学习spring-Security3.0

最新推荐文章于 2024-05-30 15:04:31 发布
最新推荐文章于 2024-05-30 15:04:31 发布
阅读量1k 收藏
点赞数 1
分类专栏: spring-security3 文章标签: struts user spring string security action
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/brianyeye/article/details/7592384
版权

spring-Security的作用就不多说了,大家都懂的!


假设 一个项目有2个权限一个是管理员admin,一个是普通用户user。有些网页,action是只能admin去访问,user不能访问。

有一些解决方法是选择将user访问不到的连接影藏掉,但是这样不能彻底解决,

假如我知道连接可以收到去敲连接访问到,那又有一种办法在每个方法前面加判断,这些介绍一种spring的安全框架spring-Security

spring-Security 还有很多功能是我还没发现的,因为项目中用到了权限判断就学习了下,记录下来,不对的地方希望大虾能提成来指导!


在项目中一般都已经搭好框架了的,主要在这个前提下 我说一下我学习到的!

我先建立了个测试环境(struts2 的 把spring 和 spring-Security3.0的jar导进去,为方便就没加数据库)

spring-Security下载地址(官方的有jar,demo) 点击打开链接   


我建立了一个403.jsp 目的是让没有权限的用户跳到这里(里面没什么内容,就不贴代码了(内容:403.jsp 做了一个标识))

一个login.jsp  用来登录

一个welcome.jsp,namespace="/admin" 的struts2的包下的atestAction.action  只能admin访问

一个/welcomeUser.jsp  能让admin和user访问

一个namespace="/user" 的struts2的包下的utestAction.action 只能user 访问


项目图



web.xml

主要有spring的listener   struts2的filter  和 spring-Security  filter 过滤器 

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee 
	http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:applicationContext*.xml</param-value>
	</context-param>

	<listener>
		<listener-class>
			org.springframework.web.context.ContextLoaderListener
		</listener-class>
	</listener>

	<!-- spring-Security 过滤器 -->
	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>
			org.springframework.web.filter.DelegatingFilterProxy
		</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
	
	 <!-- struts2 -->  
    <filter>  
        <filter-name>struts2</filter-name>  
        <filter-class>  
            org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>  
    </filter>  
    <filter-mapping>  
        <filter-name>struts2</filter-name>  
        <url-pattern>/*</url-pattern>  
    </filter-mapping> 

	<welcome-file-list>
		<welcome-file>login.jsp</welcome-file>
	</welcome-file-list>
</web-app>

struts.xml

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.1//EN" "http://struts.apache.org/dtds/struts-2.1.dtd">
<struts>

	<package name="default" extends="struts-default">
		 <action name="loginAction" class="com.yeshun.action.UserAction" method="login">
			<result name="success">/index.jsp</result>
			<result name="error">/403.jsp</result>
		 </action>
	</package>
	
	<package name="admin" extends="struts-default" namespace="/admin">
		 <action name="atestAction" class="com.yeshun.action.TestAction" method="admin">
			<result name="success">/welcome.jsp</result>
		 </action>
	</package>
	
	<package name="user" extends="struts-default" namespace="/user">
		 <action name="utestAction" class="com.yeshun.action.TestAction" method="user">
			<result name="success">/welcomeUser.jsp</result>
		 </action>
	</package>

