Spring Security 快速入门(1)

最新推荐文章于 2024-05-22 10:47:51 发布
最新推荐文章于 2024-05-22 10:47:51 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: java项目工具 文章标签: spring java 后端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_56769991/article/details/122866945
版权

文章目录

一.背景:

在一个项目中,我们有很多功能,例如增删改查等基本功能,还有很多额外的扩展功能。在生产环境下我们如果不登录后台系统就可以完成这些功能操作吗?案显然是否定的,要操作这些功能必须首先登录到系统才可以。:是不是所有用户,只要登录成功就都可以操作所有功能呢?答案是否定的,并不是所有的用户都可以操作这些功能。不同的用户可能拥有不同的权限,这就需要进
行授权了。

1.授权与认证的理解:

认证:系统提供的用于识别用户身份的功能,通常提供用户名和密码进行登录其实就是在进行认证,认
证的目的是让系统知道你是谁。
授权:用户认证成功后,需要为用户授权,其实就是指定当前用户可以操作哪些功能。
本章节就是要对后台系统进行权限控制,其本质就是对用户进行认证和授权

授权与权限的建立需要涉及到4个实体(项目需要):

  • 权限Permission
  • 角色Role
  • 用户User
  • 菜单Menu
    这几个实体之间存在着多对多的关系,故需要建立7张基础表,如下:
    用户表t_user、权限表t_permission、角色表t_role、菜单表t_menu、用户角色关系表t_user_role、角色权限关系表t_role_permission、角色菜单关系表t_role_menu。

Spring Security是 Spring提供的安全认证服务的框架。 使用Spring Security可以帮助我们来简化认证
和授权的过程。官网:Spring Security

二.入门案例

1.spring依赖导入:

<dependency>
	 <groupId>org.springframework.security</groupId>
	 <artifactId>spring-security-web</artifactId>
	 <version>5.0.5.RELEASE</version>
</dependency>
<dependency> 
	   <groupId>org.springframework.security</groupId>
	   <artifactId>spring-security-config</artifactId> 
	   <version>5.0.5.RELEASE</version>
</dependency>

当然还要导入spring-context的依赖,因为Spring Security是基于spring的。
因为我们要使用tomcat,所以:

<build>
        <plugins>
            <plugin>
                <groupId>org.apache.tomcat.maven</groupId>
                <artifactId>tomcat7-maven-plugin</artifactId>
                <version>2.1</version>
                <configuration>
                    <port>85</port>
                    <path>/</path>
                </configuration>
            </plugin>
        </plugins>
    </build>

2.创建index.html

我们先创建一个页面index.html

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport"
          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Document</title>
</head>
<body>
    hello spring security
</body>
</html>

后面我们使用权限框架,在没有认证(没有输入用户名、密码)的情况下,我们无法访问该页面

3.配置web.xml (整合spring security、加载spring配置文件)

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>
  <display-name>Archetype Created Web Application</display-name>

  <filter>
    <!--
      DelegatingFilterProxy用于整合第三方框架
      整合Spring Security时过滤器的名称必须为springSecurityFilterChain,
	  否则会抛出NoSuchBeanDefinitionException异常
    -->
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
  <servlet>
    <servlet-name>springmvc</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <!-- 指定加载的配置文件 ,通过参数contextConfigLocation加载 -->
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:spring-security.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>springmvc</servlet-name>
    <url-pattern>*.do</url-pattern>
  </servlet-mapping>
</web-app>

4.创建spring-security配置文件(配置认证、授权等关系)

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
						http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/mvc
						http://www.springframework.org/schema/mvc/spring-mvc.xsd
						http://code.alibabatech.com/schema/dubbo
						http://code.alibabatech.com/schema/dubbo/dubbo.xsd
						http://www.springframework.org/schema/context
						http://www.springframework.org/schema/context/spring-context.xsd
                     http://www.springframework.org/schema/security
                     http://www.springframework.org/schema/security/spring-security.xsd">

<!--    http:用于定义相关权限控制 auto-config:是否自动配置 设置为true时框架会提供默认的一些配置,例如提供默认的登录页面、登出 处理等 设置为false时需要显示提供登录表单配置,否则会报错 use-expressions:用于指定intercept-url中的access属性是否使用表达式 &ndash;&gt;-->
    <security:http auto-config="true" use-expressions="true">
        <!--intercept-url:定义一个拦截规则 pattern:对哪些url进行权限控制 access:在请求对应的URL时需要什么权限,默认配置时它应该是一个以逗号分隔的角色列 表, 请求的用户只需拥有其中的一个角色就能成功访问对应的URL -->
        <security:intercept-url pattern="/**" access="hasRole('ROLE_ADMIN')" />
    </security:http>
    <!--authentication-manager:认证管理器,用于处理认证操作 -->
    <security:authentication-manager>
        <!--authentication-provider:认证提供者,执行具体的认证逻辑 -->
        <security:authentication-provider>
            <!--user-service:用于获取用户信息,提供给authentication-provider进行认证 -->
            <security:user-service>
                <!--user:定义用户信息,可以指定用户名、密码、角色,后期可以改为从数据库查询 用户信息 {noop}:表示当前使用的密码为明文 -->
                <security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN"></security:user>
            </security:user-service>
        </security:authentication-provider> </security:authentication-manager> 
</beans>

接下来我们install项目,并启动tomcat,访问localhost:85/index.html,会自动出现下面的页面(这是spring Security默认提供的认证界面):
在这里插入图片描述
我们先输入错误的User和password看看会怎么样?
在这里插入图片描述
然后我们再次输入正确的user和password:
在这里插入图片描述

在这里插入图片描述
可以成功访问到我们设定的页面了!!

