SPRING SECURITY 纯JAVA代码配置

最新推荐文章于 2024-05-07 18:11:37 发布
最新推荐文章于 2024-05-07 18:11:37 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring security java web
Hello Web Security

在这个部分,我们对一个基于web的security作一些基本的配置。可以分成四个部分:
- 更新依赖 – 我们已经在前一篇文章中用Maven进行了示范
- 进行Spring Security配置 – 这个例子中,我们采用WebSecurityConfigurerAdapter
- 确保Spring Security配置已经被加载了 – 我们采用AbstractAnnotationConfigDispatcherServletInitializer
- 配置springSecurityFilterChain – 我们采用AbstractSecurityWebApplicationInitializer

WebSecurityConfigurerAdapter

@EnableWebSecurity注解以及WebSecurityConfigurerAdapter一起配合提供基于web的security。继承了WebSecurityConfigurerAdapter之后,再加上几行代码,我们就能实现以下的功能:
- 要求用户在进入你的应用的任何URL之前都进行验证
- 创建一个用户名是“user”,密码是“password”,角色是“ROLE_USER”的用户
- 启用HTTP Basic和基于表单的验证
- Spring Security将会自动生成一个登陆页面和登出成功页面

@Configuration
@EnableWebSecurity
public class HelloWebSecurityConfiguration extends WebSecurityConfigurerAdapter {
    @Override
    protected void registerAuthentication(AuthenticationManagerBuilder auth) {
        auth.inMemoryAuthentication()
.withUser("user").password("password").roles("USER");
    }
}

作为参考,我们在这里也给出相似的XML配置,不过有几个特殊配置:
- Spring Security会生成一个登陆页面,验证失败页面和登出成功页面
- login-processing-url仅仅处理HTTP POST
- login-page仅仅通过HTTP GET进入

<http use-expressions="true">
  <intercept-url pattern="/**" access="authenticated"/>
  <logout
    logout-success-url="/login?logout"
    logout-url="/logout"
  />
  <form-login
    authentication-failure-url="/login?error"
    login-page="/login"
    login-processing-url="/login"
    password-parameter="password"
    username-parameter="username"
  />
</http>
<authentication-manager>
  <authentication-provider>
    <user-service>
      <user name="user"
          password="password"
          authorities="ROLE_USER"/>
    </user-service>
  </authentication-provider>
</authentication-manager>
AbstractAnnotationConfigDispatcherServletInitializer

下一步就是保证ApplicationContext包含我们刚刚定义的HelloWebSecurityConfiguration。有几种方法都可行,我们这里使用Spring的AbstractAnnotationConfigDispatcherServletInitializer:

public class SpringWebMvcInitializer extends
AbstractAnnotationConfigDispatcherServletInitializer {

    @Override
    protected Class[] getRootConfigClasses() {
            return new Class[] { HelloWebSecurityConfiguration.class };
    }
    ...
}

Spring Security通常在web.xml中包含下面几行代码进行初始化:

<!-- Creates the Spring Container shared by all Servlets and Filters -->
<listener>
  <listener-class>
    org.springframework.web.context.ContextLoaderListener
  </listener-class>
</listener>

<!-- Load all Spring XML configuration including our security.xml file -->
<context-param>
  <param-name>contextConfigLocation</param-name>
  <param-value>/WEB-INF/spring/*.xml</param-value>
</context-param>
AbstractSecurity WebApplicationInitializer

最后一步,我们需要对springSecurityFilterChain定义映射路径。我们很容易通过继承AbstractSecurityWebApplicationInitializer实现,并可以有选择的通过覆盖方法来定制映射。

下面是最基本的配置,它可以接受默认的映射路径,springSecurityFilterChain具有以下的特性:
- springSecurityFilterChain映射到了”/*”
- springSecurityFilterChain使用ERROR和REQUEST分派类型(dispatch type)
- springSecurityFilterChain插入到其它已经配置的servlet过滤器映射(servlet Filter mapping)之前

public class SecurityWebApplicationInitializer
extends AbstractSecurityWebApplicationInitializer {
}

上面的代码等同于将这几行代码放在web.xml中:

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>
    org.springframework.web.filter.DelegatingFilterProxy
  </filter-class>
</filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
  <dispatcher>ERROR</dispatcher>
  <dispatcher>REQUEST</dispatcher>
</filter-mapping>

WebApplicationInitializer的次序
在AbstractSecurityWebApplicationInitializer启动之后再加入的servlet过滤器映射,它们有可能会加在springSecurityFilterChain之前。除非这个应用不需要安全验证,否则springSecurityFilterChain需要放在其它所有的过滤器映射之前。@Order可以保证任何WebApplicationInitializer都使用特定的顺序加载。

CustomWebSecurityConfigurerAdapter

这个HelloWebSecurityConfiguration范例,为我们很好的展示了Spring Security Java配置是如何工作的。让我们来看看更多定制的配置吧。

