Spring Security基础--快速上手实现认证会话拦截

最新推荐文章于 2024-04-22 10:56:49 发布
最新推荐文章于 2024-04-22 10:56:49 发布
阅读量206 收藏 1
点赞数 1
分类专栏: Spring Security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44660367/article/details/109517211
版权

Spirng-Security基础–基于SpringMVC的Session认证
在基于mvc认证的基础上修改

简介

SpringSecurity是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在springboot项目中加入springsecurity更是十分简单,使用SpringSecurity减少了为企业系统安全控制编写大量重复代码的工作。

创建工程

空的Maven工程,如下是已经搭建好的工程结构
在这里插入图片描述
首先配置spring、springmvc的配置

@Configuration
@ComponentScan(basePackages = "com.mcs.security",
         excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class ApplicationConfig {
}

@Configuration
@EnableWebMvc
@ComponentScan(basePackages = "com.mcs.security",
                        includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {

    // 配置视图解析器

    public InternalResourceViewResolver viewResolver() {
        InternalResourceViewResolver internalResourceViewResolver = new InternalResourceViewResolver();
        internalResourceViewResolver.setPrefix("/WEB-INF/views/");
        internalResourceViewResolver.setSuffix(".jsp");
        return internalResourceViewResolver;
    }


    // 默认url根路径跳转到/login,此url为spring security提供
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login");
    }
}

public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {
    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { ApplicationConfig.class, WebSecurityConfig.class};
    }

    @Override
    protected Class<?>[] getServletConfigClasses() {
        return new Class[] { WebConfig.class };
    }

    @Override
    protected String[] getServletMappings() {
        return new String[] { "/" };
    }
}

在上次搭建springMVC配配置的基础上导入如下坐标
版本一定是5.1.4,否则会在登录跳转成功页面报错

<dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.1.4.RELEASE</version>
        </dependency>

初始化security

public class SpringSecurityApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
    public SpringSecurityApplicationInitializer() {
        // 如果没有使用spring再加上这个
        //super(WebSecurityConfig.class);
    }
}

配置Security


@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    // 配置用户信息服务
    @Bean
    public UserDetailsService userDetailsService() {
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
        manager.createUser(User.withUsername("lisi").password("123").authorities("p2").build());
        return manager;
    }
    // 密码编码器
    @Bean
    public PasswordEncoder passwordEncoder() {
        return NoOpPasswordEncoder.getInstance();
    }

    // 配置安全拦截机制
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/r/r1").hasAuthority("p1")
                .antMatchers("/r/r2").hasAuthority("p2")
                .antMatchers("/r/**").authenticated() // 拦截/r/**请求
                .anyRequest().permitAll() // 其他请求正常方行
                .and()
                .formLogin().successForwardUrl("/login-success");
    }
}

controller配置

@RestController
public class loginController {

    @RequestMapping(value = "/login-success", produces = {"text/plain;charset=utf-8"})
    public String loginSuccess() {
        return "登录成功";
    }

    @RequestMapping(value = "/r/r1", produces = {"text/plain;charset=utf-8"})
    public String r1() {
        return "访问资源r1";
    }

    @RequestMapping(value = "/r/r2", produces = {"text/plain;charset=utf-8"})
    public String r2() {
        return "访问资源r2";
    }
}

总结

所以在原来我们使用springmvc的基础上,去掉了我们自定义的登录页面使用spring security自带的登录以及成功界面,将原来使用springmvc的拦截器进行处理改为使用security处理授权会话,简化了代码亿点点。

