Spring 3之MVC & Security简单整合开发(二)

最新推荐文章于 2018-12-14 13:24:10 发布
最新推荐文章于 2018-12-14 13:24:10 发布
阅读量233 收藏
点赞数
分类专栏: Spring_Security

原文链接:http://sarin.iteye.com/blog/829738

    现在来说Security部分。spring Security框架是Acegi Security的升级,这个框架就是利用了多重过滤的机制对请求进行处理,将符合要求的请求放行,不符合要求的请求阻止下来,这是最大的原理。下面先来看看简单的url过滤吧。 
    先写一个用于验证身份的登录页面: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
< html >
< head >
< title >Login</ title >
</ head >
< body >
< c:if test = "${not empty param.error}" >
     < font color = "red" >Login error.< br />
     </ font >
     Reason:${sessionScope["SPRING_SECURITY_LAST_EXCEPTION"].message}
</ c:if >
< form method = "POST" action = "<c:url value=" /login"/>">
< table >
     < tr >
         < td align = "right" >Username</ td >
         < td >< input type = "text" name = "j_username" /></ td >
     </ tr >
     < tr >
         < td align = "right" >Password</ td >
         < td >< input type = "password" name = "j_password" /></ td >
     </ tr >
     < tr >
         < td colspan = "2" align = "right" >< input type = "submit" value = "Login" />
         < input type = "reset" value = "Reset" /></ td >
     </ tr >
</ table >
</ form >
</ body >
</ html >

    做一些说明,使用Spring Security时,默认的登录验证地址是j_spring_security_check,验证的用户名是j_username,密码是j_password,对于用户名和密码我们不需要修改,使用其默认值即可,而验证路径通常我们想使用自定义地址,这就需要在security中进行配置,后面会看到,这里还会看到如果验证失败,会把失败信息打印出来,就是JSTL的c:if段的作用。下面来看最基本的Security框架作用,拦截URL请求。在board-security.xml配置如下: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
<? xml version = "1.0" encoding = "UTF-8" ?>
< beans xmlns = "http://www.springframework.org/schema/beans"
     xmlns:security = "http://www.springframework.org/schema/security"
     xmlns:xsi = "http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://www.springframework.org/schema/beans
 
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
 
 
http://www.springframework.org/schema/security
 
 
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
 
     < security:http auto-config = "true" >
< security:intercept-url pattern = "/messageList.htm"
                     access = "ROLE_ADMIN,ROLE_USER,ROLE_GUEST" />
         < security:intercept-url pattern = "/messagePost.htm"
                     access = "ROLE_ADMIN,ROLE_USER" />
         < security:intercept-url pattern = "/messageDelete.htm"
                     access = "ROLE_ADMIN" />
         < security:anonymous username = "guest"
             granted-authority = "ROLE_GUEST" />
     </ security:http >
 
     < security:authentication-manager >
         < security:authentication-provider >
             < security:user-service >
                 < security:user name = "admin" authorities = "ROLE_ADMIN,ROLE_USER" password = "secret" />
                 < security:user name = "user1" authorities = "ROLE_USER"
                                 password = "1111" />
</ security:user-service >
         </ security:authentication-provider >
     </ security:authentication-manager >
</ beans >

    配置文件中首先是对http请求的拦截,这里使用了自动配置auto-config,那么当请求到达时,Security框架会让我们进行身份验证,我们拦截的url模式已经在其中配置出来,三个请求分别对应不同的权限,而且messageList.htm还开放了匿名访问功能,要提供匿名访问,就要配置<anonymous>,这里我们配置匿名用户名为guest,角色是ROLE_GUEST,这里的角色都是ROLE_开头,是Spring Security框架默认使用的,我们不用去更改,这也很清楚。首先我们启动应用,来访问唯一的匿名功能,之后我们看到如下效果: 

 可以看到,现在的角色是ROLE_GUEST,那么就直接看到,没有验证身份,若我们要发布消息呢,点击Post链接,看看效果: 

要求身份验证了,这就说明对url的拦截起作用了,想发布消息,权限不够了,要验证身份了,注意这里这个页面并不是我们前面写的那个页面,而是Security框架的默认验证页面,为什么没有使用我们所写的页面呢?因为我们还没有配置它啊,当然不会被识别到了。我们来看看默认的页面源码是什么样子的: 

