spring security2配置文件学习小结

最新推荐文章于 2022-10-19 14:00:11 发布
最新推荐文章于 2022-10-19 14:00:11 发布
阅读量95 收藏
点赞数
分类专栏: j2se学习笔记 文章标签: java 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huttoncs/article/details/84739997
版权

内容 转自 spring security2配置文件学习小结

 

1.applicationContext-security的配置 
使用命名空间,主要分为3个部分: 
a. <http>注册过滤器链,配置表单登陆,注销等 
b. 注册自定义的安全认证管理器 
c. 注册自定义的授权过滤器 

2.<http> 
a. <http>元素会创建一个FilterChainProxy和filter使用的bean。以前常常出现的因为filter顺序不正确产生的问题不会再出现了,现在这些过滤器的位置都是预定义好的。 
b. auto-config = true(默认为false) 
== 
<http> 
    <intercept-url pattern="/**" access="ROLE_USER" /> 
    <form-login /> 
    <anonymous /> 
    <http-basic /> 
    <logout /> 
    <remember-me /> 
</http> 
c. access-decision-manager-ref属性可以自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。例如: 

<!-- 访问投票管理 -->
 <b:bean id="accessDecisionManager" class="org.springframework.security.vote.AffirmativeBased">
  <b:property name="decisionVoters">
   <b:list>
    <b:bean class="org.springframework.security.vote.RoleVoter">
     <b:property name="rolePrefix" value="" />
    </b:bean>
   </b:list>
  </b:property>
 </b:bean>

 


3.安全认证 
a. <authentication-manager alias="XX"/>为AuthenticationManager注册一个别名,然后你可以application context的其他地方使用这个名字 
b. <authentication-provider>元素会创建一个DaoAuthenticationProvider bean;一个ProviderManager bean通常是由命名空间过程系统创建的, DaoAuthenticationProvider自动注册到它上面 
c. <user-service>元素会创建一个InMemoryDaoImpl。 
d. 使用<custom-authentication-provider>元素可以为ProviderManager注册另外的AuthenticationProvider bean 

4.http/intercept-url 
a. <intercept-url pattern="/XX" access="ROLE_XXX" />定义了对某个资源的访问需要某个角色的权限 
b. 对于在http/intercept-url中没有进行定义的URL,将会默认使用系统内置的过滤器链进行权限认证(就是说无须认证和授权就能访问了); 
c. 若使用了pattern="/*" 则一般情况下要配置匿名认证过滤器--登陆页面也被保护的话则会陷入死循环中. 
d. 由于一般情况下资源对应的权限都配置在数据库的资源权限表中,所以这个元素一般情况下没用 
e. 如果数据库中的资源权限表中不存在该资源记录,那么匿名认证过滤器实际上时不需要的. 

5.<security:custom-filter> 
a. <security:custom-filter position="XXX"/>会使用自定义的过滤器替换(position)某个过滤器,但是有3个不能替换:HttpSessionContextIntegrationFilter, ExceptionTranslationFilter, FilterSecurityInterceptor.但是可以使用before或after 
b. 除了使用position外,还可以使用before,after加入自定义的过滤器,还有的关键字包括first,last代表这个过滤器链的头和尾 

6.数据库的资源权限表中应该只保存.action的记录,把所有受保护的jsp页面放到/WEB-INF文件夹下,外部的用户就无法访问了,/WEB-INF下的JSP只能通过Servlet的转发访问。

