spring security 粗识

最新推荐文章于 2023-06-09 18:29:30 发布
最新推荐文章于 2023-06-09 18:29:30 发布
阅读量330 收藏
点赞数
分类专栏: spring security 文章标签: spring security 登陆验证 加密 密码
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pkjxt/article/details/43311993
版权

最近才开始接触spring security来开发项目,把里面觉得不太懂的或者有意思的现在大概总结一下,方便以后自己再看,再学习...

①LDAP(轻目录访问协议),看了看,不是特别懂,在此就不献丑了,想深入了解还是度娘。

②sitemesh技术的应用,装饰类的配置文件decorators.xml,主要的

<!-- 要进行装饰的页面-->

<decorator name="main" page="main.jsp">
  <pattern>/*</pattern>
 </decorator>

<!-- 不需要被装饰的页面 -->

<excludes>
  <pattern>/login.jsp*</pattern>
 </excludes>

③关于spring security 3.1登陆验证,我从这里面受益匪浅 http://blog.csdn.net/k10509806/article/details/6436987 ,登陆这块流程还算是比较详细的。

④密码的一些规则:

* At least 8 characters.
至少8个字符
* A minimum of one numeric character.
至少包含一个数字字符
* A minimum of one special character (e.g., @, #, $).
至少包含一个特殊字符 (如, @,#,$)
* A leading and ending alpha character.
以字母为开头且以字母结束
* contain at least one uppercase letter
密码至少需要包含一个大写字母。
* Be unique to the previous 13 passwords.
修改的密码不能与前13次密码重复
* Be restricted to one change(s) within a 24 hour period except for one-time-password implementations.
除一次性使用密码外,24小时内限制只能改一次密码
* Not be programmed into "remember password" features, scripts or function keys.
不能把”记住密码“功能编码在程序的功能模块或脚本里
* User account passwords must be changed every 90 days.
用户帐号密码必须每90天修改一次
* Maximum number of 5 consecutive failed login attempts, after which the user's access must be suspended.
在最多连续5次尝试登录失败后用户必须被挂起
* Store and transmit passwords in protected (e.g., encrypted or hashed) form.
存储和发送密码要以加密的方式进行
? The storage, display, and printing of passwords must be masked, suppressed, or otherwise obscured
密码不能以明文存储,显示和打印

⑤加密算法

自带的加密算法:

private MessageDigestPasswordEncoder passwordEncoder;
public void setPasswordEncoder(MessageDigestPasswordEncoder passwordEncoder) {
  this.passwordEncoder = passwordEncoder;
}
passwordRecord.setPassword(passwordEncoder.encodePassword(password,null));

自写加密算法:

public class DefaultDESedeImpl implements StringEncryptor {
  //加密
 public String encrypt(String target) {
  String encodeString = null;
  encodeString = new BASE64Encoder().encode(target.getBytes());
  return encodeString;
 }
  //解密
 public String decrypt(String target) {
  String decodeString = null;
  try {
   decodeString = new String(new BASE64Decoder().decodeBuffer(target));
  } catch (IOException e) {
   e.printStackTrace();
  }
  return decodeString;
 }
}

⑥用户登陆判断的思路(这里面用户被锁,是必须要超级用户来解锁)

0.判断该用户是否已经被挂起,如果被挂起,就不执行。。。
1.根据用户名去数据库user表查,没有 返回空,不执行操作,有的话
==>  判断该用户是否被锁,如果被锁,返回,没有被锁,判断loginservice是否有数据,没有数据,直接创建,有数据的话--
2.去loginRecord(登陆记录)表中查相对应的username,如果为空,则直接插入,username,failure_times=1,date = new Date();
3.不为空返回对应的failure_times和date,failure_times如果为0,failure_times=1,date= new Date();
4.如果failure_times不为空但是new Date>date+5分钟(5分钟内连续操作);,failure_times=1,date= new Date();
5.如果new Date<date+5分钟;failure_times=failure_times+1;将之前取出的时间放入数据库
6.登陆成功{
  将loginRecord表中该用户名的failure_times清零。
 }

 ==>解锁的时候应该将loginRecord里面的对应的用户failure_times清零.

