[Spring实战系列] - No.10 Spring Security基于XML的简单登录例子

最新推荐文章于 2024-07-01 10:00:31 发布
最新推荐文章于 2024-07-01 10:00:31 发布
阅读量1.5k 收藏 2
点赞数 1
分类专栏: Spring 文章标签: Java Spring Security XML配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tjuyanming/article/details/62227617
版权

这篇文章开始,我们会进入Spring Security部分。大概会有三到四篇文章来介绍Security部分,在这篇文章中,我们会使用XML配置的方式来配置一个简单的Spring Security登录的例子,感受一下什么是Spring Security,我们怎么使用Spring Security。

1. 什么是Spring Security?

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。什么叫Web请求级别和方法调用级别呢?就会当我们通过Controller发送一个请求或者我们的DispatcherSevlet接受到一个请求的时候,我们使用Spring Security 事先声明好的filter,来拦截所有的请求,判断用户是否有权访问该资源。所以,我们会在Spring Security中用到依赖注入和切面编程(AspectJ)的技术。

Spring Security借助一系列Servlet Filter来提供各种安全性功能。我们只需在web.xml配置一个Filter就可以了。DelegatingFilterProxy是一个特殊的Servlet Filter,它本身所做的工作并不多。只是将工作委托给一个javax.servlet.Filter实现类,这个实现类作为一个<bean>注册在Spring应用的上下文中


2. 一个简单的Spring Security登录例子:

首先我们新建Maven项目,过程和前面文章相同,新建后的项目结构如下:


完善你的pom.xml中的依赖:

<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
  <modelVersion>4.0.0</modelVersion>
  <groupId>com.example</groupId>
  <artifactId>SpringSecurity</artifactId>
  <packaging>war</packaging>
  <version>1.0-SNAPSHOT</version>
  <name>SpringSecurity Maven Webapp</name>
  <url>http://maven.apache.org</url>
  <dependencies>
    <dependency>
      <groupId>junit</groupId>
      <artifactId>junit</artifactId>
      <version>3.8.1</version>
      <scope>test</scope>
    </dependency>
      <!-- ... other dependency elements ... -->
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-core -->
    <!-- https://mvnrepository.com/artifact/org.springframework/spring-core -->
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-core</artifactId>
      <version>4.3.3.RELEASE</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework/spring-webmvc -->
    <dependency>
      <groupId>org.springframework</groupId>
      <artifactId>spring-webmvc</artifactId>
      <version>4.3.2.RELEASE</version>
    </dependency>

    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-core</artifactId>
      <version>4.0.4.RELEASE</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-web -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>4.1.3.RELEASE</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-config -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>4.0.3.RELEASE</version>
    </dependency>
    <!-- https://mvnrepository.com/artifact/javax.servlet/jstl -->
    <dependency>
      <groupId>javax.servlet</groupId>
      <artifactId>jstl</artifactId>
      <version>1.2</version>
    </dependency>


  </dependencies>
  <build>
    <finalName>SpringSecurity</finalName>
  </build>
</project>

作为Spring项目,首先就要有一个DispatcherServlet对吧?配置你的DispatcherServlet.xml

<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
        http://www.springframework.org/schema/beans
        http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
        http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context-4.0.xsd">

    <context:component-scan base-package="Hello" />

    <bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="prefix">
            <value>/WEB-INF/</value>
        </property>
        <property name="suffix">
            <value>.jsp</value>
        </property>
    </bean>

</beans>
我们将Spring Security的配置均放在security.xml中: 

<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans
	http://www.springframework.org/schema/beans/spring-beans-4.0.xsd
	http://www.springframework.org/schema/security
	http://www.springframework.org/schema/security/spring-security-4.0.xsd">

    <http auto-config="true">
        <intercept-url pattern="/admin**" access="hasRole('ROLE_USER')" />
        <logout logout-url="/logout" logout-success-url="/logoutPage" invalidate-session="true"/>
        <csrf disabled="true" />
    </http>

    <authentication-manager>
        <authentication-provider>
            <user-service>
                <user name="yanming" password="123" authorities="ROLE_USER" />
            </user-service>
        </authentication-provider>
    </authentication-manager>

</beans:beans>
我们来解释一下这段代码:

1.http auto-config:默认的策略进行访问控制,包括一个默认的访问登录界面(我们在这个项目中并没有提供登陆的界面,稍后会说到)

