spring seurity 2中session的处理

最新推荐文章于 2024-07-23 21:37:49 发布
最新推荐文章于 2024-07-23 21:37:49 发布
阅读量73 收藏
点赞数
分类专栏: java 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/soft0396/article/details/84249340
版权
由于种种关系,虽然spring security 3出了很久了,但还是项目中只能用
spring security 2,发现spring security 2真是十分多东西了,
其中比如象在struts2中和轻易写的session管理等,在spring security 2中都要
仔细研究文档,花点心思,这里首先推荐两篇网上为数不多的spring security2
的中文文档给大家学习,还有代码,先看这两篇:

http://www.blogjava.net/redhatlinux/archive/2008/08/20/223148.html
http://www.blogjava.net/redhatlinux/archive/2008/09/01/226010.html

然后看完这两篇后,就可以开始吧。首先要解决的问题,是如何登录后,保存用户的session,其实这个可以
替换掉spring security 2中的authenticationProcessingFilter。
先来看下application-security.xml的配置文件,注意本文说的依然是2的配置

首先是开始部分:


注意,这里要把auto-config设置为false,并且同时要删除原先的: 

	<ss:form-login login-page="/login.action"
			authentication-failure-url="/login.action?error=true"
			default-target-url="/" always-use-default-target="true" />




再来看下这个插入点: 

	<bean id="authenticationProcessingFilterEntryPoint"
		class="org.springframework.security.ui.webapp.AuthenticationProcessingFilterEntryPoint">
		<property name="loginFormUrl" value="/login.action" />

		<property name="forceHttps" value="false" />
	</bean>


接下来,建立自定义的类MyAuthenticationProcessingFilter,代码如下: 


ublic class MyAuthenticationProcessingFilter extends
		AuthenticationProcessingFilter {

protected void onSuccessfulAuthentication(HttpServletRequest request,
			HttpServletResponse response, Authentication authResult)
			throws IOException {
		super.onSuccessfulAuthentication(request, response, authResult);



		Object obj = SecurityContextHolder.getContext().getAuthentication()
				.getPrincipal();
		if (obj instanceof UserDetails) {

			userId = ((UserInfo) obj).getUserid();
            username= ((UserInfo) obj).getUsername();

		}

		request.getSession().setAttribute("userId", userId);






可以看到,继承了AuthenticationProcessingFilter就可以了,在
onSuccessfulAuthentication方法中,可以进行session的保存了!
接下来要在配置文件中进行配置,注册替换掉原来的,如下: 



<ss:logout logout-success-url="/login.action" />

<ss:authentication-manager alias="authenticationManager" />
	<bean id="authenticationProcessingFilter"
		class="com.liao.security.MyAuthenticationProcessingFilter">
		<ss:custom-filter before="AUTHENTICATION_PROCESSING_FILTER" />
		<property name="defaultTargetUrl" value="/" />
		<property name="filterProcessesUrl" value="/j_spring_security_check" />
		<property name="authenticationFailureUrl" value="/login.action?error=true" />
		<property name="authenticationManager" ref="authenticationManager" />
	</bean>



可以看到,其实就是我们自定义的过滤器,摆放在spring security 2中的
AUTHENTICATION_PROCESSING_FILTER前面了;


这样,我们就完成了第一个功能,可以在spring security 2中试用session了!


2) 显示没有权限的页面
当没有权限的页面时,一般的显示方法是
<ss:http auto-config="false" access-denied-page="/common/403.jsp">
但又有资料说到,如果要动态,不用一个固定的403.jsp的话,可以自定义
access-denied-handler,于是实验了下,用的是spring 2.5+spring security 2.0.4, 

<bean id="exceptionTranslationFilter"
		class="org.springframework.security.ui.ExceptionTranslationFilter">
		<property name="accessDeniedHandler" ref="accessDeniedHandler" />

		<property name="authenticationEntryPoint" ref="authenticationProcessingFilterEntryPoint" />
	</bean>
	<!-- 处理AccessDeniedException -->
	<bean id="accessDeniedHandler" class="org.springframework.security.ui.AccessDeniedHandlerImpl">


		<property name="errorPage" value="/common/403.jsp" />
	</bean>




但很遗憾,<bean id="accessDeniedHandler" class="org.springframework.security.ui.AccessDeniedHandlerImpl">
这里尽管用了自定义的类,依然不起效果,依然出现access denied的页面,
没办法,只好依然用access-denied-page="/common/403.jsp">,只不过
在403.jsp中,用一个重定向,就可以重新定向到比如struts2.action去自由发挥拉

