Spring学习笔记13

最新推荐文章于 2024-07-24 13:08:50 发布
最新推荐文章于 2024-07-24 13:08:50 发布
阅读量591 收藏
点赞数
分类专栏: Spring 文章标签: spring authentication security acegi filter bean

接学习笔记12

2. 处理安全上下文(security context)

       HTTP是一个无状态协议,因此如果HTTP不能记住你的信息,你每次提交请求都需要登陆。基于Javaweb应用使用会话来保存来保存请求的数据。在Spring中,一个请求最先被传递给HttpSessionContextIntegrationFilter。这个filter负责读取用户的身份信息,配置方法如下:

<bean id=”httpSessionIntegrationFilter”

class=”org.acegisecurity.context.HttpSessionContextIntegrationFilter” />

当一个请求到来时,HttpSessionContextIntegrationFilter会检查会话中是否包含用户验证信息。如果包含,Spring就会在当前请求中使用该验证信息。请求结束后,HttpSessionContextIntegrationFilter会把认证信息放回到session中以备下次使用。

       如果HttpSessionContextIntegrationFilter在会话中找到了用户的验证信息,那么用户就不需要重新登录。如果没有找到,那么就需要配置一个身份验证filter,也就是下一个要讨论的filter——FilterChainProxy

3. 用户登录


身份验证工作需要一个验证入口点(authentication entry point)和一个验证处理filter。验证入口点提供登录界面,让用户输入用户名密码。验证处理filter负责对登录用户进行身份验证。Spring提供了5<入口点,fliter>。先从最常用的说起:BasicProcessingFilterEntryPointBasicProcessingFilter

·基本认证方式:基于web的认证方式。它向浏览器发送HTTP401(未授权)响应。浏览器收到响应后弹出对话框提示用户输入用户名密码。用户登录之后,浏览器向服务器发送消息开始进行身份认证。如果成功,定向到指定的URL;反之服务器再次发送HTTP401响应表明重新登录。Spring中配置BasicProcessingFilterPoint方法如下:

<bean id=”authenticationEntryPoint”

       class=”org.acegisecurity.ui.basicauth. BasicProcessingFilterPoint”>

       <property name=”realmName” value=”RoadRantz” />

</bean>

realmName属性可以是任意字符串,通常都是一些登录提示信息。用户点击OK按钮之后,用户名密码信息封装在HTTP头部一同被送至服务器端。这时,BasicProcessingFilter将其取出并处理:

<bean id=”authenticationProcessingFilter”

       class=”org.acegisecurity.ui.basicauth. BasicProcessingFilter”>

       <property name=”authenticationManager” ref=”authenticationManager”/>

       <property name=”authenticationEntryPoint

              ref=”authenticationEntryPoint” />

</bean>

BasicProcessingFilter把用户名密码封装在HTTP头部并把它们发送给认证管理器。如果成功,一个Authentication对象放入会话以便未来使用;如果失败,控制权交给一个验证入口点供用户再次登录。

       基本认证方式有一些缺点:浏览器提供的登录对话框不能满足各种应用的要求。因此你就需要使用AuthenticationProcessingFilterEntryPoint

·基于表格的验证

AuthenticationProcessingFilterEntryPoint提供用户一个基于HTML的登录表格。对于RoadRantz应用来说,配置如下:

<bean id=”authenticationEntryPoint”

 class=”….AuthenticationProcessingFilterEntryPoint”/>

       <property name=”loginFormUrl” value=”/login.htm” />

       <property name=”forceHttps” value=”true” />

</bean>

loginFormUrl属性设置成一个URL,该URL会显示在登录页面上。forceHttps属性设置为true表明登录页面使用采用sslhttp,即使最初的请求没有采用ssl

       这里loginFormUrl设置为/login.htm,它和SpringMVC

UrlFilenameViewController关联。但是,无论登录页面如何显示,其HTML代码都包含下面的内容:

