《Spring实战》-第九章:Spring Web应用安全(Spring Security)

最新推荐文章于 2022-08-14 23:58:19 发布
最新推荐文章于 2022-08-14 23:58:19 发布
阅读量360 收藏 1
点赞数 1
分类专栏: java spring 文章标签: spring security aop safe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Laiguanfu/article/details/88808124
版权

慢慢来比较快,虚心学技术

安全性是绝大多数应用系统中的一个重要切面( aspect ),之所以说是切面,是因为安全性是超越应用程序功能的一个关注点。应用系统的绝大部分内容都不应该参与到与自己相关的安全性处理中。尽管我们可以直接在应用程序中编写安全性功能相关的代码(这种情况并不少见),但更好的方式还是将安全性相关的关注点与应用程序本身的关注点进行分离

一、什么是Spring Security?

一种基于 Spring AOP 和 Servlet 规范中的 Filter 实现的安全框架。 Spring Security 提供了完整的安全性解决方案,它能够在 Web 请求级别和方法调用级别处理身份认证和授权

Spring Security 从两个角度来解决安全性问题。

  • 它使用 Servlet 规范中的 Filter 保护 Web 请求并限制 URL 级别的访问。
  • Spring Security 还能够使用 Spring AOP 保护方法调用 —— 借助于对象代理和使用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法

Spring Security的核心是 用户认证(Authentication)和用户授权(Authorization)

二、Spring Security基本组成

Spring Security 被分成了 11 个模块

ACL

支持通过访问控制列表( access control list , ACL )为域对象提供安全性

切面( Aspects )

一个很小的模块,当使用 Spring Security 注解时,会使用基于 AspectJ 的切面,而不是使用标准的 Spring AOP

CAS 客户端( CAS Client )

提供与 Jasig 的中心认证服务( Central Authentication Service , CAS )进行集成的功能

配置( Configuration )

包含通过 XML 和 Java 配置 Spring Security 的功能支持

核心( Core )

提供 Spring Security 基本库

加密( Cryptography )

提供了加密和密码编码的功能

LDAP

支持基于 LDAP 进行认证

OpenID

支持使用 OpenID 进行集中式认证

Remoting

提供了对 Spring Remoting 的支持

标签库( Tag Library )

Spring Security 的 JSP 标签库

Web

提供了 Spring Security 基于 Filter 的 Web 安全性支持

一个基本的Spring Security应用至少包括Core和Configuration模块,当涉及到Web应用时,还需要包含Web模块。

三、Spring Security使用

pom文件中引入基本的Spring Security及Spring MVC所需要的包

<properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.7</maven.compiler.source>
    <maven.compiler.target>1.7</maven.compiler.target>
    <spring.security.version>5.1.3.RELEASE</spring.security.version>
</properties>

<dependencies>
    <dependency>
        <groupId>junit</groupId>
        <artifactId>junit</artifactId>
        <version>4.12</version>
        <scope>test</scope>
    </dependency>
    
    <!--引入Servlet支持-->
    <dependency>
        <groupId>javax.servlet</groupId>
        <artifactId>javax.servlet-api</artifactId>
        <version>3.1.0</version>
        <scope>provided</scope>
    </dependency>

    <!-- jstl -->
    <dependency>
        <groupId>jstl</groupId>
        <artifactId>jstl</artifactId>
        <version>1.2</version>
    </dependency>
    
    <!--个人封装的一个模块,可有可无,不影响功能实现-->
    <dependency>
        <groupId>com.my.spring</groupId>
        <artifactId>com.m.spring.common</artifactId>
    </dependency>
    
    <!--引入Spring支持-->
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-core</artifactId>
        <version>${org.springframework.version}</version>
    </dependency>

    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-context</artifactId>
        <version>${org.springframework.version}</version>
    </dependency>

    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-test</artifactId>
        <version>${org.springframework.version}</version>
    </dependency>

    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-aop</artifactId>
        <version>${org.springframework.version}</version>
    </dependency>