1
2
3
4
5
6
7
8
9
< html >< head >< title >Login Page</ title ></ head >< body onload = 'document.f.j_username.focus();' >
< h3 >Login with Username and Password</ h3 >< form name = 'f' action = '/j_spring_security_check' method = 'POST' >
  < table >
     < tr >< td >User:</ td >< td >< input type = 'text' name = 'j_username' value = '' ></ td ></ tr >
     < tr >< td >Password:</ td >< td >< input type = 'password' name = 'j_password' /></ td ></ tr >
     < tr >< td colspan = '2' >< input name = "submit" type = "submit" /></ td ></ tr >
     < tr >< td colspan = '2' >< input name = "reset" type = "reset" /></ td ></ tr >
   </ table >
</ form ></ body ></ html >

    可以看到这里的默认请求路径就是/j_spring_security_check了,不过这里我们已经可以使用我们配置的用户来登录了,之前在配置文件中的admin和user1,它们拥有的权限不同,那么我们使用user1登录,来发布消息。验证通过,出现消息输入页面: 

下面发布消息,之后能看到消息的列表了,这对ROLE_USER的角色都是可以查看的。 

    没有把Author的信息打印出来,为什么?我们在这里对这个自动进行了限制,来看一下页面是怎么写的: 

1
2
3
4
5
6
< security:authorize ifAllGranted = "ROLE_ADMIN,ROLE_USER" >
     < tr >
         < td >Author</ td >
         < td >${message.author}</ td >
     </ tr >
</ security:authorize >

    这里说的是拥有ROLE_ADMIN和ROLE_USER两种角色才能显示author信息,显然我们权限不够了,当然把这里修改为ifAnyGranted=”ROLE_ADMIN,ROLE_USER”就可以显示出来了,All和Any的区别嘛,很容易理解。还有一个属性是ifNotGranted,不用说你也会明白它是什么意思了,我们现在修改为ifAnyGranted=”ROLE_ADMIN,ROLE_USER”,刷新页面,就会看到如下内容了: 

    其实这已经是在扩展Security框架的视图功能了,就是这么使用的,如果想了解security框架标签库其它标签,那么去参考官方文档吧,因为你已经知道该怎么去套用了。 
    该试试删除功能了,当前用户角色是ROLE_USER,想删除肯定是不可以的了,那么会是怎么样的效果呢,点击Delete链接,看一下吧: 

    非常不幸,被拦截下来了,HTTP 403表示没有权限,那么就对了,Security框架起作用了,这就是我们想要的效果了。 
    Security框架的基本URL拦截到此就说完了,是不是很简单?下面就来定制一些操作吧,我们既然编写了自定义登录页面,得用上吧,还有Logout退出功能没用呢。下面就对这基本的配置进行第一次扩展,我们这样做: 

1
2
3
4
5
6
7
8
9
10
11
12
< security:http >
     < security:intercept-url pattern = "/messageList.htm"
                     access = "ROLE_ADMIN,ROLE_USER,ROLE_GUEST" />
     < security:intercept-url pattern = "/messagePost.htm"
                     access = "ROLE_ADMIN,ROLE_USER" />
     < security:intercept-url pattern = "/messageDelete.htm"
                     access = "ROLE_ADMIN" />
     < security:form-login login-page = "/login.jsp"
login-processing-url = "/login" default-target-url = "/messageList.htm"
             authentication-failure-url = "/login.jsp?error=true" />
     < security:logout logout-success-url = "/login.jsp" />
</ security:http >

    首先去掉auto-config,因为要定制,不让Security按它默认的执行。那么登录验证就配置吧,login-page属性配置的是登录页面,就是我们前面所写的,login-processing-url就是我们处理登录逻辑的请求地址,默认的是j_spring_security_check,前面也说过了,default_target_url就是默认的登录成功转向的目标地址,这里是消息列表页面。最后一个属性是authentication-failure-url,很明白了,就是验证失败转向的页面,这里我们附加一个参数error,页面里面也有体现,就是用它来控制失败信息的打印的。下面一个是配置退出,logout-success-url就是退出后转向的页面,这里是到登录页面,没错,退出后回到登录页面。下面来看看效果吧,修改完毕重启Jetty: 

    由于去掉了匿名访问,那么直接请求messageList.htm就会为我们跳转到登录页面了,进行身份验证,此时我们输入一个错误的信息,看看能捕捉到什么: 

