Spring Security学习——入门例子
Spring Security的maven依赖如下
<!-- Spring dependencies -->
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework</groupId>
<artifactId>spring-webmvc</artifactId>
<version>${spring.version}</version>
</dependency>
<!-- Spring Security -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.security.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.security.version}</version>
</dependency>
<!-- jstl for jsp page -->
<dependency>
<groupId>jstl</groupId>
<artifactId>jstl</artifactId>
<version>${jstl.version}</version>
</dependency>
</dependencies>
Spring Security由于是基于J2EE过滤器,因此需要在web.xml中进行相应的配置
<web-app id="WebApp_ID" version="2.4"
xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee
http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
<display-name>Archetype Created Web Application</display-name>
<!-- Spring MVC -->
<servlet>
<servlet-name>mvc-dispatcher</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet
</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>mvc-dispatcher</servlet-name>
<url-pattern>/</url-pattern>
</servlet-mapping>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<!-- Loads Spring Security config file -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/spring-security.xml
</param-value>
</context-param>
<!-- Spring Security -->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy
</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
要想Spring Security整合入项目,在web.xml中配置一个filter,和配置的filter配置没有什么不同,filter的类使用的是Spring Security框架实现的org.springframework.web.filter.DelegaingFilterProxy,拦截请求的正则表达式是/*,表示可以拦截所有的请求,能对所有的请求路径进行权限判断。并且还在context-param中配置了Spring Security的配置文件的路径,这样配置可以在Sprihng Security实现的Filter中通过这个路径找到Sprng Security的配置并读取之,然后初始化Spring Security框架所需的所有对象的相关数据。上面还配置了Spring MVC框架,这和其他的Spring MVC项目没什么区别,都是通过一个Servlet来实现,对Servlet的请求会根据Spring MVC的相关mapper映射转发到相应的Controller。Spring Security的配置文件如下
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">
<http auto-config="true">
<intercept-url pattern="/admin**" access="ROLE_USER" />
<form-login login-page="/login" default-target-url="/index"
authentication-failure-url="/login?error" username-parameter="username"
password-parameter="password" />
<logout logout-success-url="/login?logout" />
<csrf />
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="xiaobing" password="123456" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
上面的配置表示Spring Security会拦截所有以admin开头的url请求,并作为USER角色,验证权限的输入信息在login.jsp页面,也验就是说如果还没有验证过,访问被拦截时会请求转发到login.jsp进行信息的输入。验证失败会转发至login?error请求,权限验证时的用户名字段的字段名是username,密码字段的字段名是password,也就是前面所说的login.jsp页面中的用户名输入框的name为username,而密码输入框的name为password。这样在输入提交后,角色的登录信息就可以传入后台,Spring Security框架内部会用一个处理器来处理,并且会对信息正误进行判定。如果验证正确了就会对相应权限进行判定。
logout标签中的配置表示登出成功后请求转发给哪个请求。在后面的Spring MVC控制器中将会配置这些请求并做相应的处理。
下面的authentication-manager里配置的是角色信息,这里是采用xml配置的,也就是Spring Security的用户只有一个,用户名为xiaobing,密码为123456,用户角色是USER,只有当在页面中输入这个用户名和密码时才能验证成功。
下面的authentication-manager里配置的是角色信息,这里是采用xml配置的,也就是Spring Security的用户只有一个,用户名为xiaobing,密码为123456,用户角色是USER,只有当在页面中输入这个用户名和密码时才能验证成功。
然后是Spring MVC的控制器
package security.controller;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;
@Controller
public class HelloController {
@RequestMapping(value = "", method = { RequestMethod.GET })
public ModelAndView welcomePage() {
ModelAndView model = new ModelAndView();
model.addObject("title", "Spring Security Study");
model.addObject("message", "welcome!!");
model.setViewName("hello");
return model;
}
@RequestMapping(value = "/admin**", method = RequestMethod.GET)
public ModelAndView adminPage() {
ModelAndView model = new ModelAndView();