    <dependency>
        <groupId>org.aspectj</groupId>
        <artifactId>aspectjweaver</artifactId>
        <version>1.8.13</version>
    </dependency>
    
    <!--引入Spring MVC支持-->
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-webmvc</artifactId>
        <version>${org.springframework.version}</version>
    </dependency>
    
    
    
    <!--引入Spring Security支持-->
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-core -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-core</artifactId>
        <version>${spring.security.version}</version>
    </dependency>

    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-web -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>${spring.security.version}</version>
    </dependency>

    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-config -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>${spring.security.version}</version>
    </dependency>
</dependencies>

①配置SpringMVC默认DispatcherServlet

public class WebAppInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    private final Logger logger = LoggerFactory.getLogger(this.getClass());

    /*AbstractAnnotationConfigDispatcherServletInitializer 会同时创
    建 DispatcherServlet 和 ContextLoaderListener 。 GetServlet-ConfigClasses() 方法返回的带有 @Configuration 注解的
    类将会用来定义 DispatcherServlet 应用上下文中的 bean 。 getRootConfigClasses() 方法返回的带有 @Configuration 注解的类将
    会用来配置 ContextLoaderListener 创建的应用上下文中的 bean 。*/

    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[]{RootConfig.class};
    }

    @Override
    protected Class<?>[] getServletConfigClasses() {
        return new Class[]{WebConfig.class};
    }

    @Override
    protected String[] getServletMappings() {
        logger.debug("DispatcherServlet获取匹配的前端控制器。。。。。。");
        return new String[]{"/"};
    }
}

