Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法级权限控制/页面端标签控制权限

于 2021-10-15 11:44:06 发布
阅读量682 收藏 3
点赞数
分类专栏: # Spring Security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allenfoxxxxx/article/details/120728722
版权
本文详细介绍了Spring Security的使用,包括基于配置信息的集成、自定义登录页面、数据库认证实现,以及服务器端方法级权限控制和页面端权限标签的运用。通过对Spring Security的源码分析,探讨了web.xml和spring-security.xml的配置细节,并展示了如何通过JSR-250、@Secured和SpringEL表达式进行权限注解的启用和应用。此外,还讨论了Spring Security提供的页面端权限控制标签,如authentication、authorize和accesscontrollist。
摘要由CSDN通过智能技术生成

一、Spring Security介绍

Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。
Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或 EAR 级别进行移植。这样,如果你更换服务器环境,就要,在新的目标环境进行大量的工作,对你的应用系统进行重新配置安全。使用Spring Security 解决了这些问题,也为你提供很多有用的,完全可以指定的其他安全特性。 安全包括两个主要操作。

  • 认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系 统中执行动作的其他系统。
  • 授权”,指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由 身份验证过程建立了。

这些概念是通用的,不是Spring Security特有的。在身份验证层面,Spring Security广泛支持各种身份验证模式,这些验证模型绝大多数都由第三方提供,或则正在开发的有关标准机构提供的,例如 Internet Engineering Task Force。作为补充,Spring Security 也提供了自己的一套验证功能。

Spring Security 目前支持认证一体化如下认证技术: HTTP BASIC authentication headers (一个基于IEFT RFC 的标准) HTTP Digest authentication headers (一个基于IEFT RFC 的标准) HTTP X.509 client certificate exchange(一个基于IEFT RFC 的标准) LDAP (一个非常常见的跨平台认证需要做法,特别是在大环境) Form-based authentication (提供简单用户接口的需求) OpenID authentication Computer Associates Siteminder JA-SIG Central Authentication Service (CAS,这是一个流行的开源单点登录系统) Transparent authentication context propagation for Remote Method Invocation and HttpInvoker (一个Spring远程调用协议)

二、Spring Security快速入门

(一)基于配置信息的Spring Security使用

基于配置信息的Spring Security使用,即将用户信息存放在配置信息中。

新建一个Maven项目:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
pom.xml:

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>com.fox.springSecurityTest</groupId>
  <artifactId>SpringSecurity_Study</artifactId>
  <version>1.0-SNAPSHOT</version>
  <packaging>war</packaging>

  <name>SpringSecurity_Study Maven Webapp</name>
  <!-- FIXME change it to the project's website -->
  <url>http://www.example.com</url>

  <properties>
    <spring.version>5.0.2.RELEASE</spring.version>
    <spring.security.version>5.0.1.RELEASE</spring.security.version>
  </properties>
  <dependencies>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-core</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-web</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-webmvc</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-context-support</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-test</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-jdbc</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <!--SpringSecurity依赖-->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>javax.servlet-api</artifactId>
      <version>3.1.0</version>
      <scope>provided</scope>
    </dependency>
  </dependencies>
  <build>
    <plugins>
      <!-- java编译插件 -->
      <plugin>
        <groupId>org.apache.maven.plugins</groupId>
        <artifactId>maven-compiler-plugin</artifactId>
        <version>3.2</version>
        <configuration>
          <source>1.8</source>
          <target>1.8</target>
          <encoding>UTF-8</encoding>
        </configuration>
      </plugin>
      <plugin>
        <groupId>org.apache.tomcat.maven</groupId>
        <artifactId>tomcat7-maven-plugin</artifactId>
        <configuration>
          <!-- 指定端口 -->
          <port>8090</port>
          <!-- 请求路径 -->
          <path>/</path>
        </configuration>
      </plugin>
    </plugins>
  </build>
</project>

web.xml:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xmlns="http://java.sun.com/xml/ns/javaee"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
         version="2.5">
  <display-name>SpringSecurity314</display-name>

  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring-security.xml</param-value>
  </context-param>
  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>
  <filter>
    <filter-name>springSecurityFilterChain</filter-name>  <!--必须叫springSecurityFilterChain,不能变-->
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <welcome-file-list>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>default.html</welcome-file>
    <welcome-file>default.htm</welcome-file>
    <welcome-file>default.jsp</welcome-file>
  </welcome-file-list>
</web-app>

在main目录下新建一个resources目录,并右键点击它,mark directory as resources root。
在resources目录下创建Spring Security核心配置文件:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
                           http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

