spring security3.x学习(2)_认证和授权&运行第一个项目

最新推荐文章于 2024-04-26 11:04:38 发布
最新推荐文章于 2024-04-26 11:04:38 发布
阅读量1.8k 收藏 4
点赞数
分类专栏: spring security 文章标签: java spring security 权限框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dsundsun/article/details/11700487
版权

1.认证

  spring security3这本书中这样描述认证:"认证是鉴别我们应用中的用户是他们所声明的那个人",,其实这句话的大概意思是:用户通过提供一些验证信息给服务器,服务器接收验证信息后和一些原数据进行对比(如数据库等),对比如果成功,那么就说明用户通过了认证。

2.授权

  有两种授权的概念,分别是这样的:

第一个是已经认证的安全实体与一个或多个权限(authorities)的匹配关系(通常称为角色)。例如,一个非正式的用户访问你的网站将被视为只有访问的权限而一个网站的管理员将会被分配管理的权限。 
第二个是分配权限检查给系统中要进行安全保护的资源。通常这将会在系统的开发过程中进行,有可能会通过代码进行明确的声明也可能通过参数进行设置。例如,在我们应用中管理宠物商店详细目录的界面只能对具有管理权限的用户开放。 

书中这样诠释了这两种授权,以我的理解看来,大概是这样的意思: 第一种授权的概念是,当用户通过一些凭证信息交给服务器去验证时,服务器通过验证,然后将此用户的一些权限交付给验证的用户,这个过程叫做授权。第二种授权的概念是,当用户访问某一个页面时,服务器会判断用户是否有权限去访问该页面,如果有权限访问,将会让用户去访问,这种方式也叫做授权。 

3.运行第一个项目

我将书中的第一个例子运行起来了,配置和修改了部分的xml文件。大概是跑起来了,我在此粗略的说一下项目的搭建架构,和spring security配置文件中,我们可以看到的一些内容。

首先我们先来看一下项目的web.xml文件:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
	id="DogStoreApp" version="2.5">
	<display-name>Dog Store</display-name>
	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>
		/WEB-INF/dogstore-security.xml
		/WEB-INF/dogstore-base.xml
	</param-value>
	</context-param>
	<!-- 初始化spring容器的监听器 -->
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

	<!-- spring mvc的一个servlet 其实就是拦截器 -->
	<servlet>
		<servlet-name>dogstore</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<load-on-startup>1</load-on-startup>
	</servlet>
	<servlet-mapping>
		<servlet-name>dogstore</servlet-name>
		<url-pattern>*.do</url-pattern>
		<url-pattern>/home.do</url-pattern>
	</servlet-mapping>

	<!-- spring security的过滤器 -->
	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<welcome-file-list>
		<welcome-file>home.do</welcome-file>
	</welcome-file-list>
</web-app>
如果看一个java web项目一般来讲,我们通过查看他的web.xml文件,就可以猜出他大概用了哪些架构。通过以上的xml,我们可以看出,项目使用了3个部分的架构:spring原生框架、spring mvc框架、spring security框架..前两种框架我就不说了,如果大家不懂,去查一下相关书籍就可以了,针对springsecurity我们可以看到,他使用了一个过滤器的形式去拦截项目中的所有url路径. 然后,在上边的过滤器中我们可以看到,拦截到的请求会交给DelegatingFilterProxy这个类去处理,其实这个类就是一个代理的过滤器链。里边应该包含了很多过滤器(这些我们先不用去管他,先知道这样配置就好了),然后,我们可以猜测出来这样的一个过滤器链就应该是整个spring security的核心,而且我们也应该可以猜出来如果spring security使用过滤器为核心的话,那么过滤器肯定是可以配置的。查看spring3文档时,文档中建议我们不要修改filter-name(即 springSecurityFilterChain).特别注意.

