Spring Security学习总结一(转)

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量1k 收藏
点赞数
分类专栏: 框架 文章标签: spring security authentication class bean myeclipse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/guoqingcun/article/details/6293837
版权
本文介绍了Spring Security的基础知识,包括其历史和主要功能,如认证授权机制、Web资源访问控制等。通过一个简单的Web项目实例,展示了如何配置Spring Security的过滤器链,包括FilterToBeanProxy、logoutFilter、authenticationProcessingFilter等,并解释了每个过滤器的作用。文章还提及了session管理、异常处理和访问决策管理器的工作原理,以及如何通过JSP页面实现登录功能。
摘要由CSDN通过智能技术生成

在认识Spring Security之前,所有的权限验证逻辑都混杂在业务逻辑中,用户的每个操作以前可能都需要对用户是否有进行该项 操作的权限进行判断,来达到认证授权的目的。类似这样的权限验证逻辑代码被分散在系统的许多地方,难以维护。AOP(Aspect Oriented Programming)和Spring Security为我们的应用程序很好的解决了此类问题,正如系统日志,事务管理等这些系统级的服务一样,我们应 该将它作为系统一个单独的”切面”进行管理,以达到业务逻辑与系统级的服务真正分离的目的,Spring Security将系统的安全逻辑 从业务中分离出来。

本文代码运行环境:
 

JDK6.0

    spring-framework-2.5.4

    spring-security-2.0.0

    JavaEE5

 

 

Web容器:

Apache Tomcat6.0

IDE工具:

Eclipse3.3+MyEclipse6.5

操作系统:

Linux(Fedora 8)

    这只是我个人的学习总结而已,还请高手们指出本文的不足之处。

一  Spring Security 简介

这里提到的Spring Security也就是被大家广为熟悉的Acegi Security,2007年底Acegi Security正式成为Spring Portfolio项目,并更名为Spring Security。Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。 它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

通过在许多项目中实践应用以及社区的贡献,如今的Spring Security已经成为Spring Framework下最成熟的安全系统,它为我们提供了强大而灵活的企业级安全服务,如:

Ø         认证授权机制

Ø         Web资源访问控制

Ø         业务方法调用访问控制

Ø         领域对象访问控制Access Control List(ACL)

Ø         单点登录(Central Authentication Service)

Ø         X509认证

Ø         信道安全(Channel Security)管理等功能

当保护Web资源时,Spring Security使用Servlet 过滤器来拦截Http请求进行身份验证并强制安全性,以 确保WEB资源被安全的访问。如下图是Spring Security的主要组件图(摘自《Spring in Action》):



图1 Spring Security的基本组件

无论是保护WEB资源还是保护业务方法或者领域对象,Spring Security都的通过上图中的组件来完成 的。本文主要阐述如何使用Spring Security对WEB应用程序的资源进行安全访问控制,并通过一个简单的 实例来对Spring Security提供的各种过滤器的功能和配置方法进行描述。

二  保护Web资源

Spring Security提供了很多的过滤器,它们拦截Servlet请求,并将这些请求转交给认证处理过滤器和访问决策过滤器进行处理,并强制安全性,认证用户身份和用户权限以达到保护Web资源的目的。对于Web资源我们大约可以只用6个过滤器来保护我们的应用系统,下表列出了这些安全过滤器的名称作用以及它们在系统中的执行顺序:

过 滤 

作              

通道处理过滤器

确保请求是在安全通道(HTTP和HTTPS)之上传输的

认证处理过滤器

接受认证请求,并将它们转交给认证管理器进行身份验证

CAS处理过滤器

接受CAS服务票据,验证Yale CAS(单点登录)是否已经对用户进行了认证

HTTP基本授权过滤器

处理使用HTTP基本认证的身份验证请求

集成过滤器

处理认证信息在请求间的存储(比如在HTTP会话中)

安全强制过滤器

确保用户己经认证,并且满足访问一个受保护Web资源的权限需求

接下来,通过一个实例来说明它们的具体使用方法和如何在Spring中进行配置。

1  建立Spring Security项目

首先在MyEclipse中创建一个Web Project,并使用MyEclipse工具导入Spring项目的依赖JAR包,并生成默认的,这里暂时不会用到这个文件,本文只是通过一个简单的实例来说明如何配置使用Spring Security,不会涉及到数据库,而是使用一个用户属性(users.properties)文件来保存用户信息(包括用户名,密码及相应的权限),但在实际的项目中,我们很少会这样做,而是应该把用户信息存在数据库中,下一篇文章中将会详细介绍并用到这个文件来配置Hibernate,这里我们保留它。