    验证失败错误会出现Bad credentials,这里不判断是用户不存在还是密码错误,统一是登录凭据错误。输入正确的信息就可以重复上述操作了。使用admin登录成功,会出现: 

    至此基本的Security拦截操作已经说完了,是不是很简单呢。当然这是测试的,真实应用中我们的用户不可能这么配置,因为都是存放在数据库中的,那么Security能不能支持数据库用户验证呢?答案是肯定的。只是需要一些扩展配置,这里Security整合了一些数据库验证的操作,要符合Security的验证模式,那么要么我们重新设计数据库,要么在原有基础之上来修改一下数据库设计。这里我们先看一下Security框架默认支持的数据库设计吧,就是它默认SQL查询语句所支持的内容。 

    这两个表明是默认的,这么写Security会自己识别出来,不用我们书写SQL语句了。先来看看表设计吧,就这些信息就够Security进行验证了。 

1
2
3
4
5
6
7
8
9
10
11
12
13
CREATE TABLE `users` (
   `USERNAME` varchar (10) NOT NULL ,
   ` PASSWORD ` varchar (32) NOT NULL ,
   `ENABLED` tinyint(1) NOT NULL ,
   PRIMARY KEY (`USERNAME`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8
 
CREATE TABLE `authorities` (
   `USERNAME` varchar (10) NOT NULL ,
   `AUTHORITY` varchar (10) NOT NULL ,
   KEY `FK_USERNAME_AUTHORITY` (`USERNAME`),
   CONSTRAINT `FK_USERNAME_AUTHORITY` FOREIGN KEY (`USERNAME`) REFERENCES `users` (`USERNAME`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8

    两个表之间有一个外键的关联,是用户名关联,而且我们还进行了md5密码扩展,这也要在Security框架进行配置,在表中插入一些信息,就可以进行数据库验证了,此时Security框架的配置如下,修改认证管理器: 

1
2
3
4
5
6
< security:authentication-manager >
     < security:authentication-provider >
         < security:password-encoder ref = "md5Encoder" />
         < security:jdbc-user-service data-source-ref = "dataSource" />
     </ security:authentication-provider >
</ security:authentication-manager >

    这里我们配置了jdbc数据源和密码编码器,因为连MD5加密方式也是我们自定义的,这样安全系数更高。要使用自定义的加密器,别忘了编写加密器的bean。 

1
< bean id = "md5Encoder" class = "org.ourpioneer.board.util.MD5Encoder" />

 加密器类需要实现PasswordEncoder接口,然后编写我们自己的加密方案,加密器很简单,如下设计: 

1
2
3
4
5
6
7
8
9
10
11
12
13
package org.ourpioneer.board.util;
import org.springframework.dao.DataAccessException;
import org.springframework.security.authentication.encoding.PasswordEncoder;
public class MD5Encoder implements PasswordEncoder {
     public String encodePassword(String origPwd, Object salt)
             throws DataAccessException {
         return MD5.getMD5ofStr(origPwd);
     }
     public boolean isPasswordValid(String encPwd, String origPwd, Object salt)
             throws DataAccessException {
         return encPwd.equals(encodePassword(origPwd, salt));
     }
}

