springsecurity oauth2.0 spring mvc集成spring security 3

已于 2023-08-04 09:47:26 修改
阅读量3.5k 收藏 9
点赞数 2
分类专栏: spring security oauth 分布式认证授权 文章标签: spring mvc java
于 2021-07-31 19:22:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011066470/article/details/119280237
版权

一 spring security介绍

1.1 概述

spring security是一个封装比较完整安全的认证授权框架是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作

1.2 这里注意事项*

1.在WebConfig.java中添加默认请求根路径,跳转到/login,此urlspring security提供。这里的setViewName("redirect:/login"); 跳转到spring security自带的login.jsp页面,进行登录。

springsecurity提供的login页面:

1.3 websecurityconfigure配置文件重要性

见下文2.3章节部分

二 案例

2.1 springmvc基础配置

Spring Security实现了认证和授权,Spring Security提供了基于账号和密码的认证方式,
通过安全配置即可实现请求拦截,授权功能

2.2.1 工程结构

2.2.2 添加pom依赖

security-springmvc 的基础上增加 spring-security 的依赖: 
<!-- spring-security-->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>5.1.4.RELEASE</version>
    </dependency>
   <!-- security-config -->
    <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>5.1.4.RELEASE</version>
    </dependency>

2.2.3 spring容器配置applicationConfig文件


/**
 * @author Administrator
 * @version 1.0
 **/
@Configuration //相当于applicationContext.xml
@ComponentScan(basePackages = "com.ljf.spring.mvc.security"
           //排除@controller注解标注的类,排除我们不希望spring容器加载的类。
            ,excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class ApplicationConfig {
    //在此配置除了Controller的其它bean,比如:数据库链接池、事务管理器、业务bean等。
}

2.2.4 spring容器配置Servlet Context配置文件

package com.ljf.spring.mvc.security.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.FilterType;
import org.springframework.stereotype.Controller;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.config.annotation.InterceptorRegistry;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
import org.springframework.web.servlet.view.InternalResourceViewResolver;

/**
 * @author Administrator
 * @version 1.0
 **/
@Configuration //就相当于springmvc.xml文件
@EnableWebMvc
@ComponentScan(basePackages = "com.ljf.spring.mvc.security"
        ,includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {

    //视频解析器
    @Bean
    public InternalResourceViewResolver viewResolver(){
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setPrefix("/WEB-INF/view/");
        viewResolver.setSuffix(".jsp");
        return viewResolver;
    }
    //让页面初始访问,重定向到login页面,其中login页面是springsecuriy内部嵌套好的
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login");
    }
}

2.2.5 初始化spring容器

init 包下定义 S pring容器初始化类SpringApplicationInitializer ,此类 实现WebApplicationInitializer接口 , Spring容器 启动时加载WebApplicationInitializer接口的所有实现类。 
package com.ljf.spring.mvc.security.init;



import com.ljf.spring.mvc.security.config.ApplicationConfig;
import com.ljf.spring.mvc.security.config.WebConfig;
import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;

/**      在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口,
 *      Spring容器启动时加载WebApplicationInitializer接口的所有实现类。
 * @author Administrator
 * @version 1.0
 **/
public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    //spring容器,相当于加载 applicationContext.xml
    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[]{ApplicationConfig.class};
    }

    //servletContext,相当于加载springmvc.xml
    @Override
    protected Class<?>[] getServletConfigClasses() {
        return new Class[]{WebConfig.class};
    }

    //url-mapping
    @Override
    protected String[] getServletMappings() {
        return new String[]{"/"};
    }
}

2.3 spring security认证配置(里面具有拦截器功能)

2.3.1 *安全配置WebSecurityConfig配置文件***

spring security提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用

2.3.1.1 webSecurityConfig的作用(具有拦截器的作用)

