Spring Security整合SSM

最新推荐文章于 2024-01-22 16:55:22 发布
最新推荐文章于 2024-01-22 16:55:22 发布
阅读量279 收藏 1
点赞数
文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangwangz/article/details/105918302
版权

简介

Spring Security是 Spring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证 和授权的过程。 官网:https://spring.io/projects/spring-security.

1.1导入Spring Security环境

第一步:对应的maven坐标:

<dependency>  
	<groupId>org.springframework.security</groupId> 
    <artifactId>spring-security-web</artifactId>  
    <version>5.0.5.RELEASE</version>
</dependency> 
<dependency>  
	 <groupId>org.springframework.security</groupId>  
	 <artifactId>spring-security-config</artifactId>  
	 <version>5.0.5.RELEASE</version>
</dependency>

第二步:在工程的web.xml文件中配置用于整合Spring Security框架的过滤器 DelegatingFilterProxy

<!--委派过滤器,用于整合其他框架-->
<filter>
	<!--整合spring security时,此过滤器的名称固定springSecurityFilterChain-->
	<filter-name>springSecurityFilterChain</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filterclass>
</filter>
<filter-mapping>
	<filter-name>springSecurityFilterChain</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

第三步:配置Spring Security的xml文件,这里有个模板,可以拿来稍微改改直接用

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置哪些资源匿名可以访问(不登录也可以访问)-->
    <!--<security:http security="none" pattern="/pages/a.html"></security:http>
    <security:http security="none" pattern="/pages/b.html"></security:http>-->
    <!--<security:http security="none" pattern="/pages/**"></security:http>-->
    <security:http security="none" pattern="/login.html"></security:http>
    <security:http security="none" pattern="/css/**"></security:http>
    <security:http security="none" pattern="/img/**"></security:http>
    <security:http security="none" pattern="/js/**"></security:http>
    <security:http security="none" pattern="/plugins/**"></security:http>
<!--    <security:http security="none" pattern="/statics/**"></security:http>-->
    <!--
        auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
        use-expressions:是否使用spring security提供的表达式来描述权限
    -->
    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则, 表示拦截所有请求-->
        <!--
            pattern:描述拦截规则
            asscess:指定所需的访问角色或者访问权限
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />

        <!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
        <!--
            login-page:指定登录页面访问URL
        -->
        <security:form-login
                login-page="/login.html"
                username-parameter="username"
                password-parameter="password"
                login-processing-url="/login.do"
                default-target-url="/pages/index.html"
                authentication-failure-url="/login.html"></security:form-login>

        <!--
          csrf:对应CsrfFilter过滤器
          disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403-->
        <security:csrf disabled="true"></security:csrf>

        <!--
          logout:退出登录
          logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--
                    配置一个具体的用户,后期需要从数据库查询用户
            <security:user-service>
                <security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
            </security:user-service>
            -->
            <!--指定度密码进行加密的对象-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />
</beans>

1.2 实现认证和授权

首先在service包下创建一个类,并实现UserDetailsService接口,重写接口方法,方法的参数是将前端的用户名传过来,我们需要返回用户名、密码、角色和权限(List)信息封装到框架给我们提供的User对象,让框架进行比对

package com.app.service;
import com.alibaba.dubbo.config.annotation.Reference;
import com.app.pojo.DevUser;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;
import java.util.ArrayList;
import java.util.List;

@Component
public class SpringSecurityUserService implements UserDetailsService {

    @Reference
    private DevUserService devUserService;
    
    /**
     * 使用Spring Security框架对用户进行认证授权
     * @param username
     * @return
     * @throws UsernameNotFoundException
     */
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //向数据库去拿user信息
        DevUser user = devUserService.findByUserName(username);
        if(user == null){
            //当没查到用户就说明该用户不存在
            return null;
        }
        List<GrantedAuthority> list = new ArrayList<>();
        /*list.add(new SimpleGrantedAuthority("permission_A"));//授权
        list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));*/