69岁老同志程序员
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Spring Security控制会话的方法
08-26
在本文中,我们将说明Spring Security如何允许我们控制HTTP会话。这篇文章主要介绍了使用Spring Security控制会话 ,需要的朋友可以参考下
spring-shiro-demo
03-10
3. **Spring Security vs Shiro**:虽然Spring自身也有安全模块Spring Security,但Shiro以其轻量级、易上手的特点,在某些场景下更受欢迎。 4. **Spring-Shiro整合**:整合Spring和Shiro可以利用两者的优点,如...
Spring Security教程(五):自定义过滤器从数据库从获取资源信息
dichengyan0013的博客
11-19 334
在之前的几篇security教程中,资源和所对应的权限都是在xml中进行配置的,也就在http标签中配置intercept-url,试想要是配置的对象不多,那还好,但是平常实际开发中都往往是非常多的资源和权限对应,而且写在配置文件里面写改起来还得该源码配置文件,这显然是不好的。因此接下来,将用数据库管理资源和权限的对应关系。数据库还是接着之前的,用mysql数据库,因此也不用另外引...
最新版Spring Security 中的路径匹配方案!
最新发布
江南一点雨的专栏
04-22 1235
Ant 风格的路径模式(Ant Path Matching)是一种用于资源定位的模式匹配规则,它源自 Apache Ant 这个 Java 构建工具。在 Ant 中,这种模式被用来指定文件系统中的文件和目录。由于其简单性和灵活性,Ant 风格的路径模式也被其他许多框架和应用程序所采用,包括 Spring Security。?:匹配任何单个字符(除了路径分隔符)。:匹配任何字符的序列(除了路径分隔符),但不包括空字符串。**:匹配任何字符的序列,包括空字符串。至少匹配一个字符的序列,并且可以跨越路径分隔符。
SpringMVC入门宝典(九)SpringMVC拦截
长夜漫漫,无心睡眠
07-06 304
目录一.拦截器简介二.拦截器使用三.全局拦截器四.拦截器链与执行顺序五.拦截器过滤敏感词案例 把demo2的pom文件里的依赖与插件复制到demo3的pom中,并创建相应的java和resources包,把springmvc.xml复制到resources下,并把其中的文件解析器配置删除,这个案例用不到。2.创建控制器方法 3.创建拦截器类,该类实现HandlerInterceptor接口,需要重写三个方法: preHandle:请求到达Controller前执行的方法,返回值为true
【java】【SpringSecuritySpringSecurity在MVC项目中的应用
weixin_42410658的博客
01-09 290
SpringSecurity用户 /** * SpringSecurity中的用户实体类 * */ public class SecurityUser implements UserDetails { private static final long serialVersionUID = 1L; private final String uid; private final String username; private final String pass
Spring Security系列教程19--会话管理之处理会话过期
一一哥
10-14 3770
前言 在上一章节中,一一哥 给各位讲解了HTTP协议、会话、URL重新、会话固定攻击等概念,并且实现了对会话固定攻击的防御拦截。 在Spring Security中,其实除了可以对会话固定攻击进行拦截之外,还可以对会话过期进行处理,也就是会话可能会过期,过期了该怎么处理。接下来请各位跟着 壹哥 继续学习,看看会话过期时到底怎么处理的吧。 一. 会话过期 1. 会话过期概念 在处理会话过期之前,我们首先得知道啥是会话过期。 所谓的会话过期,是指当用户登录网站后,较长一段时间没有与服务器进行交互,将
security-util:Spring安全实用程序
04-29
Spring Security通过AOP(面向切面编程)和Filter Chain实现这些功能。开发者可以自定义拦截器(Filters)来扩展其功能。"security-util"库正是在此基础上,提供了一些额外的实用工具和简化操作的API,以提高开发...
SpringBoot+SpringSecurity案例Demo
10-11
这个Demo项目`SecurityDemo1011`包含完整的源代码,可以帮助开发者快速上手并理解SpringBoot和SpringSecurity的整合过程。通过实践这个案例,你可以深入理解SpringSecurity的内部工作机制,并能灵活应用于实际项目中...
acegi-sample.rar_acegi-1.0.7_acegi-sample.part2_spring-1.2.4.jar
09-23
总的来说,Acegi Security为基于Spring的应用提供了强大的安全基础,虽然现在已被Spring Security所取代,但其设计理念和实现方式对理解现代Web应用的安全架构仍有很高的参考价值。对于那些还在使用Spring 1.x版本...
SpringSecurityDemo:Spring Security HelloWord
05-24
通过这个简单的Spring SecurityHelloWord项目,开发者能够快速上手Spring Security,理解其基本工作原理,并为进一步深入学习和实践奠定基础。在实际开发中,Spring Security可以提供复杂的安全需求解决方案,包括...
