SpringSecurity框架 —— 安全校验

最新推荐文章于 2024-04-15 09:29:19 发布
最新推荐文章于 2024-04-15 09:29:19 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: 安全校验 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Thor_Selen_Liu/article/details/81220568
版权

前言:

    随着技术的不断发展和完善,极大的方便了我们的生活和工作。但也存在着很大的安全隐患,例如:黑客的攻击。如果没有一定的安全防护措施 将会带来巨大的 业务损失。安全访问控制 特别是大型企业 都非常重视的一个环节。

1. Spring Security 的入门介绍

    Spring Security 是一个能够为基于 Spring 的企业应用系统提供声明式 的安全访问控制解决方案 的安全框架。它提供了一组可以在 Spring 应用上下文中配置 的 Bean,充分利用了 Spring IoC(控制反转),DI(依赖注入) 和 AOP(面向切面编程) 的功能,为应用系统提供 声明式的安全访问控制功能,减少了为 企业系统安全控制 编写大量重复代码 的工作。   

    Spring Security 是一种 声明式的安全框架 即:一种配置方式的框架。所有的安全框架都是基于 filter 做的,因为 过滤器可以去拦截所有的请求。Spring Security 有十几个 filter 。当然还有一种安全框架 Shiro ,这款在市面上也是用的挺多的,这里只做对 Spring Security 进行介绍。如果不做安全校验,项目中的所有页面都是对外直接公开可访问的,安全隐患 很大。

    Spring Security 共有四种用法:

    ① 不用数据,所有的数据全部写在配置文件里面,这也是官方提供的 demo (下面的案例也采用这种方法);

    ② 使用数据库,但这种方法使用的数据库是固定死的,不够灵活,因要根据 Spring security 默认实现代码设计数据库;

    ③ Spring Security 与 Acegi 有所不同,它不能修改默认的filter,只能添加新的filter;

    ④ 暴力手段 修改源码,这种方法 不可取,不实际。

2. 下面通过 demo 详细介绍 Spring Security 的使用 和 配置信息

2.1 创建一个maven (war) 工程

2.1.1 简单演示

    (1) 添加pom 依赖

<properties>
    <spring.version>4.2.4.RELEASE</spring.version>
</properties>

<dependencies>
    <!-- spring 相关的 -->
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-core</artifactId>
        <version>${spring.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-web</artifactId>
        <version>${spring.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-webmvc</artifactId>
        <version>${spring.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-context-support</artifactId>
        <version>${spring.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-test</artifactId>
        <version>${spring.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework</groupId>
        <artifactId>spring-jdbc</artifactId>
        <version>${spring.version}</version>
    </dependency>

    <!-- security 相关的 -->
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>4.1.0.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>4.1.0.RELEASE</version>
    </dependency>
    <!-- servlet -->
    <dependency>
        <groupId>javax.servlet</groupId>
        <artifactId>servlet-api</artifactId>
        <version>2.5</version>
        <scope>provided</scope>
    </dependency>
</dependencies>
<build>
    <plugins>		
        <!-- java编译插件 -->
        <plugin>
            <groupId>org.apache.maven.plugins</groupId>
            <artifactId>maven-compiler-plugin</artifactId>
            <version>3.2</version>
            <configuration>
                <source>1.7</source>
                <target>1.7</target>
                <encoding>UTF-8</encoding>
            </configuration>
        </plugin>      
        <plugin>
            <groupId>org.apache.tomcat.maven</groupId>
            <artifactId>tomcat7-maven-plugin</artifactId>
            <configuration>
                <!-- 指定端口 -->
                <port>9090</port>
                <!-- 请求路径 -->
                <path>/</path>
            </configuration>
        </plugin>
    </plugins>  
</build>

