spring security过滤器

最新推荐文章于 2024-07-17 02:33:00 发布
最新推荐文章于 2024-07-17 02:33:00 发布
阅读量312 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qujiahuiqu/article/details/104799603
版权

spring security过滤器

一、spring security过滤器的简单介绍

(1)Spring-Security对Web安全性的支持大量地依赖于Servlet过滤器。

(2)如果使用过Servlet过滤器且令其正常工作,就必须在Web应用程序的web.xml文件中使用<filter><filter-mapping>元素配置它们。虽然这样做能起作用,但是它并不适用于使用依赖注入进行的配置。

(3)spring-Security过滤器在进入服务器Tomcat之后,进入Servlet之前生效

二、配置spring security过滤器

1.在pom.xml文件中输入以下代码下载spring security的架包
<dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-core</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-taglibs</artifactId>
      <version>${spring.security.version}</version>
    </dependency>
2.在web.xml文件中配置spring security过滤器
<!--  配置Spring-Security的过滤器,会拦截所有请求-->
<!--  进入服务器Tomcat之后,但进入servlet之前生效-->
  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
3.在resources包下创建spring-security.xml文件
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,ROLE_USER必须有的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/main.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

三、案例

1.bean层

(1)UserInfo

package com.zjitc.bean;

import java.util.List;

public class UserInfo {

    private int id;             //用户ID
    private String username;    //用户名
    private String password;    //用户密码

    private List<Role> roleList;

    // get/set 访问器
    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getUsername() {
        return username;
    }

    public void setUsername(String username) {
        this.username = username;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    public List<Role> getRoleList() {
        return roleList;
    }

    public void setRoleList(List<Role> roleList) {
        this.roleList = roleList;
    }

    @Override
    public String toString() {
        return "UserInfo{" +
                "id=" + id +
                ", username='" + username + '\'' +
                ", password='" + password + '\'' +
                '}';
    }
}

(2)Role

package com.zjitc.bean;

public class Role {
    private int rid;
    private String rname;
    private String rdesc;
    private String sex;
    private String birthday;

    public int getRid() {
        return rid;
    }

    public void setRid(int rid) {
        this.rid = rid;
    }

    public String getRname() {
        return rname;
    }

    public void setRname(String rname) {
        this.rname = rname;
    }

    public String getRdesc() {
        return rdesc;
    }

    public void setRdesc(String rdesc) {
        this.rdesc = rdesc;
    }

    public String getSex() {
        return sex;
    }

    public void setSex(String sex) {
        this.sex = sex;
    }

    public String getBirthday() {
        return birthday;
    }

    public void setBirthday(String birthday) {
        this.birthday = birthday;
    }

    public Role() {
    }

    public Role(int rid, String rname, String rdesc, String sex, String birthday) {
        this.rid = rid;
        this.rname = rname;
        this.rdesc = rdesc;
        this.sex = sex;
        this.birthday = birthday;
    }

    @Override
    public String toString() {
        return "Role{" +
                "rid=" + rid +
                ", rname='" + rname + '\'' +
                ", rdesc='" + rdesc + '\'' +
                ", sex='" + sex + '\'' +
                ", birthday='" + birthday + '\'' +
                '}';
    }
}
2.Dao层

(1)IUserInfoDao

package com.zjitc.dao;

import com.zjitc.bean.UserInfo;

import java.util.List;

// IUserInfoDao - 接口,数据库访问层,直接可以访问数据库
public interface IUserInfoDao {
    // 查询全部用户
    List<UserInfo> findAll(Integer page,Integer size);
}

(2)IRoleDao

package com.zjitc.dao;

import com.zjitc.bean.Role;

import java.util.List;

public interface IRoleDao {
    // 查询全部角色
    List<Role> findAllRole(Integer page , Integer size);
    // 通过用户ID查找该用户下的角色
    List<Role> findRoleByUserId(int uid);
}
3.mapper

