保护Spring应用之——spring Security(一)

最新推荐文章于 2024-10-07 10:45:34 发布
最新推荐文章于 2024-10-07 10:45:34 发布
阅读量402 收藏
点赞数
分类专栏: spring应用之:spring-security 文章标签: java security spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/etdgcb123/article/details/41855767
版权

最近学习web安全方面的知识的时候,用到spring Security3.2.5,由于书上、网上写的版本比较落后,所以没少走弯路,经过两个晚上的艰苦奋战终于将Security首个demo拿下,打算写一个系列文章,来记录学习的过程!


准备工作:

spring4的jar包:http://repo.spring.io/libs-release-local/org/springframework/spring/

spring Security3.2.5的jar包:http://maven.springframework.org/release/org/springframework/security/spring-security/


一、需要引入的jar包(也许不是最精简的):



二、在根目录下(别告诉我你不知道)新建两个XML配置文件:

applicationContext-security.xml和applicationContext.xml(名字随便,在web.xml中配置就好了)


其中applicationContext.xml的内容为:

<beans xmlns="http://www.springframework.org/schema/beans"
  xmlns:security="http://www.springframework.org/schema/security"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans
          http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
          http://www.springframework.org/schema/security
          http://www.springframework.org/schema/security/spring-security.xsd">
          <!-- 此配置文件配置以 “security:”作为前缀的元素至于此处 -->
</beans>
其中 applicationContext-security.xml的内容为: 

<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" 
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security.xsd">
	
	<!-- 存放不带任何前缀的安全性配置元素 -->
	
	<!-- spring-security赠送一个登陆页面 -->
	<http>
	<!-- 拦截所有请求,只有ROLE_USER的用户输入用户名和密码后才能登陆 -->
		<intercept-url pattern="/**" access="ROLE_USER" />
		<form-login />
		<logout />
	</http>

	<authentication-manager>
		<authentication-provider>
			<user-service>
				<!-- 配置了ROLE_USER, ROLE_ADMIN 角色的用户名和密码-->
				<user name="jimi" password="1234" authorities="ROLE_USER, ROLE_ADMIN" />
				<user name="bob" password="5678" authorities="ROLE_USER" />
			</user-service>
		</authentication-provider>
	</authentication-manager>
</beans:beans>


三、配置web.xml 

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
	version="3.0">
	<display-name>springSecurity</display-name>


	<context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>  
	        classpath:applicationContext-security.xml  
    	</param-value>
	</context-param>
	
	<!-- ContextLoaderListener的作用就是启动Web容器时,自动装配ApplicationContext的配置信息 -->
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener>

	<!-- 代理Servlet过滤器 -->
	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>
	
	<!-- 拦截所有请求 -->
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>

	<welcome-file-list>
		<welcome-file>index.jsp</welcome-file>
	</welcome-file-list>
</web-app>

至此,一个简单的spring Security就配置完成了,然后发不到tomcat中,访问地址:http://localhost:8080/项目名称

然后就会跳转到Security赠送的登陆页面了

最后:输入我们在applicationContext-security.xml配置文件中配置的账户和密码就可以登陆了,然后跳转到我们在web.xml中配置的index.jsp页面

