spring security 入门讲解

最新推荐文章于 2023-08-29 10:49:30 发布
最新推荐文章于 2023-08-29 10:49:30 发布
阅读量216 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Nancy_8_/article/details/83246378
版权

登录 图解 

 

1.添加依赖项目 spring-security-web和spring-security-config

pom.xml

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>com.itcast</groupId>
  <artifactId>spring_security_login</artifactId>
  <version>1.0-SNAPSHOT</version>
  <packaging>war</packaging>

  <name>spring_security_login</name>
  <!-- FIXME change it to the project's website -->
  <url>http://www.example.com</url>

  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.8</maven.compiler.source>
    <maven.compiler.target>1.8</maven.compiler.target>
    <spring.version>5.0.2.RELEASE</spring.version>
    <spring.security.version>5.0.1.RELEASE</spring.security.version>
  </properties>
  <dependencies>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-core</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-web</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-webmvc</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-context-support</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-test</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-jdbc</artifactId>
      <version>${spring.version}</version>
    </dependency>

    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>javax.servlet-api</artifactId>
      <version>3.1.0</version>
      <scope>provided</scope>
    </dependency>
  </dependencies>

  <build>
    <finalName>spring_security</finalName>
    <pluginManagement><!-- lock down plugins versions to avoid using Maven defaults (may be moved to parent pom) -->
      <plugins>
        <!-- java编译插件 -->
        <!-- <plugin>
             <groupId>org.apache.maven.plugins</groupId>
             <artifactId>maven-compiler-plugin</artifactId>
             <version>3.2</version>
             <configuration>
                 <source>1.8</source>
                 <target>1.8</target>
                 <encoding>UTF-8</encoding>
             </configuration>
         </plugin>-->

        <!-- 	配置tomcat7插件 -->
        <plugin>
          <groupId>org.apache.tomcat.maven</groupId>
          <artifactId>tomcat7-maven-plugin</artifactId>
          <version>2.2</version>
          <configuration>
            <port>8080</port>
            <uriEncoding>utf-8</uriEncoding><!-- 解决get请求乱码问题 -->
          </configuration>
        </plugin>
      </plugins>
    </pluginManagement>
  </build>
</project>

 

在web.xml中添加springSecurity的filter

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">
  <display-name>SpringSecurity</display-name>

  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring_security.xml</param-value>
  </context-param>

  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>

  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>

 

  • 添加配置文件spring-security.xml
  • 内存中用户名 和 密码
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
          http://www.springframework.org/schema/beans/spring-beans.xsd
          http://www.springframework.org/schema/security
          http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不过滤的资源(静态资源及登录相关) -->
    <security:http security="none" pattern="/login.html"/>
    <security:http security="none" pattern="/failer.html"/>
    <security:http security="none" pattern="/success.html"/>


    <!-- auto-config配置后,不需要在配置下面信息 <security:form-login />
           定义登录表单信息 <security:http-basic/> <security:logout /> -->
    <security:http auto-config="true" use-expressions="false">

        <!-- intercept-url定义一个过滤规则
             pattern表示对哪些url进行权限控制,
             access属性表示在请求对应 的URL时需要什么权限,
        默认配置时它应该是一个以逗号分隔的角色列表,请求的用户只需拥有其中的一个角色就能成功访问对应 的URL -->
        <!-- 配置资料连接,表示任意路径都需要ROLE_USER权限 -->
        <security:intercept-url pattern="/**" access="ROLE_USER"/>

        <!-- 自定义登陆页面
        login-page="/login.html" 自定义登陆页面
        login-processing-url="/login" 登录页面路径   action:login
        authentication-failure-url 用户权限(对用户所能访问的资源进行控制)校验失败(403表示权限不够)之 后才会跳转到这个页面,如果数据库中没有这个用户则不会跳转到这个页面。
        authentication-success-forward-url="" 认证(验证用户名密码是否正确的过程)成功后跳转页面
        default-target-url 登陆成功后跳转的页面。 注:登陆页面用户名固定 username,密码 password, -->
        <security:form-login login-page="/login.html"
                             login-processing-url="/login"
                             username-parameter="username"
                             password-parameter="password"
                             authentication-failure-url="/failer.html"
                             default-target-url="/success.html"
                             authentication-success-forward-url="/success.html"
                            />

