Spring Security学习总结一

最新推荐文章于 2018-12-02 13:11:10 发布
最新推荐文章于 2018-12-02 13:11:10 发布
阅读量816 收藏 1
点赞数
分类专栏: Spring 文章标签: spring security bean class input login
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/facepp/article/details/3357233
版权

 Error listenerStart  是security.xml中有错误的原因。


security.xml
各种过滤器实战,常用九个如下
一 链之 RememberMeProcessingFilter

1。使用 ,选上remember me后,一旦页面关闭或者服务器重启,还可以记得用户的登陆状态。
<input type="checkbox" id="remember" name="j_remember_me">  Remember me
2.设置 security.xml
  <!-- 记住用户登录信息 -->
    <bean id="rememberMeFilter" class="org.acegisecurity.ui.rememberme.RememberMeProcessingFilter">
        <property name="authenticationManager" ref="authenticationManager" />
        <property name="rememberMeServices" ref="rememberMeServices" />
    </bean>

 <bean id="rememberMeServices" class="org.acegisecurity.ui.rememberme.TokenBasedRememberMeServices">
        <property name="userDetailsService" ref="userDetailsService" />
        <property name="parameter" value="j_remember_me" />      <!--与多选框名字相同-->
        <property name="key" value="remember_Me" />
        <property name="tokenValiditySeconds" value="31536000" />     <!--记住多长时间 ,这里是一年-->

登陆,登出中  <property name="rememberMeServices" ref="rememberMeServices" />
    </bean>

 <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">
        <property name="providers">
            <list>
                <ref bean="rememberMeAuthenticationProvider" />
            </list>
        </property>
    </bean>
  <bean id="rememberMeAuthenticationProvider"
        class="org.acegisecurity.providers.rememberme.RememberMeAuthenticationProvider">
        <property name="key" value="remember_Me" />
    </bean>

二 链之 RememberMeProcessingFilter  安全拦截器
   <!-- 基于URL的安全拦截器 -->
    <bean id="securityInterceptor"
        class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">
        <property name="authenticationManager" ref="authenticationManager" />
        <property name="accessDecisionManager" ref="accessDecisionManager" />
        <property name="objectDefinitionSource">
            <value>
                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
                PATTERN_TYPE_APACHE_ANT
                /admin/**=ROLE_ADMIN           <!-- 对admin目录只有Role_admin的角色可以访问-->
                /user/**=ROLE_USER
            </value>
        </property>
    </bean>

三。  链之 authenticationProcessingFilter 登陆验证
  1.login.jsp
<%
      String error = request.getParameter("login_error");
      if(error!=null) {
        out.println("<p><font color=/"red/">");
        out.println(error);
        out.println("</font></p>");
      }
    %>
     <form action="j_login.do" method="POST">
      Username: <input type="text" name="j_username" />
      Password: <input type="password" name="j_password">
      <input name="submit" type="submit" value="Login">
    </form>
  <!-- 验证用户身份 -->
    <bean id="authenticationProcessingFilter"
        class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilter">
        <property name="authenticationManager" ref="authenticationManager" />
        <property name="authenticationFailureUrl" value="/login.jsp?login_error=Login%20failed." /> <!-- 失败后跳转页-->
        <property name="defaultTargetUrl" value="/helloWorld.jsp" />   <!-- 成功后跳转页-->
        <property name="filterProcessesUrl" value="/j_login.do" />  <!-- 重点,与action一致-->
    </bean>


四。  链之 logoutFilter
    <a href="j_logout.do">logout</a></p>

<bean id="logoutFilter" class="org.acegisecurity.ui.logout.LogoutFilter">
        <!-- URL redirected to after logout登出后的指向页面 -->
        <constructor-arg value="/helloWorld.jsp" />
        <constructor-arg>
            <list>
                <ref bean="rememberMeServices" />   <!-- 登出后就不再记住用户的登陆了-->
                <bean class="org.acegisecurity.ui.logout.SecurityContextLogoutHandler" />
            </list>
        </constructor-arg>
        <property name="filterProcessesUrl" value="/j_logout.do" /><!-- 重点,要一致-->
    </bean>

五 链之 exceptionFilter,如果用户未能被认证,AuthenticationException就会被抛出;
 即使用户成功地通过了身份验证,他们仍可能不被授予访问某些受保护页面所必需的权限。这样,AcessDeniedException就会被抛出。
<!-- 处理登录异常或权限异常的Filter -->
    <bean id="exceptionFilter" class="org.acegisecurity.ui.ExceptionTranslationFilter">
        <!-- 出现AuthenticationException时的登录入口 -->
        <property name="authenticationEntryPoint">
            <bean class="org.acegisecurity.ui.webapp.AuthenticationProcessingFilterEntryPoint">
                <property name="loginFormUrl" value="/login.jsp" />
                <property name="forceHttps" value="false" /><!--为true,login.jsp页面会通过Https安全地进行显示-->
            </bean>
        </property>
        <!-- 出现AccessDeniedException时的Handler -->
        <property name="accessDeniedHandler">
            <bean class="org.acegisecurity.ui.AccessDeniedHandlerImpl" />
            <!-- 可选属性: property name="errorPage" value="/denied.html" -->
        </property>
    </bean>
六 链之 HttpSessionContextIntegrationFilter , 不知道有什么用处哪????
 <!-- 从Session中获得用户信息并放入SecurityContextHolder -->
    <bean id="httpSessionContextIntegrationFilter"
        class="org.acegisecurity.context.HttpSessionContextIntegrationFilter" />