如需转载请著名出处:http://blog.csdn.net/etdgcb123/article/details/41855767

etdgcb123
关注
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
Spring Security 6.x 系列(4)—— 基于过滤器链的源码分析(一)
热门推荐
gmHappy
11-01 2万+
`Spring Security`默认的配置是由 `SecurityAutoConfiguration` 、 `UserDetailsServiceAutoConfiguration`、`SecurityFilterAutoConfiguration`这三个自动配置类实现的。
spring实战》学习笔记 第四章 保护Spring
晦暗天明的博客
03-25 182
信息安全 4. 1  启用 Spring Security 保护 Spring 应用 的 第一步 就 是将 Spring Boot security starter 依赖 添加 到 构建 文件 中。 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> .
第4章保护Spring
qq_39079631的博客
06-09 119
Spring实战 第4章 保护Spring 启用 Spring Security 保护Spring应用的第一步就是将Spring Boot Security starter依赖添加到构建文件中 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dep
SpringSecurity如何正确的设置白名单
waooi的博客
07-23 803
SpringSecurity中,往往需要对部分接口白名单访问,而大部分在使用Security中就有一个误区,那就是免鉴权访问和白名单的区别。大部分的Security文章包括官方文档给出免鉴权访问都是使用去对相应路径进行免鉴权访问,但实际上这仅仅只表示该资源不需要相应的权限访问,但是用户还需要认证.也就是Securityd的认证/授权两个概念.
Spring Security 实现IP白名单机制
neweastsun的专栏
03-08 1万+
Spring Security 实现IP白名单机制 本文讨论如何在Spring Security 中实现IP白名单机制。先看看默认实现机制,同时也讨论自定义AuthenticationProvider实现更加灵活的应用。 1. 默认实现 首先我们看下Java配置。使用hasIpAddress() 定义允许特定ip地址的用户访问特定资源。请看下面使用hasIpAddress()的配置: @Confi...
spring security实现IP动态添加白名单
L_zsen的博客
07-06 6118
最近有个小需求:实现一个IP白名单的功能;指定ip可以无需登录认证即可访问指定的接口,非指定ip需要登录认证才能访问; 安全框架用spring security+jwt,安全配置类securityConfig继承WebSecurityConfigurerAdapter中可以配置hasIpaddress白名单; 但这个只能在初始化项目时通过字符串拼接access参数,没有达到ip动态添加删除的效果; 随后在百度了N篇文章后,参考动态url权限配置,自定义了一个决策器实现了功能,代码如下: import co
猫头虎分享:Springboot项目中实现IP白名单限制访问接口的深度探讨
猫头虎:授渔优于赠鱼,兴趣引领智慧,探索之乐尤显珍贵。商务合作:Libin9iOak,共赴知识与乐趣的探索之旅!
02-19 3845
嗨,亲爱的读者们,我是猫头虎博主!🐾 今天,我们要一起探索的是如何在Springboot项目中巧妙地利用IP白名单来限制接口访问。这篇博客将详尽地讨论从搭建到实施的各个步骤,包括实际的测试接口和用例,以及一些额外的接口访问限制方案。无论你是初涉此领域的小白,还是资深的开发大佬,相信你都能从本文中获得有价值的知识和灵感哦!🌟在深入探讨如何在Springboot项目中实现IP白名单之前,让我们先了解一下Springboot框架和IP白名单的基本概念。
SpringBoot开发——整合Spring Security
bjzhang75的博客
09-11 1019
SpringBoot整合Spring Security
SpringBoot开发——SpringSecurity安全框架17个业务场景案例(一)
最新发布
bjzhang75的博客
10-07 847
SpringSecurity安全框架17个业务场景案例(一)
Spring——》SpringSecurity中的BCryptPasswordEncoder算法
小仙~
03-24 2114
SpringSecurity中的BCryptPasswordEncoder方法采用SHA-256 +随机盐+密钥对密码进行加密。 SHA系列是Hash算法,不是加密算法,使用加密算法意味着可以解密(这个与编码/解码一样),但是采用Hash处理,其过程是不可逆的。 1)加密(encode):注册用户时,使用SHA-256+随机盐+密钥把用户输入的密码进行hash处理,得到密码的hash值,然后将其存入数据库中。 (2)密码匹配(matches):用户登录时,密码匹配阶段并没有进行密码解密(因为密码经
关于ip的过滤器 spring security例子
09-23
例子讲解可以参看博客:blog.csdn.net/dsundsun
ip白名单拦截器java示例
06-26
包含表结构(mysql表创建语句),字段说明与使用;拦截器代码(可根据业务进行修改);
Spring Security6.2.2配置白名单
qq_31706527的博客
03-14 1528
Spring Security6.2.2中AuthenticationFailureHandler、AuthorizeRequests已弃用,这个问题研究了很久。经过百度搜索和chatGPT查询,重要找到了解决方法,直接放代码。代码中的“/captcha”就是要变为不需要验证登录的路径。小白一个,如果有不对的地方还请大神指正!
Spring Security5 学习6 - IP白名单
qq_41302594的博客
04-13 1759
Spring Security5(6)IP白名单 有些时候,为了方便放行,比如我们将应用程序部署在阿里云上,我们需要允许外网的所有人都可访问该ip地址,我们就可以通过 spring securityIP 白名单来进行操作。spring securityIP 白名单非常强大,细到限制一个软件的端口都可以做到。 首先,依然是创建一个springboot应用程序。应用以下依赖: sprin...
ip白名单+java,Spring Security - 白名单IP范围
weixin_39926016的博客
03-01 404
A lot of resources and stackoverflow questions that I've viewed provide answers to using .xml files:All that I would like to know is if it's possible to whitelist an IP address range using Spring Secu...
java ip 白名单_javaSpring Security白名单IP范围
weixin_36410516的博客
02-24 646
我查看过的很多资源和stackoverflow问题都提供了使用.xml文件的答案:我想知道的是,如果可以在不使用XML配置的情况下使用Spring SecurityIP地址范围列入白名单?以下是我的控制器中的一个简单方法:@RequestMapping(value = "/makeit", method = RequestMethod.GET)@ResponseBody//@PreAuthori...
spring Security配置拦截规则
weixin_43575792的博客
03-18 6640
问题描述 使用spring Security实现后台管理系统登录验证加拦截,访问图片时需要验证 解决方案: 配置spring Security拦截规则,将访问路径添加进入白名单中,比如博主将resources下files下的图片设置白名单,规则就是"/files/**" @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { protected void configure(HttpSecurit
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值