SpringSecurity如何定义自己的Provider?如何限制指定的IP?

最新推荐文章于 2022-09-12 09:12:04 发布
最新推荐文章于 2022-09-12 09:12:04 发布
阅读量468 收藏
点赞数
分类专栏: Spring 文章标签: Acegi Bean Security Access Cache 
<!-- http安全配置 -->
	<s:http auto-config="true" use-expressions="true" lowercase-comparisons="false" create-session="ifRequired" >
		 。。。。<s:intercept-url pattern="/pages/**" access="isAuthenticated()" /> 
	</s:http>
	
	 <bean id="loggerListener" class="org.springframework.security.authentication.event.LoggerListener"/>
    
	<s:authentication-manager alias="authenticationManager">
		<s:authentication-provider ref="bobkpiAuthenticationProvider">
		</s:authentication-provider>
	</s:authentication-manager>
	
	<bean id="bobkpiAuthenticationProvider" class="com.resoft.prophet.security.provider.BobkpiAuthenticationProvider">
		<property name="userDetailsService" ref="userDetailsService"></property>
		<property name="ehrUserDAO" ref="ehrUserDAO"/>
	</bean>
	
		
	<!-- 项目实现的用户查询服务  -->
	<bean id="userDetailsService" class="com.resoft.prophet.security.userdetails.UserDetailsServiceImpl">
		<property name="securityService" ref="securityService" />
	</bean>

    

1、为什么没有使用userCache?

    以上是springsecurity的配置,考虑到维护userCache的繁杂性,userCache 并没有进行配置。主要原因是角色资源的关联,一旦角色资源关联关系发生变化,Cache还是需要清空,重新插入。

 

  2、 如果需要定义自己的provider?

    

<s:authentication-manager alias="authenticationManager">
		<s:authentication-provider ref="bobkpiAuthenticationProvider">
		</s:authentication-provider>
	</s:authentication-manager>

 

 

 3、use-expressions="true"这个配置什么作用??

  主要是用于isAuthenticated()这样的表达式解析

 

4、springsecurity的源码中HttpConfigurationBuilder中,定义了多达数配置项。

 

5、SecurityExpressionRoot中定义了很多表达式可用于配置的方法名称。

 

默认采用的是WebSecurityExpressionRoot,这个类中有hasIpAddress,可以指定某些IP进行访问。

 

 /**
     * Takes a specific IP address or a range using the IP/Netmask (e.g. 192.168.1.0/24 or 202.24.0.0/14).
     *
     * @param ipAddress the address or range of addresses from which the request must come.
     * @return true if the IP address of the current request is in the required range.
     */
    public boolean hasIpAddress(String ipAddress) {
        return (new IpAddressMatcher(ipAddress).matches(request));
    }

 

 public final boolean isAuthenticated() {
        return !isAnonymous();
    }

   指的是必须为非匿名用户。 

 

   <s:intercept-url pattern="/pages/**" access="hasIpAddress('10.168.166.125')" />

 

  access表达式必须只有一个

 

 关于springsecurity的配置,很多人仍然觉得比较复杂,我是从acegi开始学起的,虽然acegi的配置更复杂,但是对于大多数的关于配置的代码,我看了一遍,对于所有配置还是比较熟悉的,而且很容易进行扩展,新的配置有了新的schema,但是如果和acegi以前的学习成果结合起来学习,印象还是比较深刻的,毕竟springsecurity只是acegi的升级,很多类只是换了个名字。建议将acegi的配置对照起来,原来怎么配置,现在怎么配置,学起来比较快了。

 