(1)UserInfoMapper.xml

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE mapper  PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.zjitc.dao.IUserInfoDao">
<!--    全部查询-->
    <select id="findAll"  resultType="com.zjitc.bean.UserInfo">
        select * from tb_user
    </select>
</mapper>

(2)RoleMapper.xml

<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE mapper  PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.zjitc.dao.IRoleDao">
    <select id="findAllRole"  resultType="com.zjitc.bean.Role">
        select * from tb_role
    </select>

    <select id="findRoleByUserId"  parameterType="Integer" resultType="com.zjitc.bean.Role">
        select * from tb_role where rid in(select rid from tb_user_role where uid=#{uid})
    </select>
</mapper>
4.Service层

(1)

  • 接口IUserInfoService
package com.zjitc.service;

import com.zjitc.bean.UserInfo;
import org.springframework.security.core.userdetails.UserDetailsService;

import java.util.List;

public interface IUserInfoService extends UserDetailsService {
    List<UserInfo> findAll(Integer page,Integer size);
}
  • 实现类
package com.zjitc.service.impl;

import com.github.pagehelper.PageHelper;
import com.zjitc.bean.Role;
import com.zjitc.bean.UserInfo;
import com.zjitc.dao.IRoleDao;
import com.zjitc.dao.IUserInfoDao;
import com.zjitc.service.IUserInfoService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import javax.annotation.Resource;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Service("userService")
public class UserInfoServiceImpl implements IUserInfoService {
    @Autowired
    private IUserInfoDao userInfoDao;
    @Autowired
    private IRoleDao roleDao;
    
    @Override
    public List<UserInfo> findAll(Integer page,Integer size) {
        PageHelper.startPage(page,size);
        return userInfoDao.findAll(page,size);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 根据姓名查询当前登录的用户
        UserInfo userInfo = userInfoDao.doLogin(username);
        // 根据当前登录的用户ID,去查询到所属的角色
        List<Role> roleList = roleDao.findRoleByUserId(userInfo.getId());
        userInfo.setRoleList(roleList);
        // 得到想要的信息之后,就要交给Security去处理了
        User user = new User(userInfo.getUsername(),"{noop}" + userInfo.getPassword(),getAuthority(roleList));
        return user;
    }

    private Collection<? extends GrantedAuthority> getAuthority(List<Role> roleList) {
        List<SimpleGrantedAuthority> list = new ArrayList<>();
        for (Role role:roleList){
            list.add(new SimpleGrantedAuthority("ROLE_" + role.getRname()));
        }
        return list;
    }
}

(2)

  • 接口
package com.zjitc.service;

import com.zjitc.bean.Role;

import java.util.List;

public interface IRoleService {
    List<Role> findAllRole(Integer page , Integer size);
}
  • 实现类
package com.zjitc.service.impl;

import com.github.pagehelper.PageHelper;
import com.zjitc.bean.Role;
import com.zjitc.dao.IRoleDao;
import com.zjitc.service.IRoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Component;
import org.springframework.stereotype.Controller;
import org.springframework.stereotype.Repository;
import org.springframework.stereotype.Service;

import java.util.List;

@Service
public class RoleServiceImpl implements IRoleService {
    @Autowired
    private IRoleDao roleDao;

    @Override
    public List<Role> findAllRole(Integer page , Integer size) {
        PageHelper.startPage(page,size);
        return roleDao.findAllRole(page,size);
    }
}
5.Controller层

(1)UserInfoController

package com.zjitc.controller;

import com.github.pagehelper.PageInfo;
import com.zjitc.bean.UserInfo;
import com.zjitc.service.IUserInfoService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;

import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.util.List;

@Controller
@RequestMapping("/user")
public class UserInfoController {
    @Autowired
    private IUserInfoService userInfoService;
    