</struts>

主要spring-Security的配置文件    applicationContext-security.xml       

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.0.xsd">

	<http access-denied-page="/403.jsp" use-expressions="true"><!-- 当访问被拒绝时,会转到403.jsp -->
		<intercept-url pattern="/css/**" filters="none" />
		<intercept-url pattern="/img/**" filters="none" />
		<intercept-url pattern="/js/**" filters="none" />
                <!-- 一般项目中都会用到 css,img,js等文件    那么在这些路径下的文件就不需要设定权限   filters="none" 就是不需要权限   -->
                <intercept-url pattern="/login.jsp" filters="none" />
		<intercept-url pattern="/welcome.jsp" access="hasRole('ROLE_ADMIN')" />
		<intercept-url pattern="/admin/*.action" access="hasRole('ROLE_ADMIN')" />
		<intercept-url pattern="/welcomeUser.jsp" access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" />
		<intercept-url pattern="/user/*.action" access="hasRole('ROLE_USER')" />
        <!-- hasRole('ROLE_ADMIN') 表示只能ROLE_ADMIN权限可以访问 -->
        <!-- hasRole('ROLE_USER') 表示只能ROLE_USER权限可以访问 -->
        <!-- hasAnyRole('ROLE_ADMIN','ROLE_USER') 表示只能ROLE_ADMIN,ROLE_USER权限可以访问 -->
        <!-- hasRole只能指定一个权限,hasAnyRole可以指定多个 -->
                <form-login login-page="/login.jsp"
			authentication-failure-url="/login.jsp?error=true"
			default-target-url="/loginAction.action" />
        <!-- login-page 登录界面       -->
        <!-- authentication-failure-url 失败返回地址(验证失败,用户名密码错误)       -->
        <!-- default-target-url 成功返回地址 这里我返回到了一个action中,可以进一步操作      -->

		<logout logout-success-url="/login.jsp" />         <!-- 登出跳转地址       -->
<!--	保证一个用户同时只能登入一次
		 <session-management>
            <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
        </session-management>
-->
	</http>
	
	<!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 -->
	<authentication-manager alias="authenticationManager">
		<authentication-provider
			user-service-ref="myUserDetailService">
			<!--   如果用户的密码采用加密的
				<password-encoder hash="md5" />
			-->
		</authentication-provider>
	</authentication-manager>
	<beans:bean id="myUserDetailService"
		class="com.yeshun.service.MyUserDetailService" />

</beans:beans>

MyUserDetailService.java   实现用户验证 ,实现UserDetailsService接口
 

package com.yeshun.service;

import java.util.ArrayList;
import java.util.Collection;

import org.springframework.dao.DataAccessException;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.GrantedAuthorityImpl;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import com.yeshun.util.Md5Util;

public class MyUserDetailService implements UserDetailsService {

	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException, DataAccessException {
		
		//这里就不连接数据库了 手动验证用户 及赋予权限
		/**
		 *  UserInfo user = userDao.getUser(username);
		 *  if(user == null){
		 *  	throw new UsernameNotFoundException("用户不存在,请重新输入!");
		 *  }else{
		 *  	// to do 
		 *  	// 根据用户名得到用户的密码 ,得到用户的权限
		 *  }
		 */
		/**
		 * 这里默认密码
		 * 假如配置文件加上了<password-encoder hash="md5" />
		 * String password = Md5Util.MD5("123456"); 
		 */
		String password = "123456";   
		
               //给用户赋予权限,这里就手动了 项目中可以从数据库查出来
		Collection<GrantedAuthority> auths=new ArrayList<GrantedAuthority>();
		GrantedAuthorityImpl auth=new GrantedAuthorityImpl("ROLE_ADMIN");
		auths.add(auth);
//		GrantedAuthorityImpl auth1=new GrantedAuthorityImpl("ROLE_USER");
//		auths.add(auth1);
		boolean enabled = true;
		boolean accountNonExpired = true;
		boolean credentialsNonExpired = true;
		boolean accountNonLocked = true;
//		User(String username, String password, boolean enabled, boolean accountNonExpired,
//        boolean credentialsNonExpired, boolean accountNonLocked, Collection<GrantedAuthority> authorities)
		User user = new User(username,
				password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, auths);
		//假如 数据库是md5加密的 那在配置文件里加上<password-encoder hash="md5" />
		
		return user;
	}

}

UserAction.java    登录成功后返回到这里,可以得到user 

package com.yeshun.action;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;


public class UserAction extends BaseAction{

	private static final long serialVersionUID = 1L;

	public String login() {
		//得到登录的用户
		try {
			Object obj = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
			if (obj instanceof User) {
				User user = ((User) obj);
				String username = user.getUsername();
				String password = user.getPassword();
				List<String> userRoles = new ArrayList<String>();
				Collection<GrantedAuthority> cols =  user.getAuthorities();
				for (GrantedAuthority grantedAuthority : cols) {
					userRoles.add(grantedAuthority.getAuthority());
				}
				// to do some thing ....
				/**
				 * UserInfo userInfo = new UserInfo();
				 * userInfo.setUsername(username);
				 * userInfo.setPassword(password);
				 * userInfo.setRoles(userRoles);
				 * request.getSession().setAttribute("userInfo", userInfo);
				 */
				
