SpringSecurity5.0.8入门:密码加密,自定义登录页面

最新推荐文章于 2024-05-14 21:17:36 发布
最新推荐文章于 2024-05-14 21:17:36 发布
阅读量2.1k 收藏
点赞数
分类专栏: java 文章标签: spring security java 登录验证 框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31011649/article/details/82885741
版权

一、什么是SpringSecurity

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

二、SpringSecurity入门小demo

1、创建maven工程

2、编辑pom.xml文件,引入依赖

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>cheng.demo.springsecurity</groupId>
  <artifactId>spring-security-demo</artifactId>
  <version>0.0.1-SNAPSHOT</version>
  <packaging>war</packaging>
  
  <properties>
		<spring.version>5.0.8.RELEASE</spring.version>
		<security.version>5.0.8.RELEASE</security.version>
	</properties>

	<dependencies>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-core</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-web</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-webmvc</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-context-support</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-test</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-jdbc</artifactId>
			<version>${spring.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>${security.version}</version>
		</dependency>

		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>${security.version}</version>
		</dependency>

		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>servlet-api</artifactId>
			<version>2.5</version>
			<scope>provided</scope>
		</dependency>


	</dependencies>
	<build>
	  <plugins>		
	      <!-- java编译插件 -->
		  <plugin>
				<groupId>org.apache.maven.plugins</groupId>
				<artifactId>maven-compiler-plugin</artifactId>
				<version>3.2</version>
				<configuration>
					<source>1.7</source>
					<target>1.7</target>
					<encoding>UTF-8</encoding>
				</configuration>
		  </plugin>      
	      <plugin>
				<groupId>org.apache.tomcat.maven</groupId>
				<artifactId>tomcat7-maven-plugin</artifactId>
				<configuration>
					<!-- 指定端口 -->
					<port>9090</port>
					<!-- 请求路径 -->
					<path>/</path>
				</configuration>
	  	  </plugin>
	   </plugins>  
    </build>
</project>

3、创建WEB-INF文件夹和web.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://xmlns.jcp.org/xml/ns/javaee"
	xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee 
	 http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
	id="WebApp_ID" version="4.0">	

  	 <context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:spring-security.xml</param-value>
	 </context-param>
	 <listener>
		<listener-class>
			org.springframework.web.context.ContextLoaderListener
		</listener-class>
	 </listener>
	<!-- 过滤器名字必须是 springSecurityFilterChain-->
	 <filter> 
		<filter-name>springSecurityFilterChain</filter-name>  
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
	 </filter>  
	 <filter-mapping>  
		<filter-name>springSecurityFilterChain</filter-name>  
		<url-pattern>/*</url-pattern>  
	 </filter-mapping>
	<welcome-file-list>
		<welcome-file>index.html</welcome-file>
		<welcome-file>index.jsp</welcome-file>
		<welcome-file>index.htm</welcome-file>
		<welcome-file>default.html</welcome-file>
		<welcome-file>default.jsp</welcome-file>
		<welcome-file>default.htm</welcome-file>
	</welcome-file-list>
</web-app>

4、创建spring-security.xml文件

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
	xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<!-- 以下页面不参与认证 -->
	<http pattern="/login.html" security="none"></http>
	<http pattern="/error.html" security="none"></http>
	<http pattern="/js/**" security="none"></http>
	<http use-expressions="false">
		<!-- 页面拦截规则 必须以ROLE_开头 hasRole('ROLE_USER') -->
		<intercept-url pattern="/**" access="ROLE_USER" />
		<!-- 开启表单登录功能 定义登录页面、成功和失败跳转页面-->
		<form-login login-page="/login.html"
			default-target-url="/index.html"
			authentication-failure-url="/login.html" />
		<!-- 关闭csrf 一个token认证-->
		<csrf disabled="true" />
		<!-- 允许iframe -->
		<headers>
			<frame-options policy="SAMEORIGIN" />
		</headers>
		<logout />
	</http>
	<authentication-manager>
		<!-- 认证管理器 引用认证管理类和写死用户名和密码两中方式 -->
		<authentication-provider
			user-service-ref="userService">
			<!-- 写死用户名和密码<user-service> <user name="admin" password="{MD5}e10adc3949ba59abbe56e057f20f883e" 
				authorities="ROLE_USER" /> </user-service> -->
				<!-- 密码解密方式 -->
			<password-encoder ref="passwordEncoder"></password-encoder>
		</authentication-provider>
	</authentication-manager>


	<beans:bean id="userService"
		class="security.demo.service.UserService"></beans:bean>


