《Spring实战3》第九章 保护Spring应用

最新推荐文章于 2024-05-07 15:35:34 发布
最新推荐文章于 2024-05-07 15:35:34 发布
阅读量317 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chaoHappy/article/details/103356226
版权

Spring Security是一种基于SpringAOP和Servlet过滤器实现的安全框架。

Spring Security介绍

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。
Spring Security从两个角度来解决安全性问题。它使用Servlet过滤器保护Web请求并限制URL级别的访问,也可以使用SpringAOP保护方法调用——借助与对象代理和使用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法。

Spring Security 起步

Spring Security3.0分为了8个模块。应用程序类路径下至少要包含核心和配置两个模块。Spring Securiy用于保护Web需要添加Web模块。Spring Security的JSP标签库需要添加Tag Library模块。
在这里插入图片描述

使用Spring Security配置命名空间

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
	xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
    					http://www.springframework.org/schema/beans/spring-beans-4.3.xsd
                        http://www.springframework.org/schema/security 
                        http://www.springframework.org/schema/security/spring-security.xsd">
</beans:beans>

搭建简单登录&注销demo

配置maven

<dependency>
	      <groupId>org.springframework.security</groupId>
	      <artifactId>spring-security-web</artifactId>
	      <version>4.1.0.RELEASE</version>
	    </dependency>
	    <dependency>
	      <groupId>org.springframework.security</groupId>
	      <artifactId>spring-security-config</artifactId>
	      <version>4.1.0.RELEASE</version>
</dependency>

代理Servlet 过滤器

Spring Security借助一系列Servlet过滤器来提供各种安全性功能。我们只需在应用的web.xml中配置一个过滤器,如下所示:

<!-- Spring Security -->
  <filter>
  	<filter-name>springSecurityFilterChain</filter-name>
  	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
 
  <filter-mapping>
  	<filter-name>springSecurityFilterChain</filter-name>
  	<url-pattern>/*</url-pattern>
  </filter-mapping>

配置Spring Security

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
	xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
    					http://www.springframework.org/schema/beans/spring-beans-4.3.xsd
                        http://www.springframework.org/schema/security 
                        http://www.springframework.org/schema/security/spring-security.xsd">
	
	<http auto-config="true" use-expressions="false">
		<intercept-url pattern="/admin**" access="ROLE_ADMIN"/>
		<form-login 
		    login-page="/login"
		    login-processing-url="/j_spring_security_check"
		    default-target-url="/welcome" 
			authentication-failure-url="/login?error" 
			username-parameter="username"
			password-parameter="password" />
		<logout logout-url="/j_spring_security_logout" logout-success-url="/login?logout" />
		<!-- enable csrf protection -->
		<csrf/>
	</http>

	<authentication-manager>
		<authentication-provider>
		  <user-service>
			<user name="user1" password="123456" authorities="ROLE_USER" />
			<user name="admin" password="123456" authorities="ROLE_ADMIN" />
		  </user-service>
		</authentication-provider>
	</authentication-manager>
</beans:beans>

form-login属性详解
form-login是spring security命名空间配置登录相关信息的标签,它包含如下属性:

  • login-page 自定义登录页url,默认为/login
  • login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action
  • default-target-url 默认登录成功后跳转的url
  • always-use-default-target 是否总是使用默认的登录成功后跳转url
  • authentication-failure-url 登录失败后跳转的url
  • username-parameter 用户名的请求字段 默认为userName
  • password-parameter 密码的请求字段 默认为password
  • authentication-success-handler-ref 指向一个AuthenticationSuccessHandler用于处理认证成功的请求,不能和default-target-url还有always-use-default-target同时使用
  • authentication-success-forward-url 用于authentication-failure-handler-ref
  • authentication-failure-handler-ref 指向一个AuthenticationFailureHandler用于处理失败的认证请求
  • authentication-failure-forward-url 用于authentication-failure-handler-ref
  • authentication-details-source-ref 指向一个AuthenticationDetailsSource,在认证过滤器中使用

logout 属性详解
当我们指定了http元素的auto-config属性为true时logout定义是会自动配置的,此时我们默认退出登录的URL为“/j_spring_security_logout”,可以通过logout元素的logout-url属性来改变退出登录的默认地址。

