Spring Security的使用

最新推荐文章于 2024-03-14 08:51:24 发布
最新推荐文章于 2024-03-14 08:51:24 发布
阅读量233 收藏
点赞数
分类专栏: 框架 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42709766/article/details/106262791
版权

Spring Security的使用

一、spring security是什么?

​ spring家族中的一款权限校验、安全框架,可以和spring无缝整合

二、为什么要是用安全框架,不使用可以吗?

​ 安全框架实际就是对过滤器做了代理增强,简化我们的拦截校验代码,同时简化我们在对RBAC的代码操作

三、什么是权限管理,如何从数据库层面出发设计权限管理?

  • 权限管理指的是,对当前用户可以进行的可执行操作的管理
  • 三表模式:直接为每一位赋予对应的权限
    • 用户名、用户权限表 、权限表
  • 五表模式:将用户分组引入角色
    • 用户表、用户角色表、角色表、角色权限表、权限表
  • 根据需求可在细分七表、九表等

三、实例演示

  • 导入依赖
<properties>
	    <spring.version>4.2.4.RELEASE</spring.version>
</properties>

 <dependencies>
     <!--spring-->
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-core</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-web</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-webmvc</artifactId>
      <version>${spring.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-context-support</artifactId>
      <version>${spring.version}</version>
    </dependency>
   
     <!--数据库链接-->
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-jdbc</artifactId>
      <version>${spring.version}</version>
    </dependency>
     
     <!--spring security-->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>4.1.0.RELEASE</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>4.1.0.RELEASE</version>
    </dependency>
     
     <!--web-->
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>servlet-api</artifactId>
      <version>2.5</version>
      <scope>provided</scope>
    </dependency>
</dependencies>

  • 配置web.xml文件

    <!--加载配置文件的路径-->
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>classpath:spring-security.xml</param-value>
</context-param>

<!--配置文件的加载方式-->
<listener>
    <listener-class>
       org.springframework.web.context.ContextLoaderListener
   </listener-class>
</listener>

 <!---security的过滤器的代理对象-->
<filter>
   <filter-name>springSecurityFilterChain</filter-name>
   <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
    
<!--拦击的路径-->
<filter-mapping>
    <!--springSecurityFilterChain是固定的名称-->
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

  • spring security配置文件,配置拦截规则和校验规则

    <!--开放的不用登陆成功就可以访问的资源-->
<http pattern="资源路径" security="none"/>

<!--登陆和注销的拦截业务处理 use-expression是否使用表达式写法-->
<http use-expression="false">
    
    <!--那些资源要具有那些相应的权限 intercept-url资源路径-->
    <intercept-url pattern="/**" access="ROLE_USER" />
    
    <!-- always-use-default-target登录成功后是返回登录之前的资源,还是default-target-url-->
    <form-login login-page="/自定义的登录页面" 
                default-target-url="/登录成功后的跳转地址"
                always-use-default-target="true"
                authentication-failure-url="/登录失败后的跳转地址"/>
    
    <!--关闭跨站点请求-->
    <csrf disabled="true"/>
    
    <!--注销,注销后跳转到登录页面-->
    <logout/>
    
    <!--如果页面使用了frameset或者iframe则需要添加下面的配置-->
    <headers>
			<frame-options policy="SAMEORIGIN"/>
	</headers>
</http>

<!-- 配置文件形式的认证管理器 -->
<authentication-manager>
    <authentication-provider>
        <!--指定固定的权限-->
        <user-service>
            <!--权限要是用大写,如:ROLE_USER-->
            <user name="用户名" password="密码" authorities="权限"/>
        </user-service>
    </authentication-provider>
</authentication-manager>

<!-- 自定义用户信息认证管理器 实现 UserDetailService接口 -->
<authentication-manager>
    <authentication-provider user-service-ref="userDetailService">	
    </authentication-provider>	
</authentication-manager>
	
<!-- 定义自定义认证类 -->
<beans:bean id="userDetailService" class="com.youlexuan.service.UserDetailsServiceImpl"></beans:bean>

  • 自定义实现用户认证管理

    /**
 *
 * @param s 当前登录的用户名
 * @return
 * @throws UsernameNotFoundException
 */
@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    //todo(根据当前登录的用户名s,查询数据库中对应用户的信息)
    return new User("用户名","密码",权限集合);
}

  • security的加密

    <authentication-provider user-service-ref='userDetailService'>   
	<!--添加加密配置-->
    <password-encoder ref="bcryptEncoder"></password-encoder>	   		
</authentication-provider>

<!--加密实现类-->
<beans:bean id="bcryptEncoder"  
        class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    //密码加密
BCryptPasswordEncoder passwordEncoder = new BCryptPasswordEncoder();
String password = passwordEncoder.encode(seller.getPassword());
seller.setPassword(password);