————————————————————————————————————
 <!-- 过滤器链-->
    <bean id="filterChainProxy" class="org.acegisecurity.util.FilterChainProxy">
        <property name="filterInvocationDefinitionSource">
            <value>
                CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
                PATTERN_TYPE_APACHE_ANT      
 /**=channelProcessingFilter
ConcurrentSessionFilter .................
httpSessionContextIntegrationFilter,
logoutFilter,
authenticationProcessingFilter,
rememberMeFilter,
AnonymousProcessingFilter,.................
exceptionFilter
,securityInterceptor
            </value>
        </property>
    </bean>
 <!-- 认证管理器-->    <bean id="authenticationManager" class="org.acegisecurity.providers.ProviderManager">        <property name="providers">            <list>                <ref bean="daoAuthenticationProvider" />            </list>        </property>    </bean>    <!-- 基于DAO验证的AuthenticationProvider -->    <bean id="daoAuthenticationProvider"        class="org.acegisecurity.providers.dao.DaoAuthenticationProvider">        <property name="userDetailsService" ref="userDetailsService" />    </bean>    <!-- 使用内存DAO,实际应用时可用JdbcDao代替 -->    <bean id="userDetailsService"        class="org.acegisecurity.userdetails.memory.InMemoryDaoImpl">        <property name="userMap">            <value>                admin=password,enabled,ROLE_ADMIN,ROLE_USER                test=test,enabled,ROLE_USER                guest=guest,disabled,ROLE_USER            </value>        </property>    </bean>
    <!-- 决策管理器-->
    <bean id="accessDecisionManager"
        class="org.acegisecurity.vote.AffirmativeBased">
        <property name="decisionVoters">
            <list>
                <bean class="org.acegisecurity.vote.RoleVoter" />
            </list>
        </property>
        <property name="allowIfAllAbstainDecisions" value="false" />
    </bean>

附件:spring的光盘/source/10Acegi/Spring_Acegi

补记:七 链之channelProcessingfilter  通道,
login.jsp=REQUIRES_SECURE_CHANNEL    有安全映射的,表明login.jsp应该通过HTTPS进行发送.
即跳到https://127.0.0.1:8443/ssh/login.jsp ,但是为什么显示出错???????是要上网吗?

<bean id="channelProcessingFilter"
  class="org.acegisecurity.securechannel.ChannelProcessingFilter">
  <property name="filterInvocationDefinitionSource">
   <value>
    CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
    PATTERN_TYPE_APACHE_ANT
    /login.jsp=REQUIRES_SECURE_CHANNEL  
    /**=REQUIRES_INSECURE_CHANNEL
   </value>
  </property>
  <property name="channelDecisionManager"
   ref="channelDecisionManager">
  </property>
 </bean>
 <bean id="channelDecisionManager"
  class="org.acegisecurity.securechannel.ChannelDecisionManagerImpl">
  <property name="channelProcessors">
   <list>
    <bean
     class="org.acegisecurity.securechannel.SecureChannelProcessor" />
    <bean
     class="org.acegisecurity.securechannel.InsecureChannelProcessor" />
   </list>
  </property>
 </bean>

