SpringSecurity的简单理解和入门

最新推荐文章于 2023-07-17 22:56:13 发布
最新推荐文章于 2023-07-17 22:56:13 发布
阅读量198 收藏
点赞数
分类专栏: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/P_ning/article/details/109729405
版权

此项目是基于普通的web项目进行搭建的SpringSecurity入门环境,如果需要SpringBoot项目的SpringSecurity入门案例可以去看这个SpringSecurity基于SpringBoot的简单环境搭建

前提

搭建之前先搞清楚两个词语,虽然在这次案例中没有完全体现出来。
认证:通过用户名和密码成功登录系统后,让系统得到单签用户的角色身份。
授权:系统根据当前用户的角色,给其授予对应可以操作的权限资源。

概念

SpringSecurity是Spring采用了AOP的思想,基于servlet过滤器实现的安全框架,它提供了完善的的认证机制和方法级的授权功能。

简单实现

  1. 导入jar包
    需要的jar包有4个:spring-security-core.jar,spring-security-web.jar,spring-security-config.jar和spring-security-taglibs.jar4个jar包
包名作用
spring-security-core.jar核心包,springsecurity的任何功能都需要这个jar包
spring-security-web.jarweb工程必备的包,包含过滤器和相关的web安全基础结构代码
spring-security-config.jar用于解析xml配置文件,SpringSecurity的xml配置文件解析用的就是这个包
spring-security-taglibs.jarSpringSecurity提供的动态标签库,JSP页面也可以使用
  1. 配置web.xml文件
  <!--SpringSecurity核心过滤器链-->
    <!--springSecurityFilterChain这个变量名不能修改-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
  1. SpringSecurity的配置
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xmlns:context="http://www.springframework.org/schema/context"
        xmlns:aop="http://www.springframework.org/schema/aop"
        xmlns:tx="http://www.springframework.org/schema/tx"
        xmlns:mvc="http://www.springframework.org/schema/mvc"
        xmlns:security="http://www.springframework.org/schema/security"
        xsi:schemaLocation="http://www.springframework.org/schema/beans
			    http://www.springframework.org/schema/beans/spring-beans.xsd
			    http://www.springframework.org/schema/context
			    http://www.springframework.org/schema/context/spring-context.xsd
			    http://www.springframework.org/schema/aop
			    http://www.springframework.org/schema/aop/spring-aop.xsd
			    http://www.springframework.org/schema/tx
			    http://www.springframework.org/schema/tx/spring-tx.xsd
			    http://www.springframework.org/schema/mvc
			    http://www.springframework.org/schema/mvc/spring-mvc.xsd
                http://www.springframework.org/schema/security
			    http://www.springframework.org/schema/security/spring-security.xsd">

    <!--释放静态资源:这一部分资源可以说是脱离的SpringSecurity-->
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/> 
    <security:http pattern="/plugins/**" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <!--配置springSecurity-->
    <!--
    auto-config="true"  表示自动加载springsecurity的配置文件
    use-expressions="true" 表示使用spring的el表达式来配置springsecurity
    -->
    <security:http auto-config="true" use-expressions="true">
        <!--让认证页面可以匿名访问-->
        <security:intercept-url pattern="/login.jsp" access="permitAll()"/>
        <!--拦截资源-->
        <!--
	        pattern="/**" 表示拦截所有资源
	        access="hasAnyRole('ROLE_USER')" 表示只有ROLE_USER角色才能访问资源
        -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER')"/>
        <!--配置认证信息-->
        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login"
                             default-target-url="/index.jsp"
                             authentication-failure-url="/failer.jsp"/>
        <!--配置退出登录信息,请求方式必须是post-->
        <security:logout logout-url="/logout"
                         logout-success-url="/login.jsp"/>
        <!--去掉csrf拦截的过滤器:不关闭且没配置token而且还是'GET','HEAD','TRACE','OPTIONS'的话已有异域请求问题导致报错-->
        <!--<security:csrf disabled="true"/>-->
    </security:http>

