Spring Security框架
Spring Security
Spring Security简介
本文以spring 和spring Security的整合为例子
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。包含了Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分
基本用户认证和授权
最基本的用户认证和授权开始对 Spring Security 进行介绍。一般来说,Web 应用都需要保存自己系统中的用户信息。这些信息一般保存在数据库中。用户可以注册自己的账号,或是由系统管理员统一进行分配。这些用户一般都有自己的角色,如普通用户和管理员之类的。某些页面只有特定角色的用户可以访问,比如只有管理员才可以访问 /admin 这样的网址。下面介绍如何使用 Spring Security 来满足这样基本的认证和授权的需求。
1 . 引入maven依赖
maven 引入 spring-security-web 和 spring-security-config 这两个依赖。
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
</dependency>
2 . web.xml 配置
spring Security 安全认证在web中注册。需要配置 listener和filter
<context-param>
<param-name>contextConfigLocation</param-name>
<!--读取spring-security配置文件-->
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
3 . spring 配置文件spring-security.xml
spring-security.xml 配置中需要注意的是beans:beans。
这样文件的默认schema为security,所以beans定义就需要加上前缀beans
配置说明:
intercept-url 表示拦截页面 ,其属性 pattern 声明了请求 URL 的模式,而属性 access 则声明了访问此 URL 时所需要的权限
/* 表示的是该目录下的资源,只包括本级目录不包括下级目录
/** 表示的是该目录以及该目录下所有级别子目录的资源
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<!--security="none" 设置此资源不被拦截. -->
<http pattern="/login.html" security="none"></http>
<http pattern="/login_error.html" security="none"></http>
<!--use-expressions默认为true ,如果开启,则拦截的配置应该写成以下形式
<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
-->
<http use-expressions="false">
<intercept-url pattern="/**" access="ROLE_USER" />
<!--login-page:登陆页,
default-target-url:登陆成功后去到页面
authentication-failure-forword-url:失败后去到的页面 -->
<form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-forword- url="/login_error.html"/>
<!--csrf 避免iframe页面的无法显示 -->
<csrf disabled="true"/>
<!--注销登陆 -->
<logout />
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<!--authorities:官方的默认配置规则 ROLE_XXX -->
<user name="admin" password="123456" authorities="ROLE_USER"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
4 . 测试的页面
1.login.html 页面需要注意from表单必须是POST的请求。
2.index.html和login_error.html是空白测试的页面
<body>
<!-- 这里特别注意 method必须是POST的请求,get请求会出错-->
<form action='/login' method='POST'>
<table>
<tr>
<td>用户名:</td>
<td><input type='text' name='username' value=''></td>
</tr>
<tr>
<td>密码:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td><input name="submit" type="submit" value="登陆" /></td>
</tr>
</table>
</form>
</body>
5 . 获取用户信息
Spring Security 里面的核心对象。org.springframework.security.core.context.SecurityContext接口表示的是当前应用的安全上下文。通过此接口可以获取和设置当前的认证对象。org.springframework.security.core.Authentication接口用来表示此认证对象。通过认证对象的方法可以判断当前用户是否已经通过认证,以及获取当前认证用户的相关信息,包括用户名、密码和权限等。要使用此认证对象,首先需要获取到 SecurityContext 对象。通过org.springframework.security.core.context.SecurityContextHolder 类提供的静态方法 getContext() 就可以获取。再通过 SecurityContext对象的 getAuthentication().getName()就可以得到认证对象的名字(admin)
String name = SecurityContextHolder.getContext().getAuthentication().getName();
扫一扫
789
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
