springSecurity安全框架配置详解

最新推荐文章于 2024-09-26 00:15:00 发布
最新推荐文章于 2024-09-26 00:15:00 发布
阅读量1.6k 收藏 1
点赞数 1
分类专栏: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/changcongying/article/details/52184488
版权

关于springSecurity的详细配置可以参考官网:Spring Security Reference

这里只对主要的常用配置做下简单的介绍,其实springSecurity的权限配置主要是围绕三个主题:

  1. 元数据配置(安全拦截目录配置),对应的接口:FilterInvocationSecurityMetadataSource
  2. 权限判断配置,对应的接口:AccessDecisionManager
  3. 用户信息鉴权,对应的接口:UserDetailsService

下面介绍下springSecurity主要的两个配置命名空间:<http>和<authentication-manager>
  • 登陆/退出登陆,<http>的子节点
    <security:form-login login-page="/login.jsp" login-processing-url="/login" default-target-url="/main" 
    		username-parameter="uname" password-parameter="pwd" />
    	<security:logout logout-url="/logout" logout-success-url="/login.jsp"/>
    其中要注意的一点是login-processing-url的配置指向的地址不能对应项目中的struts或者springMVC配置的地址,这个地址是处理登陆请求的专用地址;
  • 配置同一个用户只允许同时登陆一个客户端,<http>的子节点 
    <listener>
		<listener-class>org.springframework.security.web.session.HttpSessionEventPublisher</listener-class>
	</listener>

    <security:session-management invalid-session-url="/login.jsp">
    		<security:concurrency-control max-sessions="1"></security:concurrency-control>
    	</security:session-management>
    这两处配置缺一不可
  • 配置url对应的权限
    <security:intercept-url pattern="/login.jsp" access="permitAll" />
    	<security:intercept-url pattern="/user/list" access="hasAuthority('USER')" />
    	<security:intercept-url pattern="/admin/list" access="hasAuthority('ADMIN')"/>

  • <pre name="code" class="html">
     其中access可以配置表达式如下:
 
 
 
   
  该配置可以使用<http access-decision-manager-ref="accessDecisionImpl">中accessDecisionImpl对应的实现来代替(第二个接口实现) 
 
 
 
 
  
 
 
 
 
 
  
  • <authentication-manager>的配置
     <security:authentication-manager>
    	<!--2,使用userDetailService来模拟测试数据-->
    	<security:authentication-provider user-service-ref="userService">
    		<!--1,模拟测试数据 -->
    		<!-- 
			<security:user-service>
				<security:user name="aaa" authorities="USER,ADMIN" password="123456" />
				<security:user name="bbb" authorities="USER" password="123456"/>
			</security:user-service>
			 -->
    	</security:authentication-provider>
    </security:authentication-manager>  
    该配置主要是指定第三个接口的实现,用来提供登录用户的信息,包括该用户所拥有的权限
  • 自定义拦截器,<http>的子节点
     <security:custom-filter ref="cusFilter" position="PRE_AUTH_FILTER"/>
    其中position也可以使用before和after代替,position的可选值如下:
 
 
 
 
 
  其中cusFilter的实现实例如下: 
  
 <bean id="cusFilter" class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
        
        <property name="authenticationManager" ref="authenticationManager"/>
        
        <property name="accessDecisionManager" ref="accessDecisionManager" />
        
        <property name="securityMetadataSource" ref="securityMetadataSource"/>
    </bean>
 
   authenticationManager对应上面的<authentication-manager>配置 
 
 
 
 
   
  
 
  
 
  
 
  
 
  
 
 
 

 


                

        

        

    

  


    

      

        

            

              
                
                  jiayq_jiars_changcy
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
spring security 基础入门(配置详解)

				
			

			

				

					chndata的专栏
				

				

					09-09
					
					1万+
					
				

			

		

		

			
				
Spring Security 是为Java EE项目提供全面安全服务的框架。支持基于配置文件,JDBC,LADP和自定义的验证方式。能够通过URL路径等途径提供安全服务。本文将介绍通过自定义的验证方式,通过URL拦截来使用springsecurity提供的安全服务。

			
		

	



                

            
              



	

		

			

				
					
SpringSecurity安全框架详解

				
			

			

				

					weixin_48530729的博客
				

				

					04-30
					
					3959
					
				

			

		

		

			
				
SpringSecurity简介
Spring Security是一个高度自定义的安全框架。利用 Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环境,还有大量工作去重新配置你的应用程序。使用 Spring Se

			
		

	



              


  
              

                


	

		

			

				
					
Spring Security配置详细

				
			

			

				

					2401_83447580的博客
				

				

					08-29
					
					1056
					
				

			

		

		

			
				
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,专为基于Spring的应用程序设计。本教程将指导你如何在一个简单的Spring Boot应用程序集成Spring Security,以实现基本的用户认证和授权功能。

			
		

	





	

		

			

				
					
SpringSecurity

					
最新发布

				
			

			

				

					wang_san_sui_的博客
				

				

					09-26
					
					1121
					
				

			

		

		

			
				
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目账号和密码都是从数据库查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:@Bean@Service@Autowired@Override//1. 查询数据库判断用户名是否存在,如果不存在抛出UsernameNotFoundExceptionif(!

