springsecurity+oauth2+springmvc+hibernate

最新推荐文章于 2024-07-24 17:12:13 发布
最新推荐文章于 2024-07-24 17:12:13 发布
阅读量5.4k 收藏 3
点赞数
分类专栏: oauth2 文章标签: springsecurity springmvc oauth2 bootstrap 后台框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cai_chinasoft/article/details/51557575
版权

最近整理的 基础框架在此备忘:

附上次配置的源码:

git:https://github.com/izhbg/typz

code:https://code.csdn.net/cai_chinasoft/typz/tree/master

一、springsecurity的xml配置

<!-- spring security 配置 -->   
    <security:http auto-config="true" create-session="never" use-expressions="true" access-denied-page="/common/403.jsp" >  
         <!-- 不要过滤图片等静态资源 -->    
        <security:intercept-url pattern="/**/*.jpg" access="permitAll"/>
        <security:intercept-url pattern="/**/*.png" access="permitAll"/>
        <security:intercept-url pattern="/**/*.gif" access="permitAll"/>
        <security:intercept-url pattern="/**/*.css" access="permitAll"/>
        <security:intercept-url pattern="/**/*.js" access="permitAll"/>
        
        <security:intercept-url pattern="/common/401.jsp" access="permitAll"/>
        <security:intercept-url pattern="/common/403.jsp" access="permitAll"/>
        <security:intercept-url pattern="/common/404.jsp" access="permitAll"/>
        <security:intercept-url pattern="/common/500.jsp" access="permitAll"/>
        <!-- 登录页面和忘记密码页面不过滤  -->  
        <security:intercept-url pattern="/auth/login.izhbg" access="permitAll"/>  
        <!-- 登录配置 -->   
        <security:form-login  
                login-page="/auth/login.izhbg"   
                authentication-failure-url="/auth/login.izhbg?error=true"   
                authentication-success-handler-ref="authenticationSuccessHandler"/>  
        <!-- 退出配置 -->       
        <security:logout   
                invalidate-session="true"   
                logout-success-url="/auth/login.izhbg"   
                logout-url="/auth/logout.izhbg"/>  
        
       <!-- "记住我"功能,采用持久化策略(将用户的登录信息存放在数据库表中)  --> 
       <security:remember-me data-source-ref="dataSource"
       			 		     token-validity-seconds="1209600"
       			 		     remember-me-parameter="remember-me" user-service-ref="customUserDetailsService"/>
       
       <!-- session处理 --> 
       <security:session-management session-authentication-strategy-ref="concurrentSessionControlStrategy" invalid-session-url="/auth/login.izhbg" session-authentication-error-url="/auth/login.izhbg" />
       
       <!-- 增加一个自定义的filter,放在FILTER_SECURITY_INTERCEPTOR之前, 实现用户、角色、权限、资源的数据库管理。  -->
       <security:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
       
       <security:custom-filter ref="concurrencyFilter" position="CONCURRENT_SESSION_FILTER"/>  
         
    </security:http>
二、springsecurity中涉及自定义和相关引用的配置 

<bean id="authenticationSuccessHandler" class="com.izhbg.typz.sso.security.handler.SimpleLoginSuccessHandler">  
	    <property name="defaultTargetUrl" value="/main/common.izhbg"></property>  
	    <property name="forwardToDestination" value="false"></property>  
	</bean>  
    <!-- 一个自定义的filter,必须包含authenticationManager, accessDecisionManager,securityMetadataSource三个属性。  -->  
    <bean id="filterSecurityInterceptor" class="com.izhbg.typz.sso.security.MyFilterSecurityInterceptor">
    	<property name="authenticationManager" ref="authenticationManager"/>
    	<property name="accessDecisionManager" ref="myAccessDecisionManager"/>
    	<property name="securityMetadataSource" ref="mySecurityMetadataSource"/>
    </bean>
    <bean id="myAccessDecisionManager" class="com.izhbg.typz.sso.security.MyAccessDecisionManager"/>
    <bean id="mySecurityMetadataSource" class="com.izhbg.typz.sso.security.service.MyInvocationSecurityMetadataSourceService"/>
    
