spring security 2.0 的简单配置使用

最新推荐文章于 2022-03-09 15:40:53 发布
最新推荐文章于 2022-03-09 15:40:53 发布
阅读量333 收藏 1
点赞数
分类专栏: 经验总结 文章标签: Security Spring 配置管理 Hibernate Bean

 由于ss2的demo配置太过简单,要想在项目中应用的话必须进行相应扩展,这里简单写一下简单的扩展方法。

xml头中引入security命名空间

<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:security="http://www.springframework.org/schema/security"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
           	http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.xsd"
    default-lazy-init="true">

 

 然后是启用ss2默认配置的一段代码

    <!--
        2.0新增的命名空间,使得配置简化了很多
        auto-config 自动使用默认的配置
        access-denied-page 指定访问未授权页面时显示的页面
    -->
    <security:http auto-config="true" access-denied-page="/accessDenied.html">
        <security:anonymous granted-authority="BASIC" />
    </security:http>

  这段代码作用是以ss2的默认配置方式加入1.0时需要手工配置的AuthenticationProcessingFilter等多个必须配置的filter,详细可参考1.0配置和2.0参考手册。

auto-config="true" 表示使用ss2自动配置

access-denied-page="/accessDenied.html"表示拒绝访问时显示的页面

<security:anonymous granted-authority="BASIC" />表示匿名权限的authority为BASIC

 

ss对权限的管理分为认证和授权两部分,先看认证

    <!-- 
        负责认证处理的filter
    -->
    <bean id="authenticationProcessingFilter"
        class="org.springframework.security.ui.webapp.AuthenticationProcessingFilter">
        <!-- 此行说明此filter会覆盖ss2默认配置的filter,before 被覆盖filter的别名 -->
        <security:custom-filter before="AUTHENTICATION_PROCESSING_FILTER" />
        <!-- 认证管理器 -->
        <property name="authenticationManager" ref="authenticationManager" />
        <!-- 认证失败后跳转到的页面,/spring_security_login是ss2默认的登录入口 -->
        <property name="authenticationFailureUrl"
            value="/spring_security_login" />
        <!-- 认证成功后跳转到的页面 -->
        <property name="defaultTargetUrl" value="/index.html" />
    </bean>

 这是负责认证处理的filter,中间custom-filter一行意思是将filter放在默认配置中别名为AUTHENTICATION_PROCESSING_FILTER的filter前边,即负责认证的filter(别名列表参照参考手册)。

按官方的说法,如果需要用自定义的filter覆盖默认filter,则应该将security:http标签的auto-config属性改为false,这样的话就需要增加很多手动配置项。我试了下,不改false也可以,只是运行期间会出现一个warn信息“Possible error: Filters at position 2 and 3 are both instances of xxxx”,意思是filter串中有两个相同类型的filter。

另:在2.0.2中可以使用position代替before,真正的覆盖默认filter。但是有个bug,如果使用默认登录入口的话,还是会调用默认filter,必须连登录入口一并改掉。

 

其引用的authenticationManager

    <!--
        认证管理器
        根据用户名和密码,使用多个provider进行认证
        认证成功会生成一个Authentication,否则抛出AuthenticationException
    -->
    <bean id="authenticationManager"
        class="org.springframework.security.providers.ProviderManager">
        <property name="providers">
            <list>
                <ref local="daoAuthenticationProvider" />
            </list>
        </property>
    </bean>

 认证管理器通过多个provider实现基于用户名和密码的认证,多个provider中只要有一个认证成功,即成功。

 

这里只使用了一个daoPorvider

    <!--
        认证的provider
        userDetailsService 根据用户名获取用户信息
        userCache ehcache缓存user信息。
    -->
    <bean id="daoAuthenticationProvider"
        class="org.springframework.security.providers.dao.DaoAuthenticationProvider">
        <property name="userDetailsService" ref="userDetailsService" />
        <property name="userCache" ref="userCache" />
    </bean>

 

userDetailsService:根据登录的用户名获取一个UserDetails,即代表一个用户的实体对象。

    <!-- 通过dao查询用户信息 -->
    <bean id="userDetailsService"
        class="org.catspaw.ss2test1.security.UserDetailsSerivceImpl">
        <property name="userDao" ref="userDao" />
    </bean>

 

 UserDetailsSerivceImpl代码

package org.catspaw.ss2test1.security;

import org.catspaw.ss2test1.dao.UserDao;
import org.springframework.dao.DataAccessException;
import org.springframework.security.userdetails.UserDetails;
import org.springframework.security.userdetails.UserDetailsService;
import org.springframework.security.userdetails.UsernameNotFoundException;

