SpringSecurity整合到SSM框架中

最新推荐文章于 2024-01-22 16:55:22 发布
最新推荐文章于 2024-01-22 16:55:22 发布
阅读量917 收藏 11
点赞数 1
分类专栏: SSM SpringSecurity Maven 文章标签: SpringSecurity SSM Maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen13333336677/article/details/102801691
版权
Maven 同时被 3 个专栏收录
5 篇文章 0 订阅
订阅专栏
SSM
3 篇文章 0 订阅
订阅专栏
SpringSecurity
1 篇文章 0 订阅
订阅专栏

一、在pom.xml导入SpringSecurity对应的jar包

1. 在父工程中引入spring-security依赖 

	<properties>
		......
		<!-- 控制引入spring-security依赖的版本号 -->
		<spring-security.version>4.2.10.RELEASE</spring-security.version>
	</properties>
	
	<dependencies>
		......
		<!-- spring-security依赖包 -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>${spring-security.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>${spring-security.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-taglibs</artifactId>
			<version>${spring-security.version}</version>
		</dependency>
	</dependencies>

2. 在子工程(我这里是在Service层与Web层引入)中声明spring-security依赖 

	<dependencies>
		......
		<!-- 引入spring-security依赖包,不需要指明版本号,由父工程控制 -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-taglibs</artifactId>
		</dependency>
	</dependencies>

二、在web工程中的web.xml配置SpringSecurity对应的过滤器(这里需要将Spring容器与SpringMVC容器整合成一个容器,即SpringMVC容器)

	<!-- springSecurity过滤器 -->
	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

三、编写SpringSecurity配置类


import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
//import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.access.AccessDeniedHandler;

//SpringSecurity的配置文件
@Configuration											//表示这个一个SpringSecurity的配置文件
@EnableWebSecurity										//开启 Spring Security 注解
@EnableGlobalMethodSecurity(prePostEnabled=true)		//开启全局的细粒度方法级别权限控制功能
public class AtCrowdFundingSecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	UserDetailsService userDetailsService;
	
//	@Autowired
//	private PasswordEncoder passwordEncoder;

	//基本配置
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
		//开放权限("welcome.jsp"只能访问这个页面,不能访问这个页面的所有转发和请求,"/welcome.jsp"则可以)
		.antMatchers("/static/**","welcome.jsp","/login").permitAll()
		//除以上资源都得认证后才能访问
		.anyRequest().authenticated();
		//如果没有登录就去访问没有权限的页面或者请求,指定跳转到自定义登录页面
		http.formLogin().loginPage("/login")
		//自定义表单的action请求的路径
		.loginProcessingUrl("/doLogin")
		//自定义表单的username的name
		.usernameParameter("loginacct")
		//自定义表单的password的name
		.passwordParameter("userpswd")
		.defaultSuccessUrl("/main");
		//禁用CSRF
		http.csrf().disable();
		http.exceptionHandling().accessDeniedHandler(new AccessDeniedHandler() {
			
			@Override
			public void handle(HttpServletRequest request, HttpServletResponse response,
					AccessDeniedException accessDeniedException) throws IOException, ServletException {
				String header = request.getHeader("X-Requested-With");
				//如果有该值则表示这是一个AJAX异步请求
				if("XMLHttpRequest".equals(header)) {
					response.getWriter().print("403");
				}else {//如果没有该值则表示这是一个同步请求
					request.getRequestDispatcher("/WEB-INF/jsp/admin/error403.jsp").forward(request, response);
				}
				
			}
		});
	}
	
	//认证和授权的配置
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		//基于数据库的用户认证,需要实现UserDetailsService类
		auth.userDetailsService(userDetailsService)
		//使用BCrypt加密算法
		.passwordEncoder(new BCryptPasswordEncoder());
		//使用自定义的加密算法(MD5)
//		.passwordEncoder(passwordEncoder);
	}

}

四、编写UserDetailsService实现类


import java.util.HashSet;
import java.util.List;
import java.util.Set;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import com.atguigu.atcrowdfunding.bean.TAdmin;
import com.atguigu.atcrowdfunding.bean.TAdminExample;
import com.atguigu.atcrowdfunding.bean.TPermission;
import com.atguigu.atcrowdfunding.bean.TRole;
import com.atguigu.atcrowdfunding.mapper.TAdminMapper;
import com.atguigu.atcrowdfunding.mapper.TPermissionMapper;
import com.atguigu.atcrowdfunding.mapper.TRoleMapper;

//基于数据库的用户认证信息实现类
@Component
public class MyUserDetailsServiceImpl implements UserDetailsService{
	
	@Autowired
	private TAdminMapper adminMapper;
	
	@Autowired
	private TRoleMapper roleMapper;
	
