SpringSecurity框架(二)纯注解配置

最新推荐文章于 2024-02-19 18:36:11 发布
最新推荐文章于 2024-02-19 18:36:11 发布
阅读量1.9k 收藏 5
点赞数
分类专栏: 2spring常用工具 文章标签: SpringSecurity 配置 纯注解 安全认证 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/houysx/article/details/80230968
版权

1.在web容器中注册过滤器链

/**
 * 通过继承AbstractSecurityWebApplicationInitializer类, 
 * 该已经实现了springSecurityFilterChain的注册 
 *
 */
public class SpringSecurityInitConfig extends AbstractSecurityWebApplicationInitializer {


}

实现了springSecurityFilterChain注册的源码

public abstract class AbstractSecurityWebApplicationInitializer
        implements WebApplicationInitializer {

    private static final String SERVLET_CONTEXT_PREFIX = "org.springframework.web.servlet.FrameworkServlet.CONTEXT.";

    public static final String DEFAULT_FILTER_NAME = "springSecurityFilterChain";

    private final Class<?>[] configurationClasses;


//加载时候调用onStartup方法
public final void onStartup(ServletContext servletContext) throws ServletException {
        beforeSpringSecurityFilterChain(servletContext);
        if (this.configurationClasses != null) {
            AnnotationConfigWebApplicationContext rootAppContext = new     AnnotationConfigWebApplicationContext();
            rootAppContext.register(this.configurationClasses);
            servletContext.addListener(new ContextLoaderListener(rootAppContext));
        }
        if (enableHttpSessionEventPublisher()) {
            servletContext.addListener(
                    "org.springframework.security.web.session.HttpSessionEventPublisher");
        }
        servletContext.setSessionTrackingModes(getSessionTrackingModes());
        //调用添加过滤器链方法
        insertSpringSecurityFilterChain(servletContext);
        afterSpringSecurityFilterChain(servletContext);
    }


private void insertSpringSecurityFilterChain(ServletContext servletContext) {
        String filterName = DEFAULT_FILTER_NAME;
        DelegatingFilterProxy springSecurityFilterChain = new DelegatingFilterProxy(
                filterName);
        String contextAttribute = getWebApplicationContextAttribute();
        if (contextAttribute != null) {
            springSecurityFilterChain.setContextAttribute(contextAttribute);
        }
        //调用注册过滤器链方法
        registerFilter(servletContext, true, filterName, springSecurityFilterChain);
    }

//注册过滤器链的方法
private final void registerFilter(ServletContext servletContext,
            boolean insertBeforeOtherFilters, String filterName, Filter filter) {
        Dynamic registration = servletContext.addFilter(filterName, filter);
        if (registration == null) {
            throw new IllegalStateException(
                    "Duplicate Filter registration for '" + filterName
                            + "'. Check to ensure the Filter is only configured once.");
        }
        registration.setAsyncSupported(isAsyncSecuritySupported());
        EnumSet<DispatcherType> dispatcherTypes = getSecurityDispatcherTypes();
        registration.addMappingForUrlPatterns(dispatcherTypes, !insertBeforeOtherFilters,
                "/*");
    }

2.springSecurity配置文件

   Filter在web.xml中配置的只是一个代理,而真正起作用的Filter是作为Bean配置在Spring中的。web.xml中的代理依次调用这些Bean,就实现了对Web资源的保护,同时这些Filter作为Bean被Spring管理,所以实现AOP也很简单,一举两得啊。 

package cn.it.travel.config;


import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import cn.it.travel.service.UserService;



/**
 * 1.添加@EnableWebSecurity  创建过滤器执行链给spring容器管理 springSecurityFilterChain
 * 2.继承WebSecurityConfigurerAdapter 目的是重写父类的配置方法 应用自己添加的配置
 * 3.注解@EnableGlobalMethodSecurity  开启注解拦截方法的请求  
 *      prePostEnabled 设置在请求方法之前拦截auth方法,进行权限校验 
 *
 */

@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter{

    @Autowired
    private UserService userService;

    /**
     * configure(AuthenticationManagerBuilder auth)方法是用于配置
     * 权限验证登陆管理
     * */

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        super.configure(auth);

        /**
         * 自定义配置验证的service类 : 目的是查询数据库读取所有的用户权限  
         * 采用密文验证  :passwordEncoder
         * 加密方式为      :getBCryptPasswordEncoder()
         */
        auth.userDetailsService(userService).passwordEncoder(getBCryptPasswordEncoder());
    }

    /**
     * 将加密方式的配置对象送入容器 
     */
    @Bean
    public BCryptPasswordEncoder  getBCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    /**
     * configure(HttpSecurity http) 用于请求回调拦截的配置
     * */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //添加不需要认证的路径
                .antMatchers("/login.jsp", "/login.do", "/css/**",
                        "/img/**", "/plugins/**").permitAll()
                //任何请求需要认证
                .anyRequest().authenticated()
                //权限前缀不要给
                //.anyRequest().hasRole("ACCESS")
                //.anyRequest().hasAnyAuthority()
                //.anyRequest().fullyAuthenticated()
                //关闭csrf 关闭跨域的验证
                .and().csrf().disable()
                //自定义配置登陆页面
                .formLogin().loginPage("/login.jsp")
                //自定义登陆请求地址
                .loginProcessingUrl("/login.do").
                //验证成功的跳转页面
                successForwardUrl("/index.jsp").
                //验证失败的跳转路径
                failureForwardUrl("/failer.jsp")
                //退出的请求路径 
                .and().logout().logoutUrl("/logout.do").
                //退出请求后销毁session
                invalidateHttpSession(true).
                //退出成功跳转的页面
                logoutSuccessUrl("/login.jsp")
                //权限不足跳转的路径
                .and().exceptionHandling().accessDeniedPage("/accessDenied.jsp");
    }


