spring security实践

最新推荐文章于 2023-05-17 09:25:16 发布
最新推荐文章于 2023-05-17 09:25:16 发布
阅读量750 收藏
点赞数
分类专栏: My Projects 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paristao/article/details/38367675
版权

参考资料 documentation doc

web.xml启用spring的filter

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

servlet默认是jsp页面,如果改用html,需要添加filter mapping 

    <servlet-mapping> 
		<servlet-name>jsp</servlet-name> 
		<url-pattern>*.html</url-pattern> 
	</servlet-mapping>

配置拦截路径,如下用 /** 会拦截所有资源,包括js等静态资源,即使在spring-config.xml中取消了拦截。我这里改用了 /* 配置。

<http>
  <intercept-url pattern="/**" access="ROLE_USER" />
  <form-login />
  <logout />
</http>
如果这时候启动,会提示缺少ROLE_USER的声明,需要增加用户配置。 

<authentication-manager>
  <authentication-provider>
    <user-service>
      <user name="jimi" password="jimispassword" authorities="ROLE_USER, ROLE_ADMIN" />
      <user name="bob" password="bobspassword" authorities="ROLE_USER" />
    </user-service>
  </authentication-provider>
</authentication-manager>

这时就可以启动浏览器了,发现浏览器会自动跳到spring生成的jsp

关于这个登录页,doc中说明了是spring自动生成的,当然如果指定了登陆页就不会跳转到spring_security_login这个页面了


指定自定义的login,由于饮用了资源文件,先取消资源文件的拦截

<span style="white-space:pre">	</span><security:http pattern="**.jpg" security="none" />
	<security:http pattern="**.png" security="none" />
	<security:http pattern="**.gif" security="none" />
	<security:http pattern="**.css" security="none" />
	<security:http pattern="**.js" security="none" /> 
<security:form-login
        	login-page="/login.html"
        />
login.html 就是我自己的登陆页,重启server,效果如下。


实际情况中,肯定需要自定义登录控制

customized user service

  <authentication-manager>
    <authentication-provider user-service-ref='myUserDetailsService'/>
  </authentication-manager>

DB控制 

<authentication-manager>
  <authentication-provider>
    <jdbc-user-service data-source-ref="securityDataSource"/>
  </authentication-provider>
</authentication-manager>
声明具体的实现类,db方式就是spring中的datasource 

<authentication-manager>
  <authentication-provider user-service-ref='myUserDetailsService'/>
</authentication-manager>

<beans:bean id="myUserDetailsService"
    class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
  <beans:property name="dataSource" ref="dataSource"/>
</beans:bean>

MD5加密 

<password-encoder ref="bcryptEncoder"/>
记住用户 

<remember-me key="myAppKey"/>
https证书另外添加配置 

<http>
  <intercept-url pattern="/secure/**" access="ROLE_USER" requires-channel="https"/>
  <intercept-url pattern="/**" access="ROLE_USER" requires-channel="any"/>
  ...
</http>
  <port-mappings>
    <port-mapping http="9080" https="9443"/>
  </port-mappings>

session失效跳转 

<http>
  ...
  <session-management invalid-session-url="/invalidSession.htm" />
</http>
退出时清理session 