    <!-- 指定一个自定义的authentication-manager :customUserDetailsService -->  
    <security:authentication-manager alias="authenticationManager">  
            <security:authentication-provider user-service-ref="customUserDetailsService">  
                    <security:password-encoder ref="passwordEncoder">
                    	<!-- <security:salt-source user-property="username"/> 盐值-->
                    </security:password-encoder>  
            </security:authentication-provider>  
    </security:authentication-manager>  
	<!-- 从数据库加载UserDetails的UserDetailsService -->
    <bean id="customUserDetailsService" class="com.izhbg.typz.sso.security.service.CustomUserDetailsService">
    	 <property name="userCache" ref="userCache"/>
    </bean>
    <!-- 密码加密器 -->
	<bean id="passwordEncoder" class="com.izhbg.typz.sso.util.PasswordEncoderFactoryBean">
		<property name="type" value="${security.passwordencoder.type}"/>
		<property name="salt" value="${security.passwordencoder.salt}"/><!-- 盐值 -->
	</bean>
   <!-- 又一个密码加密器? -->
	<bean id="customPasswordEncoder" factory-bean="&passwordEncoder" factory-method="getCustomPasswordEncoder"/>
    
    <!-- session 处理 -->
    <bean id="concurrentSessionControlStrategy"  
	    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">  
	    <constructor-arg name="sessionRegistry" ref="sessionRegistry" />  
	    <property name="maximumSessions" value="1"></property>  
	</bean>  
	  
	<bean id="sessionRegistry" class="org.springframework.security.core.session.SessionRegistryImpl" />
	<bean id="concurrencyFilter" class="org.springframework.security.web.session.ConcurrentSessionFilter">  
	    <constructor-arg name="sessionRegistry" ref="sessionRegistry" />  
	    <constructor-arg name="expiredUrl" value="/sessionOut.jsp" />  
	</bean>    
	 <!-- 启用用户的缓存功能  -->
	<bean id="userCache"
		class="org.springframework.security.core.userdetails.cache.EhCacheBasedUserCache">
		<property name="cache" ref="userEhCache" />
	</bean>

	<bean id="userEhCache" class="org.springframework.cache.ehcache.EhCacheFactoryBean">
		<property name="cacheName" value="userCache" />
		<property name="cacheManager" ref="cacheManager" />
	</bean>

	<bean id="cacheManager"
		class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean" />
	
	  <!-- spring security自带的与权限有关的数据读写Jdbc模板  -->  
	 <bean id="jdbcTemplate" class="org.springframework.jdbc.core.JdbcTemplate">  
	  <property name="dataSource" ref="dataSource" />  
	 </bean>

三、oauth2的xml配置 

<security:http pattern="/oauth/token" create-session="stateless" authentication-manager-ref="oauth2AuthenticationManager"
          entry-point-ref="oauth2AuthenticationEntryPoint" use-expressions="true">
       <!--  <security:intercept-url pattern="/oauth/token" access="IS_AUTHENTICATED_FULLY"/> -->
        <security:anonymous enabled="false"/>
        <security:http-basic entry-point-ref="oauth2AuthenticationEntryPoint"/>
        <security:custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER"/>
        <security:access-denied-handler ref="oauth2AccessDeniedHandler"/>
    </security:http>
四、oauth2 自定义以及相关引用的配置 

<security:authentication-manager id="oauth2AuthenticationManager">
        <security:authentication-provider user-service-ref="customUserDetailsService"/>
    </security:authentication-manager> 
    <!-- <bean id="oauth2ClientDetailsUserService"
                class="org.springframework.security.oauth2.provider.client.ClientDetailsUserDetailsService">
        <constructor-arg ref="clientDetailsService"/>
    </bean>   -->
    <bean id="clientDetailsService" class="com.izhbg.typz.sso.auth2.service.CustomJdbcClientDetailsService">
        <constructor-arg index="0" ref="dataSource"/>
    </bean>
    <bean id="oauth2AuthenticationEntryPoint"
                class="org.springframework.security.oauth2.provider.error.OAuth2AuthenticationEntryPoint"/>
                
