Spring Security4的配置,以及一些吐槽.(一)

最新推荐文章于 2024-07-31 19:37:41 发布
最新推荐文章于 2024-07-31 19:37:41 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: Spring4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ckingwizard/article/details/74170868
版权

我有一本参考书,是<<Spring 实战>>第四版,虽然是一本关于实战的书,但是作者鼓励开发者采用注解的形式去做配置,

我一开始也是觉得很酷,毕竟0配置,对于我们来说是一种挑战,也是一种冲刺吧.但在实际配置中,却有很多的坑需要踩,

踩得你怀疑人生,书上说的东西虽然大多数在3.2以上就得到了实现,但是并不是所有类实际在3.2以上就得到了支持,

采用纯注解的配置简直就是在跟自己过不去,有这个时间,我都可以多看几章书去了.我写这么多,只是为了告诫自己,不要因为cool.

去做一些无意义的事情,大型企业开发使用全注解的少之又少,所以,以后还是加紧做正事.

以后尽量使用混合配置.

第一步,让我们先让安全权限认证跑起来.

先看一下web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee 
	http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
	<display-name>springsecurity</display-name>

	<!-- spring context -->
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>
			classpath:applicationContext.xml
			classpath:applicationContext-security.xml
        </param-value>
	</context-param>

	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

	<!-- Spring字符编码过滤器 -->
	<filter>
		<filter-name>encodingFilter</filter-name>
		<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
		<init-param>
			<param-name>encoding</param-name>
			<param-value>UTF-8</param-value>
		</init-param>
		<init-param>
			<param-name>forceEncoding</param-name>
			<param-value>true</param-value>
		</init-param>
	</filter>
	<filter-mapping>
		<filter-name>encodingFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>


	<!-- spring security配置 -->
	<filter>
		<filter-name>securityFilter</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
		<init-param>
			<param-name>targetBeanName</param-name>
			<param-value>springSecurityFilterChain</param-value>
		</init-param>
	</filter>
	<!-- 这里有一个细节,url-pattern spring security 配置的是 /*
		而dispatcher 配置的是 / -->
	<filter-mapping>
		<filter-name>securityFilter</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>


	<servlet>
		<servlet-name>dispatcher</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<init-param>
			<param-name>contextConfigLocation</param-name>
			<param-value>classpath:dispatcher-servlet.xml</param-value>
		</init-param>
		<!-- 启动级别,越低越早. -->
		<load-on-startup>1</load-on-startup>
	</servlet>
	<servlet-mapping>
		<servlet-name>dispatcher</servlet-name>
		<url-pattern>/</url-pattern>
	</servlet-mapping>

	<servlet-mapping>
		<servlet-name>default</servlet-name>
		<url-pattern>*.css</url-pattern>
	</servlet-mapping>

	<servlet-mapping>
		<servlet-name>default</servlet-name>
		<url-pattern>*.gif</url-pattern>
	</servlet-mapping>

	<servlet-mapping>
		<servlet-name>default</servlet-name>
		<url-pattern>*.jpg</url-pattern>
	</servlet-mapping>

	<servlet-mapping>
		<servlet-name>default</servlet-name>
		<url-pattern>*.js</url-pattern>
	</servlet-mapping>
	<servlet-mapping>
		<servlet-name>default</servlet-name>
		<url-pattern>*.png</url-pattern>
	</servlet-mapping>


	<welcome-file-list>
		<welcome-file>index.jsp</welcome-file>
	</welcome-file-list>
</web-app>


在看dispatcher-servlet.xml 

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
	xmlns:context="http://www.springframework.org/schema/context"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
           http://www.springframework.org/schema/context
           http://www.springframework.org/schema/context/spring-context-3.1.xsd ">

	<context:component-scan base-package="com.itheima.web"></context:component-scan>

	<!-- Json视图解析 -->
	<bean name="jsonView"
		class="org.springframework.web.servlet.view.json.MappingJacksonJsonView">
		<property name="encoding">
			<value type="org.codehaus.jackson.JsonEncoding">UTF8</value>
		</property>
		<property name="extractValueFromSingleKeyModel" value="true"></property>
		<property name="contentType" value="application/json;charset=UTF-8" />
	</bean>

