Spring Security 从配置入门 学习讲解

最新推荐文章于 2024-04-08 09:35:14 发布
最新推荐文章于 2024-04-08 09:35:14 发布
阅读量610 收藏 2
点赞数 2
分类专栏: spring security 文章标签: spring security

首先,Spring Security 到底是用来干嘛的?

再次,Security 是怎么工作的?

 

最后,我们为什么要用Security。

--------------------------------------------------------------------------

我先大体上说下security的工作流程:

   Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servlet请求,并将这些请求转给认证和访问决策管理器处理,从而增强安全性。根据自己的需要,可以使用表7.4中所列的几个过滤器来保护自己的应用程序。 http://baike.baidu.com/link?url=LhguUpz1g7MnakDzFDFRK9D7n6u6wFffzSbJ7Zkcq3QMDNy741SpXMVGAb4jfz_GAa5J0ORkYvKEGYOD2bIQsa
对于概念,百度百科上的说很明了。
  在我们访问一个资源的之前,会被AuthenticationProcessingFilter(这个过滤器我们会重写)拦截,然后它会调用securityMetadataSource来获取被访问资源所对应的权限集合,然后调用accessDecisionManager 来确认,我们用户是否有权限访问这个资源。
 
---------------------------说了这么多 ,还没见代码。-------------------------------
每个项目的访问入口都是 web.xml,那我们就看他的代码:
 
复制代码 
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
  <display-name>SpringSecurityDemo</display-name>
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
  
  <!-- 加载Spring security XML 配置文件
      为什么要配置这个文件?!!!
      因为百度! security是什么?  就是依靠一个特殊的过滤器(DelegatingFilterProxy,他是干嘛的?!),
      依靠他来委托一个在spring上下文的一个bean完成工作。
      而这个Bean,说白了就是一个过滤器。
   -->
  <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
        /WEB-INF/securityConfig.xml
        </param-value>
    </context-param>
    
    
  <!-- Spring 容器监听,这尼玛又是个什么东东? 
      listener. 哦 ,是个监听器啊。
      看看他的源码
      public void contextInitialized(ServletContextEvent event)
    {
        contextLoader = createContextLoader();
        if(contextLoader == null)
            contextLoader = this;
        contextLoader.initWebApplicationContext(event.getServletContext());
    }
        瞅见了么,就特么是来加载上面配置的securityConfig.xml文件
   -->
  <listener>
      <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
  </listener>
  
  <!-- 看吧,这就是看个特殊的过滤器,撒手掌柜了,他到底干什么了,为什么我们要配置他?
      我们来扒开他的皮,瞅一瞅吧,
      //这是他的doFilter方法
       public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
        throws ServletException, IOException
    {
        Filter delegateToUse = null;
        synchronized(delegateMonitor)
        {
            if(_flddelegate == null)   //如果bean为空
            {
                WebApplicationContext wac = findWebApplicationContext();  //给我拿来配置文件
                if(wac == null)            //虾米?配置文件为空?!  妈的,给老子抛异常! 你给老子监听的配置吃啦?!
                    throw new IllegalStateException("No WebApplicationContext found: no ContextLoaderListener registered?");
                _flddelegate = initDelegate(wac);   //这是什么?猜都出来了,在配置文件里召唤bean(感情配置文件就是人才市场,掌柜的招小工了..)
            }
            delegateToUse = _flddelegate; //小工招用完了,就你啦...可怜,三方呢? 工资了?  你他妈的刚毕业吧....
        }
        invokeDelegate(delegateToUse, request, response, filterChain); //照完小工干嘛去?  干活呗!,给老子干! 干!
    }
    //这是initDeletegate
    protected Filter initDelegate(WebApplicationContext wac)
        throws ServletException
    {
        Filter delegate = (Filter)wac.getBean(getTargetBeanName(), javax/servlet/Filter);
        if(isTargetFilterLifecycle())
            delegate.init(getFilterConfig());
        return delegate;
    }
  
    //这是invokeDelegate
  protected void invokeDelegate(Filter delegate, ServletRequest request, ServletResponse response, FilterChain filterChain)
        throws ServletException, IOException
    {
        delegate.doFilter(request, response, filterChain);
    }
    
    咦? 不对呀,小工要造反了怎么办?  你无良老板就啥都不干? 
    对,我就是啥都不干? 老子就是这么任性。 老子把你们召唤来,就是给了你们生存的价值
 (DelegatingFilterProxy做的事情是代理Filter的方法,从application context里获得bean。
       这让bean可以获得spring web application context的生命周期支持,使配置较为轻便。)
你们就知足吧!  唉...初来乍到,谁没有被老板坑过....
   -->
      <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>
复制代码

这篇我们要讲刽子手  securityConfig。 为什么要说他是刽子手呢?  因为他是无良掌柜的小工,直接的操盘手......