     <bean id="clientCredentialsTokenEndpointFilter"
                class="org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter">
        <property name="authenticationManager" ref="oauth2AuthenticationManager"/>
     </bean>
     <bean id="oauth2AccessDeniedHandler"
                class="org.springframework.security.oauth2.provider.error.OAuth2AccessDeniedHandler"/>
     <bean id="tokenStore" class="org.springframework.security.oauth2.provider.token.store.JdbcTokenStore">
        <constructor-arg index="0" ref="dataSource"/>
     </bean>
     <bean id="tokenServices" class="org.springframework.security.oauth2.provider.token.DefaultTokenServices">
        <property name="tokenStore" ref="tokenStore"/>
        <property name="clientDetailsService" ref="clientDetailsService"/>
        <property name="supportRefreshToken" value="true"/>
     </bean>
     <bean class="org.springframework.security.oauth2.provider.request.DefaultOAuth2RequestFactory"
                id="oAuth2RequestFactory">
        <constructor-arg name="clientDetailsService" ref="clientDetailsService"/>
     </bean>
     <bean id="oauthUserApprovalHandler" class="com.izhbg.typz.sso.auth2.OauthUserApprovalHandler">
        <property name="tokenStore" ref="tokenStore"/>
        <property name="clientDetailsService" ref="clientDetailsService"/>
        <property name="requestFactory" ref="oAuth2RequestFactory"/>
        <property name="oauthService" ref="oauthService"/>
    </bean>
    <bean id="jdbcAuthorizationCodeServices"
                class="org.springframework.security.oauth2.provider.code.JdbcAuthorizationCodeServices">
        <constructor-arg index="0" ref="dataSource"/>
    </bean>
    <bean id="oauth2AccessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
        <constructor-arg>
            <list>
                <bean class="org.springframework.security.oauth2.provider.vote.ScopeVoter"/>
                <bean class="org.springframework.security.access.vote.RoleVoter"/>
                <bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
            </list>
        </constructor-arg>
    </bean>
     <oauth2:resource-server id="mobileResourceServer" resource-id="mobile-resource" token-services-ref="tokenServices"/>
     <oauth2:authorization-server client-details-service-ref="clientDetailsService" token-services-ref="tokenServices"
                                 user-approval-handler-ref="oauthUserApprovalHandler"
                                 user-approval-page="oauth_approval"
                                 error-page="oauth_error">
        <oauth2:authorization-code authorization-code-services-ref="jdbcAuthorizationCodeServices"/>
        <oauth2:implicit/>
        <oauth2:refresh-token/>
        <oauth2:client-credentials/>
        <oauth2:password/>
    </oauth2:authorization-server>

五、配置需要oauth2验证的资源 

 <!--mobile http configuration-->
    <security:http pattern="/m/**" create-session="never" entry-point-ref="oauth2AuthenticationEntryPoint"
          access-decision-manager-ref="oauth2AccessDecisionManager" use-expressions="true">
        <security:anonymous enabled="false"/> 

        <!-- <security:intercept-url pattern="/m/**" access="ROLE_MOBILE,SCOPE_READ"/>  -->
        <security:custom-filter ref="filterSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR"/>
		<security:custom-filter ref="concurrencyFilter" position="CONCURRENT_SESSION_FILTER"/> 
		
        <security:custom-filter ref="mobileResourceServer" before="PRE_AUTH_FILTER"/>
        <security:access-denied-handler ref="oauth2AccessDeniedHandler"/>
    </security:http>
源码 详见:

git:https://github.com/izhbg/typz
code:https://code.csdn.net/cai_chinasoft/typz/tree/master