2.authentication-manager:认证管理器负责确定用户的身份,认证管理器由AuthenticationManager接口定义,这里我们就用了缓存的用户信息
3.intercept-url pattern :通过pattern指定当前intercept-url定义应当作用于哪些url。

4.logout:匹配我们退出登录的url 在我们的Spring Security4.x中,我们需要关闭csrf才能够使用/logout。

web.xml中配置filter以及servlet:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://java.sun.com/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
          http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
         version="3.0">

  <display-name>Spring MVC Application</display-name>

  <!-- Spring MVC -->
  <servlet>
    <servlet-name>DispatcherServlet</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <init-param>
      <!--Sources标注的文件夹下需要新建一个spring文件夹-->
      <param-name>contextConfigLocation</param-name>
      <param-value>/WEB-INF/DispatcherServlet.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>DispatcherServlet</servlet-name>
    <url-pattern>/</url-pattern>
  </servlet-mapping>


  <listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener
    </listener-class>
  </listener>

  <!-- Loads Spring Security config file -->
  <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
      /WEB-INF/security.xml
    </param-value>
  </context-param>

  <!-- Spring Security -->
  <filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
  </filter>

  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
在Hello包中定义HelloController: 

package Hello;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.servlet.ModelAndView;

/**
 * Created by YanMing on 2017/3/15.
 */
@Controller
public class HelloController {
    @RequestMapping(value = {"/" ,"/welcome"},method = RequestMethod.GET)
    public ModelAndView homePage(){
        ModelAndView modelAndView = new ModelAndView();
        modelAndView.addObject("title","Hello world");
        modelAndView.setViewName("home");
        return modelAndView;
    }

    @RequestMapping(value = {"/logoutPage"},method = RequestMethod.GET)
    public ModelAndView logoutPage(){
        ModelAndView modelAndView = new ModelAndView();
        modelAndView.setViewName("logout");
        return modelAndView;
    }

    @RequestMapping(value = "/admin",method = RequestMethod.GET)
    public ModelAndView adminPage(){
        ModelAndView modelAndView = new ModelAndView();
        modelAndView.addObject("title","Please log in");
        modelAndView.setViewName("admin");
        return modelAndView;
    }
}
三个映射很简单,返回三个modelandview对象,匹配对应url同时返回相应的jsp文件。

在WEB-INF中定义jsp文件:

admin.jsp:

<%--
  Created by IntelliJ IDEA.
  User: YanMing
  Date: 2017/3/14
  Time: 21:31
  To change this template use File | Settings | File Templates.
--%>
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@page session="true"%>
<html>
<body>
<h1>Title:${title}</h1>

<c:if test="${pageContext.request.userPrincipal.name != null}">
    <h2>Welcome:${pageContext.request.userPrincipal.name}
        |<a href="<c:url value="/logout" />" > Logout</a></h2>
</c:if>
</body>
</html>
home.jsp: 

<%--
  Created by IntelliJ IDEA.
  User: YanMing
  Date: 2017/3/15
  Time: 14:51
  To change this template use File | Settings | File Templates.
--%>
<%@page session="false"%>
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<body>
<h1>Title:${title}</h1>
<a href="<c:url value="/admin" />" >Login</a></h2>
</body>
</html>
logout.jsp(对应退出成功以后的页面): 

<%--
  Created by IntelliJ IDEA.
  User: YanMing
  Date: 2017/3/15
  Time: 15:43
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <h1>Logout Successfully!</h1>
</head>
<body>

</body>
</html>

配置Tomcat,不会配置的同学点击之前文章

然后在页面中输入localhost:8080

点击Login:

输入 yaming 123 登录

点击Logout


至此,一个简单的Spring Security的登录例子就写完了。在下一篇文章中,我们会开始使用数据库来存储我们的用户名密码。所以,我会重新使用Java 来配置Spring Security。不过,xml的配置过程显得很清晰,理解起来也很简单。同时下篇文章我也会详细的讲解Spring Security的核心部分以及具体过程。