  • invalidate-session 表示是否要在退出登录后让当前session失效,默认为true。
  • delete-cookies 指定退出登录后需要删除的cookie名称,多个cookie之间以逗号分隔。
  • logout-success-url 指定成功退出登录后要重定向的URL。需要注意的是对应的URL应当是不需要登录就可以访问的。
  • success-handler-ref 指定用来处理成功退出登录的LogoutSuccessHandler的引用。

intercept-url 属性详解
指定拦截的url:通过pattern指定当前intercept-url定义应当作用于哪些url。
指定访问权限: 可以通过access属性来指定intercept-url对应URL访问所应当具有的权限。access的值是一个字符串,其可以直接是一个权限的定义,也可以是一个表达式。常用的类型有简单的角色名称定义,多个名称之间用逗号分隔。其中必须要以ROLE_为前缀。

<intercept-url pattern="/admin**" access="ROLE_ADMIN,ROLE_USER"/>

还支持Spring表达式,必须将< http > 的use-expressions设置为true

<intercept-url pattern="/admin**" access="hasRole(ROLE_ADMIN)"/>

在这里插入图片描述
指定访问协议: 如果你的应用同时支持Http和Https访问,且要求某些URL只能通过Https访问,这个需求可以通过指定intercept-url的requires-channel属性来指定。requires-channel支持三个值:http、https和any。any表示http和https都可以访问。

配置控制器

LoginController.java

@Controller
public class LoginController {
	@RequestMapping(value="/login")
	public ModelAndView showHomePage(@RequestParam(value = "error", required = false) String error,
			@RequestParam(value = "logout", required = false) String logout) {
		ModelAndView model = new ModelAndView();
		if (error != null) {
			model.addObject("error", "无效的用户名和密码!");
		}
		if (logout != null) {
			model.addObject("msg", "您已成功注销。");
		}
		model.setViewName("login");
		return model;
	}
	
	@RequestMapping(value="/success")
	public String showSuccessPage() {
		return "success";
	}
	
	@RequestMapping(value="/welcome")
	public String showWelcomePage() {
		return "hello";
	}
	
	@RequestMapping(value="/admin")
	public String showAdminPage() {
		return "admin";
	}
}

前台页面代码

login.jsp

<body>
<div id="login-box">
	<h3>Spring Security 欢迎进入</h3>	
	<c:if test="${not empty error }">
		<div class="error">${error}</div>
	</c:if>
	<c:if test="${not empty msg }">
		<div class="msg">${msg}</div>
	</c:if>
	<form action='<c:url value='/j_spring_security_check' />' method="post">
		<table>
			<tr>
				<td>用户名:</td>
				<td>
					<input type="text" name="username"/>
				</td>
			</tr>
			<tr>
				<td>密码:</td>
				<td>
					<input type="password" name="password"/>
				</td>
			</tr>
			<tr>
				<td colspan="2" align="center">
					<input type="submit" value="登录" />
				</td>
			</tr>
		</table>
			<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
	</form>
</div>
</body>

hello.jsp

<body>
	<h1>欢迎进入 Spring Security</h1>
	<c:url value="/j_spring_security_logout" var="logoutUrl" />
	<form action="${logoutUrl}" method="post" id="logoutForm">
		<input type="hidden" name="${_csrf.parameterName}"
			value="${_csrf.token}" />
	</form>
	<a href="javascript:formSubmit()">注销登录</a>
	<a href="<c:url value="/admin" />">后台管理</a>
</body>

admin.jsp

<body>
	<h1>欢迎进入:后台管理页面</h1>
</body>

保护视图级别的元素

为了支持视图级别的安全性,Spring Security提供了一个JSP标签库。这个标签库很小且只包含3个标签,如下图所示:
在这里插入图片描述
为了使用JSP标签库,需要在对应JSP中声明如下:

<%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

此外还需要加入以下依赖

<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-taglibs</artifactId>
			<version>4.1.0.RELEASE</version>
			<type>jar</type>
			<scope>compile</scope>
</dependency>

访问认证信息的细节

显示认证用户的用户名

<h1>你好,<security:authentication property="principal.username"/></h1>

在这里插入图片描述

根据权限渲染

< security:authorize>JSP标签能够根据用户授予的权限有条件地渲染页面的部分内容。

<security:authorize access="hasRole('ROLE_ADMIN')"><a>admin 用户才可以看到</a></security:authorize>

<security:authorize url="/admin**"><a>admin 用户才可以看到</a></security:authorize>

注意:在上下文中需要加载如下bean

<beans:bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
	</beans:bean>

认证用户

  • 内存(基于Spring配置)用户存储库
  • 基于JDBC的用户存储库
  • 基于LDAP的用户存储库
  • OpenID分散式的用户身份识别系统
  • 中心认证服务(CAS)
  • X.509证书
  • 基于JAAS的提供者

