Spring Security 2 使用笔记

最新推荐文章于 2022-09-06 16:06:10 发布
最新推荐文章于 2022-09-06 16:06:10 发布
阅读量131 收藏
点赞数
分类专栏: spring 文章标签: Security Spring Bean JDBC quartz

最近在项目中用到了Spring Security 2

为了实现自己的一些逻辑,所以粗略的读了一次他的代码,和文档。

文档中介绍了Spring Security 的大体框架和原理。

但是对于如何扩展Spring Security,使它更适合自己的项目并没有详细的介绍,这点比较遗憾。

所以硬着头皮,大致过了一次他的代码。

 

以下是我扩展的需求:

1、用户登录是判断用户登录错误次数是否超过指定次数,如三次,若超过则锁定用户

2、登录成功更新用户的信息,如最后登录时间,登录IP等,并保存到数据库。

3、登录失败则增加用户登录失败的次数。

 

对于上面的这些需求,读了源代码之后,你会发现Spring Security的框架十分灵活。

代码也很清晰。

 

首先,用户登录时,经过了一系列的过滤器,他的过滤器使用Spring来管理的。

其中一个名为AuthenticationProcessFilter的过滤器,专门为网页验证提供。

跟了一下这个过滤器,发现他继承的抽象类AbstractProcessingFilter中有几个可以扩展的方法:

    protected void onPreAuthentication(HttpServletRequest request,HttpServletResponse response) throws AuthenticationException, IOException {
    }

    protected void onSuccessfulAuthentication(HttpServletRequest request,HttpServletResponse response,Authentication authResult) throws IOException {
   }

    protected void onUnsuccessfulAuthentication(HttpServletRequest request,HttpServletResponse response,
           AuthenticationException failed) throws IOException {
   }
 

看方法名大家应该能想到他的用处,就是在验证前,验证成功后,验证失败后,提供扩展的逻辑操作。

所以我们可以通过继承AuthenticationProcessFilter并重写这几个方法来增加自己的逻辑。

 

重新实现了过滤器之后要重新设置Spring Security 2的过滤器链,而且原来的auto-config也不能使用。否则将无效

配置如下:

	<http entry-point-ref="authenticationEntryPoint">


		<intercept-url pattern="/js/*" filters="none" />


		<intercept-url pattern="/styles/*" filters="none" />


		<intercept-url pattern="/images/*" filters="none" />


		<intercept-url pattern="/login" filters="none" />


		<intercept-url pattern="/reg" filters="none" />


		<intercept-url pattern="/" filters="none" />


		<intercept-url pattern="/registerMember" filters="none" />


		<intercept-url pattern="/index.jsp" access="ROLE_USER" /> 


		<intercept-url pattern="/member/*" access="ROLE_USER" />


		<!-- <form-login login-processing-url="/checkMember" login-page="/login" authentication-failure-url="/login?error=true" default-target-url="/" /> -->


		<anonymous />


		<logout logout-url="/logout" logout-success-url="/" />


		<remember-me key="e37f4b31-0c45-11dd-bd0b-0800200c9a66" />


	</http>





       <authentication-manager alias="authenticationManager"/>


	


	<beans:bean class="com.mysport.security.filter.EnhanceAuthenticationProcessFilter">


		<custom-filter position="AUTHENTICATION_PROCESSING_FILTER" />


		<beans:property name="authenticationManager" ref="authenticationManager" />


		<beans:property name="authenticationFailureUrl" value="/login?error=true" />


		<beans:property name="defaultTargetUrl" value="/" />


		<beans:property name="filterProcessesUrl" value="/checkMember" />


		<beans:property name="memberService" ref="memberService" />


	</beans:bean>


	


	<beans:bean id="authenticationEntryPoint" class="org.springframework.security.ui.


                                                                         webapp.AuthenticationProcessingFilterEntryPoint"> 


    	<beans:property name="loginFormUrl" value="/login" /> 


    </beans:bean>

 

如果使用Remember Me则要以类似的方式实现RememberMeProcessingFilter

1、要去掉http中的

<remember-me key="yourkey" />

2、实现rememberMeService

    <beans:bean id="rememberMeServices" class="org.springframework.security.ui.rememberme.TokenBasedRememberMeServices" >
    	<beans:property name="key" value="yourkey" />
    	<beans:property name="userDetailsService" ref="securityManager" />
    </beans:bean>

 3、实现自己的RememberMeProcessingFilter

	<beans:bean class="com.mysport.security.filter.EnhanceRememberMeProcessingFilter">
		<custom-filter position="REMEMBER_ME_FILTER" />
		<beans:property name="authenticationManager" ref="authenticationManager" />
		<beans:property name="rememberMeServices" ref="rememberMeServices" />
		<beans:property name="memberService" ref="memberService" />
	</beans:bean>

