springsecurity的理解和使用

最新推荐文章于 2024-04-16 19:46:27 发布
最新推荐文章于 2024-04-16 19:46:27 发布
阅读量1.2k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Katha_rsis/article/details/94588376
版权

1.Springsecurity的理解

在搜集了网上的一些资料后,对Springsecuity的介绍如下。
Spriingsecurity主要用于安全访问控制。为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。在老师提供的实例中,有具有修改他人权限的ADMIN用户和普通用户,在登陆后,两个用户的界面是有所不同的,ADMIN的界面具有更多的权限或者说是功能。
下面是两种用户的界面。

普通用户:在这里插入图片描述

管理员:

在这里插入图片描述

2.功能实现的步骤

2.1导jar包

在POM文件种加入

 </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>


```在Properties种加入

<spring.security.version>5.0.1.RELEASE</spring.security.version>

2.2 web.xml 添加过滤器’

在web文件的过滤器种添加下列语句。

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

2.3.写springsecurity.xml 核心配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

2.4.web.xml 里面加载springSecurity.xml

Web种加入
 <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:applicationContext.xml,classpath*:spring-security.xml</param-value>
  </context-param>

2.5 编辑相关方法

在Service中,将类继承IUservice
如:public class UserService implements IUserService
同时增加函数

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = userDao.findUserName(username);
        User user = null;
        if (userInfo != null) {
            List<Role> roles = roleDao.findRoleByUserID(userInfo.getId());
            userInfo.setRoles(roles);
           user = new User(userInfo.getUsername(), "{noop}"+userInfo.getPassword(), getAuthority(roles));

        }
        return user;

    }
    public List<SimpleGrantedAuthority> getAuthority(List<Role> roles)
    {
        List<SimpleGrantedAuthority> list =new ArrayList<>();
        for(Role role:roles)
        {
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
        }
        return list;
    }

6.改写页面

这里需要将ADMIN用户与普通用户的界面进行改写,让普通用户的功能更少。
如在用户管理中加入<security:authorize access=“hasRole(‘ADMIN’)”>。

漠、忆
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring mvc + spring security 的权限拦截示例
尹小鱼的博客
12-19 1万+
      Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功...
spring security 官方文档
10-08
Spring Security的官方文档中,包含了详细的配置指南、API参考、示例代码和最佳实践,帮助开发者深入理解并有效使用这个框架。例如,5.1版本的新特性包括对Servlet和WebFlux的支持增强,以及与其他第三方库的集成...
Spring Security理解
qq_39522549的博客
06-28 316
理论模型 系统边界 客户端——>安全系统——>服务提供者 核心实体概念 Authonization:用户(账户)信息,包括基本信息、状态信息、权限信息。 Authority:权限信息,鉴权时关联用户与资源的实体。可以使用角色(实现时就用角色名),也可以只是权限标识。 资源:需要鉴权的内容,如页面资源、静态文件资源、服务接口资源等,一般用url表示。在鉴权系统中,资源需要关联权限(或角色)。 核心步骤(流程) 认证 :用户名/密码登录、令牌认证。认证确定客户端身份,获取对应身份的信息。
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
什么是Spring Security?具有哪些功能?
最新发布
qq_56999608的博客
04-16 864
本篇将带你快速了解什么是Spring Security,通过入门案例以及相关原理和类的分析让你快速入门。一、概述官网:https://spring.io/projects/spring-securitySpring Security是一个Java框架,用于保护应用程序的安全性。它提供了一套全面的安全解决方案,包括身份验证、授权、防止攻击等功能。身份认证是验证谁正在访问系统资源,判断用户是否为合法用...
