spring-security学习

最新推荐文章于 2024-08-16 20:21:37 发布
最新推荐文章于 2024-08-16 20:21:37 发布
阅读量128 收藏
点赞数
分类专栏: spring 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41904699/article/details/110358278
版权
该博客详细介绍了如何使用Spring Security搭建安全控制工程,包括配置自定义登录页面、从数据库读取用户信息进行身份验证、密码加密、配置多种权限校验规则以及对方法的权限控制。此外,还涵盖了退出登录的实现方法。
摘要由CSDN通过智能技术生成

spring-security学习

工程搭建

文件结构
在这里插入图片描述

pom.xml

<?xml version="1.0" encoding="UTF-8"?>

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
  <modelVersion>4.0.0</modelVersion>

  <groupId>com.ahu</groupId>
  <artifactId>SpringSecurity_Demo</artifactId>
  <version>1.0-SNAPSHOT</version>
  <packaging>war</packaging>

  <name>SpringSecurity_Demo</name>

  <properties>
    <project.build.sourceEncoding>UTF-8</project.build.sourceEncoding>
    <maven.compiler.source>1.8</maven.compiler.source>
    <maven.compiler.target>1.8</maven.compiler.target>
  </properties>

  <dependencies>
    <dependency>
      <groupId>com.ahu</groupId>
      <artifactId>health_interface</artifactId>
      <version>1.0-SNAPSHOT</version>
    </dependency>
  </dependencies>

  <build>
    <plugins>
      <plugin>
        <groupId>org.apache.tomcat.maven</groupId>
        <artifactId>tomcat7-maven-plugin</artifactId>
        <configuration>
          <!-- 指定端口 -->
          <port>85</port>
          <!-- 请求路径 -->
          <path>/</path>
        </configuration>
      </plugin>
    </plugins>
  </build>

</project>

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
                        http://www.springframework.org/schema/beans/spring-beans.xsd
                        http://www.springframework.org/schema/mvc
                        http://www.springframework.org/schema/mvc/spring-mvc.xsd
                        http://code.alibabatech.com/schema/dubbo
                        http://code.alibabatech.com/schema/dubbo/dubbo.xsd
                        http://www.springframework.org/schema/context
                        http://www.springframework.org/schema/context/spring-context.xsd
                          http://www.springframework.org/schema/security
                          http://www.springframework.org/schema/security/spring-security.xsd">
    <!--
  http:用于定义相关权限控制
  指定哪些资源不需要进行权限校验,可以使用通配符
-->
    <security:http security="none" pattern="/login.html" />
    <security:http security="none" pattern="/pages/a.html" />

    <!--
        http:用于定义相关权限控制
        auto-config:是否自动配置
                        设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出处理等
                        设置为false时需要显示提供登录表单配置,否则会报错
        use-expressions:用于指定intercept-url中的access属性是否使用表达式
    -->
    <security:http auto-config="true" use-expressions="true">
        <!--
  form-login:定义表单登录信息
-->
        <security:form-login login-page="/login.html"
                             username-parameter="usr"
                             password-parameter="pwd"
                             login-processing-url="/login.do"
                             default-target-url="/index.html"
                             authentication-failure-url="/login.html"/>
        <security:csrf disabled="true"/>
        <!--
            intercept-url:定义一个拦截规则
            pattern:对哪些url进行权限控制
            access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
                  请求的用户只需拥有其中的一个角色就能成功访问对应的URL
        -->
        <security:intercept-url pattern="/**"  access="hasRole('ROLE_ADMIN')" />
    </security:http>



    <!--
        authentication-manager:认证管理器,用于处理认证操作
    -->
    <security:authentication-manager>
        <!--
            authentication-provider:认证提供者,执行具体的认证逻辑
        -->
        <security:authentication-provider>
            <!--
                user-service:用于获取用户信息,提供给authentication-provider进行认证
            -->
            <security:user-service>
                <!--
                    user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息
                  {noop}:表示当前使用的密码为明文
                -->
                <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" />
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>

</beans>

web.xml

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
  <display-name>Archetype Created Web Application</display-name>
  <filter>
    <!--
      DelegatingFilterProxy用于整合第三方框架
      整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
      否则会抛出NoSuchBeanDefinitionException异常
    -->
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <servlet>
    <servlet-name>springmvc</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载 -->
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-security.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>springmvc</servlet-name>
    <url-pattern>*.do</url-pattern>
  </servlet-mapping>

