SpringSecurity学习笔记(一)

最新推荐文章于 2024-03-29 14:57:10 发布
最新推荐文章于 2024-03-29 14:57:10 发布
阅读量152 收藏
点赞数
分类专栏: SpringSecurity 文章标签: Spring Security Bean 配置管理 JSP
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pengliliu8086/article/details/83703361
版权 
一、简介
Spring Security 是 Spring Framework 的一个子项目. 之前也叫做 Acegi Secruty.
Spring Security 能用于保护各种 Java 应用程序(权限管理框架). 但在基于 Web 的应用程序中使用得最为广泛. 
Spring Security 能以声明的方式来保护 Web 应用程序的 URL 访问. 只需简单的配置即可实现.
Spring Security 通过一系列 Servlet 过滤器为 Web 应用程序提供了多种安全服务. 
Spring Security 2.x 显著简化了配置, 使用基于 XML Schema 和基于注解的配置.
----------------------------------------------------------------------------------------------------------------------------
二、配置 web.xml 文件,搭建spring-security环境
  1).搭建spring环境:spring.jar commons-logging.jar
  2).配置spring contextConfigLocation,配置监听器ContextLoaderListener
  3).加入spring-security的jar包spring-security-core-2.0.5.RELEASE.jar
  4).<filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
     </filter>
    <filter-mapping>
      <filter-name>springSecurityFilterChain</filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>
在 web.xml 文件里配置 DelegatingFilterProxy:
(1).将 HTTP 请求委托给 Spring 应用程序上下文中的一个 Bean。被委托的 Bean 实现了 javax.servlet.Fitler 
     接口, 但它需要受 Spring IOC 容器管理, 而不是直接在 web.xml 中配置。
(2).默认情况下, DelegatingFilterProxy会把 HTTP 请求委托给和它的 <filter-name> 属性相同的 Bean 上(也
     可以在 targetBeanName 初始参数中覆盖该 Bean 的名字)。
(3).SpringSecurity  在 web 服务器加载当前 web 应用时配置一个名称为 springSecurityFilterChain 的过滤
     器链(SpringSecurity 即通过该过滤器链为 web 应用提供安全服务), 所以 <filter-name> 应该使用这个名字.
(4).这个不仅可以配置spring-security还可以配置其他的filter,可以把filter交给spring进行管理。spring-
     security里面的filter需要用到spring中的其他的bean,但是这些bean如何被注进来?如果filter有tomcat或
     servlet等其他容器产生,则IOC中的其他的bean就不会被注进来,就必须springIOC容器去产生filter的bean,
     这样IOC容器中的其他的bean就会被注进来。不用在web.xml文件中配置filter,只要配置DelegatingFilterProxy,
     就可以了。 
----------------------------------------------------------------------------------------------------------------------------
5).添加applicationContext-springsecurity.xml,并且配置DelegatingFilterProxy。
  ①配置spring的HTTP安全,那些页面要被拦截,需要哪些权限。
      <http auto-config="true">
      <intercept-url pattern="/index.jsp" access="ROLE_ADMIN,ROLE_USER"/>
      <intercept-url pattern="/user.jsp" access="ROLE_USER"/>
      </http>
 ② 配置 spring-security 的用户信息
 <authentication-provider>
     <user-service>
  <user password="user" name="user" authorities="ROLE_USER"/>
  <user password="admin" name="admin" authorities="ROLE_ADMIN"/>
      </user-service>
 </authentication-provider>
----------------------------------------------------------------------------------------------------------------------------
6).改变xml默认的命名空间:
原来的配置方式:
<beans xmlns="http://www.springframework.org/schema/beans"
   xmlns:sec="http://www.springframework.org/schema/security"
修改后的配置方式:
<beans:beans xmlns="http://www.springframework.org/schema/security"
   xmlns:beans="http://www.springframework.org/schema/beans"
步骤:1、互换xmlns属性值和xmlns:sec属性值的位置
         2、把xmlns:sec属性名改为xmlns:bean
         3、把<bean></bean>标签名改为<bean:beans>
 ----------------------------------------------------------------------------------------------------------------------------
7).登出的配置:
 <!-- 配置 spring-security 的 http 安全 -->
 <http auto-config="true">
      <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN,ROLE_USER"/>
      <intercept-url pattern="/user.jsp" access="ROLE_USER"/>
      <!-- 配置登出服务 -->
      <!-- 默认的登出路径,登出去后默认去的页面是/根目录,不销毁session,但是清空session里面的值 -->
      <logout logout-url="j_spring_security_logout" 
                           logout-success-url="logout-success.jsp" 
                           invalidate-session="true"/>
 </http>
---------------------------------------------------------------------------------------------------------------------------
8).登录的配置
<form-login login-page="login.jsp" login-processing-url="login"
              default-target-url="success.jsp" 
              always-use-default-target="true"