	<beans:bean id="passwordEncoder"
		class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">      </beans:bean>

</beans:beans>

5、创建security.demo.pojo包和User类

package security.demo.pojo;

public class User {
	String username;
	String password;
	public String getUsername() {
		return username;
	}
	public void setUsername(String username) {
		this.username = username;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	
}

6、创建security.demo.service包和UserService类

package security.demo.service;

import java.util.ArrayList;
import java.util.List;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

public class UserService implements UserDetailsService {

	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		System.out.println("loadUserByUsername...");
		// 定义权限类别ROLE_USER
		List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
		authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
		// 从数据库获取用户名和密码
		security.demo.pojo.User user = findUserByUsername(username);
		//查到的数据不为空,将密码和认证角色列表返回,否则返回null
		if (user != null) {
			System.err.println("admin");
			return new User(username, user.getPassword(), authorities);
		} else {
			System.err.println("null");
			return null;
		}

	}

	/*
	 * 模拟从数据库获取数据
	 */
	private security.demo.pojo.User findUserByUsername(String username) {
		security.demo.pojo.User user = new security.demo.pojo.User();
		user.setUsername("admin");
		// 密码是123456经过加密后的字符串
		BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
		String ps = encoder.encode("123456");
		user.setPassword(ps);
		return user;

	}

}

7、在webapps目录下创建index.html文件

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>welcome to security home</title>
</head>
<body>welcome to security home!
</body>
</html>

8、在webapps目录下创建login.html文件,注意,方法必须post

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>security login</title>
</head>
<body>
	<form action="/login" method="post">
		Username: <input type="text" name="username" value="admin"><br />
		Password: <input type="password" name="password" value="123456"> <br /> <input
			type="submit" value="登录" />
	</form>
</body>
</html>

9、将favicon.ico文件拷贝到根目录

10、目录结构

11、运行项目,访问localhost:9090

三、注意事项

1、使用配置文件方式配置用户名和密码时,在配置密码时需要加上{加密方式},否则报错(5.0.8版本)

<user-service> 
<user name="admin" password="{MD5}e10adc3949ba59abbe56e057f20f883e" authorities="ROLE_USER" /> 
</user-service>

加密方式在core包下的org.springframework.security.crypto.factory.PasswordEncoderFactories类中

public static PasswordEncoder createDelegatingPasswordEncoder() {
		String encodingId = "bcrypt";
		Map<String, PasswordEncoder> encoders = new HashMap<>();
		encoders.put(encodingId, new BCryptPasswordEncoder());
		encoders.put("ldap", new LdapShaPasswordEncoder());
		encoders.put("MD4", new Md4PasswordEncoder());
		encoders.put("MD5", new MessageDigestPasswordEncoder("MD5"));
		encoders.put("noop", NoOpPasswordEncoder.getInstance());
		encoders.put("pbkdf2", new Pbkdf2PasswordEncoder());
		encoders.put("scrypt", new SCryptPasswordEncoder());
		encoders.put("SHA-1", new MessageDigestPasswordEncoder("SHA-1"));
		encoders.put("SHA-256", new MessageDigestPasswordEncoder("SHA-256"));
		encoders.put("sha256", new StandardPasswordEncoder());

		return new DelegatingPasswordEncoder(encodingId, encoders);
	}

2、必须有favicon.ico图标,否则报错

3、登录提交的方法必须是post,否则会重新跳到登录页,不报错

4、需要关掉csrf,<csrf disabled="true" />

5、必须给登录页放行,不进行验证,否则无法进入登录页,提示重定向过多

 

《完》

 

 

 

 

 

 