</web-app>

优化

使用自定义的登录页面login.html

1.login.html

<!DOCTYPE html>
<html>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<head>
    <title>登录</title>
</head>
<body>
<h3>登录页面</h3>
<form action="/login.do" method="post">
    username:<input type="text" name="usr"><br>
    password:<input type="password" name="pwd"><br>
    <input type="submit" value="submit">
</form>
</body>
</html>

2.修改spring-security.xml文件,指定login.html页面可以匿名访问

<security:http security="none" pattern="/login.html" />

3.修改spring-security.xml文件,加入表单登录信息的配置,必须配置将csrf protection关闭

原因: spring security默认情况下csrf protection是开启的,由于自定义的登录页没有配置csrf的相关信息,因此spring security内置的过滤器将此链接置为无效链接

查看框架自带的登录页面的源码:
在这里插入图片描述

 <security:http auto-config="true" use-expressions="true">
        <!--
  form-login:定义表单登录信息
-->
        <security:form-login login-page="/login.html"
                             username-parameter="usr"
                             password-parameter="pwd"
                             login-processing-url="/login.do"
                             default-target-url="/index.html"
                             authentication-failure-url="/login.html"/>
        <security:csrf disabled="true"/>
        <!--
            intercept-url:定义一个拦截规则
            pattern:对哪些url进行权限控制
            access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列表,
                  请求的用户只需拥有其中的一个角色就能成功访问对应的URL
        -->
        <security:intercept-url pattern="/**"  access="hasRole('ROLE_ADMIN')" />
    </security:http>

配置csrf完成后可以正常访问登录页面,成功登录后能正常跳转
在这里插入图片描述

从数据库读取账密验证

必须实现UserDetailsService接口,查看源码org.springframework.security.core.userdetails.User,可知还需要设置权限列表

package com.ahu.security;

import com.ahu.pojo.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;
public class UserService implements UserDetailsService {
    //模拟数据库查询
    public static Map<String, User> map = new HashMap<>();

    static {
        User user1 = new User();
        user1.setUsername("zhangsan");
        user1.setPassword("123");
        User user2 = new User();
        user2.setUsername("lisi");
        user2.setPassword("123");
        map.put(user1.getUsername(), user1);
        map.put(user2.getUsername(), user2);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        System.out.println("username:" + username);
        //模拟查询数据库
        User userInDb = map.get(username);
        if (userInDb == null) {
            return null;
        }
        //模拟数据库查询密码
        String passwordInDb = "{noop}" + userInDb.getPassword();
        //设置权限
        List<GrantedAuthority> authoritie = new ArrayList<>();
        authoritie.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        authoritie.add(new SimpleGrantedAuthority("add"));
        authoritie.add(new SimpleGrantedAuthority("delete"));
        UserDetails userDetails = new org.springframework.security.core.userdetails.User(username, passwordInDb, authoritie);
        return userDetails;
    }
}

在spring-security.xml中配置

<security:authentication-manager>
        <!--
            authentication-provider:认证提供者,执行具体的认证逻辑
        -->
        <security:authentication-provider user-service-ref="userService">
            <!--
                user-service:用于获取用户信息,提供给authentication-provider进行认证
            -->
<!--            <security:user-service>-->
<!--                &lt;!&ndash;-->
<!--                    user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息-->
<!--                  {noop}:表示当前使用的密码为明文-->
<!--                &ndash;&gt;-->
<!--                <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" />-->
<!--            </security:user-service>-->


        </security:authentication-provider>

断点调试确实进入了自定义的service
在这里插入图片描述

加密

使用crypto方式加密,框架已经集成了

<!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

测试类进行测试

public class MainTest {

    @Test
    public void testCrypto(){
        //$2a$10$YB0yuR1jCooZB53bwfnWSuAqzgl0PJR064ECYobEd/h9L5P/vjbiO
        //$2a$10$ohXiStX.lR0WaU94O80Nhu3ZZHKLLlqtxIoaOaN3jgxnQ7UQtFQhi
        BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
        String password_en = passwordEncoder.encode("1234");
//        System.out.println(password_en);
        boolean res = passwordEncoder.matches("1234", "$2a$10$ohXiStX.lR0WaU94O80Nhu3ZZHKLLlqtxIoaOaN3jgxnQ7UQtFQhi");
        System.out.println(res);
    }
}

在框架中使用直接配置即可,框架自动完成校验

<security:authentication-manager>
        <!--
            authentication-provider:认证提供者,执行具体的认证逻辑
        -->
        <security:authentication-provider user-service-ref="userService">
            <security:password-encoder ref="passwordEncoder"/>
            <!--
                user-service:用于获取用户信息,提供给authentication-provider进行认证
            -->
<!--            <security:user-service>-->
<!--                &lt;!&ndash;-->
<!--                    user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询用户信息-->
<!--                  {noop}:表示当前使用的密码为明文-->
<!--                &ndash;&gt;-->
<!--                <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" />-->
<!--            </security:user-service>-->