⑦取WEB-INF下面的properties里面的内容

public class AppConfigUtil {
 public Properties properties;
 public String fileName = "config.properties";

 public AppConfigUtil() {
  try {
   properties = new Properties();
   String path = this.getClass().getResource("/").getPath();
   path = path.substring(1,path.indexOf("classes"));
   properties.load(new FileInputStream(path+"app-config.properties"));
  } catch (Exception e) {
   e.printStackTrace();
  }
 }
 //
 public String getValue(String confName) {
  if (StringUtils.isEmpty(confName)) {
   return "";
  } else {
   return properties.getProperty(confName);
  }
 }
 public void setProperties(Properties properties) {
  this.properties = properties;
 }
 public String getFileName() {
  return fileName;
 }
 public void setFileName(String fileName) {
  this.fileName = fileName;
 }

这个在测试的时候是可以用的,但是服务器启动起来,路径就会出错,所以,在服务器端,如果可以的话,再把request对象传入,这样就能取得服务器端的地址:

public class AppConfigUtil {

 public Properties properties;
 public AppConfigUtil(HttpServletRequest request) {
  try {
   String filePath = request.getRealPath("/WEB-INF/config.properties");
   properties = new Properties();
   InputStream in = new BufferedInputStream(new FileInputStream(filePath));
   properties.load(in);
  } catch (Exception e) {
   e.printStackTrace();
  }
 }

 public String getValue(String confName) {
  if (StringUtils.isEmpty(confName)) {
   return "";
  } else {
   return properties.getProperty(confName);
  }

 }
 public void setProperties(Properties properties) {
  this.properties = properties;
 }
}

⑧自己对登陆这一块的认识:

login.jsp

<form action="<core:url value="/j_spring_security_check"/>" method="post">

<input name="j_username" type="text" style="width:130px;border:1px solid #9D9D9D"/>

<input name="j_password" type="password" style="width:130px;border:1px solid #9D9D9D"/>

固定的j_username和j_password 通过固定的action传入/j_spring_security_check,到下面进行判断

applicationContext-security.xml

<bean id="securityFilter"
  class="com.xxx.util.LocaleSaverAuthenticationProcessingFilter">

  <property name="authenticationManager" ref="authenticationManager" />
  <property name="authenticationSuccessHandler" ref="successHandler" />
  <property name="authenticationFailureHandler" ref="failureHandler" />
  <property name="filterProcessesUrl" value="/j_spring_security_check" />
 </bean>

<bean id="successHandler"
  class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
  <property name="defaultTargetUrl" value="/home.htm" />
 </bean>

 <bean id="failureHandler"
  class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
  <property name="defaultFailureUrl" value="/login.jsp?authfailed=Y" />
 </bean>

<bean id="loginService" class="com.xxx.service.login.LoginService">
  <property name="loginRecordService" ref="loginRecordService"></property>
  <constructor-arg index="0" ref="userService" />(有构造方法这样写)
   </bean>

 <security:authentication-manager alias="authenticationManager">
  <security:authentication-provider
   user-service-ref="loginService">
   <security:password-encoder ref="passwordEncoder" />
  </security:authentication-provider>
 </security:authentication-manager>

进入这里面后,会执行LocaleSaverAuthenticationProcessingFilter的attemptAuthentication方法

Authentication auth = super.attemptAuthentication(request, response);//执行这句的时候会去调用loginService的loadUserByUsername方法(记得里面调用的其他service的set,get方法,下面的是不完全代码,只是一个思路)

public class LoginService implements UserDetailsService,Serializable {

public UserDetails loadUserByUsername(String userName) throws UsernameNotFoundException, DataAccessException{

user = userService.getUserByName(userName);

if (user == null)
   throw new UsernameNotFoundException(userName + " cannot be found!");