<http>
  <logout delete-cookies="JSESSIONID" />
</http>

暂且到这里





空山灵雨_tsj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security详解
hwt_211博客
11-25 1356
spring security的配置 首先,先把项目的整体结构以及整体配置贴出来,后面介绍中会将其中的功能模块一个一个的细讲解,稍安勿躁,一步一步的往下看: 本例使用springMVC+spring security进行测试,需要导入的jar包:       项目基本结构:     环境搭建,主要是三个配置文件:web.xml, applicationContext.xml,
Spring Security入门到实践
GitChat
10-10 2169
Spring SecuritySpring在安全领域的顶级项目,在用户认证方面支持众多主流认证标准,包括但不限于HTTP基本认证、HTTP表单验证、HTTP摘要认证、OpenID和LDAP等,在用户授权方面,Spring Security不仅支持最常用的基于URL的Web请求授权,还支持基于角色的访问控制(Role-Based Access Control,RBAC)以及访问控制列表(Acces...
Spring Security研究(2)-高级web特性
weixin_30367543的博客
12-02 67
1, 添加 HTTP/HTTPS 信道安全 <http> <intercept-url pattern="/secure/**" access="ROLE_USER" requires-channel="https"/> <intercept-url pattern="/**" access="ROLE_USER" require...
spring security xml配置官方详解
不甘平庸的人
05-02 9820
6. Security Namespace Configuration 6.1 Introduction 自2.0版本的spring框架以来,命名空间配置已可用。 它允许您使用来自附加XML模式的元素来补充传统的Spring beans应用程序上下文语法。 您可以在Spring参考文档中找到更多信息。 命名空间元素可以简单地用于允许配置单个bean的更简洁的方式,或者更有力地定义更紧密地匹
安全框架SpringSecurity实战总结(一)
FlyingFish868的博客
12-28 6345
Spring Security是一个高度自定义的安全框架,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了 Spring IoC , DI(控制反转Inversion of Control,DI:Dependency Injection 依赖注入) 和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能。
SpringSecurity安全框架实践
m0_46103359的博客
04-13 137
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
Spring Security代码实践
qq_40151840的博客
03-01 175
Spring Security代码实践 一、Spring Security简介 1.什么是Spring Secutity?有何特别之处? Spring Security的官方介绍(译版)如下: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供...
我的SpringSecurity实践
04-03
《我的SpringSecurity实践SpringSecurity是Java领域中一个强大的安全框架,主要用于处理Web应用程序的安全问题,如身份验证、授权等。这篇博文的作者通过实际操作分享了他在使用SpringSecurity时的经验,虽然...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
spring security 官方文档
10-08
Spring Security的官方文档中,包含了详细的配置指南、API参考、示例代码和最佳实践,帮助开发者深入理解并有效使用这个框架。例如,5.1版本的新特性包括对Servlet和WebFlux的支持增强,以及与其他第三方库的集成...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。
SpringSecurity素材.rar
03-02
SpringSecurity是Java领域中一款强大的安全框架,专为SpringSpring Boot应用设计,提供全面的安全管理解决方案。...学习SpringSecurity时,理解其核心原理并结合实际项目进行实践,是掌握这个框架的关键。
Spring Security学习笔记三
DingZuoHeng的博客
02-23 472
intercept-url配置指定拦截的 url通过 pattern 指定当前 intercept-url 定义应当作用于哪些 url。可以通过 access 属性来指定 intercept-url 对应 URL 访问所应当具有的权限。access 的值是一个字符串,其可以直接是一个权限的定义,也可以是一个表达式。常用的类型有简单的角色名称定义,多个名称之间用逗号分隔,如&lt;security:...
Spring Security 安全命名空间
LGF的专栏
04-13 637
Appendix B. 安全命名空间 安全命名空间 这个附录提供了对安全命名空间中可用元素的参考信息,也介绍了它们创建的bean的信息(对单独类的知识和它们是如何在一起工作的 - 你可以在工程的Javadoc和这个文档的其他部分找到更多信息)。 如果你以前没有使用过命名空间,请阅读命名空间配置部分的介绍章节,这部分的信息是作为那些章节的一个补充资料的。 ...
【工作记录】springsecurity从入门到实战(一)
泽济天下的专栏
05-17 350
本文介绍了springsecurity的认证流程以及简单demo搭建和验证的过程。
springsecurity的工作原理
qq_39368007的博客
01-02 779
结构总览 Spring Security所解决的问题就是安全访问控制, 而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。 根据前边知识的学习,可以通过Filter或AOP等技术来实现, Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring Security时,会创建一个名为SpringSecurityFilterChain 的Servle
Spring Security 应用实践
qq_38454776的博客
01-19 332
概述 Spring SecuritySpring 在安全方面的推出的框架,是采用责任链的设计模式,基于 Spring AOP 和 Servlet 过滤器进行实现。这篇文章记录认证授权的一些概念,以及如何使用其进行扩展保护我们的应用。 认证与授权的概念 认证:我是谁 授权:有哪些访问权限 在系统安全方面,我们面临的两个问题是: 1、如何保护需要访问权限的资源? 在 Java 中我们一般使用过滤器对我们的资源进行保护,使用拦截器对方法的访问进行控制。 2、用户的登录状态要如何传递? 如何让服务器意识到
Java自定义模板设计
u013275741的专栏
05-12 4234
还是首先讲一下需求。一个普通的web form表单提交,根据模板自动生成指定格式的结果。form的优势在格式化数据,使得各属性非常直观的展现出来,用户可以更加简单直观的进行输入。但业务上的最终结果却不可以是form,所以就有了这个需求。需求的本质有点类似el表达式的替换,但是这个表达式模板是动态配置的,而不是常见的xml静态文件。 总结一下需求,概括来讲是这样:根据用户的输入,将业务属性填充到实
Spring Security实践
最新发布
08-27
Spring Security是一个开源的安全框架,用于为Java应用程序提供身份验证、授权和其他安全功能。它可以集成到Spring应用程序中,并提供了许多可插拔的功能和扩展点,使开发者可以轻松地添加安全性到他们的应用程序中。 要在Spring应用程序中使用Spring Security,你可以通过添加相应的依赖来引入Spring Security启动器。在Spring Boot项目中,可以使用以下依赖来集成Spring Security: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 通过添加这个依赖,Spring Boot将自动配置Spring Security,并提供了一组默认的安全配置。这些配置包括基于表单的身份验证、HTTP Basic认证、CSRF保护等。 要实践Spring Security,你可以按照以下步骤进行: 1. 添加Spring Security的启动器依赖到你的项目中。 2. 配置Spring Security的相关设置,例如用户认证、授权规则等。你可以使用Java配置或XML配置来定义这些设置。 3. 使用Spring Security提供的注解和API保护你的应用程序的资源,例如URL路径、方法等。 4. 测试和验证你的Spring Security配置,确保它们按预期工作。 通过这些步骤,你可以成功地实践Spring Security,为你的应用程序提供安全性和保护。你可以参考上述提供的引用链接,了解更多关于Spring Security的详细信息和实践方法。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Spring Security 最佳实践,看了必懂!](https://blog.csdn.net/m0_71777195/article/details/126742796)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Spring Security 应用实践](https://blog.csdn.net/qq_38454776/article/details/122591321)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值