Spring Security入门教程

最新推荐文章于 2024-04-27 11:04:54 发布
最新推荐文章于 2024-04-27 11:04:54 发布
阅读量1.6k 收藏 2
点赞数 2
分类专栏: Spring 文章标签: Spring Security Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42863682/article/details/85735196
版权

一、Spring Security的配置文件

springSecurity.xml

<security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/error.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/pages/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>

    <security:http auto-config="true" use-expressions="false">
        <security:intercept-url pattern="/**" access="ROLE_ADMIN"/>

        <security:form-login login-processing-url="/login"
                               authentication-success-handler-ref="successHandller"
                               default-target-url="/index.jsp"
                               authentication-failure-handler-ref="failerHandller"
                               login-page="/login.jsp"/>
       
        <security:access-denied-handler error-page="/403.jsp"/>
        
        <security:csrf disabled="true"/>

        <security:logout logout-success-url="/login.jsp"
                           invalidate-session="true" logout-url="/logout"/>

    </security:http>

    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <security:password-encoder ref="pwdEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <bean id="pwdEncoder"         
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

配置权限框架拦截的规则
    auto-config="true"  应用框架的默认配置
    use-expressions="false" 关闭框架使用的表达式
    intercept-url pattern="/**"  拦截所有的浏览器请求
    access="ROLE_ADMIN"  只有ROLE_ADMIN角色的用才可以访问  规则角色名必须以ROLE_开头

验证的节点

二、Spring Security中11中过滤器的介绍

1.HttpSessionContextIntegrationFilter

位于过滤器顶端,第一个起作用的过滤器。

用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供SpringSecurity的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到SecurityContextHolder中,供SpringSecurity的其他部分使用。

用途二,在所有过滤器执行完毕后,清空SecurityContextHolder,因为SecurityContextHolder是基于ThreadLocal的,如果在操作完成后清空ThreadLocal,会受到服务器的线程池机制的影响。

2.LogoutFilter

只处理注销请求,默认为/j_spring_security_logout。

用途是在用户发送注销请求时,销毁用户session,清空SecurityContextHolder,然后重定向到注销成功页面。可以与rememberMe之类的机制结合,在注销的同时清空用户cookie。

3.AuthenticationProcessingFilter

处理form登陆的过滤器,与form登陆有关的所有操作都是在此进行的。

默认情况下只处理/j_spring_security_check请求,这个请求应该是用户使用form登陆后的提交地址,form所需的其他参数可以参考:

此过滤器执行的基本操作时,通过用户名和密码判断用户是否有效,如果登录成功就跳转到成功页面(可能是登陆之前访问的受保护页面,也可能是默认的成功页面),如果登录失败,就跳转到失败页面。

   /j_spring_security_check" style="width:260px;text-align:center;">

 

/j_spring_security_check,提交登陆信息的URL地址。

自定义form时,要把form的action设置为/j_spring_security_check。注意这里要使用绝对路径,避免登陆页面存放的页面可能带来的问题。

 

j_username,输入登陆名的参数名称。

 

j_password,输入密码的参数名称

 

_spring_security_remember_me,选择是否允许自动登录的参数名称。

可以直接把这个参数设置为一个checkbox,无需设置value,Spring Security会自行判断它是否被选中。

4.DefaultLoginPageGeneratingFilter

此过滤器用来生成一个默认的登录页面,默认的访问地址为/spring_security_login,这个默认的登录页面虽然支持用户输入用户名,密码,也支持rememberMe功能,但是因为太难看了,只能是在演示时做个样子,不可能直接用在实际项目中。

自定义登陆页面
                authentication-failure-url="/login.jsp?error=true"
                default-target-url="/" />

5.BasicProcessingFilter

此过滤器用于进行basic验证,功能与AuthenticationProcessingFilter类似,只是验证的方式不同。

添加basic认证,去掉auto-config="true",并加上auto-config="true">

6.SecurityContextHolderAwareRequestFilter

此过滤器用来包装客户的请求。目的是在原始请求的基础上,为后续程序提供一些额外的数据。比如getRemoteUser()时直接返回当前登陆的用户名之类的。

7.RememberMeProcessingFilter

此过滤器实现RememberMe功能,当用户cookie中存在rememberMe的标记,此过滤器会根据标记自动实现用户登陆,并创建SecurityContext,授予对应的权限。

在配置文件中使用auto-config="true"就会自动启用rememberMe

实际上,Spring Security中的rememberMe是依赖cookie实现的,当用户在登录时选择使用rememberMe,系统就会在登录成功后将为用户生成一个唯一标识,并将这个标识保存进cookie中,我们可以通过浏览器查看用户电脑中的cookie。

8.AnonymousProcessingFilter

为了保证操作统一性,当用户没有登陆时,默认为用户分配匿名用户的权限。

在配置文件中使用auto-config="true"就会启用匿名登录功能。在启用匿名登录之后,如果我们希望允许未登录就可以访问一些资源,可以在进行如下配置。
access="IS_AUTHENTICATED_ANONYMOUSLY" />

设置成 ROLE_ANONYMOUS 也可以。
filters="none" />

filters="none"表示当我们访问“/”时,是不会使用任何一个过滤器去处理这个请求的,它可以实现无需登录即可访问资源的效果,但是因为没有使用过滤器对请求进行处理,所以也无法利用安全过滤器为我们带来的好处,最简单的,这时SecurityContext内再没有保存任何一个权限主体了,我们也无法从中取得主体名称以及对应的权限信息。