			
		

	



		

			
		



	

		

			

				
					
springsecurity使用配置详解

				
			

			

				

					03-24
				

			

		

		

			
				
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。

			
		

	





	

		

			

				
					
spring security使用配置详解

				
			

			

				

					野猴子的博客
				

				

					03-24
					
					5513
					
				

			

		

		

			
				
登录认证
spring-security.xml登录验证器总配置




2、loginfilte实现。

 2.1 处理用户登陆的类继承security的UsernamePasswordAuthenticationFilter重写attemptAuthentication(认证处理逻辑)、successfulAuthentication(认证成功处理逻辑)、unsuccessfulA...

			
		

	





	

		

			

				
					
关于SpringBoot整合Security认证授权的使用和介绍;

				
			

			

				

					gzx233的博客
				

				

					07-27
					
					780
					
				

			

		

		

			
				
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..

			
		

	





	

		

			

				
					
详解springSecurity之java配置

				
			

			

				

					08-18
				

			

		

		

			
				
Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring Security 的 Java 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制安全性。在本文,我们将详细介绍 ...

			
		

	





	

		

			

				
					
SpringSecurity安全框架案例

				
			

			

				

					09-23
				

			

		

		

			
				
在这个"SpringSecurity安全框架案例",我们将探讨其核心概念和实现细节,特别关注的是没有验证码校验的完整认证授权流程。  **1. 认证流程**  在Spring Security,认证过程通常涉及以下步骤:  - **用户尝试访问...

			
		

	





	

		

			

				
					
SpringSecurity安全框架整理

				
			

			

				

					qq_41951891的博客
				

				

					12-15
					
					3243
					
				

			

		

		

			
				
一:简单介绍

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。



spring security 的核心功能主要包

			
		

	





	

		

			

				
					
Spring Security 详解

				
			

			

				

					阿水的博客
				

				

					03-28
					
					1406
					
				

			

		

		

			
				
Spring SecuritySpring家族的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。

			
		

	





	

		

			

				
					
security安全框架需要的配置——web.xml配置

				
			

			

				

					weixin_46477715的博客
				

				

					03-05
					
					194
					
				

			

		

		

			
				
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
&...

			
		

	





	

		

			

				
					
springboot安全配置

				
			

			

				

					hadet的博客
				

				

					04-16
					
					304
					
				

			

		

		

			
				
文章目录1.springSecurity
1.springSecurity
添加相关静态资源,编写相关controller。
@RequestMapping({"/","/index"})
    public String index(){
        return "index";
    }

    @RequestMapping("/toLogin")
    public String toLogin(){
        return "views/login";
    }

    @

			
		

	





	

		

			

				
					
SpringSecurity 入门配置

				
			

			

				

					ahaha413525642的博客
				

				

					04-05
					
					431
					
				

			

		

		

			
				
最近在实习,需要用到Oauth协议来进行资源的认证,所以在此记录一下,让有需要的人少走一些弯路。(PS:Google真是个好东西,Github和官网也是好东西,虽然英文看起来挺费劲的)

这是官方实例: 
认证服务器:https://github.com/spring-cloud-samples/authserver 
SSO客户端:https://github.com/spring-cloud...

			
		

	





	

		

			

				
					
SpringSecurity安全框架)入门配置

				
			

			

				

					m0_65939803的博客
				

				

					02-06
					
					555
					
				

			

		

		

			
				
SpringSecurity

			
		

	





	

		

			

				
					
SpringSecurity 详解(通俗易懂)

				
			

			

				

					风也温柔☆的博客
				

				

					08-12
					
					2710
					
				

			

		

		

			
				
2、退出,从SecurityContextHolder拿到认证信息loginUser,进而得到userId。1.3、 如果找到,说明已经登录(将认证信息即用户信息 存入SecurityContextHolder)。1.1、第一次登陆时,根据userId生成jwt(能反解析出userId),返回给 浏览器并存储。1.2、用户下次再请求时,带上token, 登录校验过滤器会从token解析出userId,通过userid查redis,查到(从redis获取用户信息),查不到 认证失败(重新登录)

			
		

	





	

		

			

				
					
超级详细的SpringSecurity

				
			

			

				

					m0_69266818的博客
				

				

					07-28
					
					1172
					
				

			

		

		

			
				
详细介绍了SpringSecutiry的内容

			
		

	





	

		

			

				
					
spring-security安全框架(超精细版附带流程讲解图)

				
			

			

				

					边走、边悟、迟早变好
				

				

					06-30
					
					4904
					
				

			

		

		

			
				
用户认证指的是:验证某个用户是否为系统的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。 通俗点说就是系统认为用户是否能登录。

用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统,不同用户所具有的权限是不同的。比如对一个文件来说,有的用户只能进行读取,而有的用户可以进行修改。一般来说,系统会为不同的用户分配不同的角色,而每个角色则对应一系列的权限。 通俗点讲就是系统判断用户是否有权限去做某些事情。

			
		

	





	

		

			

				
					
新版SpringSecurity5.x使用与配置

				
			

			

				

					Alphamilk的博客
				

				

					07-21
					
					2176
					
				

			

		

		

			
				
了解SpringSecurity,并进行简单使用与配置

			
		

	





	

		

			

				
					
Spring Security 3.0.1 文文档:安全框架详解

				
			

			

				

					
				

			

		

		

			
				
"Spring_Security文文档是针对Spring Security框架文翻译版,旨在帮助文用户更好地理解和使用这个安全框架。文档主要涵盖了Spring Security的基本概念、安装获取、配置方法以及高级特性,包括安全命名空间...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值