  最好看下schema DTD的说明,这样方便你自己的扩展。

archerboy300
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security添加IP限制功能
MINWH的专栏
05-08 7265
项目中要为SpringSecurity添加IP限制功能,一开始的做法是继承DaoAuthenticationProvider,在additionalAuthenticationChecks方法中使用WebAuthenticationDetails的getRemoteAddress获取客户端IP,然后判断是否需要限制登录。在tomcat上单独部署时,这样做一切正常,当使用apache作为前端代理
Spring Security 中的四种权限控制方式
热门推荐
江南一点雨的专栏
06-17 5万+
Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以! 今天松哥来和大家介绍一下 Spring Security 中四种常见的权限控制方式。 表达式控制 URL 路径权限 表达式控制方法权限 使用过滤注解 动态权限 四种方式,我们分别来看。 本文是 Spring Security
spring security3.x学习(22)_关于ip的过滤器
杜雷的技术博客
09-23 1858
看到电子书的第六章了,我粗略的看了一下,发现第六章的知识很乱,需要前期的基础知识要很好才可以看懂, 所以从这次开始,我自己开始动手写一些例子进行练习(其实基础知识基本上已经学完了,剩下的都是高级配置了) 我先写好了一个模板。以后我们学习就可以根据这个模板进行修改了。(spring mvc + spring security) 下载地址:http://download.csdn
Spring Security框架下简单实现远程用户限制IP地址内登录
weixin_34194087的博客
04-01 1612
为什么80%的码农都做不了架构师?>>> ...
SpringSecurity系列——访问权限判断(权限,角色,IP),权限不足(403)处理day6-1(源于官网5.7.2版本)
qq_51553982的博客
07-26 1064
为了你对本文的内容不产生疑惑请先看下方说明当我们无权限时,SpringSecurity会给我们返回403的空白页面,实际上对用户是不友好的,用户不关心处理结果,只关心自己能否访问,所以自定义权限不足的时候的处理显得十分重要,在前后端分离的今天,其实我们只需要返回给前端json数据即可data.put("msg","用户权限不足!");}}...
登录访问时获取IP并校验(Springsecurity
u014295903的博客
06-29 2326
登录访问时获取IP并校验(Springsecurity )一、简述二、获取IP三、过滤IP 一、简述 因公司要求,针对项目进行ip限制,以往只是记录登录ip。所以此功能相对简单。 二、获取IP 获取IP有两种方式:1、自定义ip工具类。2、security获取。 import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; import java.net.URL; import jav
eurekaserver.rar
09-06
这可以通过Spring Security或者其他安全框架实现。 9. **客户端容错** 当Eureka Server不可用时,Eureka客户端会进入自我保护模式,防止因网络问题导致的大量服务注销。 10. **监控与管理** Eureka提供了Web UI...
chapter01-chyer-parent.zip
07-25
Spring Cloud Finchley提供了与Spring Security的集成,可以通过配置来实现Eureka的安全控制。 总结,"chapter01-chyer-parent.zip"中的内容详细介绍了如何在Spring Cloud Finchley版本下使用Eureka进行服务的注册...
JAVA上百实例源码以及开源项目
01-03
 关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名的数据传送给签名对象(须在初始化之后),用公钥...
JAVA上百实例源码以及开源项目源代码
12-11
关于数字签名:产生RSA密钥对(myKeyPair),得到RSA密钥对,产生Signature对象,对用私钥对信息(info)签名,用指定算法产生签名对象,用私钥初始化签名对象,将待签名的数据传送给签名对象(须在初始化之后),用公钥...
关于ip的过滤器 spring security例子
09-23
例子讲解可以参看博客:blog.csdn.net/dsundsun
java开源包1
06-28
Spring4GWT GWT Spring 使得在 Spring 框架下构造 GWT 应用变得很简单,提供一个易于理解的依赖注入和RPC机制。 Java扫雷游戏 JVMine JVMine用Applets开发的扫雷游戏,可在线玩。 public class JVMine extends java...
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法