        <!-- 登出
        invalidate-session 是否删除session
        logout-url:登出处理链接
        logout-success-url:登出成功页面
        注:登出操作 只需要链接到 logout即可登出当前用户 -->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp" />

        <!-- 关闭CSRF,默认是开启的 -->
        <security:csrf disabled="true" />

    </security:http>
    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="user" password="{noop}user" authorities="ROLE_USER"/>
                <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

 数据库中用户名 和 密码

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>

    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="false">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色. 角色不匹配 可以登录成功 但访问不了资源" -->
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>

        <!-- 定义跳转的具体的页面 -->
        <security:form-login
                login-page="/login.jsp"
                login-processing-url="/login"
                default-target-url="/index.jsp"
                authentication-failure-url="/failer.jsp"
                authentication-success-forward-url="/pages/main.jsp"
        />

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!-- 退出 -->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp"/>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式-->
         <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

 

业务层  实现类

package com.itheima.service.impl;

import com.itheima.dao.UserInfoDao;
import com.itheima.domain.Role;
import com.itheima.domain.UserInfo;
import com.itheima.service.UserService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.stereotype.Service;
import org.springframework.transaction.annotation.Transactional;

import javax.servlet.http.HttpServletRequest;
import java.util.ArrayList;
import java.util.List;

@Service("userService")
@Transactional
public class UserServiceImpl implements UserService {
    @Autowired
    private UserInfoDao userInfoDao;

    @Autowired  //对密码加密的类
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    /**
     * spring security 登录验证
     *
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = userInfoDao.findByUsername(username);
        List<Role> roles = userInfo.getRoles();
        List<SimpleGrantedAuthority> authoritys = getAuthority(roles);
        //User implements UserDetails
        User user = new User(userInfo.getUsername(), userInfo.getPassword(), userInfo.getStatus() == 0 ? false : true, true, true, true, authoritys);
        return user;
    }

    //返回集合 集合中都是角色描述
    private List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> authoritys = new ArrayList();
        for (Role role : roles) {
            authoritys.add(new SimpleGrantedAuthority("ROLE_" + role.getRoleName()));
        }
        return authoritys;
    }

}

 

业务串  接口

package com.itheima.service;

import com.itheima.domain.UserInfo;
import org.springframework.security.core.userdetails.UserDetailsService;

import java.util.List;

//继承UserDetailsService 

public interface UserService extends UserDetailsService {

}

 

 