model.addObject("title", "Spring Security Hello World");
model.addObject("message", "This is protected page!");
model.setViewName("admin");
return model;
}
@RequestMapping(value = "/login", method = RequestMethod.GET)
public ModelAndView login(@RequestParam(value = "error", required = false) String error,
@RequestParam(value = "logout", required = false) String logout) {
ModelAndView model = new ModelAndView();
if (error != null) {
model.addObject("error", "Invalid username and password!");
}
if (logout != null) {
model.addObject("msg", "You've been logged out successfully.");
}
model.setViewName("login");
return model;
}
}
在这个控制器中主要看adminPage和login两个方法,在adminPage方法中,配置了RequestMapper的映射路径是/admin**,当访问admin**路径时,本应该会由adminPage方法来处理请求,但由于Spring Security会拦截admin**为开头的所有请求,所以会进行相应的权限验证。
然后是login这个方法,映射的路径是login,也就是在Spring Security的配置文件中配置的,根据login方法中的逻辑,如果error参数不为空的话就表示验证失败了,就把error信息添加到视图模型对象中,如果是logout不能空的话,就表示退出登录成功,就将登出成功的信息添加到视图模型对象中。最后是请求转向login.jsp页面。在login.jsp页面中就会将相应的信息展示出来。
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"
pageEncoding="ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title>Insert title here</title>
<style>
.error {
padding: 15px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
color: #a94442;
background-color: #f2dede;
border-color: #ebccd1;
}
.msg {
padding: 15px;
margin-bottom: 20px;
border: 1px solid transparent;
border-radius: 4px;
color: #31708f;
background-color: #d9edf7;
border-color: #bce8f1;
}
#login-box {
width: 300px;
padding: 20px;
margin: 100px auto;
background: #fff;
-webkit-border-radius: 2px;
-moz-border-radius: 2px;
border: 1px solid #000;
}
</style>
</head>
<body οnlοad='document.loginForm.username.focus();'>
<h1>Spring Security Custom Login Form (XML)</h1>
<div id="login-box">
<h2>Login with Username and Password</h2>
<c:if test="${not empty error}">
<div class="error">${error}</div>
</c:if>
<c:if test="${not empty msg}">
<div class="msg">${msg}</div>
</c:if>
<form name='loginForm'
action="<c:url value='j_spring_security_check' />" method='POST'>
<table>
<tr>
<td>User:</td>
<td><input type='text' name='username' value=''></td>
</tr>
<tr>
<td>Password:</td>
<td><input type='password' name='password' /></td>
</tr>
<tr>
<td colspan='2'><input name="submit" type="submit"
value="submit" /></td>
</tr>
</table>
<input type="hidden" name="${_csrf.parameterName}"
value="${_csrf.token}" />
</form>
</div>
</body>
</html>
在adminPage的控制器方法中,如果验证成功后,会真正访问到这个方法,执行其中的代码,adminPage中的逻辑是将title和message字段添加到视图模型中,返回请求转向admin.jsp页面,admin.jsp页面如下
<%@ page language="java" contentType="text/html; charset=ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>
<html>
<body>
<h1>Title : ${title}</h1>
<h1>Message : ${message}</h1>
<c:url value="/j_spring_security_logout" var="logoutUrl" />
<!-- csrt for log out-->
<form action="${logoutUrl}" method="post" id="logoutForm">
<input type="" name="${_csrf.parameterName}"
value="${_csrf.token}" />
</form>
<script>
function formSubmit() {
document.getElementById("logoutForm").submit();
}
</script>
<c:if test="${pageContext.request.userPrincipal.name != null}">
<h2>
Welcome : ${pageContext.request.userPrincipal.name} | <a
href="javascript:formSubmit()"> Logout</a>
</h2>
</c:if>
</body>
</html>
在这个页面中,输入了前面的title和message字段的值,并且还能拿到Spring Security验证是输入的用户名。下面通过一个form提交登出请求,登出时,Spring Security框架会将此token的用户的信息从Spring Security的上下文缓存中清除,这样就实现了权限的验证以为权限验证的退出。退出成功后再次请求时又会被拦截并验证。
当请求admin的时候就会自动跳转到http://localhost:8080/spring/login页面
当输错误时会提示
验证成功后就把请求传递到adminPage方法中进行处理,请求转发到admin.jsp页面
当点击Logout链接后,登出请求就经过Sprng Security框架处理后,再经由login方法中处理,转到login.jsp页面,并提示登出成功的信息