    <!--把加密对象放入的IOC容器中-->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!--设置Spring Security认证用户信息的来源-->
    <!--
    	springsecurity默认的认证必须是加密的,加上{noop}表示不加密认证,这里是用了写死的账号密码和角色。
    -->
    <security:authentication-manager>
	        <security:authentication-provider>
	        	<security:user-service>
	        		<security:user name="user" password="{noop}user" authorities="ROLE_USER"/>
	        		<security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN"/>
	        	</security:user-service>
	        </security:authentication-provider>
	    </security:authentication-manager>
    <!--下面是动态从数据库中获取登录的验证和角色的赋予,实际上就是交给了一个实现了特定UserDetailsService接口的userservice接口来实现-->
    <!--
	    <security:authentication-manager>
	        <security:authentication-provider user-service-ref="userServiceImpl">
	            <security:password-encoder ref="passwordEncoder"/>
	        </security:authentication-provider>
	    </security:authentication-manager>
	 -->
</beans>
P_ning
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring攻略(第二版 中文高清版).part1
03-16
第5章 Spring Security 164 5.1 加强URL访问安全 165 5.1.1 问题 165 5.1.2 解决方案 165 5.1.3 工作原理 166 5.2 登录到Web应用 175 5.2.1 问题 175 5.2.2 解决方案 175 5.2.3 工作原理 175 5.3...
手把手教你spring security入门
yangfenggh的博客
11-24 1999
spring Security权限控制
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1143
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
SpringSecurity超详细入门介绍
热门推荐
波波烤鸭的博客
12-02 2万+
  权限管理是我们项目中必不可少的一环,实际项目中我们可以自己设计权限管理模块,也可以使用市面上成熟的权限管理框架,比如 shiro或者 SpringSecurity等,前面已经详细的介绍过了 shiro 的使用,本文开始就给大家详细的来介绍下SpringSecurity的使用。 内容包括 spring+springmvc基于配置的方式详细介绍SpringSecurity springboot整...
SpringSecurity入门(超级无敌认真好用,万字收藏篇!!!!)
IT搬砖工
03-22 1505
内容包括 [SpringSecurity概述,SpringSecurity的基本使用,SpringSecurity基于内置账户的实现,SpringSecurity基于数据库的实现...]> 在西安加中实训学习期间作的笔记用于后边记忆和留存
SpringSecurity入门
凉茶铺的博客
07-15 828
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
Spring攻略(第二版 中文高清版).part2
03-16
第5章 Spring Security 164 5.1 加强URL访问安全 165 5.1.1 问题 165 5.1.2 解决方案 165 5.1.3 工作原理 166 5.2 登录到Web应用 175 5.2.1 问题 175 5.2.2 解决方案 175 5.2.3 工作原理 175 5.3...
springboot-learning-examples:2020版SpringBoot2.2.2快速简单上手Demo案例。详情可以查看我的博客:
02-04
SpringBoot-2.2.2入门到入坑声明:该项目是学习尚硅谷雷丰阳老师SpringBoot-1.5.x的视频,通过学习改进对比不足与替换弃一些过时功能,写下的SpringBoot-2.2.2代码笔记,方便自己的记忆。这个SpringBoot-2.2.2项目...
JAVA上百实例源码以及开源项目源代码
12-11
Java数组倒置 简单 Java图片加水印,支持旋转和透明度设置 摘要:Java源码,文件操作,图片水印 util实现Java图片水印添加功能,有添加图片水印和文字水印,可以设置水印位置,透明度、设置对线段锯齿状边缘处理、水印...
JAVA上百实例源码以及开源项目
01-03
 Java绘制图片火焰效果,源代码相关注释:前景和背景Image对象、Applet和绘制火焰的效果的Image对象、Applet和绘制火焰的效果的Graphics对象、火焰效果的线程、Applet的高度,图片到图片装载器、绘制火焰效果的X坐标...
SpringSecurity基础入门详解
小小默:进无止境
06-27 1012
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
Spring Security——入门介绍
代码星辰的博客
10-05 2452
Spring Security——入门介绍
Spring Security快速入门
qq_63431773的博客
07-17 174
Data@Override@Override@Override@Override@Override@Override@Override注意:如果要测试,需要往用户表中写入用户数据,并且如果你想让用户的密码是明文存储,需要在密码前加{noop}。例如这样登陆的时候就可以用sg作为用户名,1234作为密码来登陆了。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。
品优购第四天
编程之心的博客
11-22 469
品优购 第4天 学习目标 目标1:实现SpringSecurity入门小Demo 目标2:完成运营商登陆与安全控制功能 目标3:完成商家入驻 目标4:完成商家审核 目标5:完成商家系统登陆与安全控制功能 目标6:完成商家异步登录 第1章 Spring Security框架入门 1.1 Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声...
Spring Security 入门使用
weixin_53604412的博客
05-16 374
用户身份认证即用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问。常见的用户身份认证表现形式有:用户名密码登录,微信扫码等方式。项目包括学生、学习机构的老师、平台运营人员三类用户,不管哪一类用户在访问项目受保护资源时都需要进行身份认证。比如:发布课程操作,需要学习机构的老师首先登录系统成功,然后再执行发布课程操作。创建订单,需要学生用户首先登录系统,才可以创建订单。
spring security4 security="none"小讲
Chenctrl的博客
10-29 7212
在学习spring security4时,参考文档,spring-security.xml有如下片段: http pattern="/resources/**" security="none" /> http pattern="/login" security="none"/> http auto-config="true" use-expressions="true
[译文] Spring Securitysecurity none, filters none, access permitAll
JodenHe的博客
03-29 1416
博主个人博客 https://blog.joden123.top 版权说明,文章翻译至 Spring Securitysecurity none, filters none, access permitAll 概述 Spring Security 提供了几种将请求模式配置为不安全或者允许所有访问的机制。根据这些机制的不同,这可能意味着根本不在这个路径上运行安全过滤器链,或者运行了安全过滤...
Spring Security Taglibs 简介
allway2的博客
07-28 716
在本教程中,我们将了解Spring Security Taglibs,它为访问安全信息和在 JSP 中应用安全约束提供基本支持。首先,让我们将spring-security-taglibs 依赖添加到我们的pom.xml中: 3. 声明标签库 现在,在我们可以使用标签之前,我们需要在 JSP 文件的顶部导入标签库: 添加后,我们将能够使用 sec 前缀指定 Spring Security 的标签。在我们的应用程序中,我们可能拥有只应为某些角色或用户显示的信息。在这种情况下,我们可以使用 授权标签:
springSecurity入门使用
弓长弓长要努力啊
08-11 273
springSercurity主要用于认证授权的,就是检验用户密码是是否正确,是否有权限操作某资源这样子,之前没接触过,目前只会用简单的控制权限,里面核心类,什么的都不太了解,以下为我了解的基本入门使用 1,导入依赖,spring-security-taglibs是用于前端页面标签的 <dependency> <groupId>org...
springsecurity入门
最新发布
09-13
Spring Security是一个用于身份验证和授权的框架,在Spring项目中提供了一套强大的安全性解决方案。以下是你入门Spring Security的步骤: 1. 添加Spring Security依赖:在你的项目中,通过Maven或Gradle添加Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值