D52-ssm(04)Spring security安全框架,认证操作

最新推荐文章于 2024-05-21 10:23:42 发布
最新推荐文章于 2024-05-21 10:23:42 发布
阅读量100 收藏 1
点赞数
分类专栏: 框架 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33852347/article/details/85789897
版权

Spring security的介绍

  • 是spring提供的一个安全框架
  • 通过11个过滤器来实现认证和授权
  • Spring security已经把11个过滤器做成了过滤器链,叫springSecurityFilterChain
  • spring给大家提供好了一个专门用来加载过滤器链的过滤器对象----filter-name 固定写成要加载的过滤器链名字即可。

角色的列表和添加

创建controller

@Controller
@RequestMapping("/role")
public class RoleController {
    @Autowired
    private RoleService roleService;
    @RequestMapping("/findAll")
    public String findAll(Model model){
        List<SysRole> list=roleService.findAll();
        model.addAttribute("list",list);
        return "role-list";
    }

    @RequestMapping("/save")
    public String save(SysRole role){
        roleService.save(role);
        return "redirect:findAll";
    }
}

创建service实现类

@Service
@Transactional
public class RoleServiceImpl implements RoleService {
    @Autowired
    private RoleDao roleDao;
    @Override
    public List<SysRole> findAll() {
        return roleDao.findAll();
    }

    @Override
    public void save(SysRole role) {
        roleDao.save(role);
    }
}

创建dao

public interface RoleDao {
    @Select("select * from sys_role")
    List<SysRole> findAll();

    @Insert("insert into sys_role (roleName, roleDesc)" +
            "values (#{roleName}, #{roleDesc})")
    void save(SysRole role);

    @Select("select r.* from sys_role r, sys_user_role ur where ur.roleid=r.id and ur.userid=#{uid}")
    public List<SysRole> findByUid(String uid);
}

调整前端页面

ordel-list页面

<li><a
href="${pageContext.request.contextPath}/role/findAll.do">角色管理</a>
</li>

认证操作(经过数据库且加密)

认证

  • <security:http 是springsecurity的基本配置标签
  • auto-config=“true” 表示springsecurity会自动寻找认证页面,如果自己提供,则用自己的
  • use-expressions=“true” 表示使用spring的el表达式来指定对应配置
  • <security:intercept-url 指定哪些路径需要哪些角色才能访问。

pattern="/ **" 表示现在要拦截所有的请求

  • access=“hasRole(‘ROLE_USER’)” 表示任何资源都必须具有ROLE_USER角色才能访问
    • 此时ROLE_USER角色可以称为基本角色。

spring-security.xml

<!--springsecurity的主配置文件-->
    <security:http auto-config="true" use-expressions="true">
        <!--指定基本角色-->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>
        <!--认证相关配置-->
        <!--
           login-page="" 自定义认证页面的路径
            login-processing-url="" 认证处理器路径
        default-target-url="" 认证成功后跳转的页面
        authentication-failure-url="" 认证失败后跳转的页面
        -->
        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login"
                             default-target-url="/index.jsp"
                             authentication-failure-url="/failer.jsp"/>

        <!--退出登录相关配置-->
        <!--
        invalidate-session="true" 表示退出登录后情况session
        logout-url="/logout" 指定退出登录的处理器地址
        logout-success-url="/login.jsp" 退出成功后跳转的路径
        -->
        <security:logout logout-url="/logout"
                         logout-success-url="/login.jsp"
                         invalidate-session="true"/>
        <!--放开csrf拦截-->
        <!--
            csrf是一种网络攻击技术,springsecurity默认只要不是框架内部的请求
            全部都是csrf攻击,所以我们只要使用springsecurity,csrf就一定要关闭。
        -->
        <security:csrf disabled="true"/>
        <!--处理AccessDeniedException异常-->
        <security:access-denied-handler error-page="/403.jsp"/>

    </security:http>

Md5加密

  • 浅层原理: 原文与密文绝对固定的一对一的键值对。
    例如:

  • 原文:123

  • 密文:202cb962ac59075b964b07152d234b70
    两者之间永远固定不变。

  • 弊端: 密文容易被破解。

Springsecurity的加盐加密

  • 盐: 首位调换,加上用户名

认证方式:

  • 先根据用户输入的用户名进行查询,没有查到,认证失败。
  • 查到了,在拿用户填写的密码与密文调用matches()方法, 来确定是否是同一个密码。

代码实现

在spring的ioc容器中放入一个加盐加密的对象

方式一

spring-security.xml

<!--加盐加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder">
    </bean>
<!--认证信息-->
    <!--
    在内存中放置两个临时用户
     一个用户名是user密码也是user,角色为ROLE_USER
    一个用户名是admin密码也是admin,角色为ROLE_ADMIN
    springsecurity默认就是加密认证,如果要不加密认证
    需要加上{noop}
    -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userServuceImpl">
               <!-- <security:user name="user" password="{noop}user" authorities="ROLE_USER"/>
                <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN"/>-->
        </security:authentication-provider>
    </security:authentication-manager>
方式二

在这里插入图片描述

applicationContext.xml 中添加

<!--引入springsecurity配置文件-->
    <import resource="classpath:spring-security.xml"/>