3 session超时
spring security 3中提供了相关的配置设置,但可惜2中没有,
只有继续动手,首先,要在web.xml中,将自定义的filter放在spring security 2的
fiter前,比如 

     <filter>  
    <filter-name>SessionTimeoutFilter</filter-name>  
    <filter-class>com.liao.security.SessionTimeoutFilter</filter-class>  
</filter>  
<filter-mapping>  
    <filter-name>SessionTimeoutFilter</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>



然后代码中: 



public class SessionTimeoutFilter implements Filter {

	private String str;
	public void destroy() {
		// TODO Auto-generated method stub

	}

	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		HttpServletRequest servletRequest = (HttpServletRequest) request;
		HttpServletResponse servletResponse = (HttpServletResponse) response;
		HttpSession session = servletRequest.getSession();

		String url = servletRequest.getRequestURI();
		String path = url.substring(url.lastIndexOf("/"));

		if (path.indexOf("login.action") == -1 && path.indexOf(".action") != -1) {

			if (session.getAttribute("userId") == null) {

				str = "<script language='javascript'>alert('登录超时,请重新登录');"
					+ "window.top.location.href="+"'"+servletRequest.getContextPath()+"/login.action"+"';"+

					"</script>";

				response.setContentType("text/html;charset=UTF-8");// 解决中文乱码

				try {
					PrintWriter writer = response.getWriter();

					writer.write(str);
					writer.flush();
					writer.close();

				} catch (Exception e) {

				}


							} else {
				chain.doFilter(request, response);
			}
		} else {
			chain.doFilter(request, response);
		}

	}




这里要判断,如果加载的不是login.action或者加载的不是.action结尾的(比如一些资源文件等)的,就要判断其中session是否null了,null的话跳转,
总体来说,功能就实现了