    <security:http auto-config="true" use-expressions="false">
        <!-- intercept-url定义一个过滤规则 pattern表示对哪些url进行权限控制,
        access属性表示在请求对应的URL时需要什么权限,
        默认配置时它应该是一个以逗号分隔的角色列表,请求的用户只需拥有其中的一个角色就能成功访问对应的URL
最低0.47元/天 解锁文章
ZaynFox
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 使用自定义界面及数据库登录认证
Ronz 的博客
06-23 1606
一、 Spring Security 登录进阶 由上一篇文章《初识 Spring Security》可以知道,在默认情况下,Spring Security 会为我们提供一个默认的登录界面。但是 Spring Security 提供的登录界面从美感上而言,简直是毫无美感,所以我们往往需要自己指定登录界面。 而登录界面的指定,则需要借助于 http 元素下的 form-login 元素来定义表单登录的信息。 1.1 关于登录的几个重要属性 username-parameter 表示登录时用户名使用的是前
thymeleaf提供的SpringSecurity标签支持
wunianisme的博客
07-10 1825
要想使用thymeleaf为SpringSecurity提供的标签属性,首先需要引入thymeleaf-extras-springsecurity4依赖支持。 <!--Spring Security和thymeleaf的整合依赖--> <dependency> <groupId>org.thymeleaf.extras</groupId> ...
spring-security 在jsp中的标签
dong_19890208的专栏
06-21 667
spring-security 在jsp中的标签
Spring Security3 SpEL表达式
utter111的专栏
02-05 530
启用SpELl表达式:在http元素里添加: use-expressions="true"  如: use-expressions="true"> ... Spring Security 3 提供的 SpEL 方法和伪属性在以下的表格中进行了描述。要注意的是没有被标明“ web only ”的方法和属性可以在保护其他类型的资源中使用,如在保护方法调用时。示例表示的方法和属性是使用
Spring Security页面标签控制权限
qq_39182939的博客
03-01 711
步骤: 1.pom.xml中导入依赖: <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version>${spring...
springsecurity使用配置详解
03-24
Spring Security支持基于角色的访问控制(RBAC)、表达式语言(Expression-Based Access Control, SpEL)和访问决策管理器(Access Decision Manager)。你可以通过定义访问规则,如`@Secured`、`@PreAuthorize`或`@...
管理系统系列--pre基于spring security的RBAC权限管理系统.zip
最新发布
02-25
- **权限表达式**:使用Spring Security权限表达式语言(SPeL)来编写访问控制逻辑,例如`hasRole('ROLE_ADMIN')`或`hasPermission('EDIT', 'POST')`。 4. **实现步骤** - **设置过滤器链**:配置`...
spring security 培训ppt
04-12
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,主要为基于 Spring 的企业应用程序提供声明式的安全服务。它不仅支持认证(Authentication)和授权(Authorization),还能帮助开发者保护 Web 和...
spring-cloud-security例子
04-04
Spring Security还支持基于表达式的访问控制,允许我们用更灵活的方式定义访问规则。例如,我们可以使用SpELSpring Expression Language)在注解中定义访问条件。 三、OAuth2集成 在微服务环境中,OAuth2常用于...
springsecurity入门实例
11-20
2. **配置登录页面**:Spring Security 默认提供 `/login` 页面,也可以自定义登录界面。 3. **处理登录请求**:在配置类中,通过 `http.formLogin()` 设置登录行为,如登录成功后的重定向等。 4. **处理未授权和...
spring-security标签
qq_44551382的博客
04-30 172
login-page 自定义登录页url,默认为/login login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action default-target-url 默认登录成功后跳转的url always-use-default-target 是否总是使用默认的登录成功后跳转url authentication-failure-url 登录失败后跳转的...
springsecurity 表达式一览
weixin_30855761的博客
08-17 400
表达式 描述 hasRole([role]) 当前用户是否拥有指定角色。 hasAnyRole([role1,role2]) 多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。 hasAuthority([auth]) 等同于hasRole ...
入门篇Spring&nbsp;Security——标签
菜鸟没翅膀
08-15 849
字号  订阅 Security框架可以精确控制页面的一个按钮、链接,它在页面权限控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面
配置Spring Security 权限标签
weixin_34041003的博客
06-24 212
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring Security 自定义登录页面、连接数据库进行认证、url授权, 方法授权两种方式
Guizy
08-10 1217
目录 一、自定义登录页面 在快速上手中,你可能会想知道登录页面从哪里来的?因为我们并没有提供任何的HTML或JSP文件。Spring Security的默认配置没有明确设定一个登录页面的URL,因此Spring Security会根据启用的功能自动生成一个登录页面URL,并使用默认URL处理登录的提交内容,登录后跳转的到默认URL等等。尽管自动生成的登录页面很方便 快速启动和运行,但大多数应用程序都希望定义自己的登录页面。 二、连接数据库认证 前边的例子我们是将用户信息存储在内存中,实际项目中用户信
SpringSecurity3.X--SpEL 表达式
weixin_33753845的博客
01-07 134
2019独角兽企业重金招聘Python工程师标准>>> ...
Springsecurity标签解析
weixin_34236869的博客
11-11 346
2019独角兽企业重金招聘Python工程师标准>>> ...
spring-security实现方法别、页面权限控制
qq_45441466的博客
11-08 871
spring-security实现方法别、页面权限控制(结合黑马SSM实现权限管理项目) 目录 spring-security实现方法别、页面权限控制(结合黑马SSM实现权限管理项目) 1.方法权限控制 1.JSR-250注解使用 2.Secured注解使用 3.基于表达式操作 2.页面权限控制 1.方法权限控制 1.JSR-250注解使用 导入JSR-250 maven坐标 <dependency> &lt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值