				System.out.println("login success.........");
				System.out.println("username:"+username);
				System.out.println("password:"+password);
				for (String str : userRoles) {
					System.out.println("user roles :"+str);
				}
			}
		} catch (Exception e) {
			e.printStackTrace();
			return ERROR;
		}
		return SUCCESS;
	}
}

基本配置文件和java文件都好了,没写的文件里面都就一些标识



下面看登录 login.jsp  (用户名随意的,密码必须是123456  简单识别)

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
	<head>
		<title>Spring Security 3</title>
	</head>

	<body>
		<br />
		<center>
			<form name="loginform" action="j_spring_security_check" method="POST" >
				<table align="center" width="600" height="468"
					style="background-image: url();">
					<tr>
						<td height="100">
						</td>
						<td height="100">
						</td>
					</tr>
					<tr>
						<td width="220"></td>
						<td>
							<font size="2"> <span style="color: black"> 用户名</span> <input id="username"
									type='text' name="j_username" value="" style="width: 100px"> <span
								style="color: black">密码</span> <input id="pwd" type='password'
									name='j_password' value="" style="width: 100px"> <input
									name="submit" type="submit" value="登录" class="btn"> </font>
						</td>
					</tr>
				</table>

			</form>
		</center>
	</body>
</html>

主要要记住2点

第一:登录form 的action 必须是 j_spring_security_check

第二:用户名,密码 的name 必须是 j_username,j_password


index.jsp  登录成功后的页面 主要来实现连接的访问权限

<%@ page language="java" import="java.util.*" pageEncoding="ISO-8859-1"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>My JSP 'index.jsp' starting page</title>
	<meta http-equiv="pragma" content="no-cache">
	<meta http-equiv="cache-control" content="no-cache">
	<meta http-equiv="expires" content="0">    
	<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
	<meta http-equiv="description" content="This is my page">
	<!--
	<link rel="stylesheet" type="text/css" href="styles.css">
	-->
  </head>
  
  <body>
    This is my JSP page. <br>   
    <a href="admin/atestAction.action">admin action</a> <br />
    <a href="welcome.jsp">welcome.jsp</a> <br />
    <a href="user/utestAction.action">user action</a> <br />
    <a href="welcomeUser.jsp">welcomeUser.jsp</a> <br />
    
