SpringSecuity - XML

最新推荐文章于 2024-02-25 19:15:11 发布
最新推荐文章于 2024-02-25 19:15:11 发布
阅读量229 收藏 1
点赞数
分类专栏: Java 文章标签: 权限
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26786441/article/details/91417951
版权

SpringSecuity学习笔记:

1.导入jar包

<spring.security.version>5.0.1.RELEASE</spring.security.version>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>${spring.security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>${spring.security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>${spring.security.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>${spring.security.version}</version>
</dependency>

2.spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/js/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>

    <!--
       配置具体的规则
       auto-config="true" 不用自己编写登录的页面,框架提供默认登录页面
       use-expressions="false"    是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="false">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>

        <!-- 定义跳转的具体的页面 -->
        <security:form-login
                login-page="/login.jsp" //拦截后的登录页面
                login-processing-url="/login.do" //点击登录后执行的方法
                default-target-url="/index.jsp" //默认页面
                authentication-failure-url="/failer.jsp" //失败页面
                authentication-success-forward-url="/pages/main.jsp" //成功页面
        />

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!-- 退出 -->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"/>

    </security:http>

    <!-- 认证管理器:切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/>-->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
       <security:authentication-provider>
          <security:user-service>
             <security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
          </security:user-service>
       </security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

3.web.xml

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath*:applicationContext.xml,classpath*:spring-security.xml</param-value>
</context-param>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

4.登录过程

<security:form-login
                login-page="/login.jsp" //拦截后的登录页面
                login-processing-url="/login.do" //点击登录后执行的方法
                default-target-url="/index.jsp" //默认页面
                authentication-failure-url="/failer.jsp" //失败页面
                authentication-success-forward-url="/pages/main.jsp" //成功页面

根据配置文件,写一个login.jsp(懒得话这个不用写,可以自动配置)的登录页面,form提交到login.do(这个login.do不需要我们自己写),登录成功后跳转到/pages/main.jsp,失败到/failer.jsp

login.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
         pageEncoding="UTF-8" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">

    <title>数据 - AdminLTE2定制版 | Log in</title>

    <meta
            content="width=device-width,initial-scale=1,maximum-scale=1,user-scalable=no"
            name="viewport">

    <link rel="stylesheet"
          href="${pageContext.request.contextPath}/plugins/bootstrap/css/bootstrap.min.css">
    <link rel="stylesheet"
          href="${pageContext.request.contextPath}/plugins/font-awesome/css/font-awesome.min.css">
    <link rel="stylesheet"
          href="${pageContext.request.contextPath}/plugins/ionicons/css/ionicons.min.css">
    <link rel="stylesheet"
          href="${pageContext.request.contextPath}/plugins/adminLTE/css/AdminLTE.css">
    <link rel="stylesheet"
          href="${pageContext.request.contextPath}/plugins/iCheck/square/blue.css">
</head>

<body class="hold-transition login-page">
<div class="login-box">
    <div class="login-logo">
        <a href="all-admin-index.html"><b>ITCAST</b>后台管理系统</a>
    </div>
    <!-- /.login-logo -->
    <div class="login-box-body">
        <p class="login-box-msg">登录系统</p>

        <form action="${pageContext.request.contextPath}/login.do" method="post">
            <div class="form-group has-feedback">
                <input type="text" name="username" class="form-control"
                       placeholder="用户名"> <span
                    class="glyphicon glyphicon-envelope form-control-feedback"></span>
            </div>
            <div class="form-group has-feedback">
                <input type="password" name="password" class="form-control"
                       placeholder="密码"> <span
                    class="glyphicon glyphicon-lock form-control-feedback"></span>
            </div>
            <div class="row">
                <div class="col-xs-8">
                    <div class="checkbox icheck">
                        <label><input type="checkbox"> 记住 下次自动登录</label>
                    </div>
                </div>
                <!-- /.col -->
                <div class="col-xs-4">
                    <button type="submit" class="btn btn-primary btn-block btn-flat">登录</button>
                </div>
                <!-- /.col -->
            </div>
        </form>

