SpringSecurity 在SSM框架中的配置

已于 2022-07-16 23:50:04 修改
阅读量719 收藏 2
点赞数
分类专栏: Spring全家桶 文章标签: java spring
于 2022-04-08 15:15:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_48639280/article/details/124035987
版权

web.xml

<filter>
    <!--
      DelegatingFilterProxy用于整合第三方框架
      整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
	  否则会抛出NoSuchBeanDefinitionException异常
    -->
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

maven坐标

<dependency>
         <groupId>org.springframework.security</groupId>
         <artifactId>spring-security-web</artifactId>
         <version>5.0.5.RELEASE</version>
</dependency>
<dependency>
         <groupId>org.springframework.security</groupId>
         <artifactId>spring-security-config</artifactId>
         <version>5.0.5.RELEASE</version>
</dependency>

spring-security.xml 配置文件
因为将配置文件分开了,所以这部分是只关于security的

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">

    <!--配置哪些资源匿名可以访问(不登录也可以访问)-->
    <!--<security:http security="none" pattern="/pages/a.html"></security:http>
    <security:http security="none" pattern="/pages/b.html"></security:http>-->
    <!--<security:http security="none" pattern="/pages/**"></security:http>-->
    <security:http security="none" pattern="/login.html"></security:http>
    <security:http security="none" pattern="/css/**"></security:http>
    <security:http security="none" pattern="/img/**"></security:http>
    <security:http security="none" pattern="/js/**"></security:http>
    <security:http security="none" pattern="/plugins/**"></security:http>
    <!--
        auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面
        use-expressions:是否使用spring security提供的表达式来描述权限
    -->
    <security:http auto-config="true" use-expressions="true">
        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!--配置拦截规则,表示拦截所有指定请求   底层通过拦截器实现 -->
        <!--
            pattern:描述拦截规则,要拦截的访问路径
            asscess:指定所需的访问角色或者访问权限    需要上面use-expressions: true
                hasRole("ROLE_ADMIN") 必须ROLE_ADMIN角色
                hasAuthority("add") 必须要有指定权限
                isAuthenticated() 只要认证通过(登录成功)就可以访问
                这目前只是页面的控制   也可以使用注解完成方法的控制 例如控制controller 控制更加精细  1、开启注解扫描,并指定扫描路径   2、开启注解方式控制权限
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/**" access="isAuthenticated()"/>
<!--        <security:intercept-url pattern="/pages/**" access="hasRole('ADMIN')"/> 你写ADMIN 系统会自动加上ROLE_ 前缀-->

        <!--如果我们要使用自己指定的页面作为登录页面,必须配置登录表单.页面提交的登录表单请求是由框架负责处理-->
        <!-- login-page:指定登录页面访问URL
             username-parameter 指定用户名 -> input的name属性一直
             login-processing-url="/login.do"  框架会给我们处理登录请求 我们甚至不需要写controller
             default-target-url="/pages/main.html"  指定登录成功之后的跳转页面
             authentication-failure-url="/login.html"  登录失败之后的跳转界面
        -->
        <security:form-login
                login-page="/login.html"
                username-parameter="username"
                password-parameter="password"
                login-processing-url="/login.do"
                default-target-url="/pages/main.html"
                authentication-failure-url="/login.html"></security:form-login>

        <!--
          csrf:对应CsrfFilter过滤器
          disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403)
          框架提供的登录页面 有一个隐藏的<input name="csrf" > 有默认值,经过这个过滤器,检查字符串和内存的(初始化时就会生成,同时赋值给页面)是否一致,一致则框架认为安全
        -->
        <security:csrf disabled="true"></security:csrf>

        <!-- 框架会帮我提供登出功能  前端只需要请求这个路径即可  底层基于过滤器实现
          logout:退出登录
          logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
          invalidate-session="true"  清空session 底层也依赖session
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者   user-service-ref="dataSourceSec" 配置指定处理类 就是下面那个 dataSourceSec  不过我换了一个名字  -->
        <security:authentication-provider user-service-ref="dataSourceSec">
            <!-- 配置一个具体的用户,后期需要从数据库查询用户 password="{noop}1234" {noop}标识为明文   authorities="ROLE_ADMIN" 认证通过就授予角色
                需要从数据库动态查询用户信息 就必须按照框架要求,提供一个实现UserDetailService接口的实现类,并按照要求进行配置即可
            <security:user-service>
                <security:user name="admin" password="{noop}1234" authorities="ROLE_ADMIN"/>
            </security:user-service>
            -->
            <!--指定度密码进行加密的对象 02-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>
    <!--已用注解注入 不需bean标签注入    这是实现框架接口的实现类  比如login.do 就会被这个实现类进行处理 -->
    <!-- <bean id="springSecurityUserService" class="com.shk.service.SpringSecurityUserService"/>-->
    <bean id="dataSourceSec" class="com.shk.service.SpringSecurityUserService" />
    <!--指定 配置密码加密对象 01 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!-- 1、开启注解扫描,并指定扫描路径 因为在其他配置文件已经开启过了 所以这点不用开启了-->
<!--    <mvc:annotation-driven ></mvc:annotation-driven>-->
    <!-- 2、开启注解方式控制权限 开启注解方式权限控制  在方法上加 @PreAuthorize("hasRole('ADMIN')") 权限和角色的指定参考上面-->
    <security:global-method-security pre-post-annotations="enabled"/>