	@Autowired
	private TPermissionMapper permissionMapper;
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		//首先根据username去查询数据库是否有该用户
		TAdminExample example = new TAdminExample();
		example.createCriteria().andLoginacctEqualTo(username);
		List<TAdmin> admins = adminMapper.selectByExample(example);
		TAdmin admin = null;
		if(admins!=null&&admins.size()==1) {
			admin = admins.get(0);
		}
		//根据adminId去查询该用户拥有的所有角色信息
		Integer adminId = admin.getId();
		List<TRole> roles = roleMapper.queryRolesByAdminId(adminId);
		//根据adminId去查询该用户拥有的所有权限信息
		List<TPermission> permissions = permissionMapper.queryPermissionsByAdminId(adminId);
		Set<GrantedAuthority> authorities = new HashSet<GrantedAuthority>();
		//将查询的所有角色名字都放入set集合中,注意要加前缀"ROLE_"
		for (TRole role : roles) {
			authorities.add(new SimpleGrantedAuthority("ROLE_"+role.getName()));
		}
		//将查询的所有权限名字都放入set集合中
		for (TPermission permission : permissions) {
			authorities.add(new SimpleGrantedAuthority(permission.getName()));
		}
		//返回一个SpringSecurity框架的User类,该类包含了该用户的用户名和加密的密码以及拥有的角色和权限
		return new User(admin.getLoginacct(), admin.getUserpswd(), authorities);
	}

}

五、编写PasswordEncoder实现类(使用MD5加密)


import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Component;

import com.atguigu.atcrowdfunding.util.MD5Util;

@Component
public class MyPasswordEncoderImpl implements PasswordEncoder{

	//使用MD5对前端传来的明文密码加密
	@Override
	public String encode(CharSequence rawPassword) {
		String password = MD5Util.digest(rawPassword.toString());
		return password;
	}

	//判断加密后的密文与数据库中的密文是否一样
	@Override
	public boolean matches(CharSequence rawPassword, String encodedPassword) {
		String uiPassword = encode(rawPassword);
		String dbPassword = encodedPassword;
		return dbPassword.equals(uiPassword);
	}

}

六、在Controller对应的映射请求中加上@PreAuthorize(xxx)注解即可

	//添加用户
	@ResponseBody
	@RequestMapping(value="/role/addRole")
	@PreAuthorize("hasRole('PM - 项目经理') AND hasAuthority('user:add')")
	public String saveRole(TRole role) {
		int i = roleService.saveRole(role);
		if(i!=0) {
			return "OK";
		}else {
			return "False";
		}
	}

注:如需要将用户姓名在前端显示,只要在前端加上<security:authentication property=“name”/>即可
如需要在前端根据权限显示对应的按钮、图片等内容时,只需要在标签外边包上<security:authorize access="xxx "></security:authorize>标签,如下图所示,不过都需要先引入springsecurity标签库。