/**
 * 获取UserDetails
 * 使用UserDao查询User
 * 
 * @author 孙宁振
 *
 */
public class UserDetailsSerivceImpl implements UserDetailsService {

	private UserDao userDao;

	public UserDao getUserDao() {
		return userDao;
	}

	public void setUserDao(UserDao userDao) {
		this.userDao = userDao;
	}

	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException, DataAccessException {
		return userDao.findByUsername(username);
	}
}

 

 UserDao实现(接口省略)

package org.catspaw.ss2test1.dao.hibernate;

import java.util.List;
import org.catspaw.ss2test1.dao.UserDao;
import org.catspaw.ss2test1.model.User;
import org.hibernate.criterion.DetachedCriteria;
import org.hibernate.criterion.Expression;
import org.springframework.orm.hibernate3.support.HibernateDaoSupport;

/**
 * 查询User
 * 
 * @author 孙宁振
 *
 */
public class UserDaoHibernate extends HibernateDaoSupport implements UserDao {

	public User get(String id) {
		return (User) getHibernateTemplate().get(User.class, id);
	}

	@SuppressWarnings("unchecked")
	public User findByUsername(String username) {
		DetachedCriteria dc = DetachedCriteria.forClass(User.class);
		dc.add(Expression.eq("username", username));
		List<User> list = getHibernateTemplate().findByCriteria(dc);
		if (!list.isEmpty()) {
			return list.get(0);
		}
		return null;
	}
}

 

User实体,直接实现了UserDetails

package org.catspaw.ss2test1.model;

import java.util.ArrayList;
import java.util.List;
import java.util.Set;
import javax.persistence.Entity;
import javax.persistence.Id;
import javax.persistence.JoinColumn;
import javax.persistence.JoinTable;
import javax.persistence.ManyToMany;
import javax.persistence.Transient;
import org.springframework.security.GrantedAuthority;
import org.springframework.security.GrantedAuthorityImpl;
import org.springframework.security.userdetails.UserDetails;

/**
 * 用户
 * 实现了UserDetails
 * 与Resource多对多关联
 * 
 * @author 孙宁振
 *
 */
@Entity
public class User implements UserDetails {

	private String		id;
	private String		username;
	private String		password;
	private Set<Resource> resources;

	@Id
	public String getId() {
		return id;
	}

	public String getPassword() {
		return password;
	}

	public String getUsername() {
		return username;
	}

	@ManyToMany(targetEntity = Resource.class)
	@JoinTable(name = "user_resource", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "resource_id"))
	public Set<Resource> getResources() {
		return resources;
	}

	@Transient
	public GrantedAuthority[] getAuthorities() {
		Set<Resource> resources = getResources();
		List<GrantedAuthority> grandtedAuthorities = new ArrayList<GrantedAuthority>(
				resources.size());
		for (Resource resource : resources) {
			String authority = resource.getAuthority();
			grandtedAuthorities.add(new GrantedAuthorityImpl(authority));
		}
		return grandtedAuthorities.toArray(new GrantedAuthority[0]);
	}

	@Transient
	public boolean isAccountNonExpired() {
		return true;
	}

	@Transient
	public boolean isAccountNonLocked() {
		return true;
	}

	@Transient
	public boolean isCredentialsNonExpired() {
		return true;
	}

	@Transient
	public boolean isEnabled() {
		return true;
	}

	public void setId(String id) {
		this.id = id;
	}

	public void setPassword(String password) {
		this.password = password;
	}

	public void setUsername(String username) {
		this.username = username;
	}

	public void setResources(Set<Resource> resources) {
		this.resources = resources;
	}
}

 

 userCache缓存,都是使用的spring提供的实现。

    <bean id="userCache"
        class="org.springframework.security.providers.dao.cache.EhCacheBasedUserCache">
        <property name="cache" ref="userCacheBacked" />
    </bean>
    <bean id="userCacheBacked"
        class="org.springframework.cache.ehcache.EhCacheFactoryBean">
        <property name="cacheManager" ref="cacheManager" />
        <property name="cacheName" value="myUserCache" />
    </bean>
    <bean id="cacheManager"
        class="org.springframework.cache.ehcache.EhCacheManagerFactoryBean">
        <property name="configLocation" value="classpath:ehcache-security.xml" />
    </bean>

 ehcache-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<ehcache>
    <diskStore path="java.io.tmpdir/ehcache-security" />
    <defaultCache maxElementsInMemory="10000" eternal="false"
        timeToIdleSeconds="120" timeToLiveSeconds="120" overflowToDisk="true"
        diskPersistent="false" diskExpiryThreadIntervalSeconds="120" />
    <!-- security cache-->
    <cache name="myUserCache" maxElementsInMemory="10000" eternal="false"
        overflowToDisk="true" timeToIdleSeconds="1200" timeToLiveSeconds="7200"
        diskPersistent="false" diskExpiryThreadIntervalSeconds="120" />        
</ehcache>