huttoncs
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
19-Spring Security资源服务器配置详解
码农小胖哥
03-17 3207
我们已经初步尝试了资源服务器,我个人感觉资源服务器就像火车站进站口,你带着票进站乘车,售票员或者闸机就是那个过滤器(Filter),对你的票进行检验核对,符合了就放你进站,不符合了就按规定处理。那这一切是如何发生的呢?今天我们深入细节底层来看看一探究竟。 OAuth2ResourceServerConfigurer 通过HttpSecurity.oauth2ResourceServer很容易找出来Resource Server的配置类OAuth2ResourceServerConfigurer。下面的思维导
spring security动态配置url权限的2种实现方法
08-27
Spring Security中,权限配置通常是静态的,即在配置文件或代码中预先定义好URL与访问角色的关系。然而,在某些业务场景中,可能需要根据运行时条件动态地调整这些权限设置。本文将探讨两种在Spring Security中...
spring security 配置 intercept-url 时需要注意的几个问题
ren_xu123的专栏
12-03 1万+
Spring Security 正则表达 Posted on March 8, 2012 by kevin By default, after you’ve added Spring Security to your Roo app with ‘security setup’, you get an example config in a applicationContext-
spring security总结 太有用了!!
weixin_30448603的博客
09-09 150
转至:http://www.cnblogs.com/yl2755/archive/2012/04/19/2456823.html 谢谢作者!!! 首先导入spring security所需要的jar包 spring-security-core-2.0.5.RELEASE.jar spring-security-core-tiger-2.0.5.RELEASE.jar...
Spring Security OAuth2授权服务器资源服务器基本配置(二)
FAIRYTAIL的博客
08-26 1143
上一篇介绍了一些基本的概念及大致的使用流程,本篇我们完成授权服务的搭建并实现基本的认证授权功能。
Spring Security XML配置模板.docx
最新发布
07-05
Spring Security 中,可以通过 XML 配置文件来实现安全配置,这种方式相对灵活且易于理解。本文将详细介绍给定文件中的 Spring Security XML 配置模板,并深入解析其中的关键知识点。 #### 二、XML 配置关键知识...
Spring cloud config 配置文件加密方式
08-27
Spring Cloud Config 配置文件加密方式 Spring Cloud Config 是一个基于云计算的配置中心,它提供了对应用程序配置的集中管理和加密。配置文件加密是 Spring Cloud Config 的一个重要特性,它可以保护敏感数据不被...
spring security 配置文件小结(逐步深化到url级别)
05-25
在本文中,我们将深入探讨Spring Security配置文件小结,逐步深化到URL级别的保护。 首先,我们需要理解Spring Security的核心组件。这些包括`WebSecurityConfigurerAdapter`,这是自定义安全配置的主要入口点;`...
spring security xml方式配置
03-12
在项目`SpringSecurityCusotmLoginFormXmlExample`中,你可以找到这些配置的具体实现,包括Spring Security的XML配置文件、自定义登录表单以及与Spring MVC的整合示例。通过分析和学习这个示例,你可以更好地理解...
spring boot+spring security配置访问服务器静态资源
m0_47576928的博客
07-26 874
有时候想把一些静态资源放在服务器本地,不在默认的静态资源路径里,前台无法访问,所以我们需要进行配置: 1. 重写WebMvcConfigurationSupport import org.springframework.context.annotation.Configuration; import org.springframework.web.servlet.config.annotation.ResourceHandlerRegistry; import org.springframework.
spring security oauth2 资源服务器配置及检验过程
mis_huang的博客
09-28 2585
关于资源服务器默认配置 1、@EnableResourceServer 开启资源服务器 @Import(ResourceServerConfiguration.class) // 把 ResourceServerConfiguration 注入到容器 public @interface EnableResourceServer { } 2、 @Configuration // ConfigurationPhase.REGISTER_BEAN 1、security.oauth2.client.client.
Spring Security OAuth2 JWT资源服务器配置
OceanSky的专栏
07-16 1973
1.POM相关依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </depe...
Spring Security 与 OAuth2(资源服务器)
chucan4529的博客
01-26 823
Spring Security 与 OAuth2 resource-server(资源服务器) 资源服务器 要访问资源服务器受保护的资源需要携带令牌(从授权服务器获得) 客户端往往同时也是一个资源服务器,各个服务之间的通信(访问需要权限的资源)时需携带访问令牌 资源服务器通过 @Enable...
Spring Security Oauth2资源服务器Starter配置
zhuwei_clark的博客
01-14 2125
首先开下starter的结构: | |——-oauth2 | |---auth-center-provider 认证中心 | |---auth-provider-api 共用 | |---auth-spring-boot-autoconifg auto | |---aut...
使用SpringSecurity 实现 OAuth2 资源服务器认证服务器分离( 注册码模式)
热门推荐
baidu_31405631的博客
07-05 1万+
    OAuth2 就不多介绍了,本试验主要演示注册码模式,分为授权服务器和资源服务器俩个应用,后续会持续扩展为单个授权服务器和多个资源服务器。试验步骤按照以下截图创建授权服务器,授权服务器包结构如下1 使用pom文件导入相应依赖,主要导入了以下依赖包1)SpringBoot的security和web,2)SpringSecurity的OAuth2pom文件如下&lt;?xml version=...
SpringSecurity配置
qq_45733154的博客
10-19 8194
SpringSecurity配置与使用
3.Spring Security 自定义用户认证
LoveSummer
11-05 961
Spring Security自定义用户认证 自定义认证过程 自定义认证的过程需要实现Spring Security提供的UserDetailService接口,该接口只有一个抽象方法loadUserByUsername,源码如下: public interface UserDetailsService { UserDetails loadUserByUsername(String use...
spring security总结
ness1981的博客
11-20 179
spring security总结 首先导入spring security所需要的jar包 spring-security-core-2.0.5.RELEASE.jar spring-security-core-tiger-2.0.5.RELEASE.jar 一.配置过滤器 在web.xml中定义如下过滤器 springSecurityFilterChain...
Spring Security 2.0配置详解:简化版教程
核心的学习资源是Spring Security官方文档,以及网上的一份中文翻译版本,地址为<http://www.family168.com/tutorial/springsecurity/html/springsecurity.html>。此外,作者还参考了Springside提供的一个基于Acegi...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值