复制代码 
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.0.xsd">
    <http access-denied-page = "/accessDenied.jsp">        <!-- 访问拒绝页面 -->
        <form-login login-page="/login.jsp"/>   <!-- 定义登陆界面 -->
        <intercept-url pattern="/login.jsp" filters="none"/>
        <session-management>
            <concurrency-control max-sessions="1" error-if-maximum-exceeded="true"/>  <!-- 用户最大登录数设置为1 ,超过则引发异常 -->
        </session-management>                  
        <custom-filter ref="myFilter" before="FILTER_SECURITY_INTERCEPTOR"/>  <!-- 自定义FILTER ,FilterSecurityInterceptor 负责授权-->
    </http>
    <!-- myFilter -->
    <beans:bean id = "myFilter" class = "com.qbt.spring.security.MyFilterSecurityInterceptor">
            <beans:property name="authenticationManager" ref ="authenticationManager"></beans:property>  <!-- 登陆验证 ,验证你的用户名密码噼里啪啦-->
            <beans:property name="securityMetadataSource" ref = "securityMetadataSource"></beans:property>  <!-- 资源数据源的定义 ,神马权限对应神马资源 噼里啪啦-->
             <beans:property name="accessDecisionManager" ref="myAccessDecisionManagerBean"></beans:property>  <!-- 访问决策 有没有权限访问资源 噼里啪啦-->
    </beans:bean>                                                 
    
    <!-- 验证配置,认证管理器,实现UserDetailService接口 -->
    <!-- authenticationManager 可以有多个provider提供信息,我们用myUserDetailService获取信息 -->
    <!-- Spring Security中进行身份验证的是AuthenticationManager接口,ProviderManager是它的一个默认实现,
        但它并不用来处理身份认证,而是委托给配置好的AuthenticationProvider,每个AuthenticationProvider会轮流检查身份认证。
        检查后或者返回Authentication对象或者抛出异常 -->
    <authentication-manager alias="authenticationManager">
        <authentication-provider user-service-ref="myUserDetailService"></authentication-provider>    
    </authentication-manager>
    
    <!-- 获取user数据,可以从数据库中获取用户密码,角色等! -->
    <beans:bean id = "myUserDetailService" class = "com.qbt.spring.security.MyUserDetailService"></beans:bean>
    
    <!-- 访问决策器,决定用户的角色,访问的权限 -->
    <beans:bean id = "myAccessDecisionManagerBean" class = "com.qbt.spring.security.MyAccessDecisionManager"></beans:bean>
    
    <!-- 资源数据源的定义 什么资源对应什么权限,或者什么资源能被什么角色访问-->
    <beans:bean id = "securityMetadataSource" class = "com.qbt.spring.security.MyInvocationSecurityMetadataSource"></beans:bean>
    