 至此认证部分结束,下面是授权部分。

 

 filterSecurityInterceptor,虽然名叫interceptor,实际上是个filter,负责针对要访问的资源进行用户授权,同样也是覆盖默认实现。

    <!-- 
        负责授权的filter,检查Authentication所授予的权限是否可以访问被访问的资源
    -->
    <bean id="filterSecurityInterceptor"
        class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
        <security:custom-filter before="FILTER_SECURITY_INTERCEPTOR" />
        <property name="authenticationManager" ref="authenticationManager" />
        <property name="accessDecisionManager" ref="accessDecisionManager" />
        <!-- 获取访问被访问的资源所需要的权限(authority) -->
        <property name="objectDefinitionSource"
            ref="databaseFilterInvocationDefinitionSource" />
    </bean>

 

 accessDecisionManager,授权管理器,通过多个voter投票判定是否授权,有多种决策机制实现(一票通过,半数通过,一票否决等),具体原理参见参考手册,这里使用的AffirmativeBased是一票通过制,即有一个voter投赞成票就授权。voter会取出当前登录用户的UserDetails的所有authority,与所访问url所对应的authority进行匹配,有相同就通过。

    <!--
        经过投票机制来决定是否可以访问某一资源
        allowIfAllAbstainDecisions为false时如果有一个或以上的decisionVoters投票通过,则授权通过
        其他可选的决策机制:
        ConsensusBased
        UnanimousBased
    -->
    <bean id="accessDecisionManager"
        class="org.springframework.security.vote.AffirmativeBased">
        <property name="decisionVoters">
            <list>
                <bean class="org.springframework.security.vote.RoleVoter">
                    <property name="rolePrefix" value="" />
                </bean>
            </list>
        </property>
    </bean>

 

objectDefinitionSource,获得访问资源所必须具有的权限(authority)。这里和UserDetails的getAuthorities方法刚好相反。

    <!-- 获取访问被访问的资源所需要的权限(authority),以ConfigAttributeDefinition形式返回 -->
    <bean id="databaseFilterInvocationDefinitionSource"
        class="org.springframework.security.intercept.web.DefaultFilterInvocationDefinitionSource">
        <!-- 匹配url的matcher -->
        <constructor-arg type="org.springframework.security.util.UrlMatcher"
            ref="antUrlPathMatcher" />
        <!-- url对应authority的map -->
        <constructor-arg type="java.util.LinkedHashMap" ref="requestMap" />
    </bean>
    <!--ant path风格的匹配器-->
    <bean id="antUrlPathMatcher"
        class="org.springframework.security.util.AntUrlPathMatcher" />

 

requestMapFactoryBean,实现Spring的FactoryBean接口

这里在容器初始化时就查询所有url和authority的对应关系,保存为一个map,在认证操作时遍历这个map

package org.catspaw.ss2test1.security;

import java.util.LinkedHashMap;
import java.util.List;
import org.catspaw.ss2test1.dao.ResourceDao;
import org.catspaw.ss2test1.model.Resource;
import org.springframework.beans.factory.FactoryBean;
import org.springframework.security.ConfigAttribute;
import org.springframework.security.ConfigAttributeDefinition;
import org.springframework.security.SecurityConfig;
import org.springframework.security.intercept.web.RequestKey;