配置内存用户存储库

在Spring配置中声明用户的详细信息,代码如下:

<user-service>
			<user name="user1" password="123456" authorities="ROLE_USER" />
			<user name="admin" password="123456" authorities="ROLE_ADMIN" />
</user-service>

用户信息声明在< user-service>之中,每个能登录应用程序的用户只有一个< user>元素,属性name和password分别指定了登录名和密码,authorities属性用于设置逗号分隔权限列表——即允许用户做的事情。
用户服务准备好后,剩下的事情就是将其装配到Spring Security的认证管理器中:

<authentication-manager>
		<authentication-provider user-service-ref="userService" />
	</authentication-manager>

基于数据库进行认证

用关系型数据库中存储用户信息:

<!-- 基于数据库进行认证 -->
	<jdbc-user-service id="jdbcUserService" data-source-ref="dataSource"
		users-by-username-query="SELECT username,password,true FROM user WHERE username=?"
		authorities-by-username-query="SELECT username,authority FROM user WHERE username=?"/>
	
	<authentication-manager erase-credentials="false">
		<authentication-provider user-service-ref="jdbcUserService" />
	</authentication-manager>

在这里插入图片描述

基于LDAP的用户存储库

目前用不上这块后续学习更新。。。

启用remember-me功能

< http>
	...
	<remember-me key="spitter" token-validity-seconds="241920"/>
< /http >