	<!-- 多视图解析 .json .xml -->

	<bean
		class="org.springframework.web.servlet.view.ContentNegotiatingViewResolver">
		<property name="order" value="1" />
		<!-- 用于开启 /userinfo/123?format=json 的支持 默认是true -->
		<property name="favorParameter" value="false" />
		<!-- 用于关闭 /userinfo/123.json 的支持 默认是true -->
		<property name="favorPathExtension" value="true" />
		<!-- 设置为true以忽略对Accept Header的支持 -->
		<property name="ignoreAcceptHeader" value="true" />
		<!-- 在没有扩展名时即: "/user/1" 时的默认展现形式 -->
		<property name="defaultContentType" value="text/html" />
		<!-- 扩展名至mimeType的映射,即 /user.json => application/json -->
		<property name="mediaTypes">
			<map>
				<entry key="json" value="application/json" />
				<entry key="xml" value="application/xml" />
			</map>
		</property>
		<property name="defaultViews">
			<list>
				<ref bean="jsonView" />
			</list>
		</property>
	</bean>

	<bean id="viewResolver"
		class="org.springframework.web.servlet.view.InternalResourceViewResolver">
		<!-- JSP如果使用了jstl 需要加 viewclass -->
		<property name="viewClass"
			value="org.springframework.web.servlet.view.JstlView" />
		<property name="prefix" value="/WEB-INF/page/" />
		<property name="suffix" value=".jsp" />
		<property name="order" value="2" />
		<property name="exposeContextBeansAsAttributes" value="true"></property>
	</bean>


</beans>

Internal的视图解析器要放在最后面.

applicationContext 只有一些测试用的数据.就不做展示了.


applicationContext-security

<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">
	<!-- 相当于WebSecurityConfigurerAdapter中对应的方法. -->
	
	<!-- anto-config 为true将启用自动注册登录表单,基本身份验证,注销的URL,注销服务 -->
	<!-- protected void configure(HttpSecurity http) 用于配置路径以及全选. -->
	<http auto-config="true">
		<!-- 拦截所有的url access 调用一个函数, true为通过,false为拒绝. 这里是要求有ROLE_USER角色 -->
		<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
	</http>
	
	<!-- 相当于 protected void configure(AuthenticationManagerBuilder auth) 主要配置使用什么来进行连接. -->
	<authentication-manager alias="authenticationManager">
		<authentication-provider>
			<user-service>
				<!-- 使用内存用户存储提供认证 -->
				<user authorities="ROLE_USER" name="guest" password="guest" />
			</user-service>
		</authentication-provider>
	</authentication-manager>

</beans:beans>

好了,现在项目已经可以跑起来了,输入任意连接都会跳转到,如下界面.



这个界面不是重点,我们需要了解的是,它提交到了那里.看一个form的提交地址提供到了项目的/login下.



第二步 然后,我们来自定义登陆界面.

修改applicationContext-security.xml配置

<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans.xsd
        http://www.springframework.org/schema/security
        http://www.springframework.org/schema/security/spring-security.xsd">
	<!-- 相当于WebSecurityConfigurerAdapter中对应的方法. -->
	<!-- 
	不能使用  <http pattern="/login" security="none" /> 这种格式,
	因为这种形式,Spring Security 是不会使用csrf的.
	-->
	
	<!-- anto-config 为true将启用自动注册登录表单,基本身份验证,注销的URL,注销服务 -->
	<!-- protected void configure(HttpSecurity http) 用于配置路径以及全选. -->
	<!-- use-expressions = "true" 是开启access表达式 -->
	<http auto-config="true" use-expressions="true">
		<intercept-url pattern="/login"  access="hasRole('ANONYMOUS')" />
		<!-- 拦截所有的url access 调用一个函数, true为通过,false为拒绝. 这里是要求有ROLE_USER角色 -->
		<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
		<!-- 
			login-page 登陆界面
			authentication-failure-url 登陆出错返回的地址
			default-target-url 默认跳转的目标位置.
		 -->
		<form-login login-page="/login" authentication-failure-url="/login?error=1" default-target-url="/index.jsp" />
	</http>
	
	<!-- 相当于 protected void configure(AuthenticationManagerBuilder auth) 主要配置使用什么来进行连接. -->
	<authentication-manager alias="authenticationManager">
		<authentication-provider>
			<user-service>
				<!-- 使用内存用户存储提供认证 -->
				<user authorities="ROLE_USER" name="guest" password="guest" />
			</user-service>
		</authentication-provider>
	</authentication-manager>

</beans:beans>

login这个请求时LoginController类定义的. 