 4、最重要的,重新将rememberMeAuthenticationProvider添加到providers中,主要是设置对应的key,否则cookie在解密时无法正确解出内容

    <beans:bean id="rememberMeAuthenticationProvider" class="org.springframework.security.providers.rememberme.RememberMeAuthenticationProvider">
    	<custom-authentication-provider />
    	<beans:property name="key" value="yourkey" />
    </beans:bean>
 

 

cosmo2097
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security 笔记思维导图
03-01
Spring Boot 整合 Spring Security 包含认证,授权,加密,验证码,前后端分离,记住密码,自定义组件等
Spring Security 2 配置精讲
zznj1123的专栏
02-03 102
论坛上看了不少Spring Security的相关文章。这些文章基本上都还是基于Acegi-1.X的配置方式,而主要的配置示例也来自于SpringSide的贡献。 众所周知,Spring Security针对Acegi的一个重大的改进就在于其配置方式大大简化了。所以如果配置还是基于Acegi-1.X这样比较繁琐的配置方式的话,那么我们还不如直接使用Acegi而不要去升级了。所以在这里,我将结合一个...
基于Spring Security2与 Ext 的权限管理设计与实现
man1900
12-25 141
一、Spring Security介绍   Spring Security的前身Acegi,其配置及使用相对来说复杂一些,因为要配置的东西比较多,Sprng Security简化了以前的配置。大家有兴趣可以多多了解以前的版本,因为很多细节在前面的版本可以看得比较清楚,后面的版本需要看源代码才知道其实现的原理了。基于角色的设计与实现是绝大部分系统中比较常见的权限管理方式,对权限进行分组进行管理...
尚硅谷springSecurity笔记
m0_51654746的博客
06-13 1421
spring是非常流行和成功的框架,springSecurity也是spring家族中的成员,springSecurity基于spring框架,提供了一套Web应用安全性的完整解决方案关于安全方面的两个主要区域是“认证”和“授权”,一般来说,web应用的安全性包括用户认证和用户授权两个部分,这两点也是spring security重要核心功能Shiro:Apache旗下的安全框架springsecurity特点:Shiro特点:创建一个springboot的项目,并将版本修改为版本。创建过程中不需要导入任何
Spring Security学习笔记
Shawn的个人博客
05-09 1882
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
SpringSecurity以及Oauth2(笔记
weixin_46949627的博客
09-06 768
SpringSecurity以及Oauth2的基本使用
springSecurity学习笔记
05-16 1574
概念 SpringSecurity是为基于Spring的应用程序提供声明式安全保护的安全性框架。SpringSecurity提供了完整的安全性解决方案,它能够在web请求级别和方法调用级别处理身份认证和授权。因为基于spring框架,所以SpringSecurity充分利用了依赖注入和面向切面的技术。 SpringSecurity从两个角度解决来解决安全问题 1...
SpringSecurity学习笔记
qq_66468682的博客
03-09 1146
SpringSecurity学习记录
spring security笔记
weixin_43966864的博客
04-16 612
1.spring security的环境搭建 首先新建一个springboot项目,只够选web中的spring web依赖 然后在pom.xml导入相关依赖 <!--thymeleaf模块--> <dependency> <groupId>org.thymeleaf</groupId> <artifactId>thymeleaf-spring5</artifa
SpringSecurity学习笔记——SpringSecurity底层原理
一名蒟蒻的博客
07-23 1412
五、SpringSecurity底层原理 1、SpringSecurity过滤介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。 现在对这条过滤器链的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上
Spring Security(基础笔记1)
一个后端菜鸟的博客
02-15 795
文章目录前言认证:授权:一、Spring Security二、特征三、spring security 和 shrio的区别相同点不同点四、实例入门示例4. 登录原码解析(使用debug)自定义用户名和密码关键类自定义登录页面,用户登出和未认证授权的错误页面配置(403) 前言 认证: 身份验证是验证用户身份的过程。也就是说,当用户通过应用程序进行身份验证时,他们在证明自己实际上就是他们所说的身份。 授权: 授权本质上是访问控制-控制用户可以在应用程序中访问的内容(例如资源,网页等)。大多数用户通过使用角色