保护方法调用

目前用不上这块后续学习更新。。。

小超人的知识体系
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring的使用(入门到熟练)---强势总结
qq_48988285的博客
11-19 559
Spring入门到熟练,非常详细的教程,包括IOC、DI、自动配置、AOP、动静态代理 CGLIB代理、DAO以及事务的讲解。
spring security3.24后applicationContext-security.xml中schema配置出错解决方法
一名清官
08-11 1万+
我在以前的一个老项目中使用的spring securi
Spring应用
qq_36777191的博客
08-05 2014
bean定义 基本的几个属性值有id、name、class id是唯一指定标识,name可以有多个,class指定bean类型 <bean id="person" name="n1,n2,n3" class="com.baizhiedu.basic.Person" scope="singleton"></bean> 如果是web服务,IOC容器类型为XmlWebApplicationContext,我是在测试环境下,用ClassPathXmlApplicationConte
Spring的基本应用
最新发布
Z99263的博客
05-07 525
概述:Spring是由Rod Johnson组织开发的一个分层的java SE/EE一站式的轻量级开源框架,以IOC(控制反转)和AOP(面向切面)为核心,的开发模式。JAVA学习课堂非侵入式设计:它可以使应用程序代码对框架的依赖最小化。方便解耦、简化开发:将所有对象的创建和依赖关系交给Spring 的容器进行管理,降低组件之间的耦合性。支持AOP:运行将一些通用的任务,安全,事务,日志等进行集中处理。支持声明式事务处理:通过配置就可以完成对事务的管理。
Spring的使用
m0_59651968的博客
08-13 194
Spring:春天———–》给软件行业带来了春天2002,首次推出了Spring框架的雏形:interface21框架Spring框架即以interface21框架为基础,经过重新设计,并不断丰富其内涵,于2004年3月24日发布了1.0正式版,Spring Framework创始人,他是悉尼大学博士,专业是音乐学Spring理念:使现有的技术更加容易使用,本身是一个大杂烩,整合了现有的技术框架Spring框架是一个开放源代码的J2EE。
Spring事务最佳应用指南(包含:事务传播类型、事务失效场景、使用建议、事务源码分析)
自律使我自由
11-06 282
这是一个典型的采用模板方法设计的抽象类,定义了关于事务的核心处理流程。下图展示了几个关键的抽象方法,其具体的逻辑处理都在子类中。下图是子类重写的doCommit和doRollback方法。Spring为我们提供的类,定义了事务处理的基本流程,对外暴露一个execute方法,并通过传入一个标记性接口来实现使用者的业务逻辑处理,大大简化了使用方式。而,很明显就是针对不同的ORM框架而定制的。所以定义是为了让事务使用更加方便,定义是为了让扩展更加的方便。
Spring+3.x企业应用开发实战光盘源码(全)
03-27
 第9章:介绍了Spring事务管理的工作机制,通过XML、注解等方式进行事务管理配置,同时还讲解了JTA事务配置知识。  第10章:对实际应用Spring事务管理各种疑难问题进行透彻的剖析,让读者对Spring事务管理不再有...
spring_in_action-sixth-edition.pdf
12-10
"Spring 实战第六版" Spring Framework 是一个广泛使用的 Java 应用程序框架,它提供了一个通用的编程模型和配置机制,帮助开发者快速构建企业级应用程序。下面是对 Spring Framework 的详细知识点总结: 1. 什么...
Spring 3.x 企业应用开发实战,第十九章PDF
02-15
Spring中开发Web Service,在本书中以附录B的形式提供
Spring_3.x企业应用开发实战实战案例开发 第十九章
03-31
Spring_3.x企业应用开发实战实战案例开发 第十九章
Spring.3.x企业应用开发实战(完整版).part2
05-31
 《Spring3.x企业应用开发实战》是在《精通Spring2.x——企业应用开发详解》的基础上,经过历时一年的重大调整改版而成的,本书延续了上一版本追求深度,注重原理,不停留在技术表面的写作风格,力求使读者在熟练...
Spring框架使用详解(一)
jay_musu的博客
08-16 814
Spring IoC 容器是 Spring 框架的核心之一,它提供了强大的对象管理、依赖注入、生命周期管理等功能,帮助开发人员创建松散耦合的应用程序,提高可维护性和可测试性。无论是传统的 XML 配置还是基于注解的配置,都可以使用 Spring IoC 容器来管理和维护对象。
Spring | Spring的基本应用 (核心容器、四个基本的模块、applicationContext.xml)
m0_70720417的博客
12-02 1472
Spring是由组织和开发的一个分层的Java SE/EE full-stack (一站式 )轻量级开源框架。Spring以IOC控制反转)和AOP面向切面编程)为内核。Spring使用基本JavaBean来完成以前只可能由EJBJava企业Bean)完成的工作,取代了EJB的臃肿、低效的开发模式。Spring致力于Java EE应用各层的解决方案。在表现层它提供了Spring MVC等功能;在业务逻辑层可以管理事务记录日志等;在持久层可以整合MyBatis等技术。虽然Spring贯穿于.....
Spring的基本应用(一)
qq_45823636的博客
08-01 821
目录 1.什么是spring 2.Spring的优点 3.Spring的体系结构 3.1 Core Container(核心容器) 3.2 Data Access/Integration(数据访问/集成) 3.3 Web 3.4 其他模块 4.Spring的下载及目录结构 4.1 Spring框架包 4.2 第三方依赖包 1.什么是spring spring是分层的JavaSE/EE full-stack轻量级开源框架,以IoC(Inverse of Control...
Spring详解及具体使用
weixin_64549900的博客
08-27 278
Spring使用
狂神说Spring01:概述及IOC理论推导
狂神说
04-15 2万+
狂神说Spring系列连载课程,通俗易懂,基于Spring最新版本,欢迎各位狂粉转发关注学习。禁止随意转载,转载记住贴出B站视频链接及公众号链接!Spring概述简介Spring : 春...
spring应用
用针戳左手中指指头的博客
01-17 688
文章目录控制反转和依赖注入自动注入手动注入setter方法注入构造器注入bean的作用域方法注入生命周期回调类路径扫描和组件管理 控制反转和依赖注入 spring有名的就是控制反转和依赖注入了,而其真正的意思我并未真正了解过。 官网开篇说:控制反转就是依赖注入 IoC is also known as dependency injection (DI) 翻译过来就是:控制反转(IOC)也称依赖注入(DI)。 这里涉及到几个概念: 容器:在spring应用中,对象生存在spring容器中,由容器负责创建、
Spring简介、框架核心、优缺点、应用场景
热门推荐
ThinkWon的博客
10-29 4万+
文章目录Spring简介Spring的设计目标Spring的优缺点优点缺点Spring应用场景 Spring简介 Spring是一个轻量级Java开发框架,最早有Rod Johnson创建,目的是为了解决企业级应用开发的业务逻辑层和其他各层的耦合问题。它是一个分层的JavaSE/JavaEE full-stack(一站式)轻量级开源框架,为开发Java应用程序提供全面的基础架构支持。Sprin...
SpringBoot开发实战(理论基础)
07-06
本课程深入浅出地介绍了SpringSpring MVC和Spring Boot框架的核心概念及实战应用。课程旨在帮助学员掌握这三个重要框架的基础知识,并能利用Spring Boot进行企业级应用系统的开发。以下是各章节的主要知识点: ##...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值