月无心137
关注
专栏目录
最强“全家桶”(面试+脑图+进阶):Spring+SpringCloud+SpringSecurity+SpringBoot+SpringMVC+Spring5!秋招必胜!!
weixin_66896902的博客
09-14 303
所有的SpringSpringCloud、SpringBoot、SpringMVCSpring5、SpringSecurity等架构脑图都是纯手绘的,文章里无法上传原件xmind,所以全部是都是图片展示。且在面试篇,也列举出了所有相关的面试问题,完整的解析也已整理成相应的pdf。最后的进阶学习篇,相关笔记等由于篇幅原因不做过多的展示,全部大致截图展现,但也照样已经整理成成套的学习pdf
学习Spring,看这几本书就够了
程序员书单
05-14 5263
如果想看更多技术好书,可以关注微信公众号【程序员书单】作者黄小斜,目前是阿里Java工程师,业余时间广泛读书,在公众号里除了分享程序员必读的技术书籍之外,也会推荐很多关于个人成长、投资理财等方面的书籍。你烦恼的每个问题,书中都有答案。 在这里,我们将为你推荐帮助程序员以及互联网从业者自我提升的各类好书、优质学习资源和工具,每周pick精品书单,解读经典书籍。 经过了10多年的发展,Java Web从开发框架到社区都已经非常成熟,而目前市面上最流行的Java Web框架已然是Spring...
spring security + spring oauth2 +spring mvc SSO单点登录需要的最小jar包集合
06-14
实现功能需要的最小jar集合,其中lib文件夹是导出的jar,maven pom文件夹是maven组织的pom.xml文件。二选一。
Re:从零开始的Spring Security Oauth2(一)
热门推荐
徐靖峰的专栏
08-08 8万+
前言今天来聊聊一个接口对接的场景,A厂家有一套HTTP接口需要提供给B厂家使用,由于是外网环境,所以需要有一套安全机制保障,这个时候oauth2就可以作为一个方案。关于oauth2,其实是一个规范,本文重点讲解spring对他进行的实现,如果你还不清楚授权服务器,资源服务器,认证授权等基础概念,可以移步理解OAuth 2.0 - 阮一峰,这是一篇对于oauth2很好的科普文章。 需要对spring
Spring SecurityOAuth2:构建安全Web应用的强大组合
最新发布
Innocence_0的博客
07-24 1330
通过深入学习并实践SpringSecurityOAuth2的整合技术,开发者能够有效应对复杂的业务场景,为应用程序提供严密的身份验证和授权机制。持续关注最新的安全研究和技术动态,并在实际项目中不断调整和完善安全策略,才能确保系统始终处于一个高效、稳定且安全的状态。同时,也鼓励读者将这些原则应用于微服务架构、多租户环境以及其他复杂系统的设计与实施过程中。
Spring security oauth2最简单入门环境搭建--二、干货
z2007130205的专栏
10-16 6043
关于OAuth2的一些简介,见我的上篇blog:http://wwwcomy.iteye.com/blog/2229889 PS:貌似内容太水直接被鹳狸猿干沉。。 友情提示 学习曲线:spring+spring mvc+spring security+Oauth2基本姿势,如果前面都没看过请及时关闭本网页。 我有信心我的这个blog应该是迄今为止使用spring security oa
Spring Security OAuth2笔记系列】- 【使用Spring MVC开发RESTful API】 处理创建请求
代码有毒的博客
08-14 601
处理创建请求 本节内容 @requestBody 映射请求体到java方法参数,可以处理json格式的请求内容 日期类型参数的处理 @Valid和BindingResult验证请求参数的合法性并处理校验结果 编写测试用例 @Test public void whenCreateSuccess() throws Exception { String content = "...
spring security oauth2整合
07-27
spring security oauth2整合的详细说明文档,demo下载地址在文档中已经给出。其中demo中包含了详细的代码注释。
Spring4 整合SpringMVC, Hibernate5, SpringSecurity4.2 源码
04-09
在这个项目中,开发者可能会看到如何配置Spring4、Spring MVC、Hibernate5以及Spring Security4.2,如何定义实体类、DAO、Service层以及控制器,还有Spring Security的配置文件(如security.xml或...
api-algafood:涵盖了Spring Rest专家课程(进行中)技术。 Spring和依赖注入使用针对REST API的主要Spring生态系统项目,例如Spring Framework,Spring MVC,Spring Boot,Spring Data JPA,Spring Security OAuthSpring HATEOAS。 还了解依赖注入如何与Spring,IoC容器,具有@ Component,@ Configuration和@Bean的bean定义,注入点,与@ Primary
04-13
Spring和依赖注入使用针对REST API的主要Spring生态系统项目,例如Spring Framework,Spring MVC,Spring Boot,Spring Data JPA,Spring Security OAuthSpring HATEOAS。 还了解依赖注入如何与Spring,IoC容器,...