        </security:authentication-provider>
    </security:authentication-manager>

配置多种校验规则

isAuthenticated表示登录后可用,查看源码都是有对应的java类的

<!--只要认证通过就可以访问-->
<security:intercept-url pattern="/index.jsp"  access="isAuthenticated()" />
<security:intercept-url pattern="/a.html"  access="isAuthenticated()" />

<!--拥有add权限就可以访问b.html页面-->
<security:intercept-url pattern="/b.html"  access="hasAuthority('add')" />

<!--拥有ROLE_ADMIN角色就可以访问c.html页面-->
<security:intercept-url pattern="/c.html"  access="hasRole('ROLE_ADMIN')" />

<!--拥有ROLE_ADMIN角色就可以访问d.html页面,
    注意:此处虽然写的是ADMIN角色,框架会自动加上前缀ROLE_-->
<security:intercept-url pattern="/d.html"  access="hasRole('ADMIN')" />

配置对方法的权限控制

上面的权限控制都是针对静态资源的,如果想要对方法进行权限控制可以使用注解配置

增加配置

    <!--可以使用mvc的所有注解-->
    <mvc:annotation-driven></mvc:annotation-driven>
    <!--对controller进行包扫描-->
    <context:component-scan base-package="com.ahu.controller"></context:component-scan>
    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />

HelloController.java

@RestController
@RequestMapping("/")
public class HelloController {
    @RequestMapping("/add")
    @PreAuthorize("hasAuthority('add')")//表示用户必须拥有add权限才能调用当前方法
    public String add(){
        System.out.println("add...");
        return "success";
    }

    @RequestMapping("/delete")
    @PreAuthorize("hasRole('ROLE_ADMIN')")//表示用户必须拥有ROLE_ADMIN角色才能调用当前方法
    public String delete(){
        System.out.println("delete...");
        return "success";
    }
}

退出登录

用户完成登录后Spring Security框架会记录当前用户认证状态为已认证状态,即表示用户登录成功了。那用户如何退出登录呢?可以在spring-security.xml文件中进行如下配置:

<!--
  logout:退出登录
  logout-url:退出登录操作对应的请求路径
  logout-success-url:退出登录后的跳转页面
-->
<security:logout logout-url="/logout.do" 
                 logout-success-url="/login.html" invalidate-session="true"/>