</beans:beans>
复制代码

 
zhengzengliang
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringSecurity详解
m0_71012114的博客
10-19 4963
本文详解介绍了security原理、多种方式配置登录、角色和权限访问控制、常用注解、用户注销。
Spring Security学习入门
qq_51064636的博客
10-17 128
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、pandas是什么? 二、使用步骤 1.引入库 2.读入数据 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分
SpringSecurity配置
qq_45733154的博客
10-19 8149
SpringSecurity配置与使用
Spring Security配置
qq_46005551的博客
03-27 2157
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
Spring Security配置(Configuration)
最新发布
Java毕设项目分享
04-08 1147
下一步是在WAR文件中注册 springSecurityFilterChain。你可以在Servlet 3.0以上的环境中通过 Spring的 WebApplicationInitializer 支持 在Java配置中完成。毫不奇怪,Spring Security提供了一个基类(AbstractSecurityWebApplicationInitializer)来确保 springSecurityFilterChain 为你注册。
springsecurity 配置
lanlan112233的博客
04-13 1158
是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了 Spring IoC(Inversion of Control 控制反转),DI(Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。对身份验证和授权的全面且可扩展的支持防御会话固定、点击劫持,跨站请求伪造等攻击。
Spring Security安全配置
coolshyman的博客
07-25 1932
而使用持久化Token的方式相对安全,用户每登录一次都会生成新的Token和Cookie,但也给盗用者留下了在用户进行第2次登录前进行恶意操作的机会,只有在用户进行第2次登录并更新Token和Cookie时,才会避免这种问题。持久化Token的方式与简单加密Token的方式在实现Remember -Me功能上大体相同,都是在用户选择[记住我]并成功登录后,将生成的Token存入Cookie中并发送到客户端浏览器,在下次用户通过同一客户端访问系统时,系统将直接从客户端Cookie中读取Token进行认证。
Spring Security基本思路、配置详细说明
huangyh技术栈
11-22 692
一、Spring Security基本思路  步骤一:依赖配置spring-security-web、spring-security-config 步骤二:在sunny-web/sunny_manager_web1/src/main/webapp/WEB-INF/web.xml路径下配置web.xml文件(配置Spring加载文件、配置Spring的核心监听器ContextLoaderLis...
spring_security3入门教程实例
07-07
入门教程将引导你逐步了解如何设置并运行一个基于Spring Security 3.x的简单Web项目。我们将从项目的初始化、配置文件的设置,到具体的权限控制和认证流程进行讲解。 首先,你需要创建一个新的Web项目,并导入...
Spring入门到精通详细讲解
03-06
本详细讲解旨在帮助初学者快速掌握Spring的核心概念,并逐步提升至精通水平。 1. **Spring概述**:Spring是一个开源的Java平台,主要用于构建企业级应用。它通过依赖注入(Dependency Injection,DI)和面向切面...
JavaWeb开发之Spring+SpringMVC+MyBatis+SpringSecurity+EhCache+JCaptcha 完整Web基础框架
08-31
本篇文章将详细讲解基于SpringSpringMVC、MyBatis、SpringSecurity、EhCache和JCaptcha这六大组件构建的Web框架。 1. **Spring**: Spring作为整个框架的核心,提供了依赖注入(DI)和面向切面编程(AOP)等特性...
Spring Boot入门教程
05-06
Spring Boot入门教程,共42课,分别讲解了基础WEB开发、Thymeleaf、FastDFS、WebSocket、JDBC、MyBatis、JPA、Druid、Memcache、Redis、 ActiveMQ、RabbitMQ、MongoDB、ElasticSearch、Quartz、Security、 Actuator...
spring 学习
06-19
"Spring入门到精通.pdf"可能是一个全面的学习资源,它可能详细讲解Spring框架的各个方面,从基本概念到进阶主题。这可能包括Spring的IoC容器、AOP、Spring JDBC、Spring ORM集成(如Hibernate)、Spring Test...
SpringSecurity配置类--常用配置
qq_52211542的博客
10-07 3318
SpringSecurity配置类--常用配置
SpringSecurity(安全框架)入门配置
m0_65939803的博客
02-06 525
SpringSecurity
SpringSecurity-从入门到精通
weixin_42123075的博客
06-21 1557
Spring SecuritySpring 家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。​ 一般来说中大型的项目都是使用SpringSecurity 来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户​ 授权:经过认证后判断当前用户是否有权限进行某个操作​
Spring security配置
行云的博客
07-07 2214
SpringSecurity认证一、HttpBasic模式登录认证 SpringSecurity 自带一种基础认证模式实现方式:创建WebSecurityConfig配置类/** * Spring Securtiy配置类 */@Configuration //配置类public class WebSecurityConfig extends WebSecurit...
Spring Security 基本介绍及基础项目搭建
热门推荐
一个菜鸡的博客
05-16 1万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
spring security 3 自定义认证,授权示例
iteye_6172的博客
05-09 208
  Spring Security 3.x 出来一段时间了,跟Acegi是大不同了,与2.x的版本也有一些小小的区别,网上有一些文档,也有人翻译Spring Security 3.x的guide,但通过阅读guide,无法马上就能很容易的实现一个完整的实例。   我花了点儿时间,根据以前的实战经验,整理了一份完整的入门教程,供需要的朋友们参考。 1,建一个web project,并导入所有...
springsecurity遇见狂神说素材
07-04
通过学习这些教程,我们可以快速入门springsecurity,并在实际项目中应用它来保护应用程序的安全性。 简而言之,springsecurity遇见狂神说,我们可以通过狂神说平台上的教程和素材来学习和应用springsecurity,提升...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值