Spring in Action 阅读(7)—— Spring 如何保护web安全性(一)

最新推荐文章于 2023-10-27 09:16:00 发布
最新推荐文章于 2023-10-27 09:16:00 发布
阅读量147 收藏 2
点赞数 1
分类专栏: spring 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_17236715/article/details/106041293
版权

Spring Security
Spring Security借助一系列Servlet Filter来提供各种安全性功能。DelegatingFilterProxy是一个特殊的Servlet Filter,它本身所做的工作并不多。只是将 工作委托给一个javax.servlet.Filter实现类,这个实现类作为一个注册在 Spring应用的上下文中。
java的配置如下

package spittr.config;
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {
}

AbstractSecurityWebApplicationInitializer实现了 WebApplicationInitializer,因此Spring会发现它,并用它在Web容器中注册 DelegatingFilterProxy。将请求委托给ID 为springSecurityFilterChain bean。

编写安全性配置
@EnableWebMvcSecurity可以启用任意Web应用的安全性功能,还配置了一个Spring MVC参数解析 解析器(argument resolver)

@Configuration
@EnableWebMvcSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	@Override
  protected void configure(xxx) throws Exception {}
  ...
}

为了让Spring Security满足我们应用的需求,还需要再添加一点配置。
基于各种数据存储来认证用户
(1)基于内存的用户存储
对于调试和开发人员测试来讲,基于内存的用户存储是很有用的,但是对于生产级别的应用 来讲,这就不是最理想的可选方案了。为了用于生产环境,通常最好将用户数据保存在某种 类型的数据库之中。
下面的配置用withUser()方法为内存用户存储添加新的用户

  @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
      .inMemoryAuthentication()
        .withUser("user").password("password").roles("USER");
  }

(2)基于数据库表进行认证
用户数据通常会存储在关系型数据库中,并通过JDBC进行访问。为了配置Spring Security使 用以JDBC为支撑的用户存储,我们可以使用jdbcAuthentication()方法,所需的最少 配置如下所示:

@Autowired
DataSource dataSource
 @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
     .jdbcAuthentication()
     	.dataSource(dataSource);
  }

DataSource是通过自动装配的技巧得到的。
或者也可以自定义查询

@Autowired
DataSource dataSource
 @Override
  protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth
     .jdbcAuthentication()
     	.dataSource(dataSource)
     		.usersByUsernameQuery(
     			"selcet username, password, true "+ "from Spitter where username=?")
     			.passwordEncoder(new StandardPasswordEncoder("pasword"))
  }

数据库中的密码是永远不会解码的。 所采取的策略与之相反,用户在登录时输入的密码会按照相同的算法进行转码,然后再与数 据库中已经转码过的密码进行对比。这个对比是在PasswordEncoder的matches()方法 中进行的。

(3)配置自定义的用户服务
设我们需要认证的用户存储在非关系型数据库中,如Mongo或Neo4j,在这种情况下,我 们需要提供一个自定义的UserDetailsService接口实现。