/**
 * 产生一个map,包含所有url:authority的映射
 * key是resourceString(ant表达式,表示一个url集合)(如果是restful风格的应用,则key是url和method)
 * value是访问这些url所需要的权限(authority)
 * 用于设置databaseFilterInvocationDefinitionSource中的requestMap
 * 
 * @author 孙宁振
 *
 */
public class RequestMapFactoryBean implements FactoryBean {

	private ResourceDao										  resourceDao;
	private LinkedHashMap<RequestKey, ConfigAttributeDefinition> requestMap;

	public void init() {
		requestMap = new LinkedHashMap<RequestKey, ConfigAttributeDefinition>();
		List<Resource> resources = resourceDao.findAll();
		for (Resource resource : resources) {
			RequestKey key = new RequestKey(resource.getResourceString());//如果是restful风格的应用,则构造方法的参数应该是url和method
			ConfigAttribute attribute = new SecurityConfig(resource
					.getAuthority());
			ConfigAttributeDefinition definition = new ConfigAttributeDefinition(
					attribute);
			requestMap.put(key, definition);
		}
	}

	public Object getObject() throws Exception {
		if (requestMap == null) {
			init();
		}
		return requestMap;
	}

	public Class getObjectType() {
		return LinkedHashMap.class;
	}

	public boolean isSingleton() {
		return true;
	}

	public void setResourceDao(ResourceDao resourceDao) {
		this.resourceDao = resourceDao;
	}
}

 

ResourceDao实现(接口省略)

package org.catspaw.ss2test1.dao.hibernate;

import java.util.List;
import org.catspaw.ss2test1.dao.ResourceDao;
import org.catspaw.ss2test1.model.Resource;
import org.hibernate.criterion.DetachedCriteria;
import org.hibernate.criterion.Order;
import org.springframework.orm.hibernate3.support.HibernateDaoSupport;

public class ResourceDaoHibernate extends HibernateDaoSupport implements
		ResourceDao {

	@SuppressWarnings("unchecked")
	public List<Resource> findAll() {
		DetachedCriteria criteria = DetachedCriteria.forClass(Resource.class);
		criteria.addOrder(Order.desc("resourceString"));
		return getHibernateTemplate().findByCriteria(criteria);
	}
}

 

Resource实体

package org.catspaw.ss2test1.model;

import java.io.Serializable;
import java.util.Set;
import javax.persistence.Entity;
import javax.persistence.Id;
import javax.persistence.ManyToMany;

/**
 * 资源
 * 与User多对多关联
 * 
 * @author 孙宁振
 *
 */
@Entity
public class Resource implements Serializable {

	private String	id;
	private String	authority;	  //ss中权限的标识符
	private String	resourceString; //ant表达式,表示一个url集合
	private Set<User> users;

	@Id
	public String getId() {
		return id;
	}

	public String getAuthority() {
		return authority;
	}

	public String getResourceString() {
		return resourceString;
	}

	@ManyToMany(targetEntity = User.class, mappedBy = "resources")
	public Set<User> getUsers() {
		return users;
	}

	public void setId(String id) {
		this.id = id;
	}

	public void setResourceString(String resourceString) {
		this.resourceString = resourceString;
	}

	public void setUsers(Set<User> users) {
		this.users = users;
	}

	public void setAuthority(String authority) {
		this.authority = authority;
	}
}

 

 最后,dao配置

    <bean id="dataSource"
        class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <property name="driverClassName" value="com.mysql.jdbc.Driver" />
        <property name="url" value="jdbc:mysql://localhost:3306/ss2test1" />
        <property name="username" value="root" />
        <property name="password" value="root" />
    </bean>

    <bean id="abstractSessionFactory" abstract="true">
        <property name="dataSource" ref="dataSource" />
        <property name="hibernateProperties">
            <props>
                <prop key="hibernate.dialect">
                    org.hibernate.dialect.MySQL5InnoDBDialect
                </prop>
                <prop key="hibernate.show_sql">true</prop>
                <prop key="hibernate.format_sql">true</prop>
                <prop key="hibernate.hbm2ddl.auto">none</prop>
            </props>
        </property>
    </bean>

    <!-- 使用annotation方式描述的SessionFactory -->
    <bean id="sessionFactory"
        class="org.springframework.orm.hibernate3.annotation.AnnotationSessionFactoryBean"
        parent="abstractSessionFactory">
        <property name="configLocation" value="classpath:hibernate.cfg.xml" />
    </bean>

    <bean id="baseDao" abstract="true">
        <property name="sessionFactory" ref="sessionFactory" />
    </bean>

    <bean id="userDao"
        class="org.catspaw.ss2test1.dao.hibernate.UserDaoHibernate"
        parent="baseDao">
    </bean>
    <bean id="resourceDao"
        class="org.catspaw.ss2test1.dao.hibernate.ResourceDaoHibernate"
        parent="baseDao">
    </bean>