        <a href="#">忘记密码</a><br>

    </div>
    <!-- /.login-box-body -->
</div>
<!-- /.login-box -->

<!-- jQuery 2.2.3 -->
<!-- Bootstrap 3.3.6 -->
<!-- iCheck -->
<script
        src="${pageContext.request.contextPath}/plugins/jQuery/jquery-2.2.3.min.js"></script>
<script
        src="${pageContext.request.contextPath}/plugins/bootstrap/js/bootstrap.min.js"></script>
<script
        src="${pageContext.request.contextPath}/plugins/iCheck/icheck.min.js"></script>
<script>
    $(function () {
        $('input').iCheck({
            checkboxClass: 'icheckbox_square-blue',
            radioClass: 'iradio_square-blue',
            increaseArea: '20%' // optional
        });
    });
</script>
</body>

</html>

首先是实体类:

UserInfo.java(用户类)

public class UserInfo {

    private String id;
    private String username;
    private String email;
    private String password;
    private String phoneNum;
    private int status;
    private String statusStr;
    private List<Role> roles;//连表查
}

Role.java (角色类)

public class Role {

    private String id;
    private String roleName;
    private String roleDesc;
    private List<Permission> permissions;
    private List<UserInfo> users;
}

第二个需要自己写的是Service和Dao(用户和权限都要查询出来)

IUserService.java

public interface IUserService extends UserDetailsService {}

UserserviceImple.java

@Service("userService")
@Transactional
public class UserServiceImpl implements IUserService {

    @Autowired
    private IUserDao userDao;

    //登录校验
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = null;
        try {
            userInfo = userDao.findByUsername(username);
        } catch (Exception e) {
            e.printStackTrace();
        }
        //处理自己的用户对象封装成UserDetails
//        User user = new User(userInfo.getUsername(), "{noop}"+userInfo.getPassword(), getAuthority(userInfo.getRoles()));
        User user = new User(userInfo.getUsername(), "{noop}" + userInfo.getPassword(),
                userInfo.getStatus() == 0 ? false : true, true, true, true,
                getAuthority(userInfo.getRoles()));
        return user;
    }

    public List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> list = new ArrayList<>();
        for (Role role : roles) {
            list.add(new SimpleGrantedAuthority("ROLE_" + role.getRoleName()));
        }
        return list;
    }
}

IUserDao.java(用户Dao)

public interface IUserDao {

    //根据用户名查询出用户(登录校验)
    @Select("select * from users where username = #{username}")
    @Results({
            @Result(id=true, property = "id", column = "id"),
            @Result(property = "username", column = "username"),
            @Result(property = "email", column = "email"),
            @Result(property = "password", column = "password"),
            @Result(property = "phoneNum", column = "phoneNum"),
            @Result(property = "status", column = "status"),
            @Result(property = "roles", column = "id", javaType = java.util.List.class,
                    many = @Many(select = "com.tang.work.dao.IRoleDao.findRoleByUserId"))
    })
    public UserInfo findByUsername(String username) throws Exception;
​​​​​​​}

IRoleDao.java(角色Dao)

public interface IRoleDao {

    //根据用户id查询出所有的角色
    @Select("select * from role where id in (select roleId from users_role where userId = #{userId})")
    public List<Role> findRoleByUserId(String userId) throws Exception;

}

数据库设计省略,就是普通的权限设计。

 

 

权限控制:

