SpringSecurity3中的10个典型用法小结

最新推荐文章于 2023-12-13 08:27:16 发布
最新推荐文章于 2023-12-13 08:27:16 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 毛草屋 文章标签: springsecurity用法 springsecurity使用步骤
spring security 3比较庞大,但功能很强,下面小结下spring security 3中值得
注意的10个典型用法

1)多个authentication-provide可以同时使用 

    <authentication-manager alias='authenticationManager'>  
      <authentication-provider>  
       <user-service>  
        <user authorities='ROLE_GUEST' name='guest' password=''/>  
       </user-service>  
      </authentication-provider>  
      <authentication-provider>  
       <jdbc-user-service data-source-ref='dataSource'/>  
      </authentication-provider>  
     </authentication-manager>




2 传统的<security:http>
  
    <security:http>  
     <security:intercept-url pattern='/admin/**' access='hasRole('ROLE_ADMIN')'/>  
     <security:intercept-url pattern='/account/**' access='hasRole('ROLE_USER')' />  
     <security:intercept-url pattern='/**' access='hasRole('ROLE_ANONYMOUS')' />  
     <!-- other elements removed for clarity -->  
    </security:http>



3 可以使用一大堆密码加密器:
aseDigestPasswordEncoder
BasePasswordEncoder
LdapShaPasswordEncoder
Md4PasswordEncoder,
Md5PasswordEncoder
MessageDigestPasswordEncoder
MessageDigestPasswordEncoder
PlaintextPasswordEncoder
ShaPasswordEncoder

4 SPRING security的标签
   
    <sec:authorize access='hasRole('supervisor')'>  
    This content will only be visible to users who have  
    the 'supervisor' authority in their list of <tt>GrantedAuthority</tt>s.  
    </sec:authorize>



  这是根据角色判断是否显示
 
还可以根据URL判断是否显示
  
    <sec:authorize url='/admin'>  
    This content will only be visible to users who are authorized to send requests to the '/admin' URL.  
    </sec:authorize>



5 方法级的鉴别
   @PreAuthorize  @PostAuthorize  @Secure

  要启用上面三者,要 
<global-method-security pre-post-annotations='enabled' />



这三个是在方法调用前,先鉴别是否有权限使用,比如
   
    public interface IUserService   
      
    {  
    @PreAuthorize("hasRole('ROLE_USER')")  
      
     public void changePassword(String username, password);  
    }



   感觉这个其实不是很常用
6 同5,可以使用JSR-250 注解去做
   <global-method-security jsr250-annotations=”enabled”/>

@RolesAllowed({“ROLE_USER”,”ROLE_ADMIN”})
@PermitAll
@DenyAll

这样使用:
@RolesAllowed({"ROLE_ADMIN","ROLE_USER"})
public void deleteUser(String username);
   这个东西反正没用到,具体见手册


7 配置open-id,步骤
   
    <form action='j_spring-openid-security-check' method='post'>  
     <label for='openid_idenifier'>Login</label>:   
     <input id='openid_identifier' name='openid_identifier' type='text'/>  
     <input type='submit' value='Login' />  
    </form>



   <http auto-config='true'>
<openid-login/>

</http>
   当然要加上:spring-security-openid.jar

8 spring secruity能使用ldap
  <ldap-server ldif='classpath:my-ldif-file.ldif' id='localserver' />

当然要加上:spring-security-openid.jar

9 使用远程 ldap-server
   <ldap-server url='ldap://myServer/dc=captaindebug,dc=com:389' id='ldapExternal'
  manager-dn='uid=admin,ou=users,ou=systems' manager-password='s3cret'/>

  8和9还没用过,估计配置起来还有更多东西

10 使用https
   <http auto-config='true' use-expressions='true'>
    <intercept-url pattern='/login' requires-channel='https'/>
   