weixin_42642782的博客
02-01 1736
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法 一般的微服务架构下,auth服务都是单独的只做token颁发和校验的模块,所以当在进行用户登录或其他操作的时候,都需要调用其他的服务进行用户信息的查询和密码比对。 那么其他服务的这个接口的隐蔽性就会受到挑战。 但是发现在springsecurity的权限控制当中,有一个方法很好用: hasIpAddress() @Value(value = "${auth.address}") private Str
Spring Security---自定义获取用户IP
MAKEJAVAMAN的博客
10-28 1277
之前在Spring Security流程的文章里提到过setDetails方法,也就是在WebAuthenticationDetails记录了IP和sessionId。 public WebAuthenticationDetails(HttpServletRequest request) { this.remoteAddress = request.getRemoteAddr(); HttpSession session = request.getSession(false); this.
Spring Security 实现IP白名单机制
neweastsun的专栏
03-08 1万+
Spring Security 实现IP白名单机制 本文讨论如何在Spring Security 中实现IP白名单机制。先看看默认实现机制,同时也讨论自定义AuthenticationProvider实现更加灵活的应用。 1. 默认实现 首先我们看下Java配置。使用hasIpAddress() 定义允许特定ip地址的用户访问特定资源。请看下面使用hasIpAddress()的配置: @Confi...
SpringSecurity定义AuthenticationProvider和AuthenticationFilter
weixin_34248849的博客
02-19 1179
AuthenticationProvider 默认实现:DaoAuthenticationProvider 授权方式提供者,判断授权有效性,用户有效性,在判断用户是否有效性,它依赖于UserDetailsService实例,开发人员可以自定义UserDetailsService的实现。 additionalAuthenticationChecks方法校验密码有效性 retrieveUser方...
SpringSecurity(一)
学习记录和总结
04-06 1万+
SpringSecurity结构介绍和认证流程
SpringSecurity配置权限:限制访问
冲出仁川,走出马德里,故事还会再继续
02-19 6344
SpringSecurity配置权限:限制访问1、概述2、基于权限和角色限制访问2.1 基于用户权限限制所有端点的访问2.1.1 项目依赖项:2.1.2 添加一个端点来测试授权配置2.1.3 声明UserDetailsService并指定用户2.1.4 应用hasAnyAuthority方法2.1.5 使用access()方法配置端点访问3、基于用户角色限制所有端点的访问3.1 为用户设置角色3.2 配置应用程序以便只接受来自管理员的请求3.3 测试3.4 使用roles()方法设置角色4、限制对所有端点的
spring security 用户授权/访问控制
swadian2008的博客
09-12 1770
授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
Spring Security如何实现授权?
最新发布
04-09
Spring Security是一个功能强大的安全框架,用于在Java应用程序中实现身份验证和授权。它提供了一套丰富的API和配置选项,可以轻松地集成到Spring应用程序中。 在Spring Security中,授权是通过访问控制决策来实现的。下面是Spring Security实现授权的一般步骤: 1. 配置用户认证:首先,你需要配置用户认证,即验证用户的身份。可以使用内存、数据库、LDAP等不同的认证方式。你可以定义用户的用户名、密码和角色等信息。 2. 配置访问控制:接下来,你需要配置访问控制规则,即定义哪些URL路径需要进行授权才能访问。可以使用基于角色或基于表达式的方式来定义访问规则。 3. 定义用户角色和权限:你可以定义不同的用户角色和权限,并将其分配给用户。角色是一组权限的集合,而权限则是对特定资源的操作权限。 4. 自定义访问决策器:如果默认的访问决策器无法满足你的需求,你可以自定义访问决策器来实现更复杂的授权逻辑。通过实现AccessDecisionManager接口,你可以编写自己的访问决策逻辑。 5. 注解方式授权:Spring Security还提供了基于注解的授权方式。你可以在方法或类级别使用注解来定义访问权限,例如@PreAuthorize和@Secured注解。 6. 使用表达式语言:Spring Security支持使用SpEL表达式语言来定义更灵活的授权规则。你可以在配置文件中使用SpEL表达式来编写授权规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值