	<!-- 权限控制 -->
	<!-- hasRole('PM - 项目经理')  AND hasRole('SE - 软件工程师'):必须含有这两个角色才能访问 -->
	<!-- hasRole('PM - 项目经理')  OR hasRole('SE - 软件工程师'):有这两个角色中的一个就能访问,也可以同时拥有这两个角色 -->
	<!-- hasRole('PM - 项目经理')  AND hasAuthority('user:add'):必须含有该角色和该权限才能访问 -->
	<!-- hasRole('PM - 项目经理')  OR hasAuthority('user:add'):有这个角色和这个权限中的一个就能访问,也可以同时拥有这个角色和该权限 -->
	<security:authorize access="hasRole('PM - 项目经理')  OR hasRole('SE - 软件工程师')  ">
			<button id="addBtn" type="button" class="btn btn-primary" style="float: right;">
				<i class="glyphicon glyphicon-plus"></i> 新增
			</button>
	</security:authorize>
秋风不识路
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
ssm框架整合springSecurity
weixin_48605326的博客
05-17 1932
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
SSM整合SpringSecurity
qq_52421664的博客
09-12 974
SSM整合SpringSecurity 前言:介绍SpringSecurity,简单来说,你可以在这设置给需要保护的资源上一把锁,也可以给某些请求一把钥匙允许其访问。这里的锁指的是访问需要的权限或者角色。钥匙就是对应的权限或者角色。正如其官网图标。 引入pom依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security
Spring Security(SSM整合)
miracle
06-22 6306
一.Security框架简介 Spring Security的功能: Authentication:认证,就是用户登录 Authorization:授权,判断用户拥有什么权限,可以访问什么资源 安全防护,防止跨站请求,session攻击等 二.SSM整合Security框架开发 1.pom依赖 <?xml version="1.0" encoding="UTF-8"?> <...
SSM项目集成Spring Security 4.X版本(使用spring-security.xml 配置文件方式)
u011529483的博客
01-22 1361
实战目标: Authentication:认证,实现用户认证登录 Authorization:授权,设定用户的资源,访问权限。
spring securityssm框架整合的一个小 demo
04-04
spring securityssm框架整合的一个小 demo.私聊我免费给你分享
ssm框架整合Spring Security项目.zip
03-06
这些项目旨在展示SSM框架在实际应用的魅力,同时也为开发者提供了一个快速学习和实践的机会。通过下载和使用这些项目,您将能够深入了解SSM框架的核心概念、设计模式和最佳实践。 二、项目特点 实战性强:这些...
SSM+spring security3.x框架整合(附带数据文件)
10-02
在这个框架Spring Framework(包括Spring Core、Spring MVC和Spring ORM)提供了基础架构支持,MyBatis作为持久层框架负责数据库操作,而Spring Security则专注于应用程序的安全性。下面将详细阐述这些知识点...
基于SSM框架的健康项目管理源码,整合Dubbo分布式与SpringSecurity权限认证
最新发布
03-25
项目整合了Dubbo分布式服务框架,以及SpringSecurity进行权限认证,确保系统的安全性和高效性。技术栈多元,主要使用JavaScript进行开发,同时涵盖了CSS、HTML、Java、PHP等多种语言。 文件构成:项目共包含3390个...
ssm_security权限管理
07-29
ssm_security权限管理自带数据库 可运行测试 适用于有基础的
ssm框架整合spring security思路与过程
luo1054的博客
10-29 1515
ssm框架整合spring security思路 1.拷贝spring security 依赖到parent管理 <!-- spring-security依赖 --> <spring-security.version>4.2.10.RELEASE</spring-security.version> <!-- spring-security依赖包 --...
ssm+mysql+springSecurity开发的后台管理系统
03-05
springMVC+springSecurity3+Mybaits3的权限系统 包括用户管理 角色管理 资源管理 服务器配置管理 登陆信息管理 操作日志管理 服务器监控配置  fusioncharts报表插件显示  EMALL发送(支持html语言)  springQuartz 定时任务  springAOP日志拦截处理  Mybaits分页插件封装统一处理 登录账号/密码:admin/admin
SSM框架整合Spring Security(二)
xiaokai123_的博客
08-23 1962
                               实现数据库验证 首先做一些准备工作: 必备知识:spring   springMVC    mybatis  mysql  gradle 。。。。。 了解 :Security ; 如果您对ssm环境不了解,可以参考我的之前更新的博文, gradle-分模块开发搭建SSM框架  SSM框架整合Spring Security(一...
SpringSecurity入门(SSM版)
startqbb的博客
09-01 232
SpringSecurity入门
ssm整合spring-security简单使用
qq_44784185的博客
03-05 897
1. maven依赖(在ssm依赖的基础上添加) <properties> <spring.security.version>5.0.2.RELEASE</spring.security.version> </properties> <dependency> <groupId>org.springframe...
Spring Security整合SSM
stubborn的博客
05-04 279
简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证 和授权的过程。官网:https://spring.io/projects/spring-securityS1. 1.1导入Spring Security环境 第一步:对应的maven坐标: <dependency> <groupId&gt...
SpringSecuritySSM框架的集成
零零JA
09-09 337
1,导到springsecurity的pom依赖 2,将框架的filterChain放入web.xml文件 3,配置springSecurity的配置类 @EnableGlobalMethodSecurity(prePostEnabled=true) 配置静态资源和登陆页放行 配置登陆页面和登陆成功页 配置自己实现的userServiceDetails ...
SSM集成SpringSecurity(一)准备环境
许洪昌的博客
02-13 1238
前言 本系列文章主要是借助ssm环境整合springSecurity并学习,由于本系列文章是有关联性的,所以有可能的话请从第一章(本篇)开始阅读。最后一章会给出完整的项目代码。 简介 SpringSecuritySpring的全家桶之一,功能十分强大,主要是提供web安全方面的保护,涉及到系统的认证,授权,防止跨站攻击等。 本系列文章会结合实例向大家说明如何使用SpringSecurit...
Spring SecuritySSM框架 如何使用?
qq_42836176的博客
10-19 1609
首先得了解什么是Spring Security? 概述:Spring Security 的前身是 Acegi Security ,是 Spring 项目组用来提供安全认证服务的框架 ​ 1 认证: 验证用户名密码是否正确的过程 ​ 2授权: 对用户所能访问的资源进行控制 使用步骤: ​ 1.引入依赖 ​ 2.web.xml要配置spring securi...
SSM整合Spring Security与加密登录
qq_45597674的博客
09-24 511
第一步:引入jar包 <!--安全框架 2020.09.24 add by lm --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency>
SSM框架整合详解:Spring+SpringMVC+MyBatis
通过这种方式整合SSM框架,开发者能够构建出高效、灵活且易于维护的Java Web应用。在实际开发,根据项目需求,还可以集成其他工具和框架,如Spring Security进行权限管理,Spring Boot简化项目启动等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值