        User securityUser = new User(username, user.getDevPassword(), list);
        return securityUser;
    }
}

在Controller中方法上添加该注解,表示给方法授予权限,必须要有权限该方法才能访问,否则返回给前台403(权限不足),字符串以’ROLE’开头框架默认当做角色处理

@PreAuthorize("hasAuthority('add')")//调用此方法要求当前用户必须具有add权限

@PreAuthorize("hasRole('ROLE_ADMIN')")//调用此方法要求当前用户必须具有ROLE_ADMIN角色
我非翔云
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring securityssm框架整合的一个小 demo
04-04
现在我们将详细讨论如何将Spring Security整合SSM框架中。 首先,我们需要在项目中引入Spring Security的依赖。在 Maven 的pom.xml文件中添加如下依赖: ```xml <groupId>org.springframework.security ...
SSM+spring security3.x框架整合(附带数据文件)
10-02
5. **配置Spring Security SQL**:导入`springsecurity.sql`文件,该文件通常包含用户、角色和权限的初始数据。这一步确保Spring Security有必要的数据进行身份验证和授权。 6. **测试与调试**:编写单元测试和集成...
ssm框架整合springSecurity
weixin_48605326的博客
05-17 1931
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
Spring Security(SSM整合)
miracle
06-22 6304
一.Security框架简介 Spring Security的功能: Authentication:认证,就是用户登录 Authorization:授权,判断用户拥有什么权限,可以访问什么资源 安全防护,防止跨站请求,session攻击等 二.SSM整合Security框架开发 1.pom依赖 <?xml version="1.0" encoding="UTF-8"?> <...
SSM整合SpringSecurity
wujulius的博客
09-28 589
SpringMVC中整合SpringSecurity
SSM集成Spring Security
Yuanhaoxin的博客
01-16 828
本文档主要记录的是SSM框架集成Spring Security来做账户登录操作,已经集成了MyBatis,省略了基本的操作 实体User 首先需要先定义用户实体User的dto public class User{ @Id//标识主键 @GeneratedValue(strategy = GenerationType.IDENTITY) //自增长策略 priva...
基于Java的SSM整合Spring Security设计源码
最新发布
05-25
本源码为基于Java的SSM整合Spring Security设计,包含13个Java文件、8个JSP文件等,共32个文件。该项目旨在为用户提供一个全面、便捷的SSM整合Spring Security解决方案,通过Java、JavaScript技术的结合,为用户带来...
ssm框架整合Spring Security项目.zip
03-06
在这个平台上,我们为大家带来了一系列的 JavaSSMSpring + SpringMVC + MyBatis)项目。这些项目旨在展示SSM框架在实际应用中的魅力,同时也为开发者提供了一个快速学习和实践的机会。通过下载和使用这些项目,您...
ssm+mysql+springSecurity开发的后台管理系统
03-05
springMVC+springSecurity3+Mybaits3的权限系统 包括用户管理 角色管理 资源管理 服务器配置管理 登陆信息管理 操作日志管理 服务器监控配置  fusioncharts报表插件显示  EMALL发送(支持html语言)  springQuartz 定时任务  springAOP日志拦截处理  Mybaits分页插件封装统一处理 登录账号/密码:admin/admin
SpringSecurity整合ssm
qq_34091529的博客
06-27 730
SpringSecurity 1. SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 **(Authorization)
SSM整合SpringSecurity实现权限管理实例 javaconfig配置方式
poorCoder_的博客
04-18 2万+
1.前言 本文讲述使用javaconfig的方式整合SpringMVC+Mybatis+SpringSecurity实现基于数据库的权限系统,包括对按钮的权限控制。 使用技术: springMVC、springsecurity4、mybatis、ehcache、前端使用dataTables表格、ztree。 2.表结构介绍 标准的五张表结构。其中t_resources包含了后台系...
SSM框架整合Spring Security(二)
xiaokai123_的博客
08-23 1962
                               实现数据库验证 首先做一些准备工作: 必备知识:spring   springMVC    mybatis  mysql  gradle 。。。。。 了解 :Security ; 如果您对ssm环境不了解,可以参考我的之前更新的博文, gradle-分模块开发搭建SSM框架  SSM框架整合Spring Security(一...
基于 Spring Boot 的 SSM 环境整合十六:整合 spring security 三(自定义登录结果)
图钉的笔记
01-12 566