现在还需要为项目导入Spring Security的JAR包,它没有包括在Spring Framework中,你可以从http://www.springframework.org/download/下载,并将spring-security-core-2.0.0.jar(这是核心代码库)和spring-security-core-tiger-2.0.0.jar(和annotation有关的,比如使用注解对方法进行安全访问控制,在下一篇中会用到)拷贝到项目的lib目录下,其中也包括两个实例(tutorial和contacts),并且两个实例中都包括了如何使用Spring 2.0的命名空间来配置Spring Security,无论你对Spring 2.0命名空间的使用是否了解,它将使我们的配置文件大大缩短,简化开发,提高生产效率。到此,我们的Spring Security项目就建好了,项目目录结构如下图所示:


图2 项目目录结构

2 配置web.xml

Spring Security使用一组过滤器链来对用户进行身份验证和授权。首先,在web.xml文件中添加FilterToBeanProxy过滤器配置:

 1  < filter >     
 2       < filter-name > springSecurityFilterChain </ filter-name >
 3        < filter-class >
 4          org.springframework.security.util.FilterToBeanProxy
 5        </ filter-class >
 6        < init-param >         
 7           < param-name > targetClass </ param-name >
 8            < param-value >             
 9               org.springframework.security.util.FilterChainProxy
10            </ param-value >
11          </ init-param >
12  </ filter >
13

org.springframework.security.util.FilterToBeanProxy实现了Filter接口,它通过调用WebapplicationContextUtils类的getWebApplicationnContext(servletContext)方法来获取Spring的应用上下文句柄,并通过getBean(beanName)方法来获取Spring受管Bean的对象,即这里targetClass参数配置的Bean,并通过调用FilterChain
Proxy的init()方法来启动Spring Security过滤器链进行各种身份验证和授权服务(FilterChainProxy类也是实现了Filter接口),从而将过滤功能委托给Spring的FilterChainProxy受管Bean(它维护着一个处理验证和授权的过滤器 列表,列表中的过滤器按照一定的顺序执行并完成认证过程),这样即简化了web.xml文件的配置,又能充分利用 Spring的IoC功能来完成这些过滤器执行所需要的其它资源的注入。

当用户发出请求,过滤器需要根据web.xml配置的请求映射地址来拦截用户请求,这时Spring Security开始工作,它会验证你的身份以及当前请求的资源是否与你拥有的权限相符,从而达到保护Web资源的功能,下面是本例所要过滤的用户请求地址:

 1  < filter-mapping >
 2 
 3          < filter-name > springSecurityFilterChain </ filter-name >
 4 
 5          < url-pattern > /j_spring_security_check </ url-pattern >
 6 
 7       </ filter-mapping >
 8 
 9       < filter-mapping >
10 
11          < filter-name > springSecurityFilterChain </ filter-name >
12 
13          < url-pattern > /* </ url-pattern >
14 
15  </ filter-mapping >