 

hibernate配置文件 hibernate.cfg.xml

<?xml version='1.0' encoding='UTF-8'?>
<!DOCTYPE hibernate-configuration PUBLIC
          "-//Hibernate/Hibernate Configuration DTD 3.0//EN"
          "http://hibernate.sourceforge.net/hibernate-configuration-3.0.dtd">
<hibernate-configuration>
    <session-factory>    
        <mapping class="org.catspaw.ss2test1.model.User"/>
        <mapping class="org.catspaw.ss2test1.model.Resource"/>
    </session-factory>
</hibernate-configuration>

 

 

本文只是一个最简单的示例,没有遵循rbac规范,仅仅是将user和resource关联起来,一个resource对应一个authority。也没有密码加密,cookie等功能,这些功能配置请参见参考手册。

 

在ss中,授权是以authority为基本单位的,user拥有多个authority,resource也可以拥有多个authority,在授权时只需要将user和resource的authority一一匹配即可。在实际应用中,可以在user和resource增加一层role来解耦,user-role-resource都是多对多关系,authority可以和role对应,授权时就变成了“检查用户是否具有访问某个资源所必须的角色”这一问题。

ss只提供认证和授权两个功能的实现,中间权限分配的实现由程序员负责,不管中间权限分配多么复杂,最后只要能将user和resource用authority关联起来就可以。

 

ss2常用的扩展点有以下几个:

UserDetails,表示一个用户实体,可以通过他来获得用户所具有的authority

AuthenticationProvider,用来认证一个用户Authentication,可以添加多个认证方式,比如sso

accessDecisionManager和Voter,用来对是否允许用户访问进行投票,以及投票的通过策略

objectDefinitionSource,用来获取资源和authority的对应,为用户授权提供依据。

基本上针对这三个扩展点进行相应扩展就可以满足大部分的应用需求。

2.0的整体架构和1.0相比基本没有改变,1.0时代的功能和配置方式也都可以继续使用,如果对ss2的默认配置不太放心,大可以把原来1.0的配置代码copy过来继续使用。

 

附demo
所用到的jar:spring2.0.7,hibernate3.2.5&jpa,spring-security2.0.3,ehcache1.3

数据库:mysql5,建好相应数据库后,把<prop key="hibernate.hbm2ddl.auto">none</prop>的none改为create即可在运行时自动建表
登录入口为/spring_security_login