这一篇主要研究登录成功、登录失败时如何返回结果。 1、方法一:在 WebSecurityConfigurerAdapter 实现类中定义 首先回顾下前文中SecurityConfig类的部分配置: @Override protected void configure(HttpSecurity http) throws Exception { System.out.println("...
SSM整合SpringSecurity简单使用
Amour恋空的博客
02-11 1865
ssm整合SpringSecurity简单使用
SpringSecurity概念以及整合ssm框架
weixin_46245201的博客
12-16 606
Spring中提供安全认证服务的框架,认证:验证用户密码是否正确的过程,授权:对用户能访问的资源进行控制用户登录系统时我们协助 SpringSecurity 把,同时把各个设定好,剩下的“登录验证”、“权限验证”等等工作都交给SpringSecurity
厉害,我带的实习生仅用四步就整合SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
SSM项目集成Spring Security 4.X版本(使用spring-security.xml 配置文件方式)
u011529483的博客
01-22 1342
实战目标: Authentication:认证,实现用户认证登录 Authorization:授权,设定用户的资源,访问权限。
Java全栈工程师-Spring Security
07-21
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理 本课程讲解Spring Security三种使用方案:独立使用,整合SSM框架用法,和整合SpringBoot的用法 本课程讲解Spring Security结合数据库的RBAC表进行动态的用户认证和授权的实现过程
ssm整合springsecurity
06-28
### 回答1: SSM指的是Spring+SpringMVC+MyBatis这一组合,而Spring SecuritySpring框架中用于安全认证和授权的模块。将SSM整合Spring Security,可以在SSM应用中提供更加完善的安全控制和认证功能。 具体的实现过程包括以下几个步骤: 1. 添加Spring Security依赖:在pom.xml文件中添加Spring Security的依赖,如下所示: ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.4.2</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>5.4.2</version> </dependency> ``` 2. 配置Spring Security:在Spring的配置文件中配置Spring Security,包括认证管理器、用户详情服务、密码加密方式、安全过滤器链等内容。 3. 编写登录页面和控制器:编写用户登录页面和控制器,用户在登录页面输入用户名和密码后,控制器将用户输入的信息交给Spring Security进行认证。 4. 配置安全规则:根据业务需求,配置安全规则,例如需要登录才能访问某些资源,或者某些资源只有特定的用户角色才能访问等。 5. 测试:启动应用,测试登录、授权等功能是否正常。 通过以上步骤,就可以将Spring Security整合SSM应用中,提供更加完善的安全控制和认证功能。 ### 回答2: ssm整合springsecurity是指将SpringSecurity框架与SSM框架进行集成,实现对用户认证和授权的支持,保护Web应用程序中的资源。 具体来说,SSM框架中的Web应用程序可以使用SpringSecurity框架提供的安全机制,从而可以很好地保护应用程序中的敏感信息。此外,SpringSecurity还提供了一套完整的用户认证和授权框架,可以自定义实现用户登录、密码验证、用户授权等功能。 要实现SSM整合SpringSecurity,需要进行以下几个步骤: 1. 在pom.xml文件中添加spring-security-core和spring-security-config依赖,具体依赖根据项目需求而定。 2. 在Spring MVC的配置文件中添加SpringSecurity的配置信息,如用户权限的设置、HTTPS的启用以及记录用户登录日志等。 3. 在web.xml文件中添加SpringSecurity的Filter和配置信息。 4. 编写实现用户认证和授权的Java类,如自定义认证管理器、用户详细信息服务、密码加密服务等。 5. 编写安全相关的页面和控制器,如登录页面、注册页面、注销页面和授权页面等。 在SSM整合SpringSecurity的过程中,需要注意以下几点: 1. SpringSecurity框架提供了多种用户认证和授权的方式,开发者需要根据需求选择最适合的。 2. 在实现用户认证和授权的Java类中,需要注意代码的可读性、可维护性和安全性。 3. 在页面和控制器中,需要对用户输入的数据进行验证和过滤,防止SQL注入、跨站脚本攻击等安全问题。 总的来说,SSM整合SpringSecurity可以很好地提高Web应用程序的安全性,保护用户信息不被恶意攻击者利用,并且可以轻松地实现用户认证和授权等功能,为应用程序提供更好的用户体验。 ### 回答3: SSM是指SpringSpringMVC和Mybatis三个框架的整合Spring SecuritySpring的安全框架。对于SSM整合Spring Security,可以按照以下步骤进行。 1.在Spring的配置文件中添加以下内容: ``` <!--启用Spring Security--> <security:http auto-config="true"> <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> <security:intercept-url pattern="/user/**" access="ROLE_USER" /> <security:form-login login-page="/login" username-parameter="username" password-parameter="password" /> <security:logout logout-success-url="/logout" /> </security:http> <security:authentication-manager> <security:authentication-provider> <security:user-service> <security:user name="admin" password="admin123" authorities="ROLE_ADMIN" /> <security:user name="user" password="user123" authorities="ROLE_USER" /> </security:user-service> </security:authentication-provider> </security:authentication-manager> ``` 2.