//    全部查询
//    所有需要返回数据到页面显示的全部都需要封装到ModelAndView中
    @RequestMapping("/findAll.do")
    public ModelAndView findAll(@RequestParam(defaultValue = "1") Integer page,
                                @RequestParam(defaultValue = "5") Integer size){
        List<UserInfo> userInfoList = userInfoService.findAll(page,size);
        PageInfo pageInfo = new PageInfo(userInfoList);
        ModelAndView mv = new ModelAndView();
        mv.addObject("pageInfo",pageInfo);
        mv.setViewName("user-list");
        return mv;
    }
}

(2)RoleController

package com.zjitc.controller;

import com.github.pagehelper.PageInfo;
import com.zjitc.bean.Role;
import com.zjitc.service.IRoleService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.servlet.ModelAndView;

import java.util.List;

@Controller
@RequestMapping("/role")
public class RoleController {
    @Autowired private IRoleService roleService;

    @RequestMapping("/findAllRole.do")
    public ModelAndView findAll(@RequestParam(defaultValue = "1") Integer page,
                                @RequestParam(defaultValue = "5") Integer size){
        List<Role> roleList = roleService.findAllRole(page,size);
        // 创建出分页的内置对象,将查询到的List数据传到对象中
        PageInfo pageInfo = new PageInfo(roleList);
        ModelAndView mv = new ModelAndView();
        mv.addObject("pageInfo",pageInfo);
        mv.setViewName("role-list");
        return mv;
    }
}
6.JSP页面
<%--  access="hasRole('显示该链接必须要有的角色')"  --%>
<security:authorize access="hasRole('ADMIN')">
	<a href="${pageContext.request.contextPath}/user/findAll.dopage=1&size=5"> 
		<i class="fa fa-circle-o"></i> 用户管理
	</a>
</security:authorize>
qujiahuiqu
关注
Spring Security详解(三)认证之核心过滤器
Jagger的博客
06-22 7400
这章主要用来分析Spring Security中的过滤器链包含了哪些关键的过滤器,并且各自的作用是什么。 3 核心过滤器 3.1 概述 Filter顺序 Spring Security的官方文档向我们提供了filter的顺序,无论实际应用中你用到了哪些,整体的顺序是保持不变的: - ChannelProcessingFilter,重定向到其他协议的过滤器。也就是说如果你访问的...
Spring Security过滤器就该这么配置
欢迎来到我的博客
02-18 727
CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。同样的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer来完成的,应该也能模仿一下FormLoginConfigurer,写一个配置类CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter。
spring security系列二:过滤器机制
weixin_33754065的博客
01-02 281
spring security框架的过滤器是基于基础的filter来实现,这样它可以不需要依赖任何web框架,甚至连spring mvc框架都不需要依赖,这样整个spring security过滤器就会变得异常的轻量级和无侵入性。 spring security处理请求流程 用户发起请求,认证管理器(Authentication Man...
Spring Security内置过滤器详解_springsecurity过滤器
最新发布
2401_85358044的博客
07-17 1146
我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 4001
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
Spring Security常见过滤器
王林的博客
09-19 499
这里主要介绍 SpringSecurity 常见的过滤器的作用,方便以后查阅!!!
图解Spring Security默认使用的过滤器
xyz20003的专栏
06-15 426