@EnableWebSecurity
@Configuration
public class CustomWebSecurityConfigurerAdapter extends
WebSecurityConfigurerAdapter {
    @Override
    protected void registerAuthentication(AuthenticationManagerBuilder auth) {
        auth
        .inMemoryAuthentication()
        .withUser("user") // #1
        .password("password")
        .roles("USER")
        .and()
        .withUser("admin") // #2
        .password("password")
        .roles("ADMIN","USER");
    }

    @Override
    public void configure(WebSecurity web) throws Exception {
        web
        .ignoring()
        .antMatchers("/resources/**"); // #3
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
        .authorizeUrls()
        .antMatchers("/signup","/about").permitAll() // #4
        .antMatchers("/admin/**").hasRole("ADMIN") // #6
        .anyRequest().authenticated() // #7
        .and()
        .formLogin() // #8
        .loginUrl("/login") // #9
        .permitAll(); // #5
    }
}

我们也需要更新AbstractAnnotationConfigDispatcherServletInitializer,这样CustomWebSecurityConfigurerAdapter可以实现以下功能:
- #1 可以在内存中的验证(memory authentication)叫作”user”的用户
- #2 可以在内存中的验证(memory authentication)叫作”admin”的管理员用户
- #3 忽略任何以”/resources/”开头的请求,这和在XML配置http@security=none的效果一样
- #4 任何人(包括没有经过验证的)都可以访问”/signup”和”/about”
- #5 任何人(包括没有经过验证的)都可以访问”/login”和”/login?error”。permitAll()是指用户可以访问formLogin()相关的任何URL。
- #6 “/admin/”开头的URL必须要是管理员用户,譬如”admin”用户
- #7 所有其他的URL都需要用户进行验证
- #8 使用Java配置默认值设置了基于表单的验证。使用POST提交到”/login”时,需要用”username”和”password”进行验证。
- #9 注明了登陆页面,意味着用GET访问”/login”时,显示登陆页面

下面的XML配置和上面的Java配置类似:

Java配置和XML命名空间的相同之处

在看过了更复杂的例子之后,你可能已经找到了一些XML命名空间和Java配置的相似之处。我在这里说明几条有用的信息:
- HttpSecurity和http命名空间类似。它可以对于某一部分请求进行特别配置。要看个完整的配置实例,详见SampleMultiHttpSecurityConfig
- WebSecurity和Security的命名空间的元素很类似,后者是针对web的,不需要父节点(security=none, debug等等)。可以对整个web security进行配置。
- WebSecurityConfigurerAdapter方便我们定制WebSecurity和HttpSecurity。我们可以对WebSecurityConfigurerAdapter进行多次继承,以实现不同的http行为。详细的实例参见SampleMultiHttpSecurityConfig
- 我们以上的Java配置代码作了代码格式化,所以易于阅读。“and()”类似于XML中结束一个元素的结束符。

Java配置和XML命名空间的不同之处

你已经意识到了XML和Java配置的不同之处
- 当你在”#1″和“#2”中创建用户的时候,我们并没有设置为”ROLE_“前缀,而我们在XML设置成了“ROLE_USER”。因为这是个管理,”roles()”方法会自动添加”ROLE_“。如果你不想要”ROLE_“,你可以使用”authoritites()”方法。
- Java配置有一些不同的默认URL和参数。当要创建自定义的登陆页面的时候要将这一条牢记在心。默认的URL使我们的URL更加RESTful。另外,使用Spring Security可以帮我避免信息泄露)。例如:
* GET访问/login登陆页面,而不是访问/spring_security_login
* POST访问/login,而不是/j_spring_security_check
* 用户名默认为parameter,而不是j_username
* 密码默认是password,而不是j_password
- Java配置可以更容易将多个请求映射到同样的角色上。#4就将两个URL作了映射,以便所有人都可以访问
- Java移除了多余的代码。例如,在XML中我们不得不在form-login和intercept-url中重复两次”/login”,而在Java配置中,我们靠#5就轻易做到了让用户都能访问到和formLogin()相关的URL。
- 映射HTTP请求的时候,我们使用了“hasRole()”方法,我们也没有添加”ROLE_”前缀,而在XML中我们则添加了。这也是我们应该知道的惯例:”hasRole()”会自动添加”ROLE_”前缀。如果你不想要“ROLE_”前缀,你可以使用”access()”方法。

结论

你可能已经对基于web的security的Java配置已经有了一定的认识了。下一篇中,我们将会带你来看下如何用Java配置来配置基于method的security。