}

return new LoginUser(user,  sourceSystemID);

}

public class LoginUser implements UserDetails {

private User user;

private Collection<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();

}

根据返回的结果,来进行下一步操作,如果成功,if (auth.isAuthenticated()) {...}return auth;

否则的话,会返回相对应的错误信息,如刚才写的抛出新的异常,就是页面显示的信息,具体的方案还是参考上面。

先写到这里保存一下,后续再继续更新修改一下。。。

不影响全局
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity基础入门(详情可以联系博主)
yuan_boss的博客
06-12 483
写下本篇文章是因为我在做小项目时使用到了spring security并且对此有了更深的理解,故写下这篇文章总结了spring security并且再次加深理解,本篇文章适合于有点基础的小伙伴,当然没有基础的小伙伴也可以在评论区提问,或者加扣扣联系,小编看到一定回复哦,扣扣:1928627476...
springboot中使用security
luckyxl029的博客
04-20 3277
最近在项目当中使用spring security做权限管理,下面简单记录一下如何配置和使用.一、权限相关表1、user:用户表2、groups:用户组表3、role:角色表4、resource:资源表5、user_group:用户、组关系表6、group_role:用户组、角色关系表7、role_resource:角色、资源关系表一个用户可以在多个组中,一个组可以包括多个角色、一个角色可以包括多个...
使用spring security框架实现权限以及登录,loadUserByUsername这个方法与authenticate这个方法执行顺序
weixin_35756637的博客
01-09 1323
Spring Security 是一个用于为 Java 应用程序提供安全保护的框架。 在使用 Spring Security 时,当用户尝试登录时,会执行以下步骤: 调用 authenticate() 方法进行身份验证,该方法需要用户提供的用户名和密码来尝试进行身份验证。 在进行身份验证之前,Spring Security 会调用 loadUserByUsername() 方法来获取用户信息。该...
SpringSecurity权限认证(三)
Bep_的博客
10-27 798
SpringSecurity权限认证(三) 查询数据库中信息进行用户登录 前端传入用户信息之后,在security中,有单独的类进行存储,就是UserDetails。 为了方便,直接让用户类实现UserDetails。登录时,直接传入UserDetails类即可。 之后,security,会调用UserDetailsService的loadUserByUsername进行登录。 我们需要自行登录,就需要实现UserDetailsService重写loadUserByUsername函数。 @Servi
Springsecurity loadUserByUsername方法不执行的问题
最新发布
weixin_44767891的博客
06-09 329
这个问题困扰了很久,最终通过顺利解决,解决方法如下:在(继承了WebSecurityConfigurerAdapter )的类中添加如下代码:
SpringBoot整合SpringSecurity(九)结合JWT(非OAuth2)
fulinlin的博客
11-17 1339
序言 jwt有好处也有坏处,好处就是不用在去存这些session了,省空间,做分布式会话so easy。但是我个人是比较不推荐你使用这个的。我举例一下几种缺点 无法满足注销场景 无法满足修改密码场景 无法满足token续签场景 烦人的不能到期,控制到期设置黑名单,还是用到了存储比如redis,说实话这有点本末倒置,坏处不多说,如果不强求那么多安全,还是可以使用jwt减少成本,快速开发。 代码...
原来SpringSecurity整合OAuth2后开放权限拦截路径还能这么玩?
恒宇少年De成长之路
12-10 4175
当我们整合了Spring Security以及OAuth2后发现,有一些业务请求是需要开放的,因为种种原因这时访问者还没有身份标识(比如:用户刚来,还没有注册,需要进行新用户注册,这时注册业务相关的接口都应该是开放的),下面我们来看看ApiBoot是怎么排除路径不进行权限拦截的。 官方相关文档 相关ApiBoot Security官方使用文档,请访问 ApiBoot Security。 在文档的第...
SpringSecurity配置过滤路径问题总结
ybb_ymm的专栏
02-28 935
为了不重复写代码,之前写了一个基于SpringSecurity的权限控制工具,为了赶工没有做过多的优化,很多内容都是直接写死在代码中。比如过滤哪些接口或者静态资源文件等等。但是,在使用过程中,每个项目所需要过滤的请求路径或者静态资源路径是不尽相同的。所以今天将过滤路径这块进行一下优化,将其提出来,作为配置文件输入参数的形式,方便用户自己能够零活配置与使用。