              authentication-failure-url="error.jsp"/>
①login-page自定的登录页面,自定义页面上的元素必须和原来的页面的相同
   (例如:action路径,name='j_username'等) 
②login-processing-url定义登录的请求路径,对应login.jsp页面中action的值
③default-target-url该属性配置登录成功后的相应的页面 ,默认是根目录。
④always-use-default-target若请求的目标页面受保护,则security则会响应login-page属性对应的页面
   (如果配置了登录页面,就显示登录页面),默认情况下,若登录成功将相应刚才请求的目标页面,
   若配置了该属性,将以default-target-url属性指定的页面作为相应。
   例如:直接请求admin.jsp
   ◆没有配置该属性:
   若admin.jsp受保护,跳转到login-page属性对应的页面,验证通过后响应admin.jsp
   ◆配置该属性:
   若admin.jsp受保护,跳转到login-page属性对应的页面,验证通过后响应default-target-url属性对应的页面
⑤authentication-failure-url配置认证失败后跳转的页面
---------------------------------------------------------------------------------------------------------------------------
9).使用spring-security的自定义标签 
①加入标签的jar包:spring-security-taglibs-2.0.5.RELEASE.jar
②<security:authorize ifAllGranted="ROLE_ADMIN" 
            ifAnyGranted="" ifNotGranted="">
   </security:authorize>
   ifAllGranted具有属性值的所有的属性才有访问权限
   ifAnyGranted具有属性值的任何一个权限就可以访问
   ifNotGranted不具有属性值的权限才可以访问
pengliliu8086
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity详解
m0_71012114的博客
10-19 4957
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
SpringSecurity笔记
weixin_42437610的博客
11-07 960
1. Spring Security学习 1.1 简介 安全框架就是解决系统安全的框架。如果没有安全框架,我们需要手动的处理每个资源的访问控制,这是非常麻烦的。使用了安全框架,我们可以通过配置的方式实现对资源的访问限制。 1.2 核心功能 认证 (你是谁) 认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。通俗点说就是系统认为用户是否能登录 授权 (你能干什么) 授权指的是验证某个用户是否有权限执行
SpringSecurity学习笔记
最新发布
weixin_46625488的博客
03-29 947
SpringSecurity结合Springboot以及Thymleaf模版简单使用
Spring security详解——学习笔记
m0_61943950的博客
05-09 314
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。用户认证就是判断用于身份是否合法的过程授权: 授权是用户认证通过后,根据用户的权限来控制用户访问资源的过程。拥有资源的访问权限则正常访问,没有权限则拒绝访问。Spring Security是一个能够为基于Spring的企业应用系统声明式(注解)安全访问控制解决方案的安全框架。
Spring Security学习笔记(一)
09-07
以上就是Spring Security 学习笔记的第一部分,涵盖了Spring Security的基本使用和内存认证配置。后续的学习中,你将接触到更高级的主题,如自定义认证提供者、权限控制、OAuth2集成等。继续深入学习,你将能够构建...
springsecurity学习笔记
12-13
三更springsecurity学习笔记
Spring Security OAuth2.0学习笔记.zip
10-27
Spring Security OAuth2.0学习笔记 什么是认证、授权、会话。 Java Servlet为支持http会话做了哪些事儿。 基于session认证机制的运作流程。 基于token认证机制的运作流程。 理解Spring Security的工作原理,Spring ...
Spring Security笔记.rar
05-07
Spring Security学习笔记
Spring Security tutorial 学习笔记(一)
03-18
NULL 博文链接:https://liu-weiaa.iteye.com/blog/656990
Spring Secrutity
12-01
Spring Secrutity配置 及 受保护的资源和权限的信息, 如何不配置在配置文件中, 而从数据表中进行获取
spring-security 登录,权限管理,密码加密-开箱即用
10-26
SpringBoot2.0+Security+Tomcat9+JDK8+Mybatis+Maven 项目启动后有HTML模板,进入后先进入的主页没有进行任何的拦截,后点击Join us 进入登录或者注册页面进行注册,数据库脚本的话可以自己根据实体类或者sqlMap文件进行自己添加,比较简单
肝到头秃!阿里爆款的顶配版Spring Security笔记,值得收藏
weixin_58134620的博客
03-23 638
小编在这里分享些我自己平时的学习资料,由于篇幅限制,pdf文档的详解资料太全面,细节内容实在太多啦,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!开源分享:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】程序员代码面试指南 IT名企算法与数据结构题目最优解这是” 本程序员面试宝典!书中对IT名企代码面试各类题目的最优解进行了总结,并提供了相关代码实现。
Spring-security 1
开发笔记
05-15 92
 有没有发现一个问题,我们之前做的所有练习,都没的权限管理这个模块。我们的WEB应用中的同一个帐户可以在多台机器上同时登陆,每一个用户可以操作所有功能模块。这样在以后的应用开发中是结对不可行的!            今天的重点内容就是权限管理,如果使用传统的方式进行权限管理,在实现上多少有点麻烦。我在进行桌面开发时,涉及到的权限管理是向用户表中添加用户具有的权限ID串,每次用户登陆时都拿这个...
SpringSecurity之原理总结
hcyxsh的博客
04-07 206
SpringSecurity之原理总结 一 过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明 WebAsyncManagerIntegrationFilter 将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter 在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityC
Spring Security学习笔记
waooi的博客
04-05 4027
目录 1.基础概念 1)认证授权会话 2)授权的数据模型 3)RBAC 2.Spring Security简单实现 3.UserDetailsService 1.基础概念 1)认证授权会话 认证概念: 认证就是对用户的身份进行确认,比如我们登录QQ需要输入账号和密码,而这个过程就是认证. 用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时要求验证用户的身份信息,身份合法可以继续访问,不合法则拒绝访问,常见的用户身份验证方式有:用户密码登录,二维码登录
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
springsecurity笔记
08-17
- *1* *2* *3* [SpringSecurity学习笔记](https://blog.csdn.net/qq_66468682/article/details/123384891)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值