那好,接下来我们查看一下spring security的配置文件。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:beans="http://www.springframework.org/schema/beans"
	xsi:schemaLocation="
		http://www.springframework.org/schema/beans 
		http://www.springframework.org/schema/beans/spring-beans.xsd
		http://www.springframework.org/schema/security 
		http://www.springframework.org/schema/security/spring-security-3.2.xsd
	">
	<!-- Ch 2 Start -->
	<http auto-config="true">
		<intercept-url pattern="/*" access="ROLE_USER" />
	</http>
	<!-- Ch 2 Unanimous Based AccessDecisionManager <http auto-config="true" 
		access-decision-manager-ref="unanimousBased"> <intercept-url pattern="/*" 
		access="ROLE_USER"/> </http> -->
	<!-- Ch 2 SpEL <http auto-config="true" use-expressions="true" access-decision-manager-ref="unanimousBased"> 
		<intercept-url pattern="/*" access="hasRole('ROLE_USER')"/> </http> -->
	<authentication-manager alias="authenticationManager">
		<authentication-provider>
			<user-service>
				<user authorities="ROLE_USER" name="guest" password="guest" />
			</user-service>
		</authentication-provider>
	</authentication-manager>
</beans:beans>

简单的可以看出来,spring security文档正文中使用了两个标签,我们从他们大概的字面上可以了解到,第一个http标签其实主要是配置拦截url用的,里边大概配置了如果你要访问某个路径,需要哪个连接权限,而http标签下边的authentication-manger标签下的标签则配置了那些用户都拥有哪些权限,,,这是我们从字面上了解到的内容,我们不需要了解太深入,。这次只需要把这个项目运行起来,然后通过运行项目,先读懂里边的大概流程就可以了。