1在config包下定义WebSecurityConfig,安全配置的内容包括:用户信息、密码编码器、安全拦截机制。
2.我们暂时使用InMemoryUserDetailsManager实现类,并在其中分别创建了zhangsan、lisi两个用
户,并设置密码和权限。
3.而在configure()中,我们通过HttpSecurity设置了安全拦截规则,其中包含了以下内容:
(1)url匹配/r/**的资源,经过认证后才能访问。
(2)其他url完全开放。
(3)支持form表单认证,认证成功后转向/login-success。
真实的情况下:在userDetailsService()方法中,我们返回了一个UserDetailsService给spring容器,Spring Security会使用它来获取用户信息。

2.3.1.2 webSecurityConfig的代码实现
截图如下:

代码如下:

package com.ljf.spring.mvc.security.config;

import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.password.NoOpPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;

/**
 * @author Administrator
 * @version 1.0
 **/
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //1.定义用户信息服务(查询用户信息)
    @Bean
    public UserDetailsService userDetailsService(){
        InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
        manager.createUser(User.withUsername("zhangsan").password("123").authorities("p1").build());
        manager.createUser(User.withUsername("lisi").password("456").authorities("p2").build());
        return manager;
    }

    //2.密码编码器
    @Bean
    public PasswordEncoder passwordEncoder(){
        return NoOpPasswordEncoder.getInstance();
    }

    //3.安全拦截机制(最重要)
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/user/r1").hasAuthority("p1") //p1角色具有访问/user/r1读取权限
                .antMatchers("/user/r2").hasAuthority("p2")  //p2角色具有访问/user/r2读取权限
                .antMatchers("/user/**").authenticated()//所有/user/**的请求必须认证通过
                .anyRequest().permitAll()//除了/user/**,其它的请求可以不经过认证,就可以访问
                .and()
                .formLogin()//允许表单登录
                .successForwardUrl("/login-success");//自定义登录成功的页面地址,登录成功跳转的地址

    }
}
2.2.1.3 加载WebSecurityConfifig

 修改SpringApplicationInitializergetRootConfifigClasses()方法,添WebSecurityConfifig.class

 2.3.2   ****Spring Security初始化***

Spring Security 初始化,这里有两种情况:
若当前环境没有使用 Spring Spring MVC ,则需要将 WebSecurityConfifig(Spring Security 配置类 ) 传入超 类,以确保获取配置,并创建spring context
相反 ,若当前环境已经使用spring,我们应该在现有的springContext中注册Spring Security(上一步已经做将 WebSecurityConfifig加载至rootcontext),此方法可以什么都不做。
init 包下定义 SpringSecurityApplicationInitializer 
/**
 * @author Administrator
 * @version 1.0
 **/
public class SpringSecurityApplicationInitializer
        extends AbstractSecurityWebApplicationInitializer {
    public SpringSecurityApplicationInitializer() {
        //super(WebSecurityConfig.class);
    }
}

 2.3.3  ****springsecurity默认的请求路径***

1.在WebConfig.java中添加默认请求根路径,跳转到/login,此urlspring security提供。这里的setViewName("redirect:/login"); 跳转到spring security自带的login.jsp页面,进行登录。

2.代码:

   //页面初始访问,重定向到login页面,其中login页面是springsecuriy内部嵌套好的
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login");
    }

3.如果不设置,将会报404

  2.3.4  ****编写controller***

在安全配置中,认证成功将跳转到 /login-success ,代码如下:
spring security 支持 form 表单认证,认证成功后转向 /login-success 。 在LoginController 中定义 /login-success:

   2.3.5 ****登录页面***

spring security默认提供的登录页面。 springSecurity默认提供认证页面,不需要额外开发。

   2.3.6  ****启动服务测试页面***

1.生成war包

 2.部署tomcat发布

 3.页面访问

页面会根据WebConfifig中addViewControllers配置规则,跳转至/login,/login是spring Security提供的登录页面。

输入正确用户名和密码

输入错误:

退出:

 2.4 spring security授权配置

实现授权需要 对用户的访问进行拦截校验,校验用户的权限是否可以操作指定的资源 Spring Security默认提供授 权实现方法。

2.4.1 添加资源

LoginController 添加 /user/r1 /user/r2

 2.4.2 在安全配置类WebSecurityConfig.java中配置授权规则

antMatchers("/user/r1").hasAuthority("p1") 表示:访问 /user/r1 资源的 url 需要拥有 p1 权限。
.antMatchers("/user/r2").hasAuthority("p2") 表示:访问 /user/r2 资源的 url 需要拥有 p2 权限。

