SpringSecurity 3配置文件

最新推荐文章于 2022-06-08 12:48:21 发布
最新推荐文章于 2022-06-08 12:48:21 发布
阅读量102 收藏
点赞数
分类专栏: JAVA 文章标签: 配置管理 Acegi Security Spring Bean
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_16908/article/details/81888375
版权
奋斗了一个星期,终于搞出了一份springSecurity3的配置文件,
希望对后来的同学有帮助.常用功能都有了,并全部可以配置细化参数.比如你可以配置,remembermeService的cookie时间为一年.所有的权限可以用数据库配置,角色也是从数据库中取.方法保护也是从数据库中取.接下来有时间把单点登陆在配置一个,这套东西基本就能满足普通用户的需要了. 


<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.0.xsd">


	<global-method-security pre-post-annotations="enabled">

	</global-method-security>

	<!-- entry-point-ref 为用户第一次访问受保护的url时的处理程序.  -->
	<http use-expressions="true"	entry-point-ref="authenticationEntryPoint">

		<!-- 这里是拒绝用户访问的处理程序 -->
		<access-denied-handler ref="accessDeniedHandler" />

		<!-- 配置一些不需要认证过滤的地址 -->
		<intercept-url pattern="/roots/login.jsp" filters="none" />
		<intercept-url pattern="/css/**" filters="none" />
		<intercept-url pattern="/common/**" filters="none" />
		<intercept-url pattern="/images/**" filters="none" />
		<intercept-url pattern="/scripts/**" filters="none" />
		<intercept-url pattern="/DatePicker/**" filters="none" />
		<intercept-url pattern="/fckeditor/**" filters="none" />

		<!-- cooki认证的配置,具体 看rememberMeServices的配置. -->
		<remember-me services-ref="rememberMeServices" />

		<!--
			增加一个filter,这点与Acegi是不一样的,不能修改默认的filter了,这个filter位于FILTER_SECURITY_INTERCEPTOR之前
		-->
		<custom-filter position="LOGOUT_FILTER" ref="logoutFilter"></custom-filter>
		<custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="myFilter" />
		<custom-filter position="FORM_LOGIN_FILTER" ref="myAuthFilter" />
		<!-- 限制用户的最大登陆数,防止一个账号被多人使用 -->
		<custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
		<session-management
			session-authentication-strategy-ref="sas" />
	</http>

	<!-- 认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可 如下,可以配置多个Provider-->
	<authentication-manager alias="authenticationManager">

		<authentication-provider ref="daoAuthenticationProvider">
			<password-encoder hash="plaintext"></password-encoder>
		</authentication-provider>
		<authentication-provider ref="rememberMeAuthenticationProvider">
			<password-encoder hash="plaintext"></password-encoder>
		</authentication-provider>
	</authentication-manager>

	<beans:bean id="daoAuthenticationProvider"
		class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
		<beans:property name="userDetailsService" ref="myUserDetailService" />
	</beans:bean>

	<!--
		一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
		我们的所有控制将在这三个类中实现,解释详见具体配置
	-->
	<beans:bean id="myFilter" class="com.security.MyFilterSecurityInterceptor">
		<beans:property name="authenticationManager" ref="authenticationManager" />
		<beans:property name="accessDecisionManager" ref="myAccessDecisionManagerBean" />
		<beans:property name="securityMetadataSource" ref="securityMetadataSource" />
	</beans:bean>

	<!--
		下面的3个类,已做自动扫描 <beans:bean id="myUserDetailService"
		class="com.security.MyUserDetailService" />

		访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 <beans:bean
		id="myAccessDecisionManagerBean"
		class="com.security.MyAccessDecisionManager"> </beans:bean>

		资源源数据定义,即定义某一资源可以被哪些角色访问 <beans:bean id="securityMetadataSource"
		class="com.security.MyInvocationSecurityMetadataSource" >

		</beans:bean>
	-->

	<beans:bean id="logoutFilter"
		class="org.springframework.security.web.authentication.logout.LogoutFilter">
		<beans:constructor-arg value="/roots/login.jsp" />
		<beans:constructor-arg>
			<beans:list>
				<beans:ref local="rememberMeServices" />
				<beans:bean
					class="org.springframework.security.web.authentication.logout.SecurityContextLogoutHandler"></beans:bean>
			</beans:list>
		</beans:constructor-arg>
		<beans:property name="filterProcessesUrl" value="/ss_Loginout"></beans:property>
	</beans:bean>


	<beans:bean id="concurrencyFilter"
		class="org.springframework.security.web.session.ConcurrentSessionFilter">
		<beans:property name="sessionRegistry" ref="sessionRegistry" />
		<beans:property name="expiredUrl" value="/error/expired.jsp" />
	</beans:bean>
	<beans:bean id="sas"
		class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy">
		<beans:constructor-arg name="sessionRegistry"
			ref="sessionRegistry" />
		<beans:property name="maximumSessions" value="1" />
	</beans:bean>