1.方法级别权限控制

    a.先开启,默认情况下都是关闭

    b.使用,注意jsr250在使用时,需要导入依赖

@RolesAllowed("ADMIN")
@Secured("ROLE_ADMIN")
//对于表达式操作,可以使用SPEL表达式

2.页面上权限控制

   a.在页面上获取当前操作用户<security:authentiction property=" ">

   b.在页面上控制信息展示<security:authorize access=" ">

汤同学丶
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security基于xml配置
weixin_45380902的博客
07-21 1319
引入坐标 web.xml配置 配置spring secruity 过滤器 ![注意这里的filter-name 必须是这个名字](https://img-blog.csdnimg.cn/20200721160626265.png) 配置Spring Listenter 配置SpringMVC 前端控制器 配置spring-security.xml ...
SpringSecurity详解
m0_71012114的博客
10-19 4977
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
spring-security
migo_的专栏
02-25 1233
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。Spring Security是Spring采用 `AOP`思想,基于 `servlet过滤器`实现的安全框架。它提供了完善的认证机制和方法级的授权功能。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。
SSM项目集成Spring Security 4.X版本(使用spring-security.xml 配置文件方式)
u011529483的博客
01-22 1342
实战目标: Authentication:认证,实现用户认证登录 Authorization:授权,设定用户的资源,访问权限
spring-security-material-master.zip
09-24
Spring Security的起步依赖通常会在pom.xml或build.gradle文件中被引入,这样就可以利用其提供的安全功能。例如,在pom.xml中,我们可以看到类似以下的代码: ```xml <groupId>org.springframework.boot ...
Spring security-包含官方文档
10-24
9. **自定义配置**:Spring Security 提供了基于Java和XML的配置方式,使得你可以精确地控制每一个安全特性。同时,Spring Boot 的自动配置功能可以让设置变得更加简单。 10. **OAuth2支持**:Spring Security 提供...
spring-security-oauth2-authorization-server.zip
08-25
1. **添加依赖**:在`pom.xml`中添加Spring Security OAuth2和Spring Boot的MySQL驱动依赖。 2. **配置数据库**:创建数据库表,如`oauth_client_details`、`oauth_access_token`等,用于存储OAuth2相关数据。这...
Spring-security-test
03-22
- **配置**:Spring Security 可以通过 XML 或 Java 配置,甚至可以通过编程方式进行配置。 3. **Spring-security-test-master** 项目可能包含: - **源代码示例**:展示了如何在不同场景下配置和使用 Spring ...
SpringSecurity - 随笔
01-17
- **XML配置**:传统上,SpringSecurity可以通过XML配置文件设置,但这种方式复杂且不易维护。 - **Java配置**:现代实践中,更倾向于使用Java配置,通过`@EnableWebSecurity`注解启动SpringSecurity,并通过`...
spring security xml方式配置
03-12
spring mvc+spring security+自定义form表单+验证码+bootstrap
Spring Security 配置实例XML文件
06-13
Spring Security 配置实例XML文件
Spring Security 参考手册_Spring Security中文版
01-02
Spring security 是一个强大的和高度可定制的身份验证和访问控制框架。它是确保基于Spring的应用程序的标准。 Spring Security 为基于javaEE的企业应用程序提供一个全面的解决方案。正如你将从这个参考指南发现的,我们试图为你提供一个有用的并且高度可配置的安全系统。
Spring Security实战(五)—— 密码加密
weixin_49561506的博客
04-17 2403
spring security 密码加密实战
SpringSecurity设置登录账号密码的三种方式
cy364328541的博客
08-16 5214
SpringSecurity设置登录账号密码的三种方式
spring security——基本介绍(一)
热门推荐
随笔记
01-16 40万+
一、spring security 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式...
Spring Security 之security.xml详解
weixin_33785108的博客
09-09 459
2019独角兽企业重金招聘Python工程师标准>>> ...
spring-security.xml配置文件(自用)
c_2333的博客
08-15 525
代码】spring-security.xml配置文件(自用)
Spring Security入门(基于SpringSecurity xml配置文件)
jnzisnoone的博客
04-16 4164
学习项目中用到了Spring Security进行权限管理,比较好用,使用到的方式是基于xml配置文件的,相比较java代码配置简洁很多,故作笔记整理共享 首先贴上全部spring security配置文件代码,还是一样,因为我这个是maven项目,所以需要提前在pom文件里写好依赖,以下pom文件内容仅供参考 <properties> <spring.version&gt...
sprinboot spring-security-saml
最新发布
03-17
Spring Security SAML是Spring Security的一个扩展模块,用于实现基于SAML(Security Assertion Markup Language)的身份验证和授权。SAML是一种基于XML的开放标准,用于在不同的安全域之间传递身份验证和授权信息。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值