<form method=”POST” action=”j_acegi_security_check”>

<b>Username: </b><input type=”text” name=”j_username”><br>

<b>Password: </b><input type=”password” name=”j_password”><br>

</form>

AuthenticationProcessingFilter会用到属性action,输入框j_usernamej_password。其配置方法如下:

<bean id=”authenticationProcessingFilter”

       class=”….AuthenticationProcessingFilter”>

       <property name=”filterProcessfingUrl” value=”/j_acegi_security_check” />

       <property

name=”authenticationFailureUrl” value=”/login.htm?login_error=1”/>

       <property name=”defaultTargetUrl” value=”/” />

       <property name=”authenticationManager” ref=”authenticationManager”/>

</bean>

filterProcessesUrl属性表明了要被解析的URL地址,默认值是/j_acegi_security_check,但你也可以自行修改其值。authenticationFailureUrl属性设置了当认证失败时被定向到的页面。

       通常情况下,如果认证成功,AuthenticationProcessingFilter会将一个Authentication对象放入session中并且重定向到用户指定的页面。defaultTargetUrl属性指定了当目标URL不可达时的默认定向页面。authenticationManager属性声明了一个authenticationManager bean。和其他认证处理filter一样,AuthenticationProcessingFilter也依赖于认证管理器的帮助。

 