    <a href="j_spring_security_logout">Logout</a> <br />
  </body>
</html>

这里有一个注意点: 登出的链接必须是 <a href="j_spring_security_logout">


对照项目图,别的jsp内容基本就一些识别标志


附上项目源码点击打开链接


brianyeye
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security Jar包
09-21
5. **访问控制表达式(ACE)**:Spring Security 3.0 引入了访问控制表达式,允许在运行时基于表达式进行访问控制。例如,`@PreAuthorize("hasRole('ROLE_ADMIN')")`可以控制只有拥有管理员角色的用户才能执行特定...
Spring-Security3.0自定义表结构
11-10
### Spring Security 3.0 自定义表结构详解 在企业级应用开发中,Spring Security作为Spring框架的一个子项目,提供了一套完整的权限管理和安全性解决方案。它不仅能够处理身份验证(authentication)和授权...
SpringBoot3.0 + SpringSecurity 分离版
普通人一枚
05-12 1433
***/@Slf4j@Component@Autowired@Autowired@Override//鉴权验证//获取token//获取用户名//判断是否有效//获取资源//存入资源//放行。
Spring Security3.0版本
最新发布
c_yanxin_ru的博客
05-30 1182
核心: A >>?>> B?代表判断层,由Security实现这是之前的版本浓缩,现在3.0版本添加了更匹配的内容描写,匹配了mvc模式非mvc模式 核心:client(用户)>> filter(过滤器)>> servlet(业务)mvc模式ps:不要在意图片中的英文,有拼错的。
集成spring security3.0权限控制
热门推荐
Mr_Von的专栏
11-24 1万+
   最近在一个项目中使用权限控制,由于之前使用的是spring acegi 感觉还不错挺好用但这个版本比较老了,所以就研究了一下最新版本的spring security3.0,目前3.0的网上的相关文档及其至少(官方中的3.0文档资料有很多都是spring security2.*的),遂把自己的这几天研究的成果拿出来与大家分享。希望对大家有所帮助!    首先现在数据库中创建一些数据库脚
SpringSecurity3配置及原理简介
程序员!我当定了!
12-25 1144
SpringSecurity3的核心类有三种  1.URL过滤器或方法拦截器:用来拦截URL或者方法资源对其进行验证,其抽象基类为AbstractSecurityInterceptor 2.资源权限获取器:用来取得访问某个URL或者方法所需要的权限,接口为SecurityMetadataSource  3.访问决策器:用来决定用户是否拥有访问权限的关键类,其接口为AccessDecision
spring-security-3.0.3. 与Spring3.0.3 集成配置配置说明<二>
iteye_19719的博客
04-28 110
[code="java"]3. 实现类 3.1 加载数据库中的权限,也要实现FilterInvocationSecurityMetadataSource类 package com.bestsoft.ssh.service.impl.security; /** * 加载所有的权限配置 * @author zhangchaobing * */...
spring-security-saml:Spring Security项目的SAML扩展
05-13
笔记在过去,有develop和develop-3.0分支,尽管这些不维护,和永久居民不再对这些分支正在考虑中。 这两个分支将不再发行任何版本。 如果需要进行更改,请随时分叉存储库。 我们将继续考虑对1.0.x错误修复的请求,...
spring-security-3.0 GA
12-24
《Spring Security 3.0 GA 入门与深入解析》 Spring Security 是一款强大的安全框架,广泛应用于Java Web 应用程序的安全管理。在3.0 GA版本中,该框架进一步提升了性能,优化了API,并增加了许多新特性,使得安全...
thymeleaf-extras-springsecurity-3.0-master.zip
07-25
This module provides a new dialect called org.thymeleaf.extras.springsecurity3.dialect.SpringSecurityDialect or org.thymeleaf.extras.springsecurity4.dialect.SpringSecurityDialect (depending on the ...
Spring Security 3.0 安全权限管理手册
05-16
Spring Security 3.0 安全权限管理手册(最新),可以作为公司权限管理资料用,权限管理将是系统中的非常重要的一个模块,权限的设计也是参考相关资料进行整理和补充。系统将通过数据库进行管理用户权限
教你使用 SpringSecurity 3.0
01-05
教你使用 SpringSecurity 3.0 一步一步教你使用SpringSecurity,从保护web应用到保护业务方法调用
Spring Security3实践总结
Watson的码步
07-22 132
        在线项目最近要对管理系统进行细粒度的权限控制,细化到URL级别。Spring Security3在这个时候引入到了系统总来。Spring Security3的学习曲线并不是非常的平坦。现在将使用场景和使用方法总结如下。 一、需求        做项目肯定要从项目背景和需求谈起。这个在线项目的背景和需求如下: 该项目为一个对外网开发的管理系统,系统功能丰富,需要将系统的功...
SpringSecurity框架
Mr_Jin的博客
06-20 4965
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
Spring Security入门
jxiao_linbei的博客
05-20 110
简介: Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以实现强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理! 记住几个类: WebSecurityConfigurerAdapter:自定义Security策略. AuthenticationManagerBuilder:自定义认证策略. @EnableWebSecurit
SpringSecurity认证授权和整合项目
阿杰的博客
09-22 1545
Spring Security 是 Spring 家族中的一个安全管理框架,应用程序的两个主要区域是“认证”和“授权”(或者访问控制)
springsecurity配置及使用
又菜又爱玩的博客
08-29 1273
学习时是看b站狂神说java讲解的springsecurity发现WebSecurityConfigurerAdapter类已经被弃用(2.7.0以下版本可继续使用,2.7.0以上已被启用),于是看官方文档写的一个新版本的配置,新旧对比学习
Spring-Security深度解析:企业级安全控制与应用教程
自2003年Spring-Security项目启动以来,经历了多个重要版本的迭代,如Acegi1.0.0、Spring-Security 3.0等,持续优化和完善其功能。Spring-Security是一个高度实用的工具,对于提高企业级应用的安全性和开发效率具有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值