ssm项目BOOT使用springsecurity替换拦截
Javaer
06-07 524
BOOT-crm使用springsecurity替换拦截器 之前学ssm做了一个小项目boot_crm 客户管理系统,之前用的拦截器,这次用springsecurity完成基本功能。 分析需求: 之前我们使用拦截器配置的主要目的是拦截请求,防止用户未登录直接访问系统。配置后就是这种效果: 当我们把拦截器去掉呢?? 我们直接访问url:http://localhost:8080/customer/list 可以发现,未登录也可以访问!! 所以们拦截器的主要功能就是让拦截请求,必须登录后才可以操作其他,而这
Spring Security学习笔记(五)—— 会话管理
曲怪曲怪
06-01 313
文章目录1 会话2 防御固定会话攻击3 会话过期4 会话并发控制5 Spring Session解决集群会话问题 1 会话 首先对于Http协议而言是一种无状态的,需要通过Session(会话)来解决,Session技术则主要是服务器发送给浏览器一个ID,浏览器将相关ID保存起来,而对于服务器而言,Session是一种Map结构,通过请求过来的ID找到对应的Value值,这也就形成了不同的请求之间有了。对于ID的保存,在不妨碍体验的情况下,Cookie成了一种不错的载体,将ID存储到其中,保存的形式是key
spring security 处理session 超时跳转到登录页面
热门推荐
I_forever的专栏
03-30 1万+
 Ajax请求,seesion超时 分析:当session超时的时候spring-security会跳转到登录页面。所以只要在登录的controller里面对请求作出判断,如果是异步请求则在response header中添加标识,在前台通过js跳转到登录页面。 后台判断代码: if(request.getHeader("x-requested-with") != nu
SpringSecurity5.6架构杂记
罗小爬的技术宝书
02-26 2263
最近在研究Spring Security 5.6和其中的OAuth2相关模块,做了些记录,方便后续查看。
SpringSecurity - 基础概念之 RequestMatcher
业精于勤荒于嬉
07-21 3258
SpringSecurity 中的请求路径匹配接口 RequestMatcher
Java项目:在线订餐系统(java+SpringBoot+ThymeLeaf+html+Bootstrap+mysql)
一位性感程序员的博客
04-21 957
源码获取:博客首页 "资源" 里下载! 项目介绍 SpringBoot在线订餐系统项目。主要功能说明: 分为两个角色,餐厅老板和普通用户 餐厅老板可以登录,注册,可以在后台设置菜品目录,菜品详情,查看订单,用户管理,个人中心等 用户查看首页菜品信息,登录后可以点餐,形成购物车,支付后会出现订单详情 请用电脑浏览器打开 环境需要 1.运行环境:最好是java jdk 1.8,我们在这个平台上运行的。其他版本理论上也可以。 2.IDE环境:IDEA,Eclipse,Myeclipse都可以。推荐.
spring security regexrequestmatcher 认证绕过漏洞(CVE-2022-22978)
qq_41950855的博客
10-18 4371
记录一次漏洞修复过程中遇到的问题:spring security regexrequestmatcher 认证绕过漏洞(CVE-2022-22978)
SpringSecurity生成权限流程源码分析
HHoao的博客
05-03 577
SpringSecurity生成权限流程源码分析 自定义match路径, @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/lib/*", "/js/*").permitAll() //配置POST访问/users需要有ADMIN权限 .mvcMatc
spring-cloud-starter-securityspring-cloud-security的关系
05-31
`spring-cloud-starter-security` 和 `spring-cloud-security` 是 Spring Cloud 中用于实现安全认证和授权的两个模块,它们之间的关系如下: - `spring-cloud-starter-security` 是 Spring Cloud 中的一个 Starter 模块,它依赖于 Spring SecuritySpring Boot Starter Security,提供了一些默认的安全配置,方便用户快速使用 Spring Security 进行安全认证和授权。 - `spring-cloud-security` 是 Spring Cloud 中的一个核心模块,它依赖于 Spring SecuritySpring Boot Starter Security,提供了一些基于微服务的安全解决方案,如基于 OAuth2 的安全认证和授权、基于 JWT 的安全认证等。`spring-cloud-security` 还提供了一些与 Spring Cloud 其他组件的集成,如 Zuul、Feign、Ribbon、Eureka 等,以实现全局的安全控制。 因此,`spring-cloud-starter-security` 是 `spring-cloud-security` 的一个子集,它提供了一些默认的安全配置,而 `spring-cloud-security` 则提供了更为全面的安全解决方案和与其他组件的集成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值