</https>

  这个比较简单,用requires-channel='https'
不 想写代码的码农
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
spring security3的基本配置和使用
pwc_beyond的博客
11-15 177
折腾了一天终于把spring security 3.1.0集成进项目了,这里特别说明了一下版本,因为不同的版本有些用法会存在一些差异。期间遇到了很多问题,记录在这里。 最大的心得是网上的资料只能参考,最重要的文档是spring security自带的tutorial的例子,这里的用法是和你要用到的版本是一致的。 [code="xml"] ...
security 简单用法
weixin_46277490的博客
05-25 437
1.导入security依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> thymeleaf 依赖 前端使用 <dependency>
Security使用
A9541170的博客
03-11 821
SecurityConfig.java package top.yc9064.Config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config....
SpringSecurity:基本用法
洺润Star的博客
09-19 538
文章目录一:SpringSecurity基本用法 一:SpringSecurity基本用法 创建一个spring boot项目,倚赖如下: <dependencies> <dependency> <groupId>org.springframework.boot</groupId> ...
security使用笔记
println小强的博客
04-13 191
spring使用权限授权时,需要重启项目新增权限可以使用,查看代码在新增权限时已经更新security权限,登录验证时未发现更新的权限重写FilterInvocationSecurityMetadataSource时,发现验证时调用的权限与更新的权限未在一个线程内,修改权限为静态属性,添加static修饰,问题解决...
Spring Security在标准登录表单添加一个额外的字段
08-26
Spring Security在标准登录表单添加一个额外的字段 在本文,我们将探讨如何在Spring Security的标准登录表单添加一个额外的字段。我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 配置多...我们可以通过创建一个自定义的 AuthenticationProvider,例如 InMemoryAuthenticationProvider,继承自 Spring Security 的 AuthenticationProvider,然后将其注册到 Spring Security 。 ...
Spring Security 3.x 入门教程 文WORD版
11-06
Spring Security 是一个强大的Java安全框架,它为基于Spring的应用程序提供了全面的安全服务。3.x 版本是该框架的一个重要里程碑,提供了许多关键特性和改进。这篇文入门教程旨在帮助开发者快速理解并掌握Spring ...
springSecurity3文文档
08-19
第一章:一个不安全应用的剖析 第二章:springsecurity起步 第三章:增强用户体验 第四章:凭证安全存储 第五章:精确的访问控制 第六章:高级配置和扩展 第七章:访问控制列表(ACL)...第十二章:spring Security扩展
Spring-Security-3文官方文档.pdf
09-21
Spring Security 3是该框架的一个版本,提供了全面的安全管理解决方案,包括身份验证、授权、访问控制和企业级安全功能。这份《Spring-Security-3文官方文档》是学习这个框架的宝贵资源,尤其对于文阅读者来说,...
java security用法_Spring Security使用详解1(基本用法
weixin_35599418的博客
02-27 208
一般项目都会有严格的认证和授权操作,而在 Java 开发领域常见的安全框架有 Shiro 和 Spring Security。本文首先介绍下后者。一、基本用法1、什么是 Spring Security ?Spring Security 是一个相对复杂的安全管理框架,功能比 Shiro 更加强大,权限控制细粒度更高,对 OAuth 2 的支持也更友好。由于 Spring Security 源自 Sp...
SpringSecurity十分钟入门教程
pp_hu的博客
11-06 261
文章目录简介环境搭建授权和认证注销账户根据权限显示页面 源码地址:https://github.com/hpp3501/springboot.git 教程视频资源:https://www.bilibili.com/video/BV1PE411i7CV?p=34 简介 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。 环境搭建 1. 准备好页面 2. 创建路由控制层
看源码,重新审视Spring Security的角色(roles)是怎么回事
江成军的专栏
01-27 1755
在网上看见不少的博客、技术文章,发现大家对于Spring Security的角色(roles)存在较大的误解,最大的误解就是没有搞清楚其角色和权限的差别(好多人在学习Spring Security时,是不是对于到底加不加“ROLE_”前缀有点犯蒙),有时候觉得在进行权限控制时用权限名称或者用角色名称都差不多(大家这种感觉是对的,如果简单应用确实差不太多)。 我们在进行角色权限控...
后端进阶之路——浅谈Spring Security用户、角色、权限和访问规则(三)
Why_does_it_work的博客
08-04 3913
通过定义用户、角色、权限和访问规则 可以在SpringSecurity实现灵活的访问控制和权限管理。可以使用内存方式或数据库方式定义用户,设置用户名、密码和角色等信息。角色可以用来组织和控制权限,可以将一组权限赋予特定角色,并将角色分配给用户。权限是指用户可以执行的特定操作或访问的资源,可以细化到每个功能或数据级别。可以使用Ant风格的路径匹配规则或表达式语言编写更复杂的访问规则,以限制用户对特定路径或功能的访问权限。 通过定义这些元素,可以确保系统的安全性和可靠性。
@PerAuthorize用作授权的使用方法
热门推荐
qq_42507357的博客
08-14 1万+
@PerAuthorizr 这个注解我相信很多不使用SpringSecurity的小伙伴都不是很了解。 使用他的初衷是最近需要做一个对授权的客户做判断,让他买了哪些模块的代码才能使用哪些模块的代码,需要进行一波模块过滤。 @PreAuthorize是可以用来控制一个方法或类是否能够被调用的,通俗一点就是看看你有没有权利用被注解的东西。怎么用呢?直接上代码吧。 /** * 获取部门列表 */ @PreAuthorize("@ac.hasPermi('dept:list')"
关于@PreAuthorize注解的使用场景
weixin_45822542的博客
02-17 1975
PreAuthorize注解使用场景
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role,及权限鉴权注解方法hasRole及hasAuthority使用区别
质量不太好的博客
03-13 9316
SpringSecurity给用户授权,一个用户能同时拥有多种身份Role
SpringSecurity设置角色和权限的注意点
weixin_34404393的博客
02-18 2946
概念 在UserDetailsService的loadUserByUsername方法里去构建当前登陆的用户时,你可以选择两种授权方法,即角色授权和权限授权,对应使用的代码是hasRole和hasAuthority,而这两种方式在设置时也有不同,下面介绍一下: 角色授权:授权代码需要加ROLE_前缀,controller上使用时不要加前缀 权限授权:设置和使用时,名称保持一至即可 使用,moc...
【第1期】SpringSecurity基于角色和权限的细粒度接口权限控制
最新发布
朱晓龙的博客
12-13 1175
从零到一开发上线前后端资源平台,技术栈:Springboot+SpringSecurity+RSA+JWT+Redis+VUE
SpringSecurity用法
09-16
下面是Spring Security的一些常用用法: 1. 配置认证: 在Spring Security,可以通过配置类继承 WebSecurityConfigurerAdapter 来定义认证规则。可以通过重写 configure(AuthenticationManagerBuilder auth) ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值