转载于:http://jackyrong.iteye.com/blog/1584303
soft0396
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSeurity三更笔记
08-23
例如,`HttpSessionAuthenticationFilter`处理基于session的身份验证,`AnonymousAuthenticationFilter`为未认证用户提供匿名身份。 2. **安全性元数据**:Spring Security通过安全元数据来定义哪些资源需要保护,...
Spring Security3.1登陆验证
lvdong5830的专栏
01-14 145
Spring Security3.1登陆验证 分类: spring2011-05-21 20:40 2401人阅读 评论(8) 收藏 举报 一、前言       在上一篇http://blog.csdn.net/k10509806/archive/2011/04/28/6369131.aspx文章,提到的MyUserDetailServiceImpl获取用户权限,在用...
acegi技术概览2
tancaiyi的专栏
08-31 716
 共享组件     让我们来看看Acegi Security最重要的一些共享组件。所谓共享组件是指在框架处于核心地位,系统脱离了它们之后就不能运行。这些Java类型代表了系统其他部分的构建单元,因此理解它们是非常重要的,即使你不需要直接和它们打交道。    最基础的对象是SecurityContextHolder。在这里存储了当前应用的安全上下文(security context),
返回结果是一个对象obj,但是obj instanceOf Object返回false
这个昵称没有被占用吧的博客
03-04 3017
今天在使用koa的使用,为了判断传入参数是否正确,使用了object的hasOwnPrototype,但是却发现代码报错了。 首先获取到参数:var params = ctx.query; 然后判断返回对象是否存在指定参数,如user参数:params.hasOwnPrototype("user") 最后执行的时候,发现代码报错 执行params instanceOf Object,发现返回的...
instanceof-------java关键字的运用
weixin_42605050的博客
02-20 127
1、instanceof 严格来说是Java的一个双目运算符,用来测试一个对象是否为一个类的实例,用法为: boolean result = obj instanceof Class 2.例子 // 清除并发用户容器session信息 HttpSession session = request.getSession(false); Object details = authentication.getDetails(); if
SpringSecurity素材.rar
03-02
SpringBoot Web开发SpringSecurity扮演着核心角色,负责处理身份验证、授权以及访问控制等方面的安全需求。狂神(秦疆)的教程以SpringBoot为基础,深入讲解了如何集成和使用SpringSecurity来构建安全的Web...
springsecurity学习笔记
12-13
7. **OAuth2 and JWT支持**:Spring Security 提供了对OAuth2和JSON Web Tokens (JWT) 的支持,这在现代微服务架构非常重要,因为它允许第三方应用安全地与你的服务进行交互。 8. **表达式语言(SpEL)**:Spring...
Spring Security 资料合集
01-24
这三份资料——"实战Spring Security 3.x.pdf"、"Spring Security 3.pdf" 和 "Spring Security使用手册.pdf" 将深入探讨这些概念,并提供实践指导,帮助读者掌握如何在实际项目应用Spring Security。通过学习这些...
spring-security demo
05-11
在这个项目,我们可以深入学习如何使用Spring Security来实现用户认证、权限控制以及安全相关的功能。 首先,Spring Security的核心组件包括: 1. **Filter Security Chain**: 这是一系列的过滤器,它们在HTTP...
Spring纯注解开发
Admans的专栏
07-18 861
Spring3.0引入了纯注解开发的模式,框架的诞生是为了简化开发,那注解开发就是简化再简化。Spring的特性在整合MyBatis方面体现的淋漓尽致哦注解开发前,配置Bean时是在xml里将class分别写在Bean标签里,然后起id,就像这样注解开发后,配置Bean时首先将xml里的标签删掉,然后在类上添加@Component注解即可在xml文件来写一个扫描包的注解标签,对象就装进IOC容器里了component-scan:component意为组件,scan意为扫描。
OAuth2.0 or Spring Session or 单点登录流程
qq_53374893的博客
07-20 413
一句话精辟解释: 在过滤器放行的时候,偷偷的把原生的 request 和 response 对象换成了它的实现,也就是 调用getSession 的时候拿到的 其实是对redis 操作的Session。但其他的操作还是使用原生的,只不过重写的方法,调用的是子类的,也就是往 redis 里放入 Session,把原生的操作给替换了!分布式Session原理,使用子域名,的时候放入父域名的 JsessionId 然后将这个ID 的所存的内容放入Redis ,这样实现不同域名共享同一sessionID.
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 230
zookeeper安装并成功运行。
SpringMVC 控制层框架-下
woai3364的博客
07-20 1034
因此,在开发过程,合理处理异常、避免异常产生、以及对异常进行有效的调试是非常重要的。如果张三负责的模块按照 A 方案处理异常,李四负责的模块按照 B 方案处理异常...各个模块处理异常的思路、代码、命名细节都不一样,那么就会让整个项目非常混乱。在Web 应用三层架构体系,表述层负责接收浏览器提交的数据,业务逻辑层负责数据的处理。一个网站有 5、6个资源,其有一个为登录资源,两个无需登录即可访问,另外三个需要登录后才能访问,如果不登录就访问那三个资源,需要拦截,并且提示登录后访问。
Springboo3使用虚线程
java scala
07-19 373
Java的虚线程类似Go的协程,简单来说可以通过同步编程的方式来达到异步编程模式的效果,
Java面试八股之Spring容器的启动流程
u012151345的博客
07-23 622
在整个过程Spring遵循了IoC(控制反转)和DI(依赖注入)原则,确保Bean的创建、配置、组装和管理都在容器的统一控制之下,实现了松耦合和可扩展的软件架构。创建BeanDefinition:解析配置信息的过程Spring会为每个Bean生成对应的BeanDefinition对象,它包含了Bean的类型、构造方法参数、属性值、初始化方法、依赖关系、作用域、生命周期回调方法等所有相关信息。Spring容器的启动流程涉及一系列有序的操作,以确保容器正确初始化并准备好管理应用程序的Bean。
手写简易版Spring IOC容器02【学习】
weixin_44794897的博客
07-19 591
applyPropertyValues用于从beanDefinition读取属性的配置信息然后通过BeanUtil(hutool-all提供的类)为其赋值@Overridetry {// 创建bean实例Class<?if (null!break;// 设置属性值try {// 从beanDefinition获取property通过Resource获取文件流。
springboot之自动装配
最新发布
weixin_50153914的博客
07-23 219
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
【OAuth2系列】集成微信小程序登录到 Spring Security OAuth 2.0
c18213590220的博客
07-21 1643
本文将详细介绍如何在 Spring Security OAuth 2.0 扩展支持微信小程序登录,通过自定义授权方式实现无缝登录。
【后端 · 初学】Spring
m0_70298901的博客
07-18 482
面向切面编程,一种编程范式,指导开发者如何组织程序结构。AOP是在不改原有代码的前提下对其进行增强。:使用对象时,由主动new产生对象转换为由外部提供对象,此过程对象创建控制权由程序转移到外部。在容器建立bean与bean之间的依赖关系的整个过程,称为依赖注入。Spring技术对IOC思想进行了实现。Spring提供了一个容器,称为。,用来充当IOC思想的"外部"指的就是Spring的IOC容器。
SpringSeurity
09-07
Spring Security是一个基于Spring框架的安全性解决方案,用于保护Java应用程序的资源。它提供了身份验证和授权机制,可以帮助开发人员轻松地集成安全功能到他们的应用程序Spring Security提供了各种功能,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值