第 9 章 图解过滤器 图 9.1. auto-config='true'时的过滤器列表 9.1. HttpSessionContextIntegrationFilter 图 9.2. org.springframework.security.context.HttpSessionContextIntegrationF...
全面解析Spring Security 过滤器链的机制和特性
08-18
Spring Security 过滤器链机制和特性详解 Spring Security 过滤器链是 Spring Security 框架中的一种核心机制,负责处理 HTTP 请求的安全验证和授权。今天,我们将深入探讨 Spring Security 过滤器链的机制和特性,...
SpringSecurityOauth2中关于Oauth2的过滤器设计和SpringSecurity过滤器的设计以及他们的执行顺序
m0_54554770的博客
12-15 918
SpringSecurityOauth2中关于Oauth2的过滤器设计和SpringSecurity过滤器的设计以及他们的执行顺序
springSecurity过滤器
09-20
Spring Security过滤器是一系列用于处理认证和授权的过滤器链。在Spring Security中,这些过滤器被组成一个FilterChainProxy对象,并且被称为SpringSecurityFilterChain。 异常转换过滤器...
扩展篇:再探Spring Security过滤器链之SecurityContext
小奇学编程的博客
10-25 1041
扩展篇:再探Spring Security过滤器链 在 概述(一):SpringSecurity的前世今生 中我们曾提过Spring Security底层是通过一组过滤器链来实现的,当时简单的介绍了几个比较重要的过滤器;并且在后面的几篇认证文章中都有比较详细的讲解。 但前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开;而本篇文章的目的是再探 Spring Security过滤器链,完整的剖析全链路。 经过 认证(一):基于表单登录的认证模式 的介绍,我们对认证的流程有了一个比较全面的
spring security 4 小例子带自定义过滤器
03-20
spring security 4 小例子带自定义过滤器
Spring Security基本框架之过滤器
大后生大大大的博客
11-12 1126
FilterChain、FilterChainProxy、DelegatingFilterProxy
Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
小威的博客
04-18 1万+
Spring Security过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
SpringSecurity常用过滤器介绍
wuxiaopengnihao1的博客
07-29 2422
首当其冲的一个过滤器,非常重要主要是使用SecurityContextRepository在session中保存或更新一个SecurityContext,并将SecurityContext给以后的过滤器使用,来为后续filter建立所需的上下文,SecurityContext中存储了当前用户的认证和权限信息。Csrf又称跨域请求伪造,SpringSecurity会对所有post请求验证是否包含系统生成的csrf的token信息,如果不包含则报错,起到防止csrf攻击的效果。...
Spring Security Filter详解
热门推荐
icarusliu的专栏
12-06 2万+
经过基于注解的Spring Security原理解析分析,Spring Security本身所做的事情就是在Spring容器中注册了一系列的Filter,这些Filters在检测到满足条件的URL请求时,会执行其定义的处理过程; Security本身默认提供了一些Filter来完成其各种功能; 本文主要分析以下问题: 默认Filter的作用及配置 默认Filter的配置及生效示例分析
Spring Security内置过滤器详解_springsecurity过滤器,2024年最新大数据开发开发入门教程
2401_84166896的博客
04-17 1163
/设置SecurityContextHolderStrategy context。//当前请求是否是logoutSuccessUrl指定的地址。//是否是登录请求,是否是重定向的错误请求,是否是登出地址。//该请求已经运行过该过滤,跳过,执行下一个过滤器。//当前请求是否是failureUrl指定的地址。//生成一个默认的登录页。//否则执行下一个过滤器。//地址是/logout。//获取当前的权限配置。//生成一个登出页面。
SpringSecurity(十三)---实现过滤器(上)基础讲解
学习不止境的博客
10-31 2282
Spring Security中,HTTP过滤器会委托应用于HTTP请求的不同职责。在之前学习中我们也经常提到过过滤器,不知道大家是否还记得Spring Security的那个框架图,大家可以发现最顶层就是一个个的过滤器,例如提到过的身份验证过滤器,它将身份验证职责委托给身份验证管理器。又比如授权过滤器会负责授权配置等等。通常HTTP过滤器会管理必须应用于请求的每个职责。过滤器形成了职责链。过滤器会接受请求、执行其逻辑,并最终将请求委托给链中的下一个过滤器
Spring Security详解一:过滤器
骑个小蜗牛的博客
04-29 4510
过滤器及顺序 ChannelProcessingFilter 使用https还是http的通过过滤器。通常是用来过滤哪些请求必须用https协议, 哪些请求必须用http协议, 哪些请求随便用哪个协议都行。 它主要有两个属性: ChannelDecisionManager:用来判断请求是否符合既定的协议规则。它维护了一个 ChannelProcessor 列表 这些ChannelProcessor 是具体用来执行 ANY_CHANNEL 策略 (任何通道都可以), REQUIRES_SECURE_CHA
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值