查看源码
在这里插入图片描述

要退出登录,只需要请求/logout.do这个URL地址就可以,同时会将当前session失效,最后页面会跳转到login.html页面。

ZyyIsPig
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-security学习ppt
11-01
Spring-security配置文档教程,能够满足日常的开发配置。个人总结。
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring Boot、Spring Security与OAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
Spring-security-test
03-22
总之,"Spring-security-test" 项目是一个学习和测试 Spring Security 功能的宝贵资源,涵盖了从基本认证到复杂授权的多种场景。通过这个项目,开发者可以深入了解 Spring Security 的工作机制,并在实际项目中有效...
spring-security-material-master.zip
09-24
Spring Security 是一个强大的安全框架,主要用于Java web应用的安全管理。...通过学习,开发者将能够掌握如何在Spring Boot应用中有效地使用Spring Security来保护应用程序,确保数据和资源的安全。
spring-security.zip
05-26
要使用这些资源,你需要解压"spring-security.zip",查阅文档了解基本概念,然后通过示例代码学习如何在你的项目中集成和配置Spring Security。对于更高级的用法,如自定义认证和授权逻辑,可以深入研究源码和官方...
dubbo和springcloud有什么异同?
yszbrzdd的博客
08-15 376
Dubbo主要关注于高效的 RPC 调用和服务治理。提供了一个综合的微服务解决方案,涵盖了从服务注册到配置管理的广泛功能。它们可以根据具体需求和现有技术栈选择使用,也可以结合使用,例如在 Spring Cloud 环境中集成 Dubbo 作为 RPC 框架。
spring揭秘06-Autowired自动绑定依赖及组件自动扫描
最新发布
PacosonSWJTU的博客
08-16 444
Resource注解可以替代 @Autowired 与 @Qualilfier这2个注解结合的功能,即根据beanName到spring容器中查找匹配的bean,并注入依赖关系到当前bean(如Jsr250AnnotationBookAppService);
Java Spring|day3.SpringBoot
weixin_60364343的博客
08-15 257
告诉Spring boot需要什么功能,它就能引入需要的依赖库起步依赖就是特殊的Maven依赖,利用了传递依赖解析,把常用库聚合在一起,组成几个为特定功能而定制的依赖。
SpringBoot-04--整合登录注册动态验证码
ngczx的博客
08-16 173
SpringBoot+Vue3+Redis+工具实现动态的登录验证码,用到了Base64编码
Spring 事务配置类,完成数据库的转账
or77iu_N的博客
08-15 296
【代码】Spring 事务配置类,完成数据库的转账。
SpringBoot整合MyBatis-Plus完整详细版(提供Gitee源码)
黄团团的个人博客
08-13 92
本篇文章完整详细介绍了SpringBoot整合MyBatis-Plus的完整过程,这边我的SpringBoot版本是2.4版本、JDK1.8和Maven3.8.1版本,跟着文章一步步走就可以了,MyBatis-Plus整合非常方便,也是现在企业开发中经常会用的一个持久层框架。
Spring MVC的执行流程
m0_65347933的博客
08-13 396
Spring MVC的执行流程
spring @Transactional 是怎么实现事务的
qq_43197840的博客
08-16 238
Spring的注解通过Spring的事务管理机制实现事务控制。这个机制主要依赖于Spring的AOP(面向切面编程)和事务管理器(Transaction Manager)。下面是。
SpringBoot优雅开发REST API最佳实践
糖拌西红柿
08-13 1470
SpringBoot接口版本控制、接口动态版本号、参数校验、@validated注解、Controller统一异常拦截、@RestControllerAdvice注解、参数处理、Swagger使用方法、接口文档
SpringBoot Profile多环境配置及配置优先级
qq_27361945的博客
08-16 134
但是我们发现一个问题,就是每次切换环境还需要去配置里指定,然后通过修改dev为test或prod来切换项目环境 , 这样做的话每次切换环境都要重新改一下配置 , 而且如果不小心把本地改动提交到中央仓库了 , 可能会影响到其他同事拉取代码,maven中提供了一个profile配置项,可以在打包时动态的指定环境配置.结合idea使用 , 我们可以实现不动任何代码来随意的切换我们的工作环境。-- 之前写的@env@就是通过这里的配置切换环境 -->-- 开发环境 -->-- 生产环境 -->
初识Spring
2401_82742105的博客
08-12 368
Part1 Spring历史由来 一、企业级应用 随着计算机以及互联网的发展,社会对于软件系统的需求越来越多,也越来越复杂,所以提出了企业级应用。 企业级应用指的是 大规模、性能和安全要求高、业务复杂、灵活多变 的大型 WEB 应用程序。 ●大规模 用户量和 IP/PV访问量大、海量数据、功能模块多代码量大。 ●业务复杂 涉及金融、期货、电信等特殊领域的业务逻辑复杂,对系统架构提出新要求。 ●性能和安全要求高 响应毫秒数和安全级别均有很高的要求 ●灵活多变 经常性的业务变更,也对开发效率以及项目部署等工
基于springboot的智能家居系统
weixin_43213064的博客
08-15 535
【代码】springboot基于springboot的智能家居系统
springboot美发管理系统--论文源码调试讲解
u014445459的博客
08-16 777
刚开始学习Java语言的时候,是不知道还有Tomcat这些东西的,各种语法各种输出在控制台进行输出结果,当Java网站开发的时候就不可避免的学习到了Tomcat服务器。Tomcat准确的来讲不算是服务器,可以说是vue引擎或者一个容器,这些都是学术上或者原理上都比较贴切的,但是实际工作中Tomcat就是作为一个web服务器来用的,因为可以实现网站的发布和运行。407
初识SpringBoot
2301_76207358的博客
08-12 759
YAML是一种直观的能够被电脑识别的的数据数据序列化格式, 并且容易被人类阅读,容易和脚本语言交互的,可以被支持YAML库的不同的编程语言程序导入,比 如: C/C++, Ruby, Python, Java, Perl, C#, PHP等。YML文件是以数据为核心的,比传统的xml方式更加简洁。YAML文件的扩展名可以使用.yml或者.yaml。
Spring-Security与CAS实现SSO单点登录指南
3. 学习并使用Spring-Security子系统API:理解并利用Spring Security提供的丰富API来实现复杂的权限控制和安全策略。 通过以上步骤,我们可以构建一个基于Spring Security和CAS的SSO系统,为用户提供统一、安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值