9.ExceptionTranslationFilter

此过滤器的作用是处理中FilterSecurityInterceptor抛出的异常,然后将请求重定向到对应页面,或返回对应的响应错误代码。

10.SessionFixationProtectionFilter

防御会话伪造攻击。

解决session fix的问题其实很简单,只要在用户登录成功之后,销毁用户的当前session,并重新生成一个session就可以了。

session-fixation-protection="none">
   session-fixation-protection的值共有三个可供选择,none,migrateSession和newSession。默认使用的是migrationSession

11.FilterSecurityInterceptor

用户的权限控制都包含在这个过滤器中。

功能一:如果用户尚未登陆,则抛出AuthenticationCredentialsNotFoundException“尚未认证异常”。

功能二:如果用户已登录,但是没有访问当前资源的权限,则抛出AccessDeniedException“拒绝访问异常”。

功能三:如果用户已登录,也具有访问当前资源的权限,则放行。

 

 

程序宅
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security4 security="none"小讲
Chenctrl的博客
10-29 7226
在学习spring security4时,参考文档,spring-security.xml有如下片段: http pattern="/resources/**" security="none" /> http pattern="/login" security="none"/> http auto-config="true" use-expressions="true
Security配置文件的基本配置及参数名详解
weixin_30835933的博客
12-10 1274
<?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://...
Spring Security开发手册(从零搭建,超详细教程)
最新发布
laiminwei的博客
04-27 700
一篇文章快速上手Spring Security框架
spring securitysecurity="none"与ROLE_ANONYMOUS区别
weixin_33898876的博客
06-10 1965
为什么80%的码农都做不了架构师?>>> ...
SpringSecurity原理(四)——过滤器
trayvontang的博客
05-07 1113
概述 前面的文章中我们已经基本了解了怎样使用Spring Security的基本的认证(Authentication)和授权(Authority) 但是,我们还不清楚Spring Security到底是怎样执行这些流程。 这篇文章,我们就以SpringBoot为例,来梳理一下Spring Security从启动到执行这些流程的过程。 前置知识 我们知道Spring Security是通过Filter的方式来完成它的核心流程。但是: Spring Security到底拥有哪些Filter? 这些Filter
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3931
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
spring-security3入门教程.doc
09-04
以下是一份针对 Spring Security 3.x 入门的详细教程: 首先,你需要创建一个 Web 项目并导入必要的库。这通常包括 Spring Security 相关的 JAR 文件,以及其他 Spring 框架的依赖。这些库可以通过 Maven 或 Gradle...
spring-security3入门教程
04-04
spring-security3入门教程
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
springsecurity入门笔记+教程
09-20
springsecurity入门笔记+教程
SpringSecurity课程文档下载 pdf 教学
05-05
SpringSecurity课程文档下载 pdf 教学
Spring Security 原理讲解
qq_34485381的博客
06-19 800
一、整理了解下Spring Security 的工作原理 如上图所示,spring security 的主要工作就是在原有的网络请求的过滤器链(ApplicationFilterChain)中额外添加一条过滤器链(FilterChainProxy),主要用于用户认证与授权。 请求进入web容器经一些容器自身的基础加工后,进入到servlet的滤器链中,spring security 使用DelegatingFilterProxy这个filter,将targetBea...
1 Spring Security详解(入门篇)
人生智慧的博客
02-01 1121
1 权限管理 1.1 权限管理概念 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统里面,前提是需要有用户和密码认证的系统。 在权限管理的概念中,有两个非常重要的名词: 认证:通过用户名和密码成功登陆系统后,让系统得到当前用户的角色身份(用户登录后获取角色身份)。 授权:系统根据当前用户的角色,给其授予对应可以操作的...
SpringSecurity--工作原理详解
吴声子夜歌的博客
03-30 3703
结构总览 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截, 校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring ...
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4270
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
Spring Security 5.7.1安全过滤器链配置方法
DDDInJava
05-31 4029
@RequiredArgsConstructor(onConstructor_ = @Autowired) @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled = true) public class WebSecurityConfiguration { @NonNull private AuthenticationSuccessHandler authenticationSuccessHandler; @NonNull p.
java中使用Spring security(二)
Mr_Flouxetin的博客
08-06 349
上一篇,我们讲述的spring security的基础使用。但是对于一些复杂权限场景,我们需要更高级一些的功能。 我们接着往下展示它的高级部分。 <security:authentication-manager>的内部高级设置 在上一篇的Spring security设置示例中,我设置了authentication-manager来检查登录用户凭证,并使用<user-service>标签中定义的纯文本用户。如下所示,您可以在此处为您的应用程序定义多个用户。 <secu
Spring Security的十一个拦截器
justlpf的专栏
04-14 546
处理form登录的过滤器,与form登录有关的所有操作都是在这里进行的,登陆时判断用户名密码是否有效,有效的话就跳转到成功页面。
springsecurity教程
06-07
2. Spring Security 入门教程:这篇教程由 CSDN 的博主写就,介绍了 Spring Security 的基本概念和使用方法,适合初学者入门。 3. Spring Security 实战教程:这篇教程由阮一峰的博客提供,通过实例演示了如何使用 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值