spring security 实战应用

最新推荐文章于 2024-10-16 10:13:45 发布
最新推荐文章于 2024-10-16 10:13:45 发布
阅读量96 收藏
点赞数
分类专栏: web应用 文章标签: java web.xml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hanwesley/article/details/84354515
版权

权限管理:
 角色
 用户
 资源
 某个用户拥有多个角色,一个角色也可以被多个用户拥有
 一个角色对应访问多个资源,一个资源也可以被多个角色访问

spring security的具体应用如下。
版本:3.0.5

1)web.xml配置
 <context-param>
   <param-name>contextConfigLocation</param-name>
   <param-value>classpath:com/applicationContext.xml</param-value>
 </context-param>

 <filter>
   <filter-name>springSecurityFilterChain</filter-name>
   <filter-class>
    org.springframework.web.filter.DelegatingFilterProxy
   </filter-class>
 </filter>

 <filter>
   <filter-name>httpSessionContextIntegrationFilter</filter-name>
   <filter-class>
    org.springframework.security.web.context.HttpSessionContextIntegrationFilter
   </filter-class>
 </filter>
 
 <filter-mapping>
   <filter-name>springSecurityFilterChain</filter-name>
   <url-pattern>/*</url-pattern>
   <dispatcher>REQUEST</dispatcher>
   <dispatcher>INCLUDE</dispatcher>
   <dispatcher>FORWARD</dispatcher>
 </filter-mapping>
 <listener>
   <listener-class>
    org.springframework.web.context.ContextLoaderListener
   </listener-class>
 </listener>
 <listener>
   <listener-class>
  org.springframework.web.context.request.RequestContextListener
   </listener-class>
 </listener>

2)页面改造
 如果要加验证码功能,可以在此fileter前加验证
 <form action="${pageContext.request.contextPath}/j_spring_security_check" name="logonActionForm" method="post">
  <input type="text" name="j_username" value=""/>
  <input type="password" name="j_password" value="" />
 </form>
 
3)spring security 配置

 <http auto-config="true" >
   <intercept-url pattern="/logon.jsp" filters="none" />
   <intercept-url pattern="/logonAction.do" filters="none" />
   <intercept-url pattern="/public/logoutSuccess.jsp" filters="none"/>
   <intercept-url pattern="/public/**"/>
   <intercept-url pattern="/js/**" filters="none" /> 
      <intercept-url pattern="/css/**" filters="none" /> 
      <intercept-url pattern="/images/**" filters="none" />
      <intercept-url pattern="/theme/**" filters="none" />
   <intercept-url pattern="/**" access="ROLE_AA,ROLE_BB,ROLE_BROWSER"  requires-channel="any" />
  <form-login login-page="${url.login}" 
           default-target-url="/logonAction.do" 
           authentication-failure-url="${url.login}"
           login-processing-url="/j_spring_security_check"
        />
  <logout invalidate-session="true" logout-url="${url.logoutUrl}" logout-success-url="${url.logoutSuccess}" />

  <anonymous />
 <session-management invalid-session-url="${url.logoutUrl}" />
 </http>

 <beans:bean id="userCheckServiceImpl" class="com.sample.UserCheckServiceImpl">
 
 <authentication-manager> 
  <!--编程方式获得用户权限-->
  <authentication-provider user-service-ref='userCheckServiceImpl'/>
  <!--固定用户名密码方式-->
  <authentication-provider>
  <password-encoder hash="md5">
   <salt-source user-property="username"/>
  </password-encoder>  
  <user-service>
   <user name="aatest" password="aatest" authorities="ROLE_AA" />
   <user name="admin" password="admin" authorities="ROLE_BROWSER,ROLE_BB,ROLE_AA" />
  </user-service> 
  </authentication-provider>
</authentication-manager> 

 <global-method-security>
 <protect-pointcut expression="execution(* com.sample.exec(..))" access="ROLE_PA" />
 <protect-pointcut expression="execution(* com.sample.read(..))" access="ROLE_CA,ROLE_PA,ROLE_BROWSER" />
 </global-method-security>