	<beans:bean id="myAuthFilter"
		class="com.security.fliter.MyUsernamePasswordAuthenticationFilter">
		<beans:property name="sessionAuthenticationStrategy"
			ref="sas" />
		<beans:property name="authenticationManager" ref="authenticationManager" />
		<beans:property name="rememberMeServices" ref="rememberMeServices"></beans:property>
		<beans:property name="authenticationFailureHandler"
			ref="failureHandler" />
		<beans:property name="authenticationSuccessHandler"
			ref="successHandler" />
		<beans:property name="filterProcessesUrl" value="/ss_Login"></beans:property>

	</beans:bean>
	<beans:bean id="successHandler"
		class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
		<beans:property name="defaultTargetUrl" value="/roots/index.jsp" />
	</beans:bean>
	<beans:bean id="failureHandler"
		class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
		<beans:property name="defaultFailureUrl" value="/roots/login.jsp?error=true" />
	</beans:bean>

	<beans:bean id="sessionRegistry"
		class="org.springframework.security.core.session.SessionRegistryImpl" />


	<!--
		remember me fliter 此fliter的配置没有使用留做参考 <beans:bean
		id="rememberMeFilter"
		class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
		<beans:property name="rememberMeServices" ref="rememberMeServices" />
		<beans:property name="authenticationManager"
		ref="authenticationManager" /> </beans:bean>
	-->

	<beans:bean id="rememberMeServices"
		class="org.springframework.security.web.authentication.rememberme.TokenBasedRememberMeServices">
		<beans:property name="userDetailsService" ref="myUserDetailService" />
		<beans:property name="key" value="springsecurityCookies1" />
		<beans:property name="alwaysRemember" value="true"></beans:property>
		<beans:property name="tokenValiditySeconds" value="86400"></beans:property>
		<beans:property name="parameter" value="_spring_security_remember_me"></beans:property>
	</beans:bean>

	<beans:bean id="rememberMeAuthenticationProvider"
		class="org.springframework.security.authentication.RememberMeAuthenticationProvider">
		<beans:property name="key" value="springsecurityCookies1" />
	</beans:bean>

	<!--
		此fliter的配置没有使用留做参考 <beans:bean id="exceptionTranslationFilter"
		class="org.springframework.security.web.access.ExceptionTranslationFilter">
		<beans:property name="authenticationEntryPoint"
		ref="authenticationEntryPoint"/> <beans:property
		name="accessDeniedHandler" ref="accessDeniedHandler"/> </beans:bean>
	-->

	<beans:bean id="authenticationEntryPoint"
		class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
		<beans:property name="loginFormUrl" value="/roots/login.jsp" />
	</beans:bean>

	<beans:bean id="accessDeniedHandler"
		class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
		<beans:property name="errorPage" value="/roots/login.jsp?error=ad" />
	</beans:bean>


	<!-- 下面配置,security对于方法的保护 -->
	<beans:bean id="methodSecurityInterceptor"
		class="org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor">
		<beans:property name="validateConfigAttributes">
			<beans:value>false</beans:value>
		</beans:property>
		<beans:property name="authenticationManager">
			<beans:ref bean="authenticationManager" />
		</beans:property>
		<beans:property name="accessDecisionManager">
			<beans:ref bean="myAccessDecisionManagerBean" />
		</beans:property>
		<!-- 这里配置通过数据库配置来查找权限 myMethodSecurityMetadataSource 这个类继承AbstractMethodSecurityMetadataSource -->
		<beans:property name="securityMetadataSource" ref="myMethodSecurityMetadataSource" />
		<!--
			说明:下面的模式是配置了ISome类的doSupervisor的方法只需要ROLE_SUPERVISOR 来访问 <value>
			com.acegi.MethodInterceptionTest.method* = ROLE_ADMIN </value>
			</property>
		-->
	</beans:bean>
	<!--
		在数据库里配置role and datebase... 下面的autoProxyCreator还是要配置切入点的.
		myMethodSecurityMetadataSource 已经配置在自动扫描中.
	-->
	<beans:bean id="sprintsecurityAutoIntercept"
		class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator"
		scope="singleton">
		<beans:property name="beanNames">
			<!-- 在这里配置要切的类的名称, 可以为一个配置好的bean的id,多个id用逗号分隔 -->
			<beans:value>*test</beans:value>
		</beans:property>


		<!-- 这里就写上切入点 -->
		<beans:property name="interceptorNames">
			<beans:list>
				<beans:value>methodSecurityInterceptor</beans:value>
			</beans:list>
		</beans:property>
		<!-- 这个,如果你的类被代理了,比如在spring中使用,一定要设置这个属性为true -->
		<beans:property name="proxyTargetClass" value="true" />
	</beans:bean>