</beans>

指定接口实现类

public class SpringSecurityUserService implements UserDetailsService {
    /*
     @Autowired  spring security 框架使用的密码加密  框架会将前端传来的密码自动加密然后再和数据库密码进行比对
     private BCryptPasswordEncoder bCryptPasswordEncoder;*/

	// 我使用的是Dubbo远程调用服务,记得修改Dubbo的扫面路径,不然spring不认识 Reference注解
    @Reference  
    private UserService userService;

    /*通过用户名来查询用户 并且授予角色 和权限*/
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println(userService);
        System.out.println(username);
        // bCryptPasswordEncoder.encode("")
        // 根据用户名查询用户信息
        User user = userService.findByUsername(username);
        if (user == null) {
            return null;
        }
        // 框架指定集合 用于存储角色权限
        List<GrantedAuthority> list = new ArrayList<>();
        /*拿到对应的角色*/
        Set<Role> roles = user.getRoles();
        for (Role role : roles) {
            /*获得角色   new SimpleGrantedAuthority() 包装角色和权限数据  ROLE_ 开头系统认为是角色  反之为权限 */
            list.add(new SimpleGrantedAuthority(role.getKeyword()));
            /*通过角色获取到对应权限*/
            Set<Permission> permissions = role.getPermissions();
            for (Permission permission : permissions) {
                list.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        // UserDetails 有一个User实现类,框架会帮我们自动核对用户名密码是否正确  默认会将密码处理  如果是明文 需要在密码前拼接 {noop}
        UserDetails userDetails = new org.springframework.security.core.userdetails.User(username, user.getPassword(), list);
        System.out.println(username + ":" + user.getPassword());
        return userDetails;
    }
}