可见我们Spring Security主要是保护了我们的文件,我们在配置文件中设定了认证角色和授权的关系,在登录页面只要我们以正确合法的角色进行登入,就能进入到指定的页面

以上是我们Spring Security的小测试,但是无法达到项目制作的要求,请看第二篇文章,讲解Spring Security的更多功能,以便达到项目要求,并提供在大多数Spring Security的编写模板:Spring Security 快速入门(2)

sword to coding
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
跟着燕青学Spring Security认证授权05--Spring Security快速入门
传智燕青
10-09 1203
1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码...
品优购第四天
编程之心的博客
11-22 488
品优购 第4天 学习目标 目标1:实现SpringSecurity入门小Demo 目标2:完成运营商登陆与安全控制功能 目标3:完成商家入驻 目标4:完成商家审核 目标5:完成商家系统登陆与安全控制功能 目标6:完成商家异步登录 第1章 Spring Security框架入门 1.1 Spring Security简介 Spring Security是一个能够为基于Spring的企业应用系统提供声...
Spring Security入门
最新发布
qq_62377885的博客
05-22 953
1.1、创建自定义配置实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件Java自定义配置用来管理用户信息,是UserDetailsService的一个实现,用来管理基于内存的用户信息。创建一个WebSecurityConfig文件:定义一个@Bean,类型是UserDetailsService,实现是InMemoryUserDetailsManager。
SpringSecurity快速入门
qq_68512683的博客
04-03 344
Spring Security入门到精通详细笔记
手把手教你spring security入门
yangfenggh的博客
11-24 2063
spring Security权限控制
SpringSecurity基础——快速入门
程序无言
09-26 883
一. 初始SpringSecurity 1. 简介 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 2. 主要jar包 spring-security-core.jar: 核心包 spring-security-web.jar: web工程必备,包含过滤器 spring-security-config.jar: 用于解析xml配置文件 spring-security-tagli
spring security 入门demo
08-11
1. **Spring Security RESTful服务**: - `spring-security-rest-full` 模块展示了如何为RESTful API配置Spring Security,包括HTTP Basic认证和Digest认证。这涉及到创建过滤器链,定义访问控制规则,以及处理认证...
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
SpringSecurity入门Demo实例
10-15
在这个入门Demo实例中,我们将探讨如何配置和使用Spring Security来保护我们的Java应用。教程链接提及的CSDN博客文章提供了详细的步骤,指导我们逐步创建一个基本的Spring Security应用。 首先,我们需要在项目中...
Spring Security-从入门到精通(全网最全)
极客鼠之家
10-18 1101
Spring Securityspring家族中一个安全管理框架,相比其他安全框架Shiro,提供更丰富的功能,社区资源丰富中大型项目使用Spring Security来作安全框架,小项目使用shiro;相比较Spring Security,shiro上手简单。一般web应用需要进行认证和授权认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:判断登录后的用户是否有权限进行某个操作认证和授权是SpringSecurity作为安全框架核心功能。
Spring Security快速入门
2201_75516800的博客
12-21 871
用户:</label><input type="text" name="username"/><br/><label>密码:用户登录
【分布式微服务专题】SpringSecurity快速入门
qq_32681589的博客
01-01 1886
系列上一篇文章:《官方介绍:Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于 Spring 的应用程序。Spring Security 是一个框架,侧重于为 Java 应用程序提供身份验证和授权。与所有 Spring 项目一样,Spring 安全性的真正强大之处,在于它很容易扩展以满足定制需求Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Security入门到精通
x2624252655的博客
11-09 224
本文详细介绍了如何使用spring security,快速上手
认证授权-SpringSecurity
木子Teng的博客
01-11 1428
如何实现授权?业界通常基于 RBAC 模型(Role-Based Access Control -> 基于角色的访问控制)实现授权。RBAC 认为授权实际就是who,what,how三者之间的关系(3W),即 who 对 what 进行 how 的操作。Spring Security 是为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。
SpringSecurity入门
ChatYU的博客
12-20 1455
是一个基于Spring框架的安全性框架,可用于对Java应用程序进行身份验证、授权和其他安全性功能的添加。它不仅可以对Web应用程序进行保护,还可以保护非Web环境下的应用程序,如远程服务和命令行应用程序等。提供了一系列可插拔的安全性特性,如基于标记的身份验证、权限控制、单点登录、密码加密等。它还支持多种安全性协议和标准,如OAuthSAMLOpenID等,可与各种身份提供商集成。是的一个核心类,用于配置应用程序的安全策略。
Spring Security快速入门之案例实操
无法自律的人的博客
12-28 1477
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI和AOP功能。Spring Security为基于J2EE企业应用软件提供了全面安全服务,包括认证、授权、加密和会话管理等。它对Web安全性的支持大量地依赖于Servlet过滤器。Spring Security采用“安全层”的概念,使每一层都尽可能安全,连续的安全层可以达到全面的防护。
spring security快速入门
06-09
以下是 Spring Security快速入门步骤: 1. 添加 Spring Security 依赖项 - 在 Maven 或 Gradle 项目中,可以添加 Spring Security 的依赖项。 2. 配置 Spring Security - 可以使用 XML 或 Java 配置文件来配置 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值