}

3 将配置springSecurity的配置类加载到spring容器中

public class AppConfig implements WebApplicationInitializer{

        //2.1创建AnnotationConfigWebApplicationContext
        AnnotationConfigWebApplicationContext springContext = new AnnotationConfigWebApplicationContext();
        //2.2spring的配置类  springSecurity的配置类
        springContext.register(SpringConfig.class,SpringSecurityConfig.class);

4.权限的使用

在业务层方法上通过注解@PreAuthorize,配置调用方法需要的权限:
@PreAuthorize(“hasAuthority(‘PRODUCT_LIST’)”)


    /**
     * 
     * 查询所有商品
     * @PreAuthorize("hasAuthority('PRODUCT_LIST')")
     * 配置调用该业务层方法需要的权限为:PRODUCT_LIST
     * */
    @PreAuthorize("hasAuthority('PRODUCT_LIST')")
    @Transactional(propagation = Propagation.SUPPORTS ,readOnly = true)
    public PageInfo findAllProduct(Integer pageNum,Integer pageSize){
         PageHelper.startPage(pageNum, pageSize);
         List<Product> products = productDao.findAllProduct();
         PageInfo pageInfo = new PageInfo(products);
         return pageInfo;
    };
houysx
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
springsecurity-collection:springsecurity安全框架的一些使用
04-28
安全框架SpringSecurity的基本应用 test-ss-11 集成spring security 自定义认证成功和认证失败的handler 自定义访问拒绝的handler(权限不足) 自定义退出登录成功的handler MockUserList是模拟用户列表 authorize...
SpringSecurity自定义注解放行,以及在微服务架构中使用
qq_57587177的博客
10-15 754
SpringSecurity自定义注解放行,以及在微服务架构中使用
springsecurity匿名访问不鉴权注解
黑科技的专栏
01-03 1145
springsecurity匿名访问不鉴权注解
SpringBoot3】Spring Security 常用注解
最新发布
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-19 1261
Spring Security 6 的常用注解包括以下几种,通过这些注解可以更加方便的控制资源权限。 - `@Secured` :方法执行前检查,直接判断有没有对应的角色 - `@PreAuthorize`:方法执行前检查,根据SpEL表达式执行结果判断是否授权 - `@PostAuthorize`:方法执行后检查,根据SpEL表达式执行结果判断是否授权
SpringSecurity —— 2、web 权限方案
Mr_zhangyj的博客
04-24 920
1、设置登录系统的账号、密码 1.1、方法一:在配置文件 application.properties 中设置 spring.security.user.name=zyj spring.security.user.password=123456 1.2、方法:通过配置类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected v
IDEA 自定义注解(类注释、方法注释)
热门推荐
lydms的博客
12-07 2万+
文章目录一、生成类注释1、打开设置位置2、将自定义的类注解规则,复制到Class中。3、使用:新建类的时候会自动加上注解、自定义方法注解1、打开设置2、添加自定义注解模板组3、添加自定义注解模板4、设置模板的作用范围5、自定义㢟规则6、使用自定义注解三、注意事项1、在类上注解,没有显示入参和返回值2、自定义注解参数及使用方式 一、生成类注释 1、打开设置位置 打开File —> Settings —> Editor —> File and Code Templates —> Fi
spring security 注解@EnableGlobalMethodSecurity详解
anita9999的博客
06-14 789
1、Spring Security默认是禁用注解的,要想开启注解, 需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解, 来判断用户对某个控制层的方法是否具有访问权限 @Configuration @EnableWebSecurity @EnableAutoConfiguration @EnableGlobalMethodSecurity(prePostEnabled =true) public class We.
SpringSecurity配置
qq_45733154的博客
10-19 7869
SpringSecurity配置与使用
springsecurity 配置
lanlan112233的博客
04-13 1030
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
Java课程实验 Spring Security 实现用户认证和授权管理
07-07
要在Spring Boot中实现用户认证和授权管理,你可以使用Spring Security框架Spring Security提供了一套强大的功能来处理用户身份验证和授权,以下是一些常见的步骤: 1.添加Spring Security依赖: 在项目的 pom.xml...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. Config -...
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
springboot+security+mybatis+redis+jwt,鉴权框架搭建
06-22
本项目集成了springboot+security+mybatis+redis+jwt用于学习security鉴权功能,其中有...项目搭建已经比较成熟,能够直接进行使用,通过代码可以学习security的权限配置,菜单权限,注解权限等 有学习SPI机制的学习
Spring Security 中文教程.pdf
12-06
1.1. Spring Security是什么? 1.2. 历史 1.3. 发行版本号 1.4. 获得Spring Security 1.4.1. 项目模块 1.4.1.1. Core - spring-security-core.jar 1.4.1.2. Web - spring-security-web.jar 1.4.1.3. ...
Spring Security 配置
2301_76424979的博客
06-05 310
【代码】Spring Security 配置类。
SpringSecuryty中的常用配置
CHENFU_ZKK的博客
10-14 821
SpringSecuryty中的常用配置
Spring Security安全配置
coolshyman的博客
07-25 1752
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证
[自用留档]SpringSecurity配置
qq_61603262的博客
10-18 336
spring security配置
SpringSecurity配置类--常用配置
qq_52211542的博客
10-07 3200
SpringSecurity配置类--常用配置
如何学习SpringSecurity框架
05-31
5. 学习如何使用Spring Security框架来保护RESTful API,包括使用@EnableGlobalMethodSecurity注解配置MethodSecurityInterceptor对象、使用@Secured和@RolesAllowed注解等。 6. 学习如何自定义Spring Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值