SpringSecurity权限设置

最新推荐文章于 2023-07-25 23:43:07 发布
最新推荐文章于 2023-07-25 23:43:07 发布
阅读量252 收藏
点赞数 2
分类专栏: 开发 文章标签: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ly495950328/article/details/94593679
版权

SpringSecurity功能:
1.认证 判断用户名和密码是否正确
2.授权 一个用户是否有权利执行某些操作

步骤:
1.导jar包

<spring.security.version>5.0.1.RELEASE</spring.security.version>


<!--springsecurity-->
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

2.web.xml 添加过滤器

  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.写springsecurity.xml 核心配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                             default-target-url="/index.jsp"
                             authentication-failure-url="/failer.jsp"
                             authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

4.web.xml 里面加载springSecurity.xml

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:applicationContext.xml,classpath*:spring-security.xml</param-value>
  </context-param>

5.userService extend UserDetailsService
Role

    @Autowired
    private IRoleDao roleDao;
    
@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo =userDao.findByUserName(username);
        User     user     =null;
        if(userInfo!=null){
            List<Role> roles = roleDao.findRoleByUserId(userInfo.getId());
            userInfo.setRoles(roles);
            user = new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),getAuthority(roles));

        }
        return user;
    }

    private List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> list=new ArrayList<>();
        for(Role role:roles){
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
        }
        return list;
    }

6改写页面

<form action="${pageContext.request.contextPath}/login.do" method="post">


				<p>
					<security:authentication property="principal.username"></security:authentication>
				</p>
披着凉皮的羊
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 SpringSecurity 权限控制实现原理是指在应用程序中对用户的操作权限进行控制和限制,以确保应用程序的安全性和可靠性。权限控制是指在应用程序中对用户的操作权限进行控制和...
springSecurity设置
qq_38799174的博客
07-03 178
1.认证 判断用户名和密码是否正确 2.授权 一个用户是否有权利执行某些操作 1.导jar包 <properties> <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding> <maven.compiler.source&g...
Spring Boot(七):Spring Security如何启用与禁用CSRF
热门推荐
甘焕的博客
11-06 2万+
Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5546
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其中第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
Spring-Security的详细配置及用法01
Hpeacheng的博客
11-23 1259
【1】Spring-Security通俗一点来讲是用来管理我们登陆的一个框架,之前我们的登陆底层代码,都是自己手写的,要从web端获取parameter,然后从数据库中取出,再获取数据库中的账户密码,进行对比,相同的话跳转到登陆成功页面,不成功提示登陆失败。 【2】利用Spring-Security框架的目的自然就是节省代码量,而且方便管理,不需要手动获取前端数据。 【3】第一步,我们需要在pol中导入spring-security的jar包,一共四个,分别是web,config,core,和jstl需
SpringSecurity的配置使用
weixin_40942790的博客
07-27 709
SpringSecurity 授权:授予当前用户角色所拥有的权限 完整的认证和授权需要7张表 配置web.xml 配置整合SpringSecurity的代理过滤器 配置前端控制器 DispatcherServlet <!-- 配置整合SpringSecurity的代理过滤器 1.要整合SpringSecurity,必须要配置这个过滤器DelegatingFilterProxy 2. 名字还不能乱写,一定...
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录和权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
spring security权限控制
10-15
通过分析"springsecuritydemo4"项目,我们可以学习到如何在实际应用中设置和配置Spring Security,以及如何处理各种权限控制场景。这有助于我们创建一个安全、健壮的Web应用程序。在实践中,不断调试和调整Spring ...
springsecurity角色和权限
12-13
让我们深入探讨Spring Security在处理角色和权限方面的一些关键概念。 1. **角色与权限基础** 在Spring Security中,"角色"是赋予用户的标识,表示用户在系统中的职责或权限集合。例如,"管理员"、"用户"等。"权限...
【第八篇】SpringSecurity核心过滤器-CsrfFilter
波波烤鸭的博客
05-12 3230
SpringSecurity核心过滤器-CsrfFilter   Spring Security除了认证授权外功能外,还提供了安全防护功能。本文我们来介绍下SpringSecurity中是如何阻止CSRF攻击的。 一、什么是CSRF攻击   跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的 Web 应用程序上执行非本意的操作的攻击方
springsecurity 配置
lanlan112233的博客
04-13 1175
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
SpringSecurity的配置
qq_45733154的博客
10-19 8168
SpringSecurity配置与使用
Spring Security安全配置
coolshyman的博客
07-25 1958
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
Spring Security默认参数配置
RichardGeek的博客
08-01 3258
Spring Security内置属性参数 Spring Boot 提供的内置配置参数以security为前缀,具体属性如下: # SECURITY (SecurityProperties 类中) security.basic.authorize-mode=role # 应用授权模式,ROLE=成员必须是安全的角色,AUTHENTICATED=经过身份 ...
Spring Security怎么给方法配置权限的?
bangiao的博客
06-06 1427
目前在Spring Boot中基于方法的权限管理主要是通过注解来实现,我们需要通过:开启Spring Security提供的四个权限注解,以及@PreFilter,这四个注解支持权限表达式,功能比较丰富。:开启Spring Security提供的@Secured注解,该注解不支持权限表达式。:开启JSR-250提供的注解,主要包括@DenyAll@PermitAll以及三个注解,这些注解也不支持权限表达式。:在目标方法执行之后进行权限校验。:在目标方法执行之后对方法的返回结果进行过滤。
Spring Security 基础
weixin_45340273的博客
03-20 260
一. 配置Spring Security @Configuration :表示这个类是Spring boot 的配置类 @EnableWebSecurity:开启WebSecurity @EnableGlobalMehodSecurity(prePostEnable = true,jsr250Enable = true,securityEnable = true): prePostEnable相...
SpringSecurity配置类--常用配置
qq_52211542的博客
10-07 3331
SpringSecurity配置类--常用配置
SpringSecurity 权限控制之开启动态权限注解支持
Leon_Jinhai_Sun的博客
11-14 479
开启授权的注解支持 这里给大家演示三类注解,但实际开发中,用一类即可! <!-- 开启权限控制注解支持 jsr250-annotations="enabled" 表示支持jsr250-api的注解,需要jsr250-api的jar包 pre-post-annotations="enabled" 表示支持spring表达式注解 secured-annotations="enabled" 这才是SpringSecurity提供的注解 --> <security:global-
SpringSecurity权限控制
最新发布
04-16
Spring Security权限控制是通过以下几个核心概念来实现的: 1. 认证(Authentication):认证是验证用户身份的过程。Spring Security支持多种认证方式,包括基于表单、基于HTTP基本认证、基于LDAP等。在认证成功...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值