其中使用到的MD5加密类为: 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
package org.ourpioneer.board.util;
import java.security.MessageDigest;
/**
  * 标准MD5加密方法,使用java类库的security包的MessageDigest类处理 <BR>
  * 也可变为非标准MD5,请修改下面的移位算法
  *
  * @author Nanlei
  *
  */
public class MD5 {
     /**
      * 获得MD5加密密码的方法
      */
     public static String getMD5ofStr(String origString) {
         String origMD5 = null ;
         try {
             MessageDigest md5 = MessageDigest.getInstance( "MD5" );
             byte [] result = md5.digest(origString.getBytes());
             origMD5 = byteArray2HexStr(result);
         } catch (Exception e) {
             e.printStackTrace();
         }
         return origMD5;
     }
     /**
      * 处理字节数组得到MD5密码的方法
      */
     private static String byteArray2HexStr( byte [] bs) {
         StringBuffer sb = new StringBuffer();
         for ( byte b : bs) {
             sb.append(byte2HexStr(b));
         }
         return sb.toString();
     }
     /**
      * 字节标准移位转十六进制方法
      */
     private static String byte2HexStr( byte b) {
         String hexStr = null ;
         int n = b;
         if (n < 0 ) {
             // 若需要自定义加密,请修改这个移位算法即可
             n = b & 0x7F + 128 ;
         }
         hexStr = Integer.toHexString(n / 16 ) + Integer.toHexString(n % 16 );
         return hexStr.toUpperCase();
     }
     /**
      * 提供一个MD5多次加密方法
      */
     public static String getMD5ofStr(String origString, int times) {
         String md5 = getMD5ofStr(origString);
         for ( int i = 0 ; i < times - 1 ; i++) {
             md5 = getMD5ofStr(md5);
         }
         return getMD5ofStr(md5);
     }
     /**
      * 密码验证方法
      */
     public static boolean verifyPassword(String inputStr, String MD5Code) {
         return getMD5ofStr(inputStr).equals(MD5Code);
     }
     /**
      * 多次加密时的密码验证方法
      */
     public static boolean verifyPassword(String inputStr, String MD5Code,
             int times) {
         return getMD5ofStr(inputStr, times).equals(MD5Code);
     }
     /**
      * 提供一个测试的主函数
      */
     public static void main(String[] args) {
         System.out.println( "123:" + getMD5ofStr( "123" ));
         System.out.println( "123456789:" + getMD5ofStr( "123456789" ));
         System.out.println( "pioneer:" + getMD5ofStr( "pioneer" ));
         System.out.println( "123:" + getMD5ofStr( "123" , 4 ));
     }
}

加密工作已经准备好,之前配置的数据源是: 

1
2
3
4
5
6
7
8
< bean id = "dataSource"
     class = "org.springframework.jdbc.datasource.DriverManagerDataSource" >
     < property name = "driverClassName" value = "com.mysql.jdbc.Driver" />
         < property name = "url"
             value = "jdbc:mysql://localhost:3306/board" />
         < property name = "username" value = "root" />
         < property name = "password" value = "123" />
</ bean >