Nancy_8_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
security详解
架构路上的博客
07-18 2118
spring security + Oauth2.0 一.spring security 问: spring security是如何注入spring容器? filter是如何加入tomcat? spring security是如何起作用? 1.自动注入 springboot在启动时会扫描所有jar包下的spring.factories,并且利用工具类转换成Map<String,List...
spring security入门
mh_dream的博客
01-02 2509
Spring Security基于servlet过滤器实现的权限管理框架,是AOP思想的具体体现,提供了完善的认证机制和方法级的授权功能。 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.3.1.RELEASE</ve
Spring-Security的详细配置及用法01
Hpeacheng的博客
11-23 1259
【1】Spring-Security通俗一点来讲是用来管理我们登陆的一个框架,之前我们的登陆底层代码,都是自己手写的,要从web端获取parameter,然后从数据库中取出,再获取数据库中的账户密码,进行对比,相同的话跳转到登陆成功页面,不成功提示登陆失败。 【2】利用Spring-Security框架的目的自然就是节省代码量,而且方便管理,不需要手动获取前端数据。 【3】第一步,我们需要在pol中导入spring-security的jar包,一共四个,分别是web,config,core,和jstl需
简单几步升级Spring security4.x升级到5.x
YSOLA4的专栏
06-01 8889
本次升级源自一次安全漏洞提醒:项目用着spring-security4.1, 也是受到了该漏洞的影响. 知道从4.x跳到5.x这种大版本提升肯定会有不少坑, 但是安全问题不可忽视, 虽然是旧项目也要升级,还要得比较急.本着能省则省的心理, 那就先单独升级一下spring-security吧.从 升级了版本, 重新 maven reimport项目, clean&compile试试. 列举几个版本不兼容的错误(吐槽下IDEA的编译错误提醒没eclipse友好, 一次编译提示一个):居然就一个Md5Pas
SpringSecurity 详解(通俗易懂)
风也温柔☆的博客
08-12 1822
2、退出,从SecurityContextHolder中拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token中解析出userId,通过userid查redis,查到(从redis中获取用户信息),查不到 认证失败(重新登录)
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Spring Security 入门
weixin_43593829的博客
04-09 165
<h2 id="前言">前言</h2> <p>Spring Security 是一套基于Spring框架,旨在为基于javaEE的企业应用程序提供一个全面的解决方案。Spring Security在w
Spring入门讲解
11-09
Spring入门讲解》是针对初学者精心准备的一份学习资源,旨在帮助读者快速掌握Spring框架的基础知识和核心概念。Spring是Java开发中最流行的轻量级框架之一,它以依赖注入(Dependency Injection,DI)和面向切面...
Spring Boot 入门到实战
09-19
此外,我们还会涉及到Spring Boot的安全管理,如使用Spring Security进行身份验证和授权,以及如何集成OAuth2实现社交登录功能。 在实战环节,我们将通过一个完整的项目案例,一步步引导你从零开始搭建并部署一个...
Spring Boot入门教程
05-06
Spring Boot入门教程,共42课,分别讲解了基础WEB开发、Thymeleaf、FastDFS、WebSocket、JDBC、MyBatis、JPA、Druid、Memcache、Redis、 ActiveMQ、RabbitMQ、MongoDB、ElasticSearch、Quartz、Security、 Actuator...
Spring入门到精通详细讲解
03-06
本详细讲解旨在帮助初学者快速掌握Spring的核心概念,并逐步提升至精通水平。 1. **Spring概述**:Spring是一个开源的Java平台,主要用于构建企业级应用。它通过依赖注入(Dependency Injection,DI)和面向切面...
intellij idea 2017 spring mvc 入门
06-19
随着对Spring MVC的深入学习,你将能够处理更复杂的业务逻辑,实现数据持久化,以及与其他Spring生态系统的组件集成,如Spring Data JPA或Spring Security。这个简单的“Hello, World”应用只是Spring MVC世界的一个...
SpringSecurity入门以及配置详解
qq_39182939的博客
02-29 482
1.Spring Security介绍:Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。安全包括两个主要操作: (1)“认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系 统中执行动作的其他系统。 (2)“授权”指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经...
Security 详解—原理(1)
myli92的博客
06-18 2384
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。
SpringSecurity的使用
ZipayYu的博客
07-17 207
在pom.xml导入jar包 版本号: <properties> <spring.security.version>5.0.1.RELEASE</spring.security.version> </properties> 依赖包: <dependencies> <dependency> ...
security权限管理详解
程序三两行
07-24 2735
Collection
升级Spring Security版本
pany_2017的博客
08-29 2421
Spring Security版本升级方法,及升级后出现的版本不兼容报错的解决办法
SpringSecurity之基本原理图示讲解
qq_45596525的博客
11-14 1202
文章目录前言一、SpringSecurity的功能二、基础构建模块与运行流程1. 图示与简介2.SpringSecurity框架下,HTTP如何访问web页面?总结 前言 不同于spring的其它框架 , SpringSecurity是一款重量级的 , 功能强大web安全框架,需要依赖的内容很多 ,极大地提高了Web开发中安全模块的开发效率 提示:以下是本篇文章正文内容,下面案例可供参考 一、SpringSecurity的功能 举几个例子吧,这在下面大部分都会用到 提供了除表单登录验证的身份验证以
物联网工程_基于RFID的食堂食品安全监测系统设计.docx
最新发布
07-20
物联网工程_基于RFID的食堂食品安全监测系统设计

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值