public interface UserDetailsService{
	UserDetails loadUserByUsername(String username) throws  UsernameNotFoundException{
	}
}
Briant996
关注
专栏目录
Spring实战17——Spring Security
?_#的博客
05-20 226
Spring Security 是一种基于Spring AOP 和Servlet 规范中的Filter 实现的安全框架 Spring Security 充分利用了依赖注入DI 和面向切面技术 Spring Securty 使用Servlet 规范中的Filter 保护web 请求并限制url 级别的访问。它还使用了Spring AOP 保护方法的调用——借助于对象代理和使用通知。 引入core...
spring security 4.0 教程 步步深入 5
blurooo的博客
11-03 1万+
5. Java Configuration在Spring 3.1中向Spring框架添加了对Java配置的常规支持。 自Spring Security 3.2以来,一直有Spring Security Java配置支持,使用户能够轻松地配置Spring Security而不使用任何XML。 如果你熟悉第6章,安全命名空间配置,那么你应该发现它和安全Java配置支持之间有几个相似之处。 Sprin
AbstractSecurityWebApplicationInitializer
一叶竹
10-15 2739
AbstractSecurityWebApplicationInitializer
Spring4详解系列(九)保护Web应用Spring Security的使用
川子的博客
08-19 4361
1、什么是Spring Security Spring Security是为基于Spring的应用程序提供声明式安全保护安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。 ...
Spring学习之旅(八) Spring Security的使用
我的天空 我的梦
12-27 3037
Spring Security的配置和使用
Spring in Action 第四版英文PDF
02-25
Spring in Action》第四版是一本全面介绍Spring框架的权威指南。本书由Craig Walls编写,Manning出版社出版,覆盖了Spring 4版本的核心功能和技术细节。本书不仅深入浅出地讲解了Spring框架的基础概念,还详细介绍...
Spring in action》——学习总结(一)
LemonTe-A
05-06 3266
在网上学的很吃力,可能是前面的Java没学好吧,遂在图书馆找了本《Spring in action》看看,刚开始看,感觉还行。Spring 简述通过面向POJO编程、依赖注入、AOP和模板技术四个方面来简化Java开发的复杂性。Tips: POJO,Plain Ordinary Java Object的缩写,但是它通指没有使用Entity Beans的普通java对象,可以把POJO作为支持业务逻
Spring Boot in Action-chapter 2 sample
09-13
### Spring Boot in Action – Chapter 2 Sample:开发第一个Spring Boot应用 #### 一、章节概述 本章主要介绍如何利用Spring Boot快速启动一个项目,并通过实际案例深入理解Spring Boot自动配置的功能及其工作...
Spring in action 2nd
04-27
### Spring in Action 第二版 —— 详尽解析与学习指南 #### 一、书籍概述 《Spring in Action》第二版是一本深受开发者喜爱的技术书籍,由Craig Walls和Ryan Breidenbach共同撰写,并由Manning出版社出版。这本书...
Spring和Struts——两个Java web框架的比较
m110572的博客
06-06 560
当我们说Java Web框架时,最流行的两个名字是Spring和Struts。由于Java语言缺乏内部组织,Spring和Struts都提供了一个Web开发框架,允许用户专注于开发可靠的Web应用程序。什么是 Spring 框架?Spring 框架(Spring)是一个开源应用程序框架,通过提供基础设施支持来支持Java应用程序的开发。Spring 是使用最广泛的Java企业版 (Java EE) 框架之一,它允许开发人员使用普通的旧Java对象 (POJO) 设计高性能应用程序。Spring被认为是一个安
SPRING SECURITY JAVA配置:Web Security
飞鸟
03-02 2152
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。 Hello Web Security 在这个部分,我们对一个基于websecurity作一些基本的配置。可以分成四个部分: 更新依赖 – 我们已经在前一篇文章中用Mav
SpringSecurity的配置详解——WebSecurityConfiguration
C_1_1_的博客
06-09 6159
WebSecurityConfiguration.class: @Configuration public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware { private WebSecurity webSecurity; private Boolean debugEnabled...
基于java config的springSecurity(一)--基本搭建
热门推荐
xiejx618的专栏
01-08 2万+
本文主要介绍基于java config的集成配置.spring data jpa等等相关的资料在前面博文有介绍. 1.pom.xml. <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schema
使用java 编程的注解的方式定制spring security
一个烂人的随手笔记
09-08 7371
上一批博客 介绍了用 xml配置的方式来使用spring security 现在改造成完全使用注解的方式进行 定制 spring security 编程方式替换 在web.xml中定义的spring 的 filterChain<!-- spring security --> <filter> <filter-name>springSecurityFilterChain</filter-
SpringSecurity从装载到源码
BaiYZ的Blog
05-11 190
SpringSecurity过滤器链源码阅读,以及个人理解
Spring Security—配置(Configuration)
最新发布
深圳市多克创新科技有限公司
10-27 557
Spring Security—配置(Configuration)
Spring4中的WebApplicationInitializer理解
koflance的博客
03-02 1万+
XML-based Approach要配置核心分发控制器Servlet,即DispatcherServlet,传统做法是直接使用xml进行配置,如下代码所示:<servlet> <servlet-name>dispatcher</servlet-name> <servlet-class> org.springframework.web.servlet.DispatcherServle
Spring Security学习:05.初识Web应用安全的Java配置,3.x升级到4.x【云图智联】
07-27 267
新的安全问题不断出现,Spring Security也必须不断升级。作为一个主版本号修改的发行版本,Spring Security团队有机会来做一些主动的改变: Spring Security支持更多的默认安全行为 最小化信息泄露 移除不建议使用的API 要更详细的查看如果从3.x升级到4.x,请参考: Migrating from Spring Security 3.x to 4.x (XML Configuration) Migrating from Spr
透过源码详解Spring Security 初始化流程
LoveSummer
11-11 973
Spring Security在3.2版本之后支持Java Configuration,即:通过Java编码形式配置Spring Security,可不再依赖XML文件配置,本文采用Java Configuration方式。 在Spring Security官方文档中有一个最简配置例子: import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.*
Spring In Action中文版:深入理解IoC与AOP
Spring in Action》中文版是一本深入讲解Spring框架的实用指南,特别关注其核心特性——依赖注入(IoC)和面向切面编程(AOP)。本书以清晰的步骤引导读者理解Spring框架,包括以下几个关键知识点: 1. **Spring...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值