本文Github源码下载


P.S. 文章不妥之处还望指正










ObsessionLife
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security xml方式配置
03-12
spring mvc+spring security+自定义form表单+验证码+bootstrap
XML操作举例→实现用户登录
lanchengxiaoxiao的专栏
06-08 1811
XmlUtils.java package cn.zyw.utils; import java.io.File; import java.io.FileNotFoundException; import java.io.FileOutputStream; import java.io.UnsupportedEncodingException; import org.dom
基于 XML 配置 Spring Security
最新发布
FireFox1997
07-01 477
Java开发中,Spring Security 是一个强大的安全框架,用于保护基于Spring的应用程序。本文将详细介绍如何使用基于XML配置配置Spring Security,提供一个简单的认证和授权示例来保护应用程序。
spring集成spring-security安全框架,支持访问数据库(基于xml形式)
LAOSAN41的博客
04-14 422
spring集成spring-security安全框架(基于xml形式) 一、spring-security简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 二、入门项目 首先创建spring boot项目spring-se
SpringBoot3】Spring Security 详细使用实例(简单使用、JWT模式)
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 3298
Spring Security 使用起来非常简单,只要引入相关依赖包,然后增加注解`@EnableWebSecurity`就可以。同时提供了丰富的扩展点,可以让你自定义权限校验策略。 常见的使用场景分两类: 1. 有session模式,通常是前端不分离的项目,使用cookie + session 模式存储以及校验用户权限; 2. 无session模式,通常是前后端分离项目,使用Jwt形式的Token校验权限
官方完整包 spring-framework-5.3.8.RELEASE-dist.zip
06-11
- **spring-5.3.8-schema.zip**:这个文件可能包含了Spring框架中XML配置的XSD(XML Schema Definition)文件,这些文件定义了Spring配置文件的结构和约束,对于理解和编写XML配置文件非常有帮助。 总的来说,...
官方完整包 spring-framework-5.3.7.RELEASE-dist.zip
05-18
5.3.7.RELEASE是Spring Framework的一个稳定版本,包含了一系列的增强功能和性能优化。本压缩包“spring-framework-5.3.7.RELEASE-dist.zip”是官方发布的完整包,旨在提供所有必要的组件和文档,便于开发者下载和...
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
在本示例中,"spring-security-project.zip" 提供了一个基于RBAC(Role-Based Access Control)权限模型的演示项目。RBAC是一种常用的权限管理机制,它通过角色将权限与用户关联,使得权限管理更加灵活和安全。 ...
最新版完整包 spring-5.3.9.RELEASE-dist.zip
07-19
10. **Spring 安全**:Spring Security 是一个强大的安全框架,可以用来保护 Spring 应用免受各种安全威胁,如认证、授权等。 11. **Spring Batch**:对于批量处理和工作流任务,Spring Batch 提供了一个全面的解决...
官方原版spring-framework-4.3.18.RELEASE.zip
06-13
Spring Framework 4.3.18.RELEASE中,开发者还可以利用Spring Security进行身份验证和授权,保护应用程序免受攻击。Spring Integration则提供了异步处理和企业服务总线(Enterprise Service Bus,ESB)功能,促进...
Spring Security 配置实例XML文件
06-13
Spring Security 配置实例XML文件
XML模拟登陆页面的案例
YAO的专栏
12-28 515
using System; using System.Collections.Generic; using System.ComponentModel; using System.Data; using System.Drawing; using System.Linq; using System.Text; using System.Windows.Forms; using Sy
spring security xml配置详解
Nancy_8_的博客
10-20 649
 spring security xml配置详解(拷贝大神)    security 3.x &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.sp...
Spring Security——基于XML配置
戏拈秃笔的博客
11-23 1290
Spring Security(安全框架,必须登录成功才能访问指定资源)
springsecurity生成图形验证码并校验
足迹人生的博客
01-07 845
springsecruity生成图形验证码并校验
SSM项目集成Spring Security 4.X版本(使用spring-security.xml 配置文件方式)
u011529483的博客
01-22 1409
实战目标: Authentication:认证,实现用户认证登录 Authorization:授权,设定用户的资源,访问权限。
Spring Security基于xml配置
weixin_45380902的博客
07-21 1330
引入坐标 web.xml配置 配置spring secruity 过滤器 ![注意这里的filter-name 必须是这个名字](https://img-blog.csdnimg.cn/20200721160626265.png) 配置Spring Listenter 配置SpringMVC 前端控制器 配置spring-security.xml ...
Spring Security参考指南4.1.1.RELEASE
"Spring Security Reference 4.1.1.RELEASE" Spring Security 是一个强大的和高度可定制的身份验证和授权框架,适用于Java企业级应用程序。它为保护基于Spring的应用程序提供了全面的安全解决方案。此文档详细介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值