们可以定义URL级别的安全规则。上述示例中,配置了`/admin/**`需要角色为`ADMIN`的用户访问,`/user/**`需要角色为`ADMIN`或者`USER`的用户访问。 3. 配置登录页面:可以在`application.properties`文件中配置登录页面的路径和相关属性,例如: ```properties spring.security.loginPage=/login spring.security.loginProcessingUrl=/perform_login spring.security.usernameParameter=username spring.security.passwordParameter=password ``` 以上配置示例中,登录页面的路径为`/login`,登录表单提交到的URL为`/perform_login`,用户名和密码对应的参数名分别是`username`和`password`。 这只是一个简单的Spring Security配置示例,你可以根据具体需求进行更多的配置个性化定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值