原文地址: http://spring.io/blog/2013/07/03/spring-security-java-config-preview-web-security/
译文地址: SPRING SECURITY JAVA配置:Web Security
作者: ImportNew.com - 唐小娟

dreamhj
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
详解springSecurityjava配置
08-18
Spring SecurityJava 配置是指使用 Java 代码配置 Spring Security,以便更好地控制安全性。在本文中,我们将详细介绍 Spring SecurityJava 配置篇,包括如何使用 Java 配置 Spring Security,如何自定义...
Spring Security安全配置
coolshyman的博客
07-25 1986
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
springSecurityjava配置
知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;)
06-06 596
一 前言 本篇是springSecurity知识的入门第二篇,主要内容是如何使用java配置的方式进行配置springSeciruty,然后通过一个简单的示例自定义登陆页面,覆盖原有springSecurity默认的登陆页面;学习这篇的基础是 知识追寻者之前发布 过 的《springSecurity入门篇》 公众号:知识追寻者 知识追寻者(Inheriting the spirit of open source, Spreading technology knowledge;) 二 java配置 2.
2024年最全Java中使用Spring-security(一),分享我在Java开发中走的一些弯路
最新发布
2301_79099287的博客
05-07 406
针对以上面试题,小编已经把面试题+答案整理好了。
Spring Security配置(Configuration)
深圳市多克创新科技有限公司
10-27 519
Spring Security配置(Configuration)
Spring实战】11 Security 常用配置
好久不见的流星
12-29 1762
Spring Security 是一个用于在 Java 应用程序中提供身份验证(Authentication)和授权(Authorization)功能的强大框架。它构建在 Spring 框架的基础之上,为开发者提供了一套完整的安全性解决方案,使得在应用程序中集成用户认证和授权变得更加简便和灵活。本文将继续介绍 Spring Security 的几个常用配置
Spring Boot安全管理—Spring Security基本配置
m0_58815972的博客
08-19 2802
Spring Security基本配置
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
详解spring security 配置多个AuthenticationProvider
08-30
在上面的代码中,我们使用 Spring SecurityJava 配置方式,注册了我们的自定义 AuthenticationProvider 到 Spring Security 中。 最后,我们可以在应用程序中使用我们的自定义 AuthenticationProvider 进行身份...
Spring Security 基本使用和配置代码
10-07
本教程将深入探讨Spring Security的基本使用和配置代码,帮助你理解和实践这个框架。 首先,Spring Security的核心功能包括用户身份验证、权限控制以及安全相关的会话管理。在开始配置之前,确保你的项目已经集成了...
JavaSpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了JavaSpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
SpringSecurity配置
qq_45733154的博客
10-19 8197
SpringSecurity配置与使用
java】【SpringSecuritySpringSecurity在MVC项目中的应用
weixin_42410658的博客
01-09 290
SpringSecurity用户 /** * SpringSecurity中的用户实体类 * */ public class SecurityUser implements UserDetails { private static final long serialVersionUID = 1L; private final String uid; private final String username; private final String pass
AbstractAnnotationConfigDispatcherServletInitializer剖析
yzy199391的博客
03-06 5875
javax.servlet.ServletContainerInitializer接口的实现类在Servlet3.0环境中,用于配置容器。 Spring中提供上述接口的实现类SpringServletContainerInitializer,它反过来会查找实现WebApplicationInitializer的类,将配置的任务交给他们来完成。 Spring3.2中引入AbstractAnnotat...
security java配置_spring-security-4 (2)spring security 基于Java配置的搭建
weixin_34651547的博客
02-22 268
一、spring security的模块搭建spring security首先我们要导入必须的jar,即maven的依赖。spring security按模块划分,一个模块对应一个jar。spring security分为以下九个模块:1.Corespring-security-core.jar:核心模块。包含核心的认证(authentication)和授权(authorization)的类和接...
javaConfig方式配置spring security
neweastsun的专栏
01-10 4578
javaConfig方式配置spring security 本文介绍javaConfig方式配置spring security,通过阅读可以了解无需xml配置且较容易地配置使用spring security。 从spring framework3.1开始并支持javaConfig方式,spring security3.2中扩展了该功能,通过使用@Configuration注解方式配置
SpringSecurityjava配置
远方的少年
04-06 468
     大多spring的那套东西,都支持注解和xml两种方式进行配置,而xml配置则通常比较麻烦,需要记住一大堆标签,通常提示也不是很到位,用xml配置需要我们对整个过程和各种标签都十分的熟悉,而这对于初学者通常都是比较难的一件事情,意味着学习时间需要更多。所以大多在项目中简单快捷的方式就是使用注解或者java类进行配置,更容易上手,springSecurity也提供了Java配置的方式。 ...
Spring Security java配置XML配置的对应和转换
makefriend7的专栏
12-14 3251
主要是对spring securityXML配置。。
Spring MVC + Security 4 初体验(Java配置版)
weixin_33755847的博客
03-08 118
spring Version = 4.3.6.RELEASEspringSecurityVersion = 4.2.1.RELEASEGradle 3.0 + Eclipse Neno(4.6) 这篇文章同样是使用的Java配置,而非XML配置,如果你对于Java配置Spring MVC开发还不太熟悉,可以先看我这篇文章。 Author...
Spring Security 3.0.5配置实战指南
"Spring Security3.0.5安全配置手册提供了关于如何在Spring Security框架下配置应用程序以确保安全的详细指南。" 在Spring Security 3.0.5中,安全配置是一个关键环节,用于保护应用程序免受未经授权的访问。手册...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值