Spring Security 配置文件属性说明及注解控制

最新推荐文章于 2023-04-24 10:37:28 发布
最新推荐文章于 2023-04-24 10:37:28 发布
阅读量493 收藏 2
点赞数
分类专栏: springsecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29326585/article/details/118687771
版权

maven坐标:

            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-web</artifactId>
                <version>5.0.5.RELEASE</version>
            </dependency>
            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-config</artifactId>
                <version>5.0.5.RELEASE</version>
            </dependency>
            <dependency>
                <groupId>org.springframework.security</groupId>
                <artifactId>spring-security-taglibs</artifactId>
                <version>5.0.5.RELEASE</version>
            </dependency>

web委派:

 <!--springsecurity web配置-->
    <filter>
        <!--
          DelegatingFilterProxy用于整合第三方框架
          整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
          否则会抛出NoSuchBeanDefinitionException异常
        -->
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

配置文件:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                        http://www.springframework.org/schema/security
                        http://www.springframework.org/schema/security/spring-security.xsd">


    <!--配置不进行权限校验的目录-->
    <!--<security:http security="none" pattern="/pages/**"/>-->
    <!--配置可以访问登录界面-->
    <security:http security="none" pattern="/login.html"/>


    <!--
    http:用于定义相关的权限控制
    auto-config: 是否开启自动配置,例如填写true会自动给配置一个登陆界面
        设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
         设置为false时需要显示提供登录表单配置,否则会报错
    user-expressions:是否使用表达式,用于指定intercept-url中的access属性是否使用表达式
    -->
    <security:http auto-config="true" use-expressions="true">
          <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问,固定写法-->
        <security:headers>
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>


        <!--
        intercept-url:定义一个拦截规则
        pattern:对哪些的URL进行拦截 /** 代表拦截所有目录下的所有URL
        access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的劫色列表,
                请求的用户只需拥有其中的一个角色就能成功访问对应的URL
                其中ROLE_ADMIN是一个字符串 不代表任何含义
                 如果上方的user-expressions配置为false 则不需要写hasRole,直接写ROLE_ADMIN就可以
                 <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')"/>
        -->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/a.html" access="isAuthenticated()"/>
        <!--拥有permission权限就可以访问-->
        <security:intercept-url pattern="/pages/b.html" access="hasAnyAuthority('permission_A')"/>
        <security:intercept-url pattern="/pages/d.html" access="hasAnyAuthority('permission_B')"/>
        <!--拥有ROLE_ROOT角色就可以访问-->
        <security:intercept-url pattern="/pages/c.html" access="hasRole('ROLE_ROOT')"/>
        <!--拥有ROLE_ADMIN角色就可以访问d.html页面,
	    注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_-->
        <security:intercept-url pattern="/index.html"  access="hasRole('ADMIN')" />



        <!--如果我们要使用自己指定的页面作为登录页面,必须配置登陆表单,-->
        <!--
        login-page:指定登陆页面访问URL
        username-parameter:登陆时提交的用户名的参数名称
        password-parameter:登陆时提交的密码的参数名称
        login-processing-url:登录页面表单提交的action地址路径(后台处理,登陆请求的路径,由框架自己提供)
        default-target-url:登陆成功后跳转的页面
        authentication-failure-forward-url:登陆失败跳转的页面
        -->
        <security:form-login login-page="/login.html"
                             username-parameter="username"
                             password-parameter="password"
                             login-processing-url="/login.do"
                             default-target-url="/index.html"
                             authentication-failure-forward-url="/login.html"
                               />
        <!--
                       csrf:对应CsrfFilter过滤器
                       disabled:是否启用CsrfFilter过滤器,如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403) true则代表关闭
                   -->
        <security:csrf disabled="true"></security:csrf>

        <!--
          logout:退出登录
          logout-url:退出登录操作对应的请求路径
          logout-success-url:退出登录后的跳转页面
        -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>
     <!---->
        <!-- Session管理 -->
        <!-- invalid-session-url Session失效后跳转的界面,该页面不受security的控制
                                 在error-if-maximum-exceeded设置true,且超出登陆次数的时候,则会跳转到此页面
            session-fixation-protection是session攻击保护的策略
            migrateSession:这是默认值。其表示在用户登录后将新建一个session,同时将原session中的attribute都copy到新的session中。
            none:表示继续使用原来的session。
            newSession:表示重新创建一个新的session,但是不copy原session拥有的attribute。
         -->
        <security:session-management invalid-session-url="/index.jsp"
                                session-fixation-protection="migrateSession">
            <!--
                当同一用户同时存在的已经通过认证的session数量超过了max-sessions所指定的值时,Spring Security的默认策略是将先前的设为无效。
                如果要限制用户再次登录可以设置concurrency-control的error-if-maximum-exceeded的值为true。
            -->
            <security:concurrency-control error-if-maximum-exceeded="false" max-sessions="1"
                                     expired-url="/login.html" />
        </security:session-management>
    </security:http>