用户名   密码
admin    admin
aaa      aaa
bbb      bbb

黑夜的猛章
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 2 配置精讲
luzhou33的专栏
01-22 242
论坛上看了不少Spring Security的相关文章。这些文章基本上都还是基于Acegi-1.X的配置方式,而主要的配置示例也来自于SpringSide的贡献。 众所周知,Spring Security针对Acegi的一个重大的改进就在于其配置方式大大简化了。所以如果配置还是基于Acegi-1.X这样比较繁琐的配置方式的话,那么我们还不如直接使用Acegi而不要去升级了。所以在这里,我将结...
spring security 2.0简单配置使用(补)——用aop控制method级权限
孙宁振的专栏
08-18 206
上次写了spring security 2.0简单配置使用 ,这里再做一下补充。 method级别的权限控制可以通过spring aop来实现。 pointcut: &lt;aop:config&gt; &lt;aop:pointcut id="securityPointcut" expression="execution(** org.cats...
springSecurity配置详解
andyaqu的专栏
07-25 480
SpringSide 3的官方文档中,说安全框架使用的是Spring Security 2.0。乍一看,吓了我一跳,以为Acegi这么快就被淘汰了呢。上搜索引擎一搜,发现原来Spring Security 2.0就是Acegi 2.0。悬着的心放下来了。虽然SpringSide 3中关于Acegi的配置文件看起来很不熟悉,但是读了Acegi 2.0的官方文档后,一切都释然了。 先来谈一谈A...
spring-security2.0.2初步配置
wmj2003的专栏
07-01 5993
使用spring security之后,网页的显示速度明显变慢,看来spring security使用还是需要优化配置的。在web.xml中配置 <!-- 配置spring acegi 使用的 和com.work.core.QxglConstants.USE_ACEGI=true 配合使用 springSecurityFilterChai
Spring Security-2.0入门教程
shangchm
06-05 227
Spring Security-2.0入门教程 欢迎阅读咱们写的Spring Security教程,咱们既不想写一个简单的入门教程,也不想翻译已有的国外教程。咱们这个教程就是建立在咱们自己做的OA的基础上,一点一滴总结出来的经验和教训。 首先必须一提的是,Spring Security出身名门,它是Spring的一个子项目http://static.springsource.or...
spring security oauth2.0使用
诗人不写诗
07-13 190
Spring Security OAuth2.0spring对OAuth规范的使用,这里直接写spring security oauth2.0使用方式,我们知道,OAuth体系中存在的角色有4个,分别是: 资源拥有者 Resource Owner 资源服务器 Resource Server 客户端应用 Client Application 授权服务器 Authorization Server ...
spring security 2中使用通过自定义过滤器实现多登录页面
zgmzyr的专栏
05-17 3301
<br />转载于:http://hi.baidu.com/jogcy/blog/item/42a49ef7af6af52f720eeca9.html<br /> <br />最近近在应用Spring Security的时候,积累了一些心得,写出来希望能给需要的人一些启示,毕竟网上对于spring security配置和应用不是很多,大多是一些介绍acegi应用老文章。希望大家提出宝贵意见。此文的相应设置适用于spring security2.x。<br /><br /><br />Spring Secu
springsecurity2 自定义filter实现
金桥坞
06-02 103
[code="java"][/code][code="java"][/code]配置 [code="java"] [/code] 2. [code="java"]public class MyAuthenticationPro...
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter
qq_25248407的博客
11-13 1022
Springsecurity-oauth2之OAuth2AuthenticationProcessingFilter xym01 1 2019-02-24 19:38 Spring-security-oauth2的版本是2.0 如下图1所示,继承了Filter,还继承了InitializingBean,这个与SpringIOC有关,在创建Bean的时候,会调用afterPropertiesS...
Spring Security认证流程
DoneSpeak的博客
02-05 873
前言 Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。 相关版本: java: jdk 8 spring-boot: 2.1.6.RELEASE 过滤器链和认证过程 一个认证过程,其实就是过滤器链上的一个绿色矩形Filter所要执行的过程。 基本的认证过程有三步骤: Filter拦截请求,生成一个未认证的Authentic...
ehcache.xml学习笔记
q42368773的博客
11-06 125
<?xml version="1.0" encoding="UTF-8"?> <ehcache updateCheck="false"> <!-- updateCheck="false" 不检查版本更新 --> <!--diskStore:可选配置,数据缓存到磁盘时的物理路径,当overflowToDisk or diskPersistent启用时...
spring security 概述& 配置文件详解
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器在web.xml:     springSecurityFilterChain     org.springframework.
spring security oauth2.0配置详解
益思于笔滴,识广于累积
10-31 8768
spring security oauth2.0 实现oauth应该属于security的一部分。关于oauth的的相关知识可以查看阮一峰的文章:http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html目标现在很多系统都支持第三方账号密码等登陆我们自己的系统,例如:我们经常会看到,一些系统使用微信账号,微博账号、QQ账号等登陆自己的系统,我们现在就是
springSecurity基本使用2(实现简单的登录功能)
静以修身,方致远
03-31 601
文章目录前言一、实现用户创建,登陆后才能访问接口(注重用户认证)1.定义一个内存用户,不使用默认用户2.效果3.退出登陆4.再创建一个张三用户,同时支持多用户登陆二、实现管理员功能(注重权限控制)1.创建一个普通用户demo2.创建/roleAuth接口3.效果三、实现数据库管理用户(注重数据库认证用户)1.创建一个MyUserService类2.密码自定义验证类3.自定义数据库查询&默认数据库查询、自定义密码验证配置四、sprinSecurity支持的4种使用表达式的权限注解1.支持的4种注解2.
SpringBoot2.0整合SpringSecurity并实现验证码和权限控制
热门推荐
wangxueqing52的博客
09-11 2万+
使用SpringBoot2.0 整合SpringSecurity加入kaptcha验证码,使用redis实现session共享,请看源码,附上数据库脚本,绝对可以跑起来,源码地址为https://github.com/xueqinggit/SpringCloudLearn 1、pom文件 &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;p...
SpringSecurity | spring security oauth2.0 配置源码分析(一)
程序员阿康
12-23 4285
概述: 在微服务发展迅速的今天,认证授权独立成微服务已是一种趋势,不仅承担着整个系统访问入口的认证和授权,还要易于扩展,能更好的接入第三方服务。而当今Oauth2协议在认证授权领域大行其道,算是功能比较完整的权限协议标准了。spring security oauth2的整合方案应该广为应用,该系列博客就来分析其机制原理。 oauth2的配置繁琐复杂,但是只要搞懂每个类的作用,整体来看,并不
spring Security Oauth2.0 自学小结第一部分
qq_38683161的博客
03-09 134
spring Security Oauth2.0 自学小结第一部分

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值