ChengCode
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
spring-framework-5.0.8.RELEASE:Spring-5.0.8源码阅读-spring源码阅读
03-24
Spring框架5.0.8源码深度解析》 Spring框架Java开发中不可或缺的一部分,其5.0.8版本的发布为开发者提供了更稳定、更高效的服务。本篇文章将深入探讨Spring 5.0.8的核心特性,通过源码分析,揭示其背后的运行...
springboot spring security 5 自义定密码加密使用在SpringSecurityConfig里
qq_41754409的博客
09-15 999
环境 springboot2.1.8 spring security 5 详细 pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"...
spring-security实现自定义加密方式登陆
always_mountain_top的博客
06-19 700
加密验证spring-security用于快捷免密登陆
爆破专栏丨Spring Security系列教程之SpringSecurity中的密码加密_spring(2)
2401_84102759的博客
05-14 942
提前多熟悉阿里往年的面试题肯定是对面试有很大的帮助的,但是作为技术性职业,手里有实打实的技术才是你面对面试官最有用的利器,这是从内在散发出来的自信。备战阿里时我花的最多的时间就是在学习技术上,占了我所有学习计划中的百分之70,这是一些我学习期间觉得还是很不错的一些学习笔记我为什么要写这篇文章呢,其实我觉得学习是不能停下脚步的,在网络上和大家一起分享,一起讨论,不单单可以遇到更多一样的人,还可以扩大自己的眼界,学习到更多的技术,我还会在csdn、博客、掘金等网站上分享技术,这也是一种学习的方法。今天就分享到这
spring-security-5.0版本的xml基本配置
haogexiaole的博客
06-19 1785
&lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www
java学习day53-54(SSM)SSM权限操作
gaosong0623的博客
11-01 772
广泛支持各种身份验证模式,这些验证模型绝大多数都由第三方提供,或则正在开发的有关标准机构提供的,例如 Internet Engineering Task Force.作为补充,这样,如果你更换服务器环境,就要,在新的目标环境进行大量的工作,对你的应用系统进行重新配 置安全。作用是于封装当前进行认证的用户信息,但由于其是一个接口,所以我们可以对其进行实现,也可以使用Spring Security。指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由 身份验证过程建立了。
SpringSecurity使用MD5+盐值加密
laionly的博客
05-12 2129
1、自定义PasswordEncoder public class MD5PasswordEncoder implements PasswordEncoder { @Override public String encode(CharSequence rawPassword) { return MD5Util2.encode((String) rawPassword); } @Override public boolean matches(CharS
spring-web-5.0.8.RELEASE-sources.jar
最新发布
06-17
spring-5.0.8.jar
spring 5.0.8
09-02
spring 5-x: spring-framework-5.0.8.RELEASE-dist spring-framework-5.0.8.RELEASE-docs spring-framework-5.0.8.RELEASE-schema
Spring框架 5.0.8版本的api接口文档
08-13
Spring框架 5.0.8版本的api接口文档,官方英文版的,chm格式。特别说明,这个文档是api文档,不是开发参考文档。网上有很多鱼龙混杂的参考文档都说成api文档。
spring-web-5.0.8.RELEASE.jar
06-17
spring-5.0.8.jar
Spring security 自定义密码加密方式的使用范例。
09-15
Spring security的完整使用范例,支持自定义密码加密方式,以及成功,失败的处理。是一个完整可运行的工程,码云似乎还要注册。后期考虑下用码云
Spring Security(三) —— 加密系统
eyes++的博客
07-24 2122
一般来说,即使SpringSecurity提供的加密算法很安全,但我们仍然有自己定义加密算法的需求,此时我们就需要自定义PasswordEncoder的实现类了在WebSecurityConfigurerAdapter中有这样两个静态内部类和/***构造方法,默认创建一个defaultPasswordEncoder*而defaultPasswordEncoder是由LazyPasswordEncoder设置的,可以往下看通过源码可以知道,默认的passwordEncoder是通过。...
Spring Security5多加密方式处理
dhweicheng的博客
08-01 1173
spring security 5.0起支持多种加密方式处理,并通过前缀来区分加密方式 测试代码: PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder(); String encode = passwordEncoder.encode("123456...
Spring Security 5.7.5 CURRENT GA获取Global/LocalAuthenticationManager以及自定义配置类
ZMiao的博客
11-06 656
Spring Security获取全局和局部AuthenticationManager,自定义配置类
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
weixin_45114101的博客
02-22 4930
SpringBoot+Spring Security 自定义AuthenticationManager初始化源码分析
spring security 5 (5)-自定义认证
JAVA博客
03-10 5538
第3篇讲过,用户登录时,系统会读取用户的UserDetails对其认证,认证过程是由系统自动完成的,主要是检查用户密码。而在现实中,登录方式并不一定是检查密码,也可能是验证码或其他,此时就需要自定义认证。 AuthenticationProvider 自定义认证逻辑在AuthenticationProvider的authenticate方法中完成,第4篇讲过,认证的入参是一个未认证Authen...
springboot整合security5自定义处理认证、权限管理
wjs040的博客
07-25 747
首先引入security jar 包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!---...
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 592
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证和授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
Could not transfer artifact org.springframework.security:spring-security-web:jar:5.0.8.RELEASE from/to central 这个问题如何解决
04-14
这个问题可能是由于 Maven 的依赖无法从 Maven 中央仓库下载所引起的。可以尝试以下几种解决方法: 1. 检查网络连接是否正常,如果网络连接存在问题,可能会引起无法从 Maven 中央仓库下载依赖。...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值