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity笔记,编程不良人笔记
Spring Security学习笔记(一)
09-07
主要介绍了Spring Security的相关资料,帮助大家开始学习Spring Security框架,感兴趣的朋友可以了解下
一个基于C语言的简易学生管理系统.zip
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操作系统、嵌入式系统、数据库、编译器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。在编写C程序时,需要注意变量的声明和定义、指针的使用、内存的分配与释放等问题。C语言中常用的数据结构包括: 1. 数组:一种存储同类型数据的结构,可以进行索引访问和修改。 2. 链表:一种存储不同类型数据的结构,每个节点包含数据和指向下一个节点的指针。 3. 栈:一种后进先出(LIFO)的数据结构,可以通过压入(push)和弹出(pop)操作进行数据的存储和取出。 4. 队列:一种先进先出(FIFO)的数据结构,可以通过入队(enqueue)和出队(dequeue)操作进行数据的存储和取出。 5. 树:一种存储具有父子关系的数据结构,可以通过中序遍历、前序遍历和后序遍历等方式进行数据的访问和修改。 6. 图:一种存储具有节点和边关系的数据结构,可以通过广度优先搜索、深度优先搜索等方式进行数据的访问和修改。 这些数据结构在C语言中都有相应的实现方式,可以应用于各种不同的场景。C语言中的各种数据结构都有其优缺点,下面列举一些常见的数据结构的优缺点: 数组: 优点:访问和修改元素的速度非常快,适用于需要频繁读取和修改数据的场合。 缺点:数组的长度是固定的,不适合存储大小不固定的动态数据,另外数组在内存中是连续分配的,当数组较大时可能会导致内存碎片化。 链表: 优点:可以方便地插入和删除元素,适用于需要频繁插入和删除数据的场合。 缺点:访问和修改元素的速度相对较慢,因为需要遍历链表找到指定的节点。 栈: 优点:后进先出(LIFO)的特性使得栈在处理递归和括号匹配等问题时非常方便。 缺点:栈的空间有限,当数据量较大时可能会导致栈溢出。 队列: 优点:先进先出(FIFO)的特性使得
数通系列ospf学习思维导图
06-15
数通系列ospf学习思维导图
基于UDP的聊天软件,纯C语言编写(使用时记得修改IP地址).zip
最新发布
06-15
C语言是一种广泛使用的编程语言,它具有高效、灵活、可移植性强等特点,被广泛应用于操作系统、嵌入式系统、数据库、编译器等领域的开发。C语言的基本语法包括变量、数据类型、运算符、控制结构(如if语句、循环语句等)、函数、指针等。下面详细介绍C语言的基本概念和语法。 1. 变量和数据类型 在C语言中,变量用于存储数据,数据类型用于定义变量的类型和范围。C语言支持多种数据类型,包括基本数据类型(如int、float、char等)和复合数据类型(如结构体、联合等)。 2. 运算符 C语言中常用的运算符包括算术运算符(如+、、、/等)、关系运算符(如==、!=、、=、<、<=等)、逻辑运算符(如&&、||、!等)。此外,还有位运算符(如&、|、^等)和指针运算符(如、等)。 3. 控制结构 C语言中常用的控制结构包括if语句、循环语句(如for、while等)和switch语句。通过这些控制结构,可以实现程序的分支、循环和多路选择等功能。 4. 函数 函数是C语言中用于封装代码的单元,可以实现代码的复用和模块化。C语言中定义函数使用关键字“void”或返回值类型(如int、float等),并通过“{”和“}”括起来的代码块来实现函数的功能。 5. 指针 指针是C语言中用于存储变量地址的变量。通过指针,可以实现对内存的间接访问和修改。C语言中定义指针使用星号()符号,指向数组、字符串和结构体等数据结构时,还需要注意数组名和字符串常量的特殊性质。 6. 数组和字符串 数组是C语言中用于存储同类型数据的结构,可以通过索引访问和修改数组中的元素。字符串是C语言中用于存储文本数据的特殊类型,通常以字符串常量的形式出现,用双引号("...")括起来,末尾自动添加'\0'字符。 7. 结构体和联合 结构体和联合是C语言中用于存储不同类型数据的复合数据类型。结构体由多个成员组成,每个成员可以是不同的数据类型;联合由多个变量组成,它们共用同一块内存空间。通过结构体和联合,可以实现数据的封装和抽象。 8. 文件操作 C语言中通过文件操作函数(如fopen、fclose、fread、fwrite等)实现对文件的读写操作。文件操作函数通常返回文件指针,用于表示打开的文件。通过文件指针,可以进行文件的定位、读写等操作。 总之,C语言是一种功能强大、灵活高效的编程语言,广泛应用于各种领域。掌握C语言的基本语法和数据结构,可以为编程学习和实践打下坚实的基础。
VBA复制指定路径文件待粘贴【可用于自动发微信文件】.xlsm
06-15
VBA复制指定路径文件待粘贴【可用于自动发微信文件】.xlsm 有时候我们需要复制指定路径的文件,然后到指定的位置或软件进行粘贴 所有我们可根据指定的路径文件进行复制,待粘贴
Spring Security笔记
08-14
以下是一些常见的Spring Security笔记: 1. Spring Security的核心概念:Spring Security基于一些核心概念,如认证(Authentication)、授权(Authorization)、用户(User)、角色(Role)等。了解这些概念对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值