御灵龍
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于SSM框架的健康项目管理源码,整合Dubbo分布式与SpringSecurity权限认证
03-25
项目整合了Dubbo分布式服务框架,以及SpringSecurity进行权限认证,确保系统的安全性和高效性。技术栈多元,主要使用JavaScript进行开发,同时涵盖了CSS、HTML、Java、PHP等多种语言。 文件构成:项目共包含3390个...
SSM(Spring+SpringMVC+MyBatis)实习第八天——SprinSecurity安全认证服务框架的使用
qq_39123056的博客
07-17 364
简介 springSecurity是一个安全框架,基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安全...
shiro-----Shiro与SSM集成实现用户认证和授权
hjseo_seg的博客
08-24 351
shiro自带的Realm接口,CachingRealm负责缓存处理,AuthenticationRealm负责认证,AuthorizingRealm负责授权等,但是通常情况下,正确的用户信息都是从数据库中取出,所以需要自定义realm,通常自定义的realm继承。
2.SSM+springSecurity实现简单的认证
SnowDujc的博客
03-10 291
我们接着上一篇博客搭建大SSM+SpringSecurity环境来实现一个基于springSecurity简单认证的项目 1. 对springMvc.xml文件进行配置 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" ...
springSecurity入门(ssm + spring-security)
weixin_44892327的博客
06-27 558
spring-security入门
SSM+spring security3.x框架整合(附带数据文件)
10-02
框架是博主整合的框架,所用技术是spring 4.x+spring mvc+4.x+mybatis4.x+spring security3.x,并附带springsecurity.sql文件
ssm框架整合Spring Security项目.zip
12-29
SSMSpring + Spring MVC + MyBatis)框架作为Java开发中的黄金组合,为开发者提供了强大的技术支持和丰富的功能。本系列资料将带您从零基础开始,逐步掌握SSM的核心技术和最佳实践,助您在Java Web开发领域更上一...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,...springSecurity认证流程图【附带记住我功能】: 3、课程亮点 Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
通联支付API集成(适用于SpringBoot)
m0_55337678的博客
05-17 381
通联支付实现代码
Spring-Cloud 微服务
weixin_65127444的博客
05-15 900
先来思考一个问题*通过上一章的操作,我们已经可以实现微服务之间的调用。但是我们把服务提供者的网络地址(ip,端口)等硬编码到了代码中,这种做法存在许多问题:1.一旦服务提供者地址变化,就需要手工修改代码2. 一旦是多个服务提供者,无法实现负载均衡功能3.一旦服务变得越来越多,人工维护调用关系困难那么应该怎么解决呢,这时候就需要通过注册中心动态的实现。
(三)Spring教程——依赖注入与控制反转
05-14 561
Spring有两个重要的接口:BeanFactory和ApplicationContext,所谓的容器就是实现了BeanFactory接口或者是ApplicationContext接口的类的实例,BeanFactory是最顶层、最基本的接口,它描述了容器需要实现的最基本的功能,比如对象的注册、获取等。在编写传统的Java应用代码时,我们一般是直接在对象内部通过new来创建对象,让程序主动去创建依赖对象,这就是一个“谁使用,谁创建”的过程,创建依赖对象的主动权和创建时机都是由自己来把控。
SpringBoot Validation自定义注解之校验指定最小整数
最新发布
thinkers
05-21 29
1,引入核心关键依赖。
spring 循环依赖
weixin_45849726的博客
05-14 445
先创建ABean1.0. 记录正在创建ABean singletonCurrentlyInCreation<1.1.实例化ABean–>得到一个对象–>存入singletonFactories1.2. 填充BBean属性–>去单例池找BBean–>没有就创建1.3. 进行其他依赖注入1.4. 初始化前,初始化1.5. 初始化后1.6. 放入单例池创建BBean2.1. 实例化BBean–>得到一个对象。
SpringBoot】93、SpringBoot中使用Jasypt实现配置文件中敏感数据加密
Asurplus
05-17 20
Jasypt(Java Simplified Encryption)是一个 Java 库,它允许开发人员以最小的努力为项目添加基本的加密功能,而无需深入了解密码学的工作原理
Spring: Spring自带的Http客户端RestTemplate
玉汝于成
05-17 265
RestTemplate 是 Spring 框架中用于发送 HTTP 请求的客户端工具类。它简化了与 REST 服务的交互,并提供了许多方法来发送 HTTP 请求,如 GET、POST、PUT、DELETE 等。
基于SpringBoot的在线视频教育平台源码数据库
s123456sj的博客
05-17 831
随着科学技术的飞速发展,各行各业都在努力与现代先进技术接轨,通过科技手段提高自身的优势;对于在线视频教育平台当然也不能排除在外,随着网络技术的不断成熟,带动了在线视频教育平台,它彻底改变了过去传统的管理方式,不仅使服务管理难度变低了,还提升了管理的灵活性。这种个性化的平台特别注重交互协调与管理的相互配合,激发了管理人员的创造性与主动性,对在线视频教育平台而言非常有利。
SpringBoot项目的项目部署全过程
泉涸的博客
05-14 799
cd /opt/nginx/sbin 此时进入nginx的sbin (里面是nginx的启动命令)./configure--prefix=/opt/nginx (尽量安装到/opt/nginx目录下)(部署之前记得将全部ip(localhost/127.0.0.1)改为你的云服务器ip)(ps -ef |grep nginx 如果有端口即为启动成功)1.将提前准备好的nginx的安装包上传到Linux中(我用的是Xftp)将dist目录下的所有文件都上传到 /opt/nginx/html 中。
java云his系统源码 一站式诊所SaaS系统Java+Spring+Angular+Nginx 云HIS系统八大特点
zmm201453的博客
05-15 1216
HIS系统采用面向技术架构的分析与设计方法,应用多层次应用体系架构设计,运用基于构件技术的系统搭建模式与基于组件模式的系统内核结构。通过建立统一接口标准,实现数据交换和集成共享,通过统一身份认证和授权控制,实现业务集成、界面集成。
ssm引入springsecurity
03-29
在使用SSM框架进行开发时,可以引入Spring Security来实现安全认证和授权。Spring Security是一个基于Spring安全框架,提供了丰富的安全功能和可扩展性。 以下是在SSM框架中引入Spring Security的步骤: 1. 添加...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值