facepp
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
Acegi授权策略和保护web资源
lilei1343861935的博客
01-22 139
在通过各种认证途径获得Authentication认证对象后,事情的发展并没有结束。用户认证只是确定当前用户是否存在,而且她的身份也被辨认出来。至于已经认证的用户是否有权限操控目标资源(web资源,业务方法,领域对象),那么就还需要经过用户授权的考验! 下面就总体上给出acegi是如何实施用户授权工作的,以及围绕web资源的授权操作展开! 当acegi完成用户的认证操作时,...
spring安全框架系列springSecurity
lmt_0716的博客
02-16 398
使用一个新的框架之前,首先我们来认识一下springSecurity,毕竟框架这种东西有时靠不住,所以学到他的思想才是最重要的,很多人都知道这么用,具体为什么,没有人告诉我们,首先我们从最基本的看起,了解一些入门知识是有必要的: 1.4.1.1. Core -spring-security-core.jar 包含了核心认证和权限控制类和接口, 运程支持和基本供应 API。使用 spring Se
ChannelProcessingFilter
yecong111的专栏
11-25 2109
通常最可能用来确保一个请求在https上发生,可以给ChannelDecisionManagerImpl赋值SecureChannelProcessor和InsecureChannelProcessor 一个典型的配置如下:       ref="channelDecisionManager"/>               -security-metadata-source
我的SpringSecurity实践
马勒・格・彼得
04-08 161
我的SpringSecurity实践 [b](一) 数据库与实体类设计(mysql)[/b] [img]http://dl.iteye.com/upload/picture/pic/111187/c45facc4-319c-327a-85f4-8733e7a416d9.png[/img] [code="sql"] -- 权限 DROP TABLE IF EXISTS `me`.`tb...
spring security源码分析之web包分析
05-28 149
Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提...
SpringSecurity学习总结一.pdf
11-26
SpringSecurity学习总结一.pdf
springsecuritySpring安全学习总结
01-29
spring security 学习总结暑假的时候在学习Spring安全并成功运用到了项目中。在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 ...
Spring Security 详细介绍学习
从放弃到开始
05-16 243
Security 命名空间配置 2.1. 2.1. 2.1. 2.1. 介绍从 Spring-2.0开始可以使用命名空间的配置方式。 使用它呢,可以通过附加 xml 架构, 为传统的spring beans应用环境语法做补充。你可以在spring参考文档得到更多信息。命 名空间元素可以简单的配置单个 bean,或使用更强大的,定义一个备用配置语法,这可以 更加紧密的匹配问题域,隐藏用户背后的复杂性...
Spring Security使用和源码解析
yange1025的博客
12-02 355
一个web工程,如果涉及到私人信息或不可公开的资源,则必然要对访问者做过滤和认证,访问者只能获取跟自己相关或有权限访问的信息,这就是我们所熟知的登陆。简单的登陆通常是这样实现的:提供一个登陆接口,和一个过滤器。登陆接口用来用户名和密码校验,并将用户信息保存在http session中。过滤器则用来拦截所有未经授权的访问。 @RestController @RequestMapping("/lo...
Spring Security3源码分析-SSL支持
#ifndefine maxwit #define maxwit...#endif
05-30 1058
来自:http://dead-knight.iteye.com/blog/1521223  Spring Security3源码分析-SSL支持 博客分类:  Spring Security Sping Security3对于SSL的支持仅仅表现在对需要拦截的url(标签intercept-url)设置requires-channel
tomcat的j_security_check验证机制
g161g的专栏
04-27 2430
tomcat的j_security_check验证机制 是利用tomcat自身配置的角色和用户名来登录应用系统的 配置如下: tomcat-users.xml &lt;role rolename="tomcat"/&gt; &lt;role rolename="tian"/&gt; &lt;role rolename="manager"/&gt; &lt;user n
Spring JMS异步发收消息 ActiveMQ
11-26 8039
JMS(使用消息中介:ActiveMQ)JMS为JAVA开发者提供了一个与消息中介进行交互,以及发送和接收消息的标准API,而且每一个消息中介的实现都会支持JMS。(即JMS为所有消息中介提供了统一接口);JmsTemplate是Spring消除冗长和重复JMS代码的解决方案。JmsTemplate可以创建连接,获取会话,以及发送和接收消息。1.在Spring中安装ActiveMQwww.
Spring第九章邮件服务,任务调试和Java消息服务.
09-22 1803
 第9章Spring集成的其他功能邮件服务,任务调试和Java消息服务.邮件服务的附件是Spring书中光盘的09/Mail工程一 普通邮件 SimpleMailMessage(JavaMail有两个包,mail.jar,activation.jar, 这里是使用spring的mail,import org.springframework.mail.*; 用spring.jar包就可以了
Spring Security学习总结
11-23 1560
 1.  class="org.springframework.security.context.HttpSessionContextIntegrationFilter"/>    httpSessionContextIntegrationFilter是集成过滤器的一个实现,在用户的一个请求过程中,用户的认证信息通过SecurityContextHolder(使用ThreadLoacl实现)进
spring 第十章 Acegi安全框架
09-22 844
 第10章 Acegi安全框架安全保护机制三步曲:认证管理器,决策管理器,过滤器链认证和授权一基于角色的权限控制 (Role Based Access Control RBAC)  授权-角色-用户Java验证和授权服务(Java Authentication and Authorization Service,JAAS)是标准的谁和授权服务二Acegi安全框架1.Authentication对象
6事务的使用
11-16 561
 注释驱动事务  配置元素告诉Spring在类层面或者是方法层面检查应用程序上下文中的所有Bean,并且寻找标注了@Transactional的Bean。对于每一个标注了@Transactional的Bean,将自动把事务通知的内容通知给它。1。在applicationContext.xml中加入 和申明The prefix "tx" for element "tx:advice" is n
springboot springsecurity springcloud学习方法
最新发布
07-23
总结来说,学习Spring Boot、Spring SecuritySpring Cloud需要系统地学习官方文档,结合在线教程和实践项目进行深入理解,同时参与社区讨论和阅读开源项目的源代码。这样可以帮助你快速掌握这些框架并在实际开发中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值