	<!--这里接收security日志的配置
		<bean id="authenticationLoggerListener"
		class="org.springframework.security.authentication.event.LoggerListener"/>
		<bean id="authorizationLoggerListener"
		class="org.springframework.security.access.event.LoggerListener"/>
	-->


</beans:beans>


iteye_16908
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring cloud config 配置文件加密方式
08-27
给大家介绍了Spring cloud config 配置文件加密方式,非常不错,具有一定的参考借鉴价值,感兴趣的朋友跟随脚步之家小编一起学习吧
权限框架SpringSecurity3
一个保安的自由之路
02-27 4396
SpringSecurity常见配置操作 UserDetailsService详解 当什么也没有配置的时候,账号和密码是由 Spring Security 定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现 UserDetailsService 接口即可。接口定义如下: UserDetailsService认证接口,里面提供了一个方法loadUserByUsername(String username);这个接口是开发者自
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3878
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1130
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
SpringSecurity详解
我认不到你的博客
06-08 2650
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。...
spring security xml方式配置
03-12
spring mvc+spring security+自定义form表单+验证码+bootstrap
Spring Security3 简单demo
04-08
利用配置文件,将用户、权限、资源(url)硬编码在xml文件中。
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
spring-security3的配置与使用
03-19
最近项目中要使用到spring-security,闲来没事就研究了下。发现入门挺简单的,在这里把自己的心得发下,希望对没有接触过想接触的朋友有帮助
spring security3 demo配置分析
caozuiba
02-29 157
在源码分析之前补充了一些知识,详见上三篇文章的转载,我感觉比较有用。 下面是servlet的加载顺序。 web.xml 中 对象的加载顺序为:先 listener &gt;&gt; filter &gt;&gt; servlet &gt;&gt; springspring security demo例子中,所有的配置文件有几个: 1、web.xml 这个是web项目的标准配置文件...
Spring SecuritySpring Security 配置
weixin_43172297的博客
07-02 528
Spring Security 配置前言一、UserDetailsServiceAutoConfiguration二、自定义UserDetailsManager1.InMemoryUserDetailsManager2.UserDetailsManager3. 再次启动,登录总结 前言 hello world 程序示例中,通过集成了spring security的jar包后,编写了一个hello接口,此时通过测试发现,hello接口已经被保护了,需要进行登录认证才能访问。那么用户名和密码是在哪生成的呢?
Spring Security3配置使用
白强
07-30 272
  使用Spring Security3的几种方法概述       一种是全部利用配置文件,将用户、权限、资源(url)硬编码在xml文件中,已经实现过。       二种是用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置,目前这种方式已经实现。       三种我使用的是第三种 第三种是细分角色和权限,并将用户、角色、权限和资源均采用数据库存储,并且自...
主题:spring-security3 配置和使用.
12-14 967
刚才想发到论坛来的.. 结果使用的是chrome打完字没注意就点了发布.. T_T.       最近项目中要使用到spring-security,闲来没事就研究了下。发现入门挺简单的,在这里把自己的心得发下,希望对没有接触过想接触的朋友有帮助。  1、在spring-security官网下载最新jar然后拷贝jar到项目的lib下。  2、在classpath下添加security
springSecurity安全框架的学习和原理解读
执笔写童话的博客
04-25 1066
springSecurity安全框架的学习和原理解读 标签: java springsecurity 更多 最近在公司的项目中使用了spring security框架,所以有机会来学习一下,公司的项目是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3 (个人理解可能会有偏差,希望有不正确之处,大家能够指出来,共同探讨交流。) 目录...
spring security 概述& 配置文件详解
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器在web.xml:     springSecurityFilterChain     org.springframework.
Spring Security 工作原理概览
江南一点雨的专栏
04-27 9万+
本文由读者 muggle 投稿,muggle 是一位具备极客精神的90后单身老实猿,对 Spring Security 有丰富的使用经验,muggle 个人博客地址是 h...
Spring Security3简单使用(权限配置在文件中)
www.itmmd.com
05-10 109
1、权限既然写在配置文件中,那么数据库中只需要三个表即可。 1)t_user 用户表 2)t_role 角色表 3)t_user_role 用户角色表 2、对应的领域实体 1)用户 package cn.luxh.app.domain; /** * 用户 * @author Luxh */ public class User { ...
检查一下 Spring Security配置文件是否正确配置了权限验证器
最新发布
05-15
要检查 Spring Security配置文件是否正确配置了权限验证器,可以按照以下步骤进行: 1. 确认在 pom.xml 文件中是否已经添加了 Spring Security 的依赖。 2. 在 Spring Security配置文件中,需要配置 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值