    <!--
        authentication-manager:认证管理器,用于处理认证操作
    -->
    <security:authentication-manager>
        <!--
        authentication-provider:认证提供者,执行具体的认证逻辑
        -->
        <security:authentication-provider user-service-ref="userPassword">
            <!--
            user-service:用于获取用户信息,
                         提供给authentication-provider进行认证
            <security:user-service>
                user:定义用户信息,
                        可以指定用户名 密码 角色 ,后期可以改为从数据库查询的用户信息
                        authorities:表示当前的用户名为admin 密码为 admin
                                    然后内容填写给这个用户分配的一个角色
                         {noop}:表示当前使用的密码为明文

                <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN"/>
            </security:user-service>-->
            <security:password-encoder ref="bCryptPasswordEncoder"/>
        </security:authentication-provider>

    </security:authentication-manager>

    <bean id="userPassword" class="com.items.serviceimpl.UserPassword2"/>

    <!--配置密码加密对象-->
    <bean id="bCryptPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!--开启spring注解-->
    <context:annotation-config></context:annotation-config>


</beans>

配置后,实现UserDetailsService接口,进行登陆配置:

public class UserPassword2 implements UserDetailsService {

    @Autowired
    private BCryptPasswordEncoder bCryptPasswordEncoder;

    private Map<String,User> map = new HashMap();

    private void init(){
        User user1 = new User();
        user1.setUsername("admin");
        user1.setPassword(bCryptPasswordEncoder.encode("admin"));

        User user2 = new User();
        user2.setUsername("root");
        user2.setPassword(bCryptPasswordEncoder.encode("1234"));

        map.put(user1.getUsername(),user1);
        map.put(user2.getUsername(),user2);
    }

    //上方为模仿数据库,真实开发不需要配置上方的代码


    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        init();
        System.out.println(username);
        //根据username获取数据库中的用户
        User user = map.get(username);
        if(user == null){
            //用户名不存在的时候
            return null;
        }
        String password =user.getPassword();//noop代表明文
        System.out.println(password);
        //将用户的信息返回给框架
        //框架会进行密码比对(页面提交的密码和数据库的密码)
        List<GrantedAuthority> list = new ArrayList<>();
        //为当前用户授权
        if(username.equals("admin")){
            list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
            list.add(new SimpleGrantedAuthority("permission_A"));
        }
        if(username.equals("root")){
            list.add(new SimpleGrantedAuthority("permission_B"));
            list.add(new SimpleGrantedAuthority("ROLE_ROOT"));
        }

        /*springsecurity提供的user*/
        org.springframework.security.core.userdetails.User security =
                new org.springframework.security.core.userdetails.User(username, password, list);


        return security;
    }
}

注解:(可以控制类中方法的权限)

使用注解的时候首先开启注解

然后开启springsecurity的注解支持
 

<!--开启包扫描和mvc注解,与上方的spring注解开启一个就可以-->
    <mvc:annotation-driven></mvc:annotation-driven>
    <context:component-scan base-package="com.items.controller"></context:component-scan>

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />

然后在类中添加注解:

@PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法

前端VUE权限不足给予提示方法:(固定写法)

              //权限不足提示          
                showMessage(r){
                    if(r == 'Error: Request failed with status code 403'){
                        //权限不足
                        this.$message.error('无访问权限');
                        return;
                    }else{
                        this.$message.error('未知错误');
                        return;
                    }
                },

使用户名动态显示:

在前端页面发送Ajax请求,然后再服务端获取username

@RestController
@RequestMapping("/user")
public class UserController {


    @RequestMapping("/getUsername")
    public Result getUsername(){
        //获取security中的User
        User user = (User) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
        //获取user中的username
        String username = user.getUsername();
        if(username != null){
            return new Result(true,"获取用户名成功",username);
        }
        return new Result(false,"获取用户名失败");
    }