//编程方式校验用户
public class UserCheckServiceImpl implements UserDetailsService {
  public UserDetails loadUserByUsername(String userName)
    throws UsernameNotFoundException, DataAccessException {
   //MockDao
   if(!userName.equals("aatest")){
   return null;
   }
   List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
   authorities.add(new GrantedAuthorityImpl("ROLE_AA"));
   UserDetails userDetails = new User("aatest", "aatest", true, true,
  true, true, authorities);
   return userDetails;
  }
}

//验证后得到用户信息
 SecurityContext ctx =SecurityContextHolder.getContext();
  ctx  = (SecurityContext) request.getSession().getAttribute("SPRING_SECURITY_CONTEXT");
  Authentication auth = ctx.getAuthentication();
  Object principal = auth.getPrincipal();
  UserDetails user = null;
  if(principal instanceof UserDetails){
   user = (UserDetails)principal;
  }

hanwesley
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity常见简单应用
qq_43784314的博客
03-02 407
文章目录SpringSecurity简介一、搭建SpringSecurity环境二、认证和授权1、添加授权2.添加认证3、SpringSecurity整合thymeleaf在前端展示问题 SpringSecurity简介 SpringSecuritySpringBoot中集成的权限框架,可定制身份验证和权限控制。侧重于为java应用程序提供身份验证和授权。解决之前关于权限的代码十分繁琐,冗余的问题。SpringSecurity主要有两个目标:认证(Authentication)和授权(Authoriza
使用JWT保护你的Spring Boot应用 - Spring Security实战
weixin_34099526的博客
06-07 146
作者 freewolf 原创文章转载请标明出处 关键词 Spring Boot、OAuth 2.0、JWT、Spring Security、SSO、UAA 写在前面 最近安静下来,重新学习一些东西,最近一年几乎没写过代码。整天疲于奔命的日子终于结束了。坐下来,弄杯咖啡,思考一些问题,挺好。这几天有人问我Spring Boot结...
阿里内部强推的SpringScurity实战笔记,与君共分享
老男孩的架构路
09-21 550
Spring Scurity 的前身是Acegi Security, 在被收纳为Spring子项目后正式更名为Spring Security。现已升级到5.1.3.RELEASE版本,加入了原生OAuth2.0框架,支持更加现代化的密码加密方式。可以预见,在Java应用安全领域,Spring Security 会成为被首先推崇的解决方案,就像我们看到服务器就会联想到Linux一样顺理成章。
Spring Security实际项目中的应用
qq_36615278的博客
04-23 399
Spring Security实际项目中的应用
Spring Security 应用实践
qq_38454776的博客
01-19 351
概述 Spring SecuritySpring 在安全方面的推出的框架,是采用责任链的设计模式,基于 Spring AOP 和 Servlet 过滤器进行实现。这篇文章记录认证授权的一些概念,以及如何使用其进行扩展保护我们的应用。 认证与授权的概念 认证:我是谁 授权:有哪些访问权限 在系统安全方面,我们面临的两个问题是: 1、如何保护需要访问权限的资源? 在 Java 中我们一般使用过滤器对我们的资源进行保护,使用拦截器对方法的访问进行控制。 2、用户的登录状态要如何传递? 如何让服务器意识到
SpringSecurity实战代码
11-04
通过这个实战项目,你可以加深对SpringSecurity工作原理的理解,同时掌握如何在SpringBoot应用中有效地实施安全控制。实践中遇到问题时,可以查阅SpringSecurity官方文档、相关教程或者在线社区寻找答案。祝你学习...
SpringSecurity 测试实战
08-25
SpringSecurity 测试实战 标题:SpringSecurity 测试实战 描述:SpringSecurity 测试实战主要介绍了SpringSecurity 测试实战,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值。 ...
Spring Security实战例子
09-08
通过这个Spring Security实战例子,你可以深入了解Spring Security的配置、认证和授权机制,以及如何与数据库集成。实践是最好的老师,动手完成这四个小项目将有助于巩固理解,并为你在实际项目中应用Spring ...
SpringSecurity实战教程.txt
12-21