提示:
/j_spring_security_check是Spring Security默认的进行表单验证的过滤地址,你也可以修改为别的名称,但是需要和
applicationContext-security.xml中相对应,当然还会涉及到其它一些默认值(可能是一个成员变量,也可能是别的请
求地址),
最低0.47元/天 解锁文章
月亮床
关注
专栏目录
java中使用Spring security(二)
Mr_Flouxetin的博客
08-06 410
上一篇,我们讲述的spring security的基础使用。但是对于一些复杂权限场景,我们需要更高级一些的功能。 我们接着往下展示它的高级部分。 <securityauthentication-manager>的内部高级设置 在上一篇的Spring security设置示例中,我设置了authentication-manager来检查登录用户凭证,并使用<user-service>标签中定义的纯文本用户。如下所示,您可以在此处为您的应用程序定义多个用户。 <secu
springsecuritySpring安全学习总结
01-29
spring security 学习总结暑假的时候在学习Spring安全并成功运用到了项目中。在实践中摸索出了一套结合JSON +智威汤逊(JSON网络令牌)+Spring引导+ Spring Security的技术的权限方案趁着国庆假期记录一下。 内容 ...
Spring Security学习总结
elimago的专栏
08-22 1445
Spring Security学习总结一在认识Spring Security之前,所有的权限验证逻辑都混杂在业务逻辑中,用户的每个操作以前可能都需要对用户是否有进行该项操作的权限进行判断,来达到认证授权的目的。类似这样的权限验证逻辑代码被分散在系统的许多地方,难以维护。AOP(Aspect Oriented Programming)和Spring Security为我们的应用程序很好的解决了此
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 4245
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
Spring j_spring_security_check报404错误
sutonline的博客
09-17 2793
Spring j_spring_security_check报404错误j_spring_security_check是spring默认的请求,如果发生404,如果spring已经不对此进行拦截了。 原因有两种: 在spring-security.xml中指定了processing-url 在form login的时候默认带了namespace,导致最终访问的url并非是${website}/j_
Spring Security介绍(四)权限校验
w_t_y_y的博客
02-29 1830
(1)自定义拦截器或者AOP校验:对需要鉴权的接口做拦截,用户的权限从SecurityContextHolder中获取,接口访问权限可以通过自定义Annotation注入,具体参照。用户认证+授权后,就可以进行接口权限控制。思路是拿用户(已授予的)权限与接口所需权限进行比较,不包含则视为无权。和shiro类似,sercurity也提供了注解式权限校验。
Spring Security初体验
valetine的专栏
01-12 2082
1,配置过滤器为了在项目中使用Spring Security控制权限,首先要在web.xml中配置过滤器,这样我们就可以控制对这个项目的每个请求了。springSecurityFilterChainorg.springframework.web.filter.DelegatingFilterProxyspringSecurityFilterChain/*2,使用命名空间在ApplicationContext.XML中配置或者另外单独使用一个Securit
SpringSecurity学习总结一.pdf
11-26
SpringSecurity学习总结一.pdf
Spring Security 学习总结1_3
03-14
"springsecurity-namespace"可能指的是Spring Security的XML命名空间配置。在Spring Security的早期版本中,使用XML配置是最常见的实践。例如,你可能会看到以下片段: ```xml **" access="hasRole('ROLE_ADMIN')...
Spring mvc+Spring Security集成,以及j_spring_security_check出现404问题的解决
技术杂货铺
02-27 2999
本文采用的是Spring 3.2.18.Release版本,SpringSecurity使用2.0.5.RELEASE,另本文使用的xml的形式配置Spring Security pom文件如下: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XML...
spring_security安全框架详解
热门推荐
Benjamin
09-05 1万+
本文是在项目中用到Spring Security3来进行登录验证时才进行学习的,写的比较片面,请大家提出问题。 首先要在web.xml中配置 <context-param> <param-name>contextConfigLocation</param-name> <param-value> classpath*:/applicationContext.xml classpath*:/applicationContext-security.xml <!--classpath*:/applicationC
Spring Security入门教程(二)
Trialknight的博客
03-23 724
上个教程中,我们使用Spring Security框架的时候,路径被拦截之后跳到的是Spring Security为我们准备好的一个登陆页面,虽然这个页面可以成功的实现登陆功能,但是这个简单的页面很多时候是不能满足我们的实际项目需求的,所以这就需要我们自定义登陆页面了,所以这次的教程就是学习如何自己定义登陆页面。 首先我们先创建一个login.html的文件,这个文件将做为我们的登陆页面,页面...
springSecurity2的自定义账号密码认证流程+多个参数的自定义流程
m0_56356631的博客
04-24 4276
本文包含了,两个参数的登录校验+多个参数的登录校验
【网络安全】Spring框架漏洞总结(二)
kali_Ma的博客
09-11 1110
安全防护 1.使用1.0.x版本的用户应放弃在认证通过和错误这两个页面中使用Whitelabel这个视图。 2.使用2.0.x版本的用户升级到2.0.10以及更高的版本 因为对java不是很熟,所以没有对底层原理进行分析 2.Spring Web Flow框架远程代码执行(CVE-2017-4971) 漏洞简介 Spring Web Flow是Spring的一个子项目,主要目的是解决跨越多个请求的、用户与服务器之间的、有状态交互问题,提供了描述业务流程的抽象能力。 Spring WebFlow 是一个适用于
j_spring_security_check 404
答案是肯定的
12-11 1万+
最近在研究spring security的权限管理机制,自己试着搭了一个框架,可是在输入http:....../j_spring_security_check的时候,一直报404错误,在网上查了好多,都和我的不符,但是肯定是配置的问题,主要看spring.common.xml和spring.security.xml可是这两个的配置是正确的,一个一个字的和标准配置检查的, <form-logi
Java后台框架篇--Springsecurity(二)
非淡泊无以明志,非宁静无以致远
09-29 812
剩下的页面代码 本来想给这个demo的源码出来的,但是笔者觉得,通过这个教程一步一步读下来,并自己敲一遍代码,会比直接运行一遍demo印象更深刻,并且更容易理解里面的原理。 而且我的源码其实都公布出来了: login.jsp: 1 2 3 4 5 6 7 8 9 10 11
Spring Security介绍(三)过滤器(1)过滤器链
w_t_y_y的博客
02-06 740
一、UsernamePasswordAuthenticationFilter 二、BasicAuthenticationFilter
spring security
苹果超人|
07-27 231
j_spring_security_check这个是spring security里面的约定。 你看applicationContext-security.xml是否有 之类的代码,他会自动调用UserDetailsServiceImpl下的loadUserByUsername方法, 其中: public class UserDet...
Spring Security入门:从Acegi到Spring Security
"Spring Security学习总结一" Spring SecuritySpring生态系统中的一个强大且全面的安全框架,源自Acegi Security,自2007年底被纳入Spring Portfolio并更名。它旨在为基于Spring的应用提供声明式安全访问控制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值