amethystic
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security认证过程分析
dsfllx的博客
05-17 519
spring security认证过程分析认证过程换取授权码过程功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 最近做的项目要求进行oauth2认证,使用了spring security框架。使用体验,emmmm应该是肥肠不好。这
Force HTTPS in Apache2
davidliu007的专栏
06-14 682
在apache2中,使用url_rewrite模块,可以实现强制把http转成https: RewriteEngine On RewriteCond %{HTTPS} !=on #RewriteCond %{HTTPS} off #RewriteCond %{SERVER_PORT} 80 RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST
Spring Security身份认证、权限验证、异常处理、自动登录流程整理
记录,记录,记录
04-07 1792
SpringSecurity是一系列filter,我们看功能实现,看你具体Filter就可以了。 我们需要关注的过滤器大致有4个: UsernamePasswordAuthenticationFilter:登录认证过滤器 FilterSecurityInterceptor:权限认证过滤器 ExceptionTranslationFilter:登录/权限认证失败处理器 RememberMeAuthenticationFilter:自动登录过滤器 1、UsernamePasswordAuthenticati
Spring Security4.1.3实现拦截登录后向登录页面跳转方式(redirect或forward)返回被拦截界面
热门推荐
honghailiang的专栏
09-27 4万+
一、看下内部原理 简化后的认证过程分为7步: 用户访问网站,打开了一个链接(origin url)。 请求发送给服务器,服务器判断用户请求了受保护的资源。 由于用户没有登录,服务器重定向到登录页面 填写表单,点击登录 浏览器将用户名密码以表单形式发送给服务器 服务器验证用户名密码。成功,进入到下一步。否则要求用户重新认证(第三步) 服务器对用户拥有的
Force SSL PRO 一键强制切换HTTPS的WordPress插件,可生成免费SSL证书 v5.27
metup的博客
06-25 678
Force SSL PRO可帮助您重定向不安全的HTTP流量以保护HTTPS并修复SSL错误,而无需接触任何代码。激活强制SSL,一切都将被设置并启用SSL。整个站点将使用您的 SSL 证书迁移到 HTTPS。它适用于任何 SSL 证书。它可以是Let's Encrypt的免费SSL证书或付费SSL证书。...
Spring学习笔记.zip
03-18
根据提供的压缩包文件名,我们可以推测这是一个逐步学习Spring的系列笔记。从"Spring_day1"开始,可能涵盖了Spring的基础概念、环境搭建和基本配置。"Spring_day2"可能涉及了依赖注入和AOP的深入讲解。"Spring_day3...
Spring Cloud Alibaba学习笔记
03-18
Spring Cloud Alibaba学习笔记 内容简介: 1、微服务介绍 2、微服务环境搭建 3、Nacos Discovery--服务治理 4、Gateway--服务网关 5、Sleuth--链路追踪 6、Rocketmq--消息驱动 7、SMS--短信服务 8、Sentinel--服务...
javaSpring学习笔记
03-12
“Java Spring学习笔记”是一份宝贵的资源,专门为想要学习和掌握Java Spring框架的开发者而设计。这份学习笔记提供了详细而系统的教程和实践指南,帮助初学者快速入门,并带领已经有一定经验的开发者深入理解和应用...
Spring学习笔记 自我总结
11-02
spring学习笔记
spring学习笔记1
03-16
spring学习笔记1
spring-security验证登录https变成http导致登录跳转失败
诚的专栏
02-01 1万+
      最近开发一个新的web项目,在生产发布的时候遇到登录验证成功但是跳转失败??? 一开始在网上找各种关于https协议转http协议的解决方案都是加filter强制把http再转成https,然而并没有什么软用。 问题如下:     绕了一些弯路:开始还以为是Nnginx配置导致的,其实不是;后来以为是https转http后导致session丢失,也不是。 只能一步步...
Spring Security缓存请求详解
Fouy_风度玉门。
07-22 4768
请求流程 代码实现 ExceptionTranslationFilter AbstractAuthenticationProcessingFilter 我们在Java开发中,可能会经常使用到Spring Security来实现系统的权限控制。在企业级应用中,也有可能会使用Spring Security集成CAS来实现单点登录和权限控制。当然一些独立的系统(如人事管理系统等),也有...
Spring Security Web 5.1.2 源码解析 -- LoginUrlAuthenticationEntryPoint
Details Inside Spring
12-22 7086
LoginUrlAuthenticationEntryPoint被ExceptionTranslationFilter用来开始一个表单认证流程,这个表单认证的认证请求由UsernamePasswordAuthenticationFilter负责处理。 LoginUrlAuthenticationEntryPoint带有一个属性loginFormUrl指向表单登录页面的位置,基于此可以构建到表单登录...
spring-boot实现访问http跳转到https端口的方法
weixin_34246551的博客
05-02 494
2019独角兽企业重金招聘Python工程师标准>>> ...
springboot 同时支持http和https请求
奋斗的清风~的博客
09-01 1064
SpringBoot不支持同时在配置中启动http和https,所以需要把http请求重定向到https请求 //配置方式 @Configuration public class TomcatHttp2HttpsConfig { public TomcatServletWebServerFactory tomcatServletWebServerFactory(){ //org.apache.coyote.http11.Http11NioProtocol Co.
springboot如何配置,同时支持https和http
qq_42901018的博客
05-19 3945
springboot配置同时支持https和http使用jdk自带的keytools创建证书将生成的keystore文件复制到项目的根目录下在application.yml中添加配置在application启动文件中添加配置 使用jdk自带的keytools创建证书 keytool -genkey -alias tomcat -keyalg RSA -keystore ./server.keyst...
SpringBoot配置HTTPS
yongqi_wang的博客
01-21 1966
1.生成HTTPS证书 打开cmd执行命令 -alias设置别名-storetype设置证书格式-keyalg设置加密算法-keysize设置证书大小-keystore设置证书文件地址-validity设置有效天数。 keytool -genkey -alias tomcat -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore ke...
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 390
zookeeper安装并成功运行。
SpringBoot集成Tomcat、DispatcherServlet
最新发布
好记性不如烂笔头
07-24 1245
AbstractApplicationContext 的 refresh 方法是一个空壳方法,我们主要看它的实现类 ServletWebServerApplicationContext。
spring 学习笔记
04-10
以下是关于Spring学习的一些笔记: 1. IoC(控制反转):Spring通过IoC容器管理对象的创建和依赖关系的注入。通过配置文件或注解,将对象的创建和依赖关系的维护交给Spring容器来管理,降低了组件之间的耦合度。 2...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值