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,...
Spring Security实际应用
tttttt521的博客
10-25 870
任何一个网站在开始之前都应该要考虑到安全。主要都分为两个功能:验证和鉴权。验证就是确认用户的身份,一般采用用户名和密码的形式;鉴权就是确认用户拥有的身份(角色、权限)能否访问受保护的资源。 SpringSecurity是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术,可以实现强大的web安全控制。只需要引入spring-boot-starter-security模块,进行少量的配置就可实现强大的安全管理 两个主要目标 认证和授权 搭好框架 @EnableWebSe
Spring Security的运用
xiaoyaGrace的博客
03-12 136
Spring security是一个安全框架,下面,主要讲解Spring Security的一些运用,核心:配置对应的路径以及访问该路径所需要的角色即可package bs.lmy.auth;import org.springframework.security.access.AccessDecisionManager;import org.springframework.security.acc...
spring security 实际应用总结
insisxz的博客
08-05 323
两个重要概念:授权服务 、资源服务 主要流程 用户在登入、切换角色 时,通过授权服务验证,验证通过后,授权服务会返回一个 token,前端存这个 token ,当用户访问其他资源时,资源服务 通过这个 token 获取到实际的用户信息,根据配置的资源规则来判断是否能够访问。 授权服务 通过配置开启授权服务器 @EnableAuthorizationServer // 开启授权服务器的功能 @Configuration public class AuthorizationServerConfig extend
权限控制(Spring Security框架)入门详解+实际应用
落日的博客
04-24 1286
一、权限控制相关概念 1.1、认证和授权的概念 我们知道一个系统的不同用户所拥有的系统权限是不同的,并且每个用户想要登录系统都需要进行用户名和密码的校验,验证成功后才能进入系统。 所以总结出认证和授权的概念如下: 认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操...
图解Spring Security默认使用的过滤器
xyz20003的专栏
06-15 430
第 9 章 图解过滤器 图 9.1. auto-config='true'时的过滤器列表 9.1. HttpSessionContextIntegrationFilter 图 9.2. org.springframework.security.context.HttpSessionContextIntegrationF...
安全框架SpringSecurity实战总结(一)
FlyingFish868的博客
12-28 6382
Spring Security是一个高度自定义的安全框架,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了 Spring IoC , DI(控制反转Inversion of Control,DI:Dependency Injection 依赖注入) 和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能。
spring security设置(springSecurityFilterChain与DelegatingFilterProxy)
热门推荐
Kaiwii的专栏
10-29 2万+
下面是从外网找到的一篇好文章,好文采!但是,有一点想不明白的是,这么好的文章为什么就要把人家挡在国门之外!想不通…… Simple web application with Spring Security: Part 13 In the last few pages on spring security series, I was about to tackle method-level
【C++刷题】力扣-#121-买卖股票的最佳时机
最新发布
会写代码的饭桶
10-16 210
给定一个数组 prices,其中 prices[i] 表示第 i 天的股票价格。假设你可以在第 i 天买入并在第 j 天卖出股票(i ≤ j),设计一个算法来计算你所能获取的最大利润。注意你只能持有一股股票,并且你不能同时参与多笔交易(即在再次买入前必须卖出股票)。
基于SSM班级事务管理系统的设计
2401_87849773的博客
10-15 275
管理员账户功能包括:系统首页,个人中心,学生管理,班委管理,班会组织管理,健康档案管理,党员发展管理,党员培训管理,学生成绩管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。班委账号功能包括:系统首页,学生管理,学生成绩管理,活动信息管理,班费通知管理。服务器:SpringBoot自带 apache tomcat。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发系统:Windows。
Spring Boot整合Spring Security实战教程
"本文将介绍如何在Spring ...Spring Security提供了一个强大而灵活的安全框架,通过集成到Spring Boot应用中,可以轻松地实现用户认证和授权。这个实例展示了如何一步步配置Spring Security,使其能够适应项目的需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值