    (2) web.xml 文件配置

注意:Security 是有十几个filter的,下面的 配置里面 我们使用的是 filterChain 是一个过滤器链,使用这一个即可。

<?xml version="1.0&
最低0.47元/天 解锁文章
Thor_Selen_Liu
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Spring Boot 2.0的Spring Security:保护端点
最佳 Java 编程
06-10 362
到目前为止,在以前的文章中,我们已经使用默认的spring安全配置对端点和控制器进行了安全保护。 当Spring Security在类路径上时,默认情况下自动配置会保护所有端点。 当涉及到复杂的应用程序时,我们需要每个端点使用不同的安全策略。 我们需要配置哪些端点应受到保护,哪些类型的用户应能够访问该端点以及应公开的端点。 一个很好的例子是端点,它将向用户显示欢迎消息。 pac...
【Spring-Securty】安全框架使用详解
m0_73647713的博客
12-20 1250
安全框架顾名思义,就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式。不使用安全框架之前,我们需要手动处理每个资源的访问控制,针对不同的项目都需要做不同的处理,此时就会显得非常麻烦,并且低效率引起的额外开销会延缓开发周期。使用安全框架,使开发团队能够选择最适合这些需求的框架,可以通过配置的方式实现对资源的访问限制,使得开发更加的高效。是一个基于Spring框架安全框架,可用于对Java应用程序进行身份验证、授权和其他安全性功能的添加。
CodeAccessPermission模板
水如烟
02-07 1712
 Author:水如烟 Namespace LzmTW.uSystem.uSecurity    Flags()> _    Public Enum NamePermissionFlags        NoFlags = 0 固定        Define1 = 1        Define2 = 2        AllFlags = 3 固定,总和    End Enum
【Spring Security系列】一文带你了解权限框架与Spring Security核心概念
小威的博客
04-15 1万+
权限框架是软件开发中用于管理用户权限和访问控制的工具。在企业或者我们毕设复杂的系统中,不同的用户或角色需要拥有不同的访问和操作权限,以确保系统的安全性和数据完整性。今天我们就讨论一下Java中的安全框架
SpringBoot之监控Actuator
ailiandeziwei的专栏
04-02 216
前言 去年我们项目做了微服务1.0的架构转型,但是服务监控这块却没有跟上。这不,最近我就被分配了要将我们核心的微服务应用全部监控起来的任务。我们的微服务应用都是SpringBoot 应用,因此就自然而然的想到了借助Spring Boot 的Actuator 模块。 本篇是我在完成这个工单之后,对Spring Boot Actuator模块 学习应用的总结。在本篇文章中,你可以学习到: 1、S...
HTTP Status 403 - Invalid CSRF Token ‘null‘ was found on the request parameter ‘_csrf‘ or header解决方法
。。。。
08-02 2228
HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'.HTTP Status 403 - Invalid CSRF Token 'null' was found on the request parameter '_csrf' o...
SpringSecurity安全框架
kayla_wzp的博客
12-02 1373
1.springSecurity简介 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统...
java面试——Spring面试专题.zip
09-26
Spring Security是Spring生态中的安全框架,用于保护Web应用免受攻击。它提供认证、授权和安全配置等功能,为开发者提供了一套完整的安全解决方案。 9. **Spring AOP的应用场景** AOP常用于日志记录、性能监控、...
Spring MVC-Web(4)
03-12
Spring MVC 是一个强大的Java Web开发框架,用于构建高效、可维护的Web应用程序。在这个部分,我们将深入探讨Spring MVC在Web开发中的应用,特别是在"Spring MVC-Web(4)"这个阶段涉及的关键概念和技术。 首先,...
考试类精品--前后端分离模式,基于Spring Cloud、Vue的考试系统,使用Spring Security O.zip
02-06
《构建基于Spring Cloud和Vue的前后端分离考试系统——深度解析Spring Security》 在现代Web开发领域,前后端分离已经成为主流架构模式,它能够有效提高开发效率,优化用户体验。本项目是一个考试系统的实现,采用...
项目实战spring—mvc.zip
06-24
在本项目实战“Spring-MVC”中,我们将深入探索Spring框架的一个重要组成部分——Spring MVC(Model-View-Controller)。Spring MVC是Spring框架提供的一种用于构建Web应用程序的模型视图控制器架构,它简化了开发...
spring+springmvc+mybatis(ssm)图书管理系统.rar
07-23
Spring Security或者自定义的安全过滤器可以用来处理这些逻辑,确保只有合法用户能够访问系统资源。 5. **图书管理**:图书管理模块包括对图书的基本信息(如书名、作者、出版社等)的增删改查。这部分功能通常由...
SpringSecurity安全框架
weixin_60257072的博客
12-11 3135
1、框架介绍Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证()和用户授权()两个部分。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。(2)用户授权指的是验证某个用户是否有权限执行某个操作。
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2943
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
spring-security安全认证服务框架搭建
m0_56162492的博客
08-03 855
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。() Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。特别要指出的是他们不能再WAR 或 EAR 级别进行移植。.........
SpringBoot集成SpringSecurity
学不死就往死里学
08-14 744
SpringSecurity 安全简介 在 Web 开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一方面,应用的基本架构已经确定,要修复安全漏洞,可能需要对系统的架构做出比较重大的调整,因而需要更多的开发时间,影响应用的发布进程。因此,从应用开发的第一天就应该把安全相关的因素考虑进来,并在整个应
springsecurity安全验证
qq_43021189的博客
08-09 694
Security
SpringBoot基于SpringSecurity表单登录和权限验证
热门推荐
润青
01-11 6万+
一、简介 上篇介绍了一个自己做的管理系统,最近空闲的时间自己在继续做,把之前登录时候自定义的拦截器过滤器换成了基于SpringSecurity来做,其中遇到了很多坑,总结下,大家有遇到类似问题的话就当是为大家闭坑吧。 二、项目实现功能和成果展示 首先来看下登录界面:这是我输入的一个正确的信息,点击登录后SpringSecurity会根据你输入的用户名和密码去验证是否正确,如果正确的话就去你定...
spring security框架
最新发布
05-01
Spring Security是一个基于Spring框架安全框架,为Spring应用程序提供声明式的安全访问控制功能。它提供了一组可插拔的API,开发人员可以使用这些API来实现安全领域的各种功能,例如认证、授权和攻击防护。Spring ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值