我将项目调整完成后,录制了一个关于运行项目的小视频可以供大家参考。

我将调整完成的项目和视频发布到了百度网盘上。大家可以免费下载。


lrwin_
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列【2】认证篇之使用数据库存储用户
记录知识、锤炼自我
03-23 4779
用户进行认证,最常见的认证方式就是用户名+密码,认证服务需要根据用户名从存储中查询用户信息,然后判断输入的密码和存储中的密码是否匹配。对用户名、密码存储,支持多种存储机制:内存JDBC关系型数据库使用的自定义数据存储使用LDAP认证的LDAP存储本篇文档主要学习使用数据库存储用户信息。
Spring Security 6.x 系列【3】源码篇之基于过滤器的基本原理
记录知识、锤炼自我
03-27 2968
对Servlet的支持是基于过滤器的,在请求到达Servlet之前,通过过滤器进行认证授权校验,用户合法且有权限,放行通过,反之会跳转到登录页或拒绝访问。所以本篇文档主要介绍中过滤器的相关知识。类比JAVA Web中的过滤器中的过滤器进行了各种代理和增强,可以简单理解Security中的过滤器请求到(代理过滤器)调用(过滤器链代理)根据请求,调用匹配的Security中的过滤器链)中的多个有序的Security过滤器对请求进行处理,检验是否登录、是否授权… 并做出相应处理。
spring security第一个程序
目尽地平线
04-10 481
spring security虽然已经简化了,但配置还是要小心翼翼的。这里运行第一个spring security程序。环境: spring 4.2.4 spring security 4.0.4 (GA) 搭建步骤: pom.xml 加入web和config模块,config模块是用来支持security命名空间的。 <!-- spring security --> <!-- s
创建一个简单的 Spring Security 项目
qq_28248897的博客
11-20 444
1.新建spring boot项目 2. 选择依赖项 Spring Initializr 允许我们提前选定一些常用的项目依赖,此处我们选择 Security 作为构建 Spring Security 项目的最小依赖,选择 Web 作为 Spring Boot 构建 Web 应用的核心依赖。 打开 pom.xml 文件,看看 Spring Initializr 引入了...
SpringSecurity权限管理系统实战—一、项目简介和开发环境准备
CoderMy的博客
07-11 1万+
SpringSecurity实战一—项目简介和开发环境准备 一、简介 ​ 在企业应用中,认证授权是非常重要的一部分内容,业界最出名的两个框架就是大名鼎鼎的 Shiro和Spring Security。本次我选取的是和SpringBoot更好兼容的SpringSecurity
Spring Security--搭建第一个项目
我和井盖都笑了博客
04-04 152
第一个 Spring Security 项目        1 导入依赖       Spring Security 已经被 Spring boot 进行集成,使用时直接引入启动器即可。 <dependency> <groupId>org.sp...
spring-security5.x+jwt
最新发布
qq_67832732的博客
04-26 375
创建过滤器@Component@Autowired@Override//获取tokenif (!//放行return;//解析tokentry {throw new RuntimeException("token非法");//从redis中获取用户信息throw new RuntimeException("用户未登录");//存入SecurityContextHolder。
Spring Security 6.x 系列【26】源码篇之OAuth2登录流程
记录知识、锤炼自我
04-21 1149
在上篇文档中,我们使用Spring Security集成了GitHub、码云登录,接下来跟随源码分析下整个流程,首先看下码云官网提供的OAuth2 认证文档。
SpringBoot】自从集成spring-security-oauth2后,实现统一认证授权so easy!
墩墩分墩
04-24 1272
1.将`OAuth2和Spring Security集成`,就可以得到一套完整的安全解决方案。然后通过Spring Security OAuth2构建一个授权服务器来验证用户身份以提供access_token,并使用这个access_token来从资源服务器请求数据。 2.搭建授权服务器最重要的是:继承` AuthorizationServerConfigurerAdapter接口 `并在实现类上加注解`@EnableAuthorizationServer`标识这是一个授权服务器
第二部分 Spring Framework 4.x的新增功能1
08-03
Spring Security在4.x版本中得到了升级,支持更多的认证授权策略,包括OAuth2和其他现代安全标准。这使得保护应用程序免受潜在威胁变得更加简单和有效。 4. 总结 Spring Framework 4.x带来了众多新特性和增强,从...
spring3.x企业应用附件
10-18
Spring 3.x 企业应用附件》是一份包含详尽...总之,《Spring 3.x 企业应用附件》是一个宝贵的资源库,它不仅包含了Spring框架的基础应用,还深入到了企业级开发的各个方面,为学习和实践Spring 3.x提供了丰富的素材。
Spring 3.x企业应用开发实战光盘源码part02
03-22
这个压缩包可能是为了配合一本关于Spring 3.x企业应用开发的实战书籍提供的,通过实际代码示例帮助读者更好地理解和学习Spring框架在企业级项目中的应用。通过深入研究这些源码,开发者能够提升对Spring框架的理解,...
spring security3.x学习(24)_拒绝访问异常处理(AccessDeniedException)
热门推荐
杜雷的技术博客
09-23 2万+
咱们看一下spring security是如何处理AccessDeniedException的。 “ 因为缺少GrantedAuthority或其它需要的权限被拒绝的时候,他们看到的是servlet容器的默认HTTP 403(访问拒绝)页面。这 个 页 面 是 o.s.s.web.access.AccessDeniedHandler 默 认 行 为 的 结 果 , 它 被ExceptionTr
spring security3.x学习(16)_JdbcUserDetailManager的使用
杜雷的技术博客
09-20 3454
我们看一看UserDetailsService为我们提供了那些实现类。 里边还提供了一个名为JdbcuserDetailsManager的JdbcDaoImpl(UserDetailsService的子类)的实现类。那他究竟是如何扩展jdbcDaoImpl的呢? 他的类中,又定义了很多的SQL语句,而且添加了很多方法,很明显,他对JdbcDaoImp
spring security3.x学习(23)_session管理和session监听
杜雷的技术博客
09-23 3268
在看一下session的管理 我们只需要在http中配置session-management就可以了。那我们仔细看一下这个标签吧 session-fixation-protection是为了防止固化攻击的. 一般来说我们会配置成migrateSession的。 这个比较保险而且好用。 在看一下spring security是如何对sessio
spring security3.x学习(18)_salt以及Bcrypt加密
杜雷的技术博客
09-20 3035
其实,对于基本的权限基础操作我们已经学的差不多了,接下来应该都是一堆复杂或深入的知识了,。呵呵。不过越学越有点意思了。这3天假期也没有浪费啊。  这次看一下登录的加密: 这里在authentication-provider中配置了一个password-encoder标签,其中有个属性叫做hash,就是要加密密码所用的加密方法。看看都
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值