  • 登录成功后获取当前用户的信息

    String name=SecurityContextHolder.getContext().getAuthentication().getName();
丢了风筝的线
关注
专栏目录
SpringSecurity的配置使用
weixin_40942790的博客
07-27 742
SpringSecurity 授权:授予当前用户角色所拥有的权限 完整的认证和授权需要7张表 配置web.xml 配置整合SpringSecurity的代理过滤器 配置前端控制器 DispatcherServlet <!-- 配置整合SpringSecurity的代理过滤器 1.要整合SpringSecurity,必须要配置这个过滤器DelegatingFilterProxy 2. 名字还不能乱写,一定...
Spring Security使用详解(基本用法 )
顶顶顶顶顶顶顶顶顶顶顶顶
07-16 9522
1,什么是 Spring Security ? Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。 由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置方案,可以让Spring Security使用更加便捷。 2,安装配置 <dependency> <groupId&gt...
spring security数据库表结构实例代码
08-29
主要介绍了spring security数据库表结构实例代码,需要的朋友可以参考下
Spring Security关键之5张数据表与7张表 !!!
qq_64847107的博客
01-29 684
(角色按钮关联表)role_permission(role_id,permission_id)(角色菜单关联表)role_menu:(role_id,menu_id)(用户角色关联表)user_role(user_id,role_id)(按钮表)permission(name,keyword):删除按钮,添加按钮。(角色表)role(name,keyword):院长,主任,护士。(用户表)user(name,pwd):小王,小李。(角色表)role(name):院长,主任,护士。
spring-security权限认证
weixin_45560850的博客
03-24 473
1、认证与授权 认证:系统中,用户需要登录才可以正常进行功能访问,登录时就需要进行认证,确保为合法用户再进行操作; 授权:app中的功能较多,有些账号不需要访问所有的功能。此时就需要根据账号对应的角色来进行访问不同的功能,此时就需要的时对账号进行授权访问; 2、业务表结构 一般带认证授权的业务需要7张表来完成功能的实现。其中4张数据表,用户表t_user、权限表t_permission、角色表t_role、菜单表t_menu;3张数据表的关系表, 用户角色关系表 t_use...
Spring Security(1)权限控制(表结构)与Spring Security概述
учёба
11-08 2583
1 权限控制 1.1 认证和授权 要操作系统的功能必须首先登录到系统才可以,而不同的用户可能拥有不同的权限,这就需要进行授权了。 认证:系统提供的用于识别用户身份的功能, 通常提供用户名和密码进行登录其实就是在进行认证,认证的目的是让系统知道你是谁。 授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。 1.2 权限模块数据模型 我们知道了认证和授权的概念,但是要实现最终的权限控制,就需要有一套表结构支撑 如下所示:里面有 用户表t_user、 权限表t_permission
springsecurity使用demo
03-03
在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
Spring Security使用数据库认证及用户密码加密和解密功能
08-24
Spring Security 中,可以使用数据库来存储用户信息,并使用数据库认证来验证用户身份。为了实现数据库认证,需要在 Spring Security 配置文件中配置 authentication-manager 元素,并指定用户服务(user-service...
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
springsecurity使用项目
04-20
这个"springsecurity使用项目"是基于Spring Security 构建的一个实例,旨在帮助开发者理解如何在实际应用中实施权限校验。 首先,让我们从核心概念开始。Spring Security 主要由以下几个组件构成: 1. **过滤器链*...
RBAC权限管理设置-涉及到的几张表
qq_65142821的博客
03-14 542
RBAC(Role-Based Access Control,基于角色的访问控制)是一种常用的访问控制机制,用于管理系统中的用户权限。RBAC通过将用户分配给角色,并将权限授予角色,从而控制用户对资源的访问。
rbac的sql语句(5张表/7张表
gaokcl的博客
08-03 9043
设计参考:https://www.tuicool.com/articles/QJrAfa 1,翻译人、审核人、发布完成人 select t_user_role.iUserID,t_user.sAccount,t_user_role.sRoleID from t_user left join t_user_role on t_user_role.iUserID = t_user.iUse...
OA系统七:数据库表设计:RBAC(基于角色的访问控制)介绍与核心表;
小枯林的博客
05-18 9866
0.RBAC简述: RBAC(Role-Based Access Control:基于角色的访问控制):通过RBAC这种全新设计,可以帮助我们在多用户的环境下实现对权限的有效控制; 说明: (1)不同的角色拥有不同的权限。 (2)这里的资源的定义比较宽泛、包括:系统的功能可以看成一种资源,公司中不同的文件可以看成一种资源,系统的url网址也可以看成是资源。不同的角色就拥有了对不同资源的访问控制权限。所有的资源都是和角色绑定的。 (3)一个用户过来了,如何给这个用户分配一个角色嘞???需要设.
权限八张表
兴趣是最好的老师
07-10 579
RBAC系统经典五张表
穿着裤衩跳
01-14 4820
RBAC 首先看一下什么是RBAC(基于角色的访问控制):百度百科 简单理解:将角色与具体的权限绑定(绑定后极少修改),如此某个角色对应有哪些权限(能干什么,不能干什么),然后再给用户分配所需要的角色,这样,每个分配了不同角色的用户也就有了不同的能力。 实体间的关系 现在有三个实体:用户、角色、权限,首先我们搞清楚他们之间的关系是什么 假设 用户有:张三、李四、王五 角色有:超管、普管、会员 权限...
RBAC最少需要几张表,简述实现原理
博客
03-01 5786
RBAC:基于角色的权限访问控制(Role-Base-Access Control)从RBAC0到RBAC3分别需要5到12张表1. RBAC0RBAC0是RBAC中的基础模型,后续的模型都是RBAC0的改进RBAC0引入了角色概念来解决用户与权限之间的分离问题,用户实际上没有权限,而只有给用户赋予某种角色之后,才拥有相应的权限.RBAC0主要解决了权限的分离问题数据表模型:我们需要5张表来完成R...
'springSecurityFilterChain' defined in class path resource
段晓舟的博客
08-07 2339
网上查了查最终是因为pom文件中引入了重复的依赖导致,将蓝色框内的代码注释掉就ok了
Spring Security使用
最新发布
06-13
使用Spring Security主要包括以下几个步骤: 1. **配置**:在Spring Boot项目中,通常通过`SecurityConfiguration`或XML配置文件(如`spring-security.xml`)来设置全局的security配置,包括HTTP端点安全、认证管理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值