②创建Spring Security的DelegatingFilterProxy,自动加载springSecurityFilterChain

/**
 *  拦截发往应用中的请求,并将请求委托给 ID 为 springSecurityFilterChain的bean
 *  springSecurityFilterChain 本身是另一个特殊的 Filter,它也被称为 FilterChainProxy.它可以链接任意一个或多个其他的 Filter。
 *  Spring Security 依赖一系列 Servlet Filter 来提供不同的安全特性。
 **/
public class SpringSecurityInitializer extends AbstractSecurityWebApplicationInitializer {}
最低0.47元/天 解锁文章
赖胖子的廖小明
关注
专栏目录
SpringSecurity表达式
yanshendeyinji的博客
10-20 330
1前提配置: 或xml方式 2web安全表达式 (1) hasRole, hasAnyRole (2) hasAuthority, hasAnyAuthority (3)permitAll, denyAll (4) isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated (5) principal, authentication (6) hasPermission 3这些表达式负责定义对应用程序中特定URL或方法的访问控制或授权
Spring Security基于表达式的访问控制
koflance的博客
03-30 2875
概述相比较以前使用配置属性(configuration attributes)或access-decision voters,Spring Security 3.0提供了基于EL表达式的访问控制(authorization mechanism)。该表达式可以用于web和method访问控制(access control)。Security提供的EL表达式root object是SecurityExp
Spring 安全架构 - Web 安全
纽雪澳诺加海美德的博客
03-30 295
Web 层(用于 UI 和 HTTP 后端)中的 Spring Security 基于 Servlet Filters,因此通常首先了解 Filters 的作用会很有帮助。下图显示了单个 HTTP 请求的处理的典型分层。 客户端向应用发送请求,然后容器根据请求 URI 的路径确定对它应用哪些过滤器和哪个 servlet。一个 servlet 最多只能处理一个请求,但是过滤器形成一个链,因此它们是...
Spring in Action 阅读(7)—— Spring 如何保护web安全性(二)
qq_17236715的博客
05-11 116
拦截请求 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法,同样也是在上一节中的SecurityConfig类中配置,不过参数变成了HttpSecurity. @override protected void configure (HttpSecurity http) throws Exception{ http .authorizeRequests() //返回的对象的方法来配 置请求级别的安全性细节 .antMatchers("/spitters
Spring Security 基于表达式的权限控制
weixin_38927257的博客
11-22 608
文章目录前言常见的表达式URL安全表达式在Web安全表达式中引用beanRbacServiceImplMethod安全表达式使用method注解PreAuthorizePostAuthorizePreAuthorize 针对参数进行过滤PostFilter 针对返回结果进行过滤 前言 spring security 3.0已经可以使用spring el表达式来控制授权,允许在表达式中使用复杂的布...
spring-security-rsa-1.0.10.RELEASE-API文档-中文版.zip
05-04
赠送jar包:spring-security-rsa-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-rsa-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-rsa-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-ws-security-soap-example:显示如何在Spring中设置安全的SOAP Web服务的示例
05-16
Spring Web Services WS-Security示例 设置各种协议的样本 SOAP Web服务。 支持WS-Security的两种实现,即和 。 对于每种认证方法,每种认证方法都有一个不同的终结点: 不安全。 普通密码。 摘要密码。 签名...
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-web-extensions:Spring Security Web的扩展
04-29
Spring Security 是一个强大的Java框架,用于提供Web应用程序和企业级应用程序的安全性。它提供了一整套功能,包括认证、授权、会话管理以及对常见攻击的防护。在本项目"spring-security-web-extensions"中,我们...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
AbstractSecurityWebApplicationInitializer
一叶竹
10-15 2744
AbstractSecurityWebApplicationInitializer
SpringSecurity - 启动流程分析(六)
业精于勤荒于嬉
08-14 320
SpringSecurity - 启动流程分析(六)
使用SpringMVC创建Web工程并使用SpringSecurity进行权限控制的详细配置方法
DataLearnerAI
09-25 5643
使用SpringMVC框架搭建Web项目工程是目前非常流行的web项目创建方式。同时Spring Security也为我们提供了登录验证和权限控制等内容。在这篇博客中,我们将详细描述如何从0开始配置一个基于SpringMVC框架和SpringSecurity权限控制的网站。
spring security 4.0 教程 步步深入 5
热门推荐
blurooo的博客
11-03 1万+
5. Java Configuration在Spring 3.1中向Spring框架添加了对Java配置的常规支持。 自Spring Security 3.2以来,一直有Spring Security Java配置支持,使用户能够轻松地配置Spring Security而不使用任何XML。 如果你熟悉第6章,安全命名空间配置,那么你应该发现它和安全Java配置支持之间有几个相似之处。 Sprin
spring security解析--认证
Dream - to be coder
04-01 1247
spring security用户认证 主要涉及到的对象是AuthenticationManager,ProviderManager, AuthenticationProvirder, DaoAuthenticationProvider, UserDetailsService,UserDetials
基于SpringBoot的WEB API项目的安全设计
anmishi2025的博客
05-21 436
SpringBoot的开箱即用功能,大大降低了上手一个WEB应用的门槛,友好的REST接口支持,在SpringCloud微服务体系中可编程性大大提高,本篇基于一个面向企业调用方用户的WEB API项目,基于SpringBoot来构建,简单看下接口的安全性模块设计。主要借助于基于AOP技术来进行接口的安全防护,在SpringBoot下直接引入spring-boot...
java security 详解_Java-Security(四):用户认证流程源码分析
weixin_42407606的博客
02-16 1058
让我们带着以下3个问题来阅读本篇文章:1)在Spring Security项目中用户认证过程中是如何执行的呢?2)认证后认证结果如何实现多个请求之间共享?3)如何获取认证信息?在《Java-Security(二):如何初始化springSecurityFilterChain(FilterChainProxy)》中可以发现SpringSecurity的核心就是一系列过滤链,当一个请求进入时,首先会被...
使用 Spring Security 保护 Web 应用安全
07-12 983
Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一
Spring SecurityWeb应用安全
qq_32734365的博客
08-04 2890
Web应用安全 Security Filter Chain DelegatingFilterProxy FilterChainProxy 跳过过滤器链 过滤器顺序 请求匹配和HttpFirewall 和其他基于过滤器的框架一起使用 高级命名空间配置 安全核心过滤器 FilterSecurityInterceptor ExceptionTranslationFilter Authenti...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值