spring+spring mvc+mybatis+shiro+maven+bootstrap+ajax+json+分页
kookkj的博客
08-21 5232
最近准备开发一个家庭财务管理系统,该系统后台采用目前比较流行的Spring4、Spring MVC、Mybatis三大MVC框架技术,并且加入了shiro权限框架登录认证,maven项目管理工具,在前台用目前比较流行的bootstrap+ajax+json技术渲染分页数据显示。
微信企业号OAuth2验证接口实例(使用SpringMVC)
01-22
http://blog.csdn.net/omsvip 企业应用中的URL链接(包括自定义菜单或者消息中的链接),可以通过OAuth2.0来获取员工的身份信息。 注意,此URL的域名,必须完全匹配企业应用设置项中的'可信域名',否则获取用户信息时会返回50001错误码。 可信域名设置不包含"http://",只需域名或IP即可。 OAuth2验证可以使用多种方式,此处使用注解方式。设计思路是在需要获取用户信息的GET请求上添加注解,然后在调用的时候判断是否包含此注解,然后做处理流程。 每次请求包含2 种情况: 1.不需要获取用户信息,直接跳转到指定视图; 2.需要获取用户信息,此处分2种情况: a.session中存储了之前获取的用户信息,则直接跳转到指定视图; b.session中不包含用户信息,则需要构造带回调参数的URL去微信API服务器获取code参数,然后通过code参数调用API换取Userid并保存到session,然后再次跳转到初始请求的视图页面
springboot整合SecurityOAuth2实现权限控制
09-24
通过用户角色实现用户登录鉴权,springboot+Redis+Security+OAuth2
oauth+springmvc小demo
11-11
根据自己的理解做的一个认证小demo,如果有问题,请指正。虚心学习!
springmvc + spring security搭建oauth2
下一个转角的博客
08-25 2900
1. pom.xml配置,引入相关依赖: <spring.version>5.1.7.RELEASE</spring.version> <spring-security.version>5.1.5.RELEASE</spring-security.version> <spring-security-oauth.ver...
使用Spring MVC测试Spring Security Oauth2 API
weixin_33892359的博客
05-16 237
不是因为看到希望了才去坚持,而坚持了才知道没有希望。 https://user-gold-cdn.xitu.io/2018/5/16/16367d5da076b749?w=2329&amp;h=1500&amp;f=jpeg&amp;s=625805 前言 在Spring Security源码分析十一:Spring Security OAuth2整合JWT和Spring Boot 2.0 整合...
Spring MVC+pring-security-oauth2 xml配置等注意事项 jdk1.7
A_len的博客
01-19 476
maven引入jar包(适配jdk1.7老项目) <dependency> <groupId>org.springframework.security.oauth</groupId> <artifactId>spring-security-oauth2</artifactId> <version>2.0.7.RELEASE</version> </dependency> &
spring cloud OAuth2
a18792721831的博客
03-21 4001
1.spring cloud oauth的原理 2.spring cloud oauth的配置 3.spring cloud oauth的实例 4.总结
OAuth2学习笔记
一个有趣、有料、有内涵的地方!
12-13 183
目前很多开放平台如新浪微博开放平台都在使用提供开放API接口供开发者使用,随之带来了第三方应用要到开放平台进行授权的问题,OAuth就是干这个的,OAuth2是OAu...
spring security + oauth2
09-26
Spring Security OAuth2是一个用于实现授权和认证的开源框架。它基于Spring Security,提供了OAuth2协议的实现,可以用于构建安全的、可扩展的认证和授权服务。通过使用Spring Security OAuth2,开发人员可以轻松地实现各种OAuth2的授权模式,如授权码模式、密码模式、*** OAuth2主要包含以下组件: 1. 授权服务器(Authorization Server):负责颁发访问令牌和刷新令牌,验证客户端的身份,以及对用户进行认证和授权。 2. 资源服务器(Resource Server):通过验证访问令牌来保护和提供受保护的资源。 3. 客户端(Client):代表用户向授权服务器请求访问令牌,并使用访问令牌访问受保护的资源。 4. 用户(User):需要通过授权服务器进行身份验证和授权的用户。 关于Spring Security OAuth2的密码模式实现,你可以参考DingChuanV的GitHub项目《Oauth_password_demo》。这个项目展示了如何使用Spring Security OAuth2实现密码模式的认证和授权。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值