m_xw1004
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 常用的默认属性和请求
程序员随手笔记
06-04 475
一、Spring Security默认常用属性:      1、用户名:j_username      2、密码:j_password      3、记住登陆:_spring_security_remember_me 二、Spring Security默认请求URL:      登陆:j_spring_security_check      登出:j_spring_security_l
基于spring-security框架的权限控制+注解方式设置权限
xy294636185的博客
06-14 1495
一般需要4张基础表和3张对应关系表。 菜单表 对应角色关系用Set表示: /** * 菜单 */ public class Menu implements Serializable { private Integer id; private String name; //菜单名称 private String linkUrl; //访问路径 private String path; //菜单项对应的路由路径 private Integer priorit
SpringSecuritySpringBoot方式笔记
AC_sunK的博客
01-22 182
SpringSecurity配置笔记–boot 文章目录SpringSecurity配置笔记--boot一、什么是SpringSecurity二、有什么功能三、SpringSecurity的使用使用默认配置的Security1、引入依赖2、默认什么都不配置(在yml中配置用户名和密码)3、登陆效果使用自定义配置(不使用数据库)1、引入依赖2、创建配置类并进行配置3、登陆效果使用数据库进行用户登陆验证1、引入依赖2、创建配置类3、创建UserDetailService实现类4、登陆效果四、SpringSecu
spring security 概述& 配置文件详解
热门推荐
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器在web.xml:     springSecurityFilterChain     org.springframework.
一起搞清楚 Spring Security 中的 UserDetails
程序猿DD
11-09 6047
点击蓝色“程序猿DD”关注我回复“资源”获取独家整理的学习资料!170元买400元书的机会又来啦!1. 前言前一篇介绍了Spring Security入门的基础准备。从今天开始我们来一步步窥探它是如何工作的。我们又该如何驾驭它。请多多关注公众号:Felordcn。本篇将通过Spring Boot 2.x来讲解Spring Security中的用户主体UserDetails。以及从中...
spring security国际化及UserCache的配置和使用
08-29
"Spring Security 国际化及 UserCache 配置和使用" Spring Security 是一个功能强大且灵活的安全框架,它提供了许多实用的特性来帮助开发者保护 Web 应用程序。今天,我们将探讨 Spring Security 中的国际化和 ...
Spring Security XML配置模板.docx
最新发布
07-05
Spring Security 中,可以通过 XML 配置文件来实现安全配置,这种方式相对灵活且易于理解。本文将详细介绍给定文件中的 Spring Security XML 配置模板,并深入解析其中的关键知识点。 #### 二、XML 配置关键知识...
SpringSecurity如何实现配置单个HttpSecurity
08-18
Spring Security 配置 HttpSecurity Spring Security 是一个功能强大且灵活的安全框架,提供了许多强大的安全功能。今天,我们将详细介绍如何使用 Spring Security 实现配置单个 HttpSecurity。 一、创建项目并...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 权限控制实现原理解析 ...SpringSecurity 权限控制实现原理是通过使用注解配置文件来实现的,包括身份验证、授权、访问控制等。通过使用 SpringSecurity,可以确保应用程序的安全性和可靠性。
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
4-SpringSecurity:CSRF防护
GJ_ia的博客
01-08 155
从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。通过form表单是一种发送POST请求的方式,但我们其他的请求不可能都通过form表单来提交。中的信息对于攻击者来说是不可见的,无法伪造的,虽然Cookie被浏览器。本系列教程,是作为团队内部的培训资料准备的。,这里演示下前后端分离项目如何实现CSRF防护下的安全请求。里面到底放了什么内容,攻击者是不知道的,所以将。
SpringSecurity框架原理浅谈之UserDetailsService
黄先生的博客
02-11 1955
UserDetailsService的作用就是从特定的地方(通常是数据库)加载用户信息.
spring security安全框架的配置文件
狗凡的博客
09-07 415
这里我写了两种不同的spring security安全框架的配置文件: 1.使用内存中的用户 2.使用数据库中的用户 1.使用内存中的用户: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:security=...
spring security CSRF防护
aabbyyz的博客
10-22 1655
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
5.Spring Security安全注解
相互学习 共同进步
04-24 1228
Spring Security默认是禁用注解的,要想开启注解,需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解,并在该类中将AuthenticationManager定义为Bean如果要启用基于注解的方法安全性,要在配置类上使用**@EnableGlobalMethodSecurity**设置了securedEnabled = true,此时Spring将会创建一个切点,并将带有@Secured注解的方法防入切面中。
Spring Security中启用CSRF防护(REST版)
fxtxz2的专栏
03-13 850
REST版本的csrf防护,就是在原有的登录接口基础上面,新增一个实时随机请求头来,实现CSRF防护。
SpringSecurity学习笔记之二:SpringSecurity结构及基本配置
zhoucheng05_13的博客
03-05 2959
Spring Security结构Spring Security3.2分为11个模块,如下表所示: 编写简单的安全性配置Spring Security3.2引入了新的Java配置方案,完全不在需要通过XML来配置安全性功能。如下,展现了Spring Security最简单的Java配置:package spitter.config; ...... @Configuration @EnableWeb
SpringSecurity权限控制
我是一只蘑菇17的博客
10-31 714
我们可以自定义权限不足处理器来处理权限不足时候的操作。的权限,我们将这块代码改造一下:当登录用户为。中,我们给当前登录用户授予了。
Spring Security安全配置模式
oneslide
04-21 567
环境配置 想利用Spring Security的功能,必须在进行少量的配置: 即继承一个对象AbstractSecurityWebApplicationInitializer public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer{ //空...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值