@Controller
public class LoginController {
	
	//注意一定要定义method 为get,不然post请求也会拦截,就会导致认证不了.
	@RequestMapping(value="/login", method=RequestMethod.GET)
	public String login(){
		return "login";
	}

}
返回的login最后会构成的路径是/WEB-INF/page/login.jsp界面.主体内容如下 

<body οnlοad='document.loginForm.username.focus();'>
	<div id="login-box">
		<h2>请输入您的用户名与密码</h2>
		<form name='loginForm' action="/springsecurity/login" method='POST'>
			<table>
				<tr>
					<td>用户:</td>
					<td><input type='text' name='username' value=''></td>
				</tr>
				<tr>
					<td>密码:</td>
					<td><input type='password' name='password' /></td>
				</tr>
				<tr>
					<td colspan='2'><input name="submit" type="submit" value="登录" /></td>
				</tr>
				<input type="hidden" 
                 name="${_csrf.parameterName}" value="${_csrf.token}" />
			</table>
		</form>
	</div>
</body>

好了,又可以开始新一轮的测试了.

第三步 使用数据库来代替内存存储.

下一篇文章在写.






ck_wizard
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
SpringSecurity配置
qq_45733154的博客
10-19 8275
SpringSecurity配置与使用
Spring Security 详解
最新发布
As_Yua的博客
07-31 2825
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
SpringSecurity详解
m0_71012114的博客
10-19 5036
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
spring-securityspring-security4安全框架配置详解
热门推荐
如切如磋,如琢如磨,臻于至善。
02-15 5万+
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多个 AuthenticationProvider 详解 Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序...
详解springSecurity之java配置
08-18
一、 Java 配置 Spring Security 要使用 Java 配置 Spring Security,需要在配置类上添加 @EnableWebSecurity 注解,以便开启 Spring Security 的安全功能。在配置类中,我们可以定义一个名为 UserDetailsService ...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Security基本配置方法解析
08-25
配置Spring Security之前,需要先建立一个maven多模块工程,spring-security是父模块,spring-security-browser是处理浏览器相关的授权认证,最终作为demo的一个jar依赖,spring-security-core是一些授权认证的...
spring-security-rsa-1.0.10.RELEASE-API文档-中文版.zip
05-04
赠送jar包:spring-security-rsa-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-rsa-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-rsa-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 3563
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 673
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
一篇搞懂springsecurity
m0_63040701的博客
06-10 361
结合我的开发经验,总结出一整套springsecurity生态体系,一篇带你搞懂springsecurity!!!!!!
SpringBoot学习(五)-Spring Security配置与应用
小孔靠得住的博客
01-06 1536
Spring Security是一个基于Java的开源框架,用于在Java应用程序中提供身份验证和授权功能。它是Spring框架的一部分,可以与Spring应用程序集成,为应用程序提供安全性。
新版SpringSecurity5.x使用与配置
Alphamilk的博客
07-21 1736
了解SpringSecurity,并进行简单使用与配置
一文搞懂SpringSecurityspring-security配置文件详解,史上最全
zeng的博客
10-14 4767
一、认证和授权概念 1.、在生产环境下我们如果不登录系统是否能对业务进行操作? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 2、是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进行授权了。 二、Spring Security简介 Spring SecuritySpring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证和授权的过程。官网:https://spr
Spring Security 3.x 入门配置教程
"这篇教程详细介绍了Spring Security配置步骤,旨在帮助初学者快速理解并实践Spring Security的集成。教程从创建Web项目并引入所需库开始,然后逐步讲解配置web.xml文件,利用Spring的机制加载安全配置。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值