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
SpringBoot集成Spring Security(7)——认证流程
Jitwxs
12-02 6万+
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security 的认证流程,这样才能理解为什么要这样写代码,也方便后续的扩展。 一、认证流程 上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。 (1) 用户发起表单登...
浅析Spring Security登录验证流程
08-25
浅析Spring Security登录验证流程 Spring Security登录验证流程是Spring Security框架...理解Spring Security的登录验证流程对于开发者来说非常重要,可以帮助我们更好地使用Spring Security框架来实现登录验证功能。
浅谈Spring Security LDAP简介
08-26
本资源主要介绍了Spring Security LDAP的基本概念和配置方法,通过示例代码和详细的解释,帮助读者更好地理解和应用Spring Security LDAP。 一、Spring Security LDAP概述 LDAP(Lightweight Directory Access ...
全面解析Spring Security 过滤器链的机制和特性
08-18
今天,我们将深入探讨 Spring Security 过滤器链的机制和特性,以帮助读者更好地理解和应用 Spring Security。 过滤器链的形成过程 在 Spring Security 中,FilterChainProxy 是一个核心组件,负责代理众多的 ...
Spring Security UserDetails实现原理详解
09-07
理解`UserDetails`和`UserDetailsService`的工作原理对于有效地定制和扩展Spring Security的安全策略至关重要。通过深入学习和实践,我们可以更好地掌握Spring Security,确保应用程序的安全性。
初步理解Spring Security并实践
north hunter
05-31 463
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。&lt;dependency&gt; &lt;!-- 由于我使用spring boot所以我是引入spring-bo...
Spring Security 使用总结
u011277123的博客
10-09 2751
Java团长 2017-10-06 22:41 暑假的时候在学习了 Spring Security 并成功运用到了项目中。 在实践中摸索出了一套结合 json + jwt(json web token) + Spring Boot + Spring Security 技术的权限方案趁着国庆假期记录一下。 以下所有步骤的源码可以从我的 github 上取得。如果要了解,请阅读 readm
spring security 关于认证的一些特殊场景配置
weixin_33782386的博客
03-05 246
最近一直使用spring security2.0.x配置一些关于登陆认证方面的使用,我们的项目中有几个特殊的场景,记录下来,这些场景是我在百度/google没有搜到的(maybe我的搜索策略太低级)。 场景1.某些用户只允许允许单点登陆(即不允许同一用户在多台机器同时在线),某些用户允许多点登陆(即允许同一用户在多台机器上同时在线)。 ...
为什么选择spring security oauth2_Spring Security 与 Oauth2.0
weixin_42279320的博客
01-25 2036
问题最近由于工作变动,我又开始搞 Java 后台了(做回老本行)。目前第一个工作项目是搞一个用户认证中心,于是便一脚踏入了 Spring Security 的坑里面。其实当下比较流行的一套解决方案就是 Spring Security + Oauth2.0 + JWT 方式。可是当我开始集成 Spring Security 和 Oauth2.0 的时候,我眉头一皱突然发现这个事情不简单。 在创建 S...
在web项目中spring security与cas 结合使用的意义
Master
09-02 3255
在进行spring security的描述之前,我想描述一下认证与授权两个概念。 针对于企业级web应用中一个登陆过程,需要完成什么功能。其实就是完成认证与授权。在基于form表单的登陆形式,用户进入系统,在这个过程需要完成认证与授权。 所谓认证,就是当用户试图进入系统,而系统发现用户没有登陆,就调转到登陆页面,然后用户输入用户名,密码,点击登陆按钮,系统进行用户名,密码的 校验过程,称之为...
为什么要用shiro框架_web应用安全框架选型:Spring Security与Apache Shiro
weixin_39924329的博客
12-04 221
一、 SpringSecurity 框架简介官网:https://projects.spring.io/spring-security/源代码: https://github.com/spring-projects/spring-security/Spring Security 是强大的,且容易定制的,基于Spring开发的实现认证登录与资源授权的应用安全框架。SpringSecurity 的核心...
SpringSecurity理解
03-30
Spring Security是一个基于Spring框架的安全框架,提供了一组开箱即用的安全功能,包括身份验证、授权、攻击防护等。它可以与Spring应用程序无缝集成,并提供了大量的配置选项,让开发者可以根据自己的需求来定制...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值