在SpringMVC的配置文件中添加以下内容,通过@Autowired注解将上面的bean引入: ``` <!--开启注解扫描--> <context:component-scan base-package="com.example.controller" /> <!--启用Spring Security--> <security:global-method-security pre-post-annotations="enabled" /> <bean id="springSecurityFilterChain" class="org.springframework.security.web.FilterChainProxy"> <security:filter-chain-map path-type="ant"> <security:filter-chain pattern="/login" filters="authenticationProcessingFilter" /> <security:filter-chain pattern="/logout" filters="logoutFilter" /> <security:filter-chain pattern="/**" filters="basicAuthenticationFilter" /> </security:filter-chain-map> </bean> <bean id="authenticationProcessingFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter"> <property name="authenticationManager" ref="authenticationManager" /> <property name="authenticationSuccessHandler"> <bean class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler"> <property name="defaultTargetUrl" value="/admin/index" /> </bean> </property> <property name="authenticationFailureHandler"> <bean class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler"> <property name="defaultFailureUrl" value="/login?error=true" /> </bean> </property> <property name="usernameParameter" value="username" /> <property name="passwordParameter" value="password" /> </bean> <bean id="logoutFilter" class="org.springframework.security.web.authentication.logout.LogoutFilter"> <constructor-arg value="/login" /> <constructor-arg> <bean class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler" /> </constructor-arg> </bean> <bean id="basicAuthenticationFilter" class="org.springframework.security.web.authentication.www.BasicAuthenticationFilter"> <property name="authenticationManager" ref="authenticationManager" /> <property name="authenticationEntryPoint"> <bean class="org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint"> <property name="realmName" value="Spring Security Application" /> </bean> </property> </bean> <security:authentication-manager id="authenticationManager"> <security:authentication-provider user-service-ref="userDetailsService" /> </security:authentication-manager> <bean id="userDetailsService" class="com.example.service.MyUserDetailsService" /> ``` 3.在Mybatis的配置文件中,为所有需要授权的Mapper接口添加以下内容: ``` @Secured("ROLE_USER") ``` 其中ROLE_USER需要在Spring的配置文件中定义。 通过以上步骤,就可以在SSM框架中整合Spring Security实现安全认证和权限控制了。在实际开发中,还需要根据具体的业务需求和系统架构进行定制,包括自定义认证和授权方式、注销登录、记住密码、登陆超时等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值