前后端分离spring securityloadUserByUsername参数name为空
God__is__a__girl的博客
10-06 2292
检查前端传回的参数名称是否是username和password,spring security默认的参数名称是username和password,如果不是,可能更改前端的形参,也可以在WebSecurityConfigurerAdapter的configure实现接口里面添加你的参数名称 在后端设置前端传回的参数名称 http. ...//省略 .formLogin() .usernameParameter("username") .passwordParameter("passwor.
spring-security】j_spring_security_check 404
MichaelJY1991的专栏
12-28 3375
场景: http://localhost:8080/j_spring_security_check 使用spring-security框架,自定义login页面时,发现上面的请求404 原因: spring-security的版本问题,spring-security4.x版本,若需要自定义login页面时,需要自定login-processing-url=“/j_spring_secu
ant的excludes属性
厚积薄发
10-16 2477
zipfileset和fileset标签的属性完全兼容, 其中excludes属性应用例子如下: [code="xml"] [/code] D:\tmp文件夹下的目录结构如下图 [img]http://dl.iteye.com/upload/picture/pic/1190...
安全框架SpringSecurity实战总结(一)
FlyingFish868的博客
12-28 5587
Spring Security是一个高度自定义的安全框架,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了 Spring IoC , DI(控制反转Inversion of Control,DI:Dependency Injection 依赖注入) 和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能。
spring学习笔记:spring事务管理
java的一些记录
09-25 263
PROPAGATION_REQUIRED PROPAGATION_REQUIRED PROPAGATION_REQUIRED PROPAGATION_REQ
spring security原理-学习笔记1-整体概览
技术研究中心
10-26 314
整体概述 运行时环境 Spring Security 3.0需要Java 5.0 Runtime Environment或更高版本。 核心组件 SecurityContextHolder,SecurityContext和Authentication Objects 最基本的对象是SecurityContextHolder。这是我们存储应用程序当前安全上下文的详细信息的地方,其中包括当前使...
application.properties详解 --springBoot配置文件
热门推荐
LPF的博客
10-19 3万+
# spring boot application.properties配置的各个属性详解 # 该示例文件作为标准提供。(官方文档 翻译过来的) # 还是花了些功夫翻译,各位如果转发,请留下本文地址,谢谢 # 翻译过程中难免出现翻译错误的地方,如果有哪位大神发现有错误的地方,请您留言指正,感激不尽,共同进步。 # created  by lpf in 2017/10/19 # = = =
UserDetails类中loaduserByUsername中获取不到用户名
qq164425443的博客
05-15 2946
使用Spring Security框架中的UserDetails类方法要注意的事项 最近在新项目中使用了SpringSecurity中的UserDetails类中loaduserbyUsername方法,在数据库和对应的映射文件中username字段使用的account代替,json中的登录接口账号也是 { "account":xxx, "password":xxx } 的方式,后来发现在验证token的时候,获取不到username, 原来loadUserByUsername方法调用后,获取到的用户信息
Spring-security中的一些理解与源码解析
爱上编程2705
12-01 520
Spring-security中的一些理解 这里写目录标题Spring-security中的一些理解1.0 获取用户信息1.1 认证处理流程讲解1.用户登录进来首先就会进入到UsernamePasswordAuthenticationFilter中2.用户进入AuthenticationManager中1.2 认证的结果如何在多个请求中共享1.用户认证完成之后就需要将用户信息放入session中1.3 Oauth2.0 核心源码的解析 1.0 获取用户信息 实现 UserDetailsService 这个类

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值