别忘了加入JDBC的驱动程序,之后我们就可以使用数据库用户验证了,剩下的步骤就和前面是一样的了。 

LiTianao88
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基本的spring mvc + spring security实现的登录(无数据库)
01-01
用STS(Spring Tool Suite)开发的,spring mvc + spring security 实现的最简单的登录系统,无数据库。
SpringMVC项目对接CAS服务端实现单点登录
Nicky's blog
09-04 5799
业务场景:之前写过CAS服务端的例子,也对接过基于SpringBoot的CAS,不过最近项目要对接第三方的CAS实现单点登录,而我们项目是基于SpringMVC的,所以就摸索了一下对接方案
wangtian3599的博客
12-14 3178
  &lt;!DOCTYPE html&gt;   &lt;html lang="zh-CN"&gt;   &lt;head&gt;   &lt;meta charset="UTF-8"&gt;   &lt;link rel="canonical" href="https://blog.csdn.net/wooin/art
洗礼灵魂,修炼python(61)--爬虫篇—【转载】requests模块
dingyu6453的博客
11-06 155
requests 1.简介 Requests 是用Python语言编写的第三方库,所以你需要pip安装,安装过程就略过了。它基于urllib,采用 Apache2 Licensed 开源协议的 HTTP 库。它比 urllib 更加方便实用,功能强大,可以节约我们大量的工作,满足一般的HTTP 测试需求。最重要的是,它支持 Python3 2.方法/属性 3...
Spring Security教程(10)---- 自定义登录成功后的处理程序及修改默认验证地址
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-18 3万+
form-login配置中的authentication-success-handler-ref可以让手动注入登录成功后的处理程序,需要实现AuthenticationSuccessHandler接口。 <sec:form-login login-page="/login.jsp" login-processing-url="/login.do" authentication-failure
ssm框架整合Spring Security项目.zip
12-29
SSM(Spring + Spring MVC + MyBatis)框架作为Java开发中的黄金组合,为开发者提供了强大的技术支持和丰富的功能。本系列资料将带您从零基础开始,逐步掌握SSM的核心技术和最佳实践,助您在Java Web开发领域更上一...
jinshuaitec:信息存储项目.Spring Boot 整合Spring MVC,Spring,Mybatis,使用Spring Security做登录验证,希望可以整合微信公众号一起开发
05-13
jinshuaitec信息存储项目.Spring Boot 整合Spring MVC,Spring,Mybatis,使用Spring Security做登录验证,希望可以整合微信公众号一起开发
spring-boot示例项目
03-25
本项目示例基于spring boot 最新版本(2.1.9)实现,Spring Boot、Spring Cloud 学习示例,将持续更新…… 在基于Spring Boot、Spring Cloud 分布微服务开发过程中,根据实际项目环境,需要选择、集成符合项目...
DWZ+springMVC+security+权限+mybatis+postgresql+demo
09-24
直接从网上荡下DWZ的dwz4j企业级Java Web快速开发框架(Mybatis + SpringMVC) + jUI整合应用使用的话,里面的一些内容比较冗余,另外里面缺少权限和security,以及对postgre的数据库使用demo,而最近项目中需要开发...
Failed to execute goal org.apache.maven.plugins:maven-surefire-plugin:2.17:test (default-test) on pr
软测小生
11-20 6395
问题所在:配置的参数、路径与实际项目里面的code不一样导致启动maven失败;仔细检查一下远程仓库代码与配置中的名字。 [ERROR] Failed to execute goal org.apache.maven.plugins:maven-surefire-plugin:2.17:test (default-test) on project AutomationBasePDF: Execu...
Spring 3之MVC & Security简单整合开发(三)
legend_x的专栏
09-19 497
Spring 3之MVC & Security简单整合开发(三) 博客分类:  框架技术 SecurityMVCSpring框架配置管理      本文接上一篇继续深入研究Security框架。      Security对数据库验证用户有两种方式,上文提到的是它默认支持的数据库表结构,但基本上用于实际是不现实的,因为我们的数据库都有自己的业务逻辑,所以现在来看看怎么在我
Spring 3之MVC & Security简单整合开发(一)
nanlei1987的专栏
11-30 101
SpringMVC模块是一种简洁的Web应用框架,实现了MVC模式来处理HTTP请求和响应。相比于Struts系列,SpringMVCMVC更加明显,将控制器和视图的定义完全分离,它们不需要在一个命名空间下了。它有Spring的全部优点,bean的配置更加舒服。而Spring 3的注解配置使得代码编写更加优雅。本例结合Spring MVCSecurity框架进行小小整合,仅做功能说明...
Spring Security学习 - 自定义Login方法
lee353086的专栏
09-19 1万+
自定义Spring Security的Login方法。
11个让你代码整洁的原则
liziki的专栏
04-10 567
写Web页面就像我们建设房子一样,地基牢固,房子才不会倒。同样的,我们制作Web页面也一样,一个良好的HTML结构是制作一个美丽的网站的开始,同样的,良好的CSS只存在同样良好的HTML中,所以一个干净的,语义的HTML的优点很多,那么平时制作中,我们做到了这一点吗?我们一起来看一张图片: 上图展示了两段代码,我想大家都只会喜欢第一种,我们先不说其语义,至少他的结构让我们看上去清爽,而第
Java后台框架篇--Springsecurity
非淡泊无以明志,非宁静无以致远
09-29 749
剩下的页面代码 本来想给这个demo的源码出来的,但是笔者觉得,通过这个教程一步一步读下来,并自己敲一遍代码,会比直接运行一遍demo印象更深刻,并且更容易理解里面的原理。 而且我的源码其实都公布出来了: login.jsp: 1 2 3 4 5 6 7 8 9 10 11
WebService在.NET 平台下的应用
仲权的专栏
09-10 1390
WebService 一句话理解:提供可供外部访问的方法,实现跨平台访问 注意: 在客户端是添加“服务引用”,而不是引用 当服务端更新了服务之后,在客户端,一定也要“更新服务” 当要执行异常调用时,要在前台.aspx的头部中加上Async="true"   一:服务端定义 右击à添加à新建项àweb服务à 打开新建的WebService1.asmx可以
node-v0.8.10-sunos-x64.tar.gz
最新发布
05-16
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
熟练掌握SpringSpring MVCSpring Boot、Spring Security等框架的整合开发,并熟悉Spring Boot自动装配原理以及Spring Aop等;
08-25
熟练掌握SpringSpring MVCSpring Boot、Spring Security等框架的整合开发,以及熟悉Spring Boot自动装配原理和Spring AOP等技术是非常有价值的。下面我将为您逐个解释这些框架和技术的特点和用途。 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值