Controller 实现权限管控, 我们只需要在controller类上或者方法上 添加对应注解即可实现权限管控
该用户必须具有此权限才能访问,

@PreAuthorize("hasAuthority('CHECKITEM_DELETE')")  //权限校验
@RequestMapping("/delete")
public Result delete(Integer id){
北海怪兽Monster
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 注解方式开发(基于SSM)
Braycep的博客
03-06 732
本次踩坑长达4小时...由于感觉以xml配置的方式来配置security不太灵活, 于是开始了踩坑之旅. 一. 引入Maven依赖 &lt;!-- &lt;spring.version&gt;4.2.4.RELEASE&lt;/spring.version&gt; --&gt; &lt;!--Spring Security--&gt; &lt;dependency&gt; ...
SSM配置Spring security
wyc的博客
10-27 807
SSM配置Spring security 1.概念理解 spring security是一个权限控制组件,负责对用户登录访问的控制,包括登录认证,访问界面的控制等等。 2.项目背景 管理工具Maven 项目框架SSM 3.配置spring security 3.1 jar包导入 <!--版本锁定--> <spring.version>5.0.7.RELEASE&lt...
SSM Web项目整合 Spring Security & Spring Security配置方式
掉了根毛的博客
06-11 4388
ssm的web项目整合就不过多哔哔了,直接整合Spring Security,接下来将通过xml的方式和Java 代码配置方式来实现 本篇博文使用的Spring Security版本为:4.2.4.RELEASE 目录 环境准备: 配置: 1.使用xml方式: 2.使用java类来配置: 环境准备: sql: -- ---------------------------- ...
SSM整合SpringSecurity
qq_52421664的博客
09-12 979
SSM整合SpringSecurity 前言:介绍SpringSecurity,简单来说,你可以在这设置给需要保护的资源上一把锁,也可以给某些请求一把钥匙允许其访问。这里的锁指的是访问需要的权限或者角色。钥匙就是对应的权限或者角色。正如其官网图标。 引入pom依赖 <!-- SpringSecurity 对 Web 应用进行权限管理 --> <dependency> <groupId>org.springframework.security
SpringSecurity入门(SSM版)
startqbb的博客
09-01 235
SpringSecurity入门
SSM集成Spring Security
Yuanhaoxin的博客
01-16 835
本文档主要记录的是SSM框架集成Spring Security来做账户登录操作,已经集成了MyBatis,省略了基本的操作 实体User 首先需要先定义用户实体User的dto public class User{ @Id//标识主键 @GeneratedValue(strategy = GenerationType.IDENTITY) //自增长策略 priva...
Java SSM 重制版(三)SpringSecurity
qq_25928447的博客
07-05 2088
有些时候,我们的数据库可能并不会像SpringSecurity默认的那样进行设计,而是采用自定义的表结构,这种情况下,上面两种方式就很难进行验证了,此时我们得编写自定义验证,来应对各种任意变化的情况。} }现在我们需要去实现这个方法,表示在验证的时候通过自定义的方式,根据给定的用户名查询用户,并封装为对象返回,然后由SpringSecurity将我们返回的对象与用户登录的信息进行核验,基本流程实际上跟之前是一样的,只是现在由我们自己来提供用户查询方式。
SpringSecurity整合到SSM框架
chen13333336677的博客
10-29 920
一、在pom.xml导入SpringSecurity对应的jar包 1. 在父工程引入spring-security依赖 <properties> ...... <!-- 控制引入spring-security依赖的版本号 --> <spring-security.version>4.2.10.RELEASE</spring-securi...
SSM集成SpringSecurity(一)准备环境
许洪昌的博客
02-13 1240
前言 本系列文章主要是借助ssm环境整合springSecurity并学习,由于本系列文章是有关联性的,所以有可能的话请从第一章(本篇)开始阅读。最后一章会给出完整的项目代码。 简介 SpringSecuritySpring的全家桶之一,功能十分强大,主要是提供web安全方面的保护,涉及到系统的认证,授权,防止跨站攻击等。 本系列文章会结合实例向大家说明如何使用SpringSecurit...
SSM+spring security3.x框架整合(附带数据文件)
10-02
框架是博主整合的框架,所用技术是spring 4.x+spring mvc+4.x+mybatis4.x+spring security3.x,并附带springsecurity.sql文件
spring securityssm框架整合的一个小 demo
04-04
spring securityssm框架整合的一个小 demo.私聊我免费给你分享
基于SSM的用户管理系统
07-18
基于SSM开发的用户管理系统,实现了登录,权限管理,用户管理等。即数据库的增删改查,页面更新,涉及到springSercurity,ajax等技术。可参考系列博客https://blog.csdn.net/gyx1549624673/article/details/96422731,算是学习资源的分享吧。 内含sql文件,导入数据库,项目用idea打开即可。IntelliJ IDEA 2018.2.2 x64 jdk1.8 apache-tomcat-7.0.94 apache-maven-3.6.0 Webyog-SQLyog-Ultimate12.0.8.0 mysql-5.5.58-winx64
SSM框架Spring security的介绍
letgoDream的博客
07-18 398
转载:https://blog.csdn.net/liushangzaibeijing/article/details/81220610 参考:http://www.blogjava.net/youxia/archive/2008/12/07/244883.html https://blog.csdn.net/heweiyabeijing/article/details/83078311 一...
SSM集成SpringSecurity做权限控制
坏小孩的博客
12-19 378
1.数据库设计(注意主外键关系) ①User表的设计: ②Role表设计: ③间表设计: 项目结构 父工程pom文件配置如下 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3...
SpringSecurity概念以及整合ssm框架
weixin_46245201的博客
12-16 607
Spring提供安全认证服务的框架,认证:验证用户密码是否正确的过程,授权:对用户能访问的资源进行控制用户登录系统时我们协助 SpringSecurity 把,同时把各个设定好,剩下的“登录验证”、“权限验证”等等工作都交给SpringSecurity
ssm框架整合springSecurity
weixin_48605326的博客
05-17 1942
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
ssm框架整合spring security思路与过程
luo1054的博客
10-29 1523
ssm框架整合spring security思路 1.拷贝spring security 依赖到parent管理 <!-- spring-security依赖 --> <spring-security.version>4.2.10.RELEASE</spring-security.version> <!-- spring-security依赖包 --...
ssm整合spring security(附项目源码)
每天都充一点电
11-14 108
ssm整合spring security (源码在gitee,网址https://gitee.com/liu-zhiyong/ssm-security.git) 一.使用步骤 在springsecurity.xml配置文件可以自定义自己的登录页面等一些东西。 二.使用数据库进行认证 1.步骤 2.授权:在查询用户时连同角色信息查出来 3.查询用户信息时要将状态信息显示出来 三.密码加密...
spring security ssm
最新发布
08-31
Spring Security SSM是一个采用Spring Boot整合SSM(Spring Mybatis-plus SpringMvc)的权限管理框架。它使用全注解式的权限管理和JWT方式禁用Session,并采用Redis存储token及权限信息。 在项目启动时,首先会初始化ContextLoaderListener,然后初始化springSecurityFilterChain,最后初始化DispatcherServlet。而springSecurityFilterChain初始化时会默认去寻找springmvc的IOC容器扫描配置类。 因此,Spring Security SSM的顺序是:ContextLoaderListener -> springSecurityFilterChain -> DispatcherServlet。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [Java企业报表管理系统源码](https://download.csdn.net/download/m0_55416028/88269629)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* *3* [ssm框架整合springSecurity](https://blog.csdn.net/weixin_48605326/article/details/124822819)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值