Spring Security框架入门
1.1 Spring Security简介
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
运营商系统登录与安全控制
2.1需求分析
完成运营商登陆功能
2.2登陆功能的实现
2.2.1配置文件
(1)修改pinyougou-manager-web的pom.xml ,添加依赖
<!-- 身份验证 --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </dependency> |
(2)修改web.xml
<context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring/spring-security.xml</param-value> </context-param> <listener> <listener-class> org.springframework.web.context.ContextLoaderListener </listener-class> </listener> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> |
(3)pinyougou-manager-web的spring目录下添加配置文件spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<!-- 以下页面不被拦截 -->
<!--不拦截根目录下的html文件-->
<http pattern="/*.html" security="none"></http>
<http pattern="/css/**" security="none"></http>
<http pattern="/img/**" security="none"></http>
<http pattern="/js/**" security="none"></http>
<http pattern="/plugins/**" security="none"></http>
<!--页面的拦截器规则 use-expressions:是否启动SPEL表达式默认是true-->
<!--form-login 为开启表单登陆
use-expressions 为是否使用使用 Spring 表达式语言( SpEL ),默认为true ,如果开启,则拦截的配置应该写成以下形式
<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
-->
<http use-expressions="false">
<!--
当前用户必须有ROLE_ADMIN的角色才可以访问根目录及所属目录的资源
pattern="/**" 拦截路径
-->
<intercept-url pattern="/**" access="ROLE_ADMIN"/>
<!--
开启表单登录功能
login-page:登录页面
default-target-url:登录成功后跳转到主页
authentication-failure-url:认证失败跳转到登录页面
login-processing-url="/login" 表单提交的url(默认是spring-security提供了一个url“/login”)
username-parameter:可以设置提交的表单name属性中的用户名域值默认是 username
password-parameter:可以设置提交的表单的name属性的密码域值 password
always-use-default-target:总是跳转到登录成功后的页面
-->
<form-login login-page="/login.html" default-target-url="/admin/index.html" authentication-failure-url="/login.html" always-use-default-target="true"/>
<!--CSRF(Cross-site request forgery)跨站请求伪造,
也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。-->
<csrf disabled="true"/>
<!--
如果你在系统中使用了框架页,需要设置框架页的策略为SAMEORIGIN
-->
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
<!--
退出
logout-url:退出地址
logout-success-url:退出后跳转页面(默认登录页面)
-->
<logout />
</http>
<!--认证管理器-->
<authentication-manager>
<authentication-provider>
<user-service>
<!--认证用户可以多个-->
<user name="admin" password="123456" authorities="ROLE_ADMIN"/>
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
登录页面
修改pinyougou-manager-web的 login.html 添加红框中的数据
主界面显示登陆人
2.3.1后端代码
在pinyougou-manager-web新建LoginController.java
package com.pinyougou.manager.controller;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import java.util.HashMap;
import java.util.Map;
/**
* @Auther: jun
* @Date: 2018/8/20 0020 18:43
* @Description: 登录操作Controller
*/
@RestController
@RequestMapping("/login")
public class LoginController {
/**
* 返回登录name
* @auther: jun
* @date: 2018/8/20 0020 18:47
* @param
* @return: java.util.Map
*/
@RequestMapping("/name")
public Map name(){
//获取到Security中的name值
String name = SecurityContextHolder.getContext ().getAuthentication ().getName ();
Map map=new HashMap ();
map.put ("loginName",name);
return map;
}
}
前端代码
- 新建loginService.js
-
//登录服务 app.service('loginService',function ($http) { this.loginName=function () { return $http.get('../login/name.do'); } });
- 新建indexController.js
-
//控制层 app.controller('indexController' ,function($scope,loginService){ //展示登录用户名 $scope.showLoginName=function () { loginService.loginName().success(function (response) { $scope.loginName=response.loginName; }); } });
页面上引入JS
<script type="text/javascript" src="../plugins/angularjs/angular.min.js"></script>
<script type="text/javascript" src="../js/base.js"></script>
<script type="text/javascript" src="../js/service/loginService.js"></script>
<script type="text/javascript" src="../js/controller/indexController.js"></script>
指令
<body class="hold-transition skin-green sidebar-mini" ng-app="pinyougou" ng-controller="indexController" ng-init="showLoginName ()">
将页面上的测试用户 替换成 {{loginName}}
2.4退出登录
在pinyougou-manager-web的spring-security.xml的http节点中添加配置
<logout/>
加此配置后,会自动的产生退出登录的地址/logout,如果你不想用这个地址 ,你也可以定义生成的退出地址以及跳转的页面,配置如下
<logout logout-url="" logout-success-url=""/>
logout-url:退出的地址,会自动生成
logout-success-url:退出后跳转的地址
修改注销的链接
<div class="pull-right">
<a href="../logout" class="btn btn-default btn-flat">注销</a>
</div>