Spring security

最新推荐文章于 2023-06-27 10:52:17 发布
最新推荐文章于 2023-06-27 10:52:17 发布
阅读量109 收藏
点赞数
分类专栏: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/besokuse233/article/details/102666702
版权

简介

一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 spring security的主要核心功能为 认证和授权,所有的架构也是基于这两个核心功能去实现的。

框架原理

众所周知 想要对对Web资源进行保护,最好的办法莫过于Filter,要想对方法调用进行保护,最好的办法莫过于AOP。所以springSecurity在我们进行用户认证以及授予权限的时候,通过各种各样的拦截器来控制权限的访问,从而实现安全。
如下为其主要过滤器 :

  1. WebAsyncManagerIntegrationFilter
  2. SecurityContextPersistenceFilter
  3. HeaderWriterFilter
  4. CorsFilter
  5. LogoutFilter
  6. RequestCacheAwareFilter
  7. SecurityContextHolderAwareRequestFilter
  8. AnonymousAuthenticationFilter
  9. SessionManagementFilter
  10. ExceptionTranslationFilter
  11. FilterSecurityInterceptor
  12. UsernamePasswordAuthenticationFilter
  13. BasicAuthenticationFilter

框架的核心组件

  1. SecurityContextHolder:提供对SecurityContext的访问
  2. SecurityContext,:持有Authentication对象和其他可能需要的信息
  3. AuthenticationManager 其中可以包含多个AuthenticationProvider
  4. ProviderManager对象为AuthenticationManager接口的实现类
  5. AuthenticationProvider 主要用来进行认证操作的类 调用其中的authenticate()方法去进行认证操作
  6. Authentication:Spring Security方式的认证主体
  7. GrantedAuthority:对认证主题的应用层面的授权,含当前用户的权限信息,通常使用角色表示
  8. UserDetails:构建Authentication对象必须的信息,可以自定义,可能需要访问DB得到
  9. UserDetailsService:通过username构建UserDetails对象,通过loadUserByUsername根据userName获取UserDetail对象
    (可以在这里基于自身业务进行自定义的实现 如通过数据库,xml,缓存获取等)

配置

Spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
       配置具体的规则
       auto-config="true" 不用自己编写登录的页面,框架提供默认登录页面
       use-expressions="false"    是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
       <security:authentication-provider>
          <security:user-service>
             <security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
          </security:user-service>
       </security:authentication-provider>
    </security:authentication-manager>
    -->



</beans>
besokuse233
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 与ssm框架整合的一个小 demo
04-04
spring security 与ssm框架整合的一个小 demo.私聊我免费给你分享
SSM框架下Spring security的介绍
letgoDream的博客
07-18 401
转载:https://blog.csdn.net/liushangzaibeijing/article/details/81220610 参考:http://www.blogjava.net/youxia/archive/2008/12/07/244883.html https://blog.csdn.net/heweiyabeijing/article/details/83078311 一...
ssm中的spring security
qq_33012981的博客
10-06 966
1 一个简单的security项目 1.1 依赖 <!--jsp页面的el标签--> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version>5.1.5.RELEASE</version> </depen
SpringSecurity入门小demo(SSM+Spring Security
01-29
最近自学Spring Security,这里是我做的练习所产生的代码(SSM+Spring Security)包括一些注释等。
springSecurity入门(ssm + spring-security)
weixin_44892327的博客
06-27 593
spring-security入门
springsecurity
07-23
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它为Web应用和企业级应用提供了全面的安全解决方案,包括登录、权限管理、会话管理、跨站请求伪造(CSRF)防护等核心...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
SpringSecurity.zip
06-08
Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转...
springSecurity
最新发布
10-14
springSecurity
SSM+spring security3.x框架整合(附带数据文件)
10-02
该框架是博主整合的框架,所用技术是spring 4.x+spring mvc+4.x+mybatis4.x+spring security3.x,并附带springsecurity.sql文件
SpringSecurity入门(SSM版)
startqbb的博客
09-01 248
SpringSecurity入门
SSM整合SpringSecurity
qq_52421664的博客
09-12 986
SSM整合SpringSecurity 前言:介绍SpringSecurity,简单来说,你可以在这设置给需要保护的资源上一把锁,也可以给某些请求一把钥匙允许其访问。这里的锁指的是访问需要的权限或者角色。钥匙就是对应的权限或者角色。正如其官网图标。 引入pom依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security
SpringSecurity整合ssm
qq_34091529的博客
06-27 743
SpringSecurity 1. SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 **(Authorization)
ssm框架整合springSecurity
weixin_48605326的博客
05-17 1949
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
Spring Security在ssm中的使用
weixin_46132241的博客
08-11 199
Spring Security主要包括两个主要操作: “认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系 统中执行动作的其他系 统。 “授权”指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由 身份验证 过程建立了。 1、添加依赖 <dependencies> <dependency> <groupId>org.springframework.security</gro..
Spring Security(SSM整合)
miracle
06-22 6368
一.Security框架简介 Spring Security的功能: Authentication:认证,就是用户登录 Authorization:授权,判断用户拥有什么权限,可以访问什么资源 安全防护,防止跨站请求,session攻击等 二.SSM整合Security框架开发 1.pom依赖 <?xml version="1.0" encoding="UTF-8"?> <...
SSM配置Spring security
wyc的博客
10-27 818
SSM配置Spring security 1.概念理解 spring security是一个权限控制组件,负责对用户登录访问的控制,包括登录认证,访问界面的控制等等。 2.项目背景 管理工具Maven 项目框架SSM 3.配置spring security 3.1 jar包导入 <!--版本锁定--> <spring.version>5.0.7.RELEASE&lt...
Spring Security
09-13
Spring SecuritySpring家族中的一个安全管理框架。与另外一个安全框架Shiro相比,Spring Security提供了更丰富的功能,并且拥有更丰富的社区资源。一般来说,中大型的项目更倾向于使用Spring Security作为安全框架...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值