 2.4.3 进行测试

1.用户未登录情况

在用户zhangsan未登录情况下,直接访问资源/user/r1

 在用户zhangsan未登录情况下,直接访问资源/user/r2

2.用户登录情况

登录页面:

登录成功界面:

访问资源r1:

访问资源2:

总结:

1、未登录成功时,访问/user/r1和/user/r2,均跳转到登录页面,进行认证登录
2、登录成功时,访问/user/r1和/user/r2,有权限时则正常访问,否则返回403(拒绝访问)
健康平安的活着
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security安全框架
weixin_66307949的博客
08-02 1583
创建配置类:webSecurityConfigureAdapter(去继承它)(1)查询username、password、validate(用户是否有效)config(HttpSecuritr http):设置访问控制。(2)查询username、authority(权限)布尔类型的字段:用户是否有效。启动项目,自定义进行安全管理(默认的安全管理模式)密码:必须进行加密操作。授权:确定用户的权限,对用户权限进行管理。认证:确认用户是否登录,对登录进行管控。创建工具类(config层)......
spring security 官方文档
10-08
学习spring security最好的资料就是官网pdf,其他的都是浮云。至于你信不信,我反正信了
Spring Security3.0版本
最新发布
c_yanxin_ru的博客
05-30 1170
核心: A >>?>> B?代表判断层,由Security实现这是之前的版本浓缩,现在3.0版本添加了更匹配的内容描写,匹配了mvc模式非mvc模式 核心:client(用户)>> filter(过滤器)>> servlet(业务)mvc模式ps:不要在意图片中的英文,有拼错的。
SpringSecurity框架
Mr_Jin的博客
06-20 4951
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合到SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。 对比Shiro框架来说,配置会更复杂一些,但功能更强大,Shrio安全框架上手快,配置简单。本次项目包含了:redis,mybat
spring-boot集成WebSecurity
zhaoyahui_666的博客
12-13 730
一、注入依赖 org.springframework.boot spring-boot-starter-security 二、编写配置类 import org.springframework.context.annotation.Configuration; import org.springframewo
springboot项目中运行spring security 报 Error creating bean with name 'springSecurityFilterChain'。。。。错误
热门推荐
qq_37736010的博客
03-16 3万+
springboot版本:1.5.9 spring security版本:1.5.9 问题描述: 启动springboot项目,直接编译报错,内容: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'springSecurityFilterChain' define...
Spring Boot 安全管理
weixin_68651384的博客
06-14 1019
针对项⽬的安全管理,Spring家族提供了安全框架Spring Security,它是⼀个基于Spring⽣态圈的,⽤于提供安全 访问控制解决⽅案的框架。为了⽅便Spring Boot项⽬的安全管理,Spring Boot对Spring Security安全框架进⾏了 整合⽀持,并提供了通⽤的⾃动化配置,从⽽实现了Spring Security安全框架中包含的多数安全管理功能,下⾯针 对常⻅的安全管理功能进⾏介绍,具体如下。
spring security + spring oauth2 +spring mvc SSO单点登录需要的最小jar包集合
06-14
Spring SecuritySpring OAuth2 和 Spring MVC 是构建现代Web应用程序中常用的安全框架和技术。Spring Security 提供了一套全面的授权和认证解决方案,而Spring OAuth2 则是用于处理身份验证和授权的服务提供者协议...
Spring-Security2.0 和 3.0中文文档
03-27
Spring Security 3.0 开始引入OAuth支持,允许与其他OAuth提供者进行集成,实现了社交登录等功能,比如通过Google、Facebook账户登录。 6. **AOP(面向切面编程)安全**: 2.0 和 3.0 都支持AOP,可以对方法级别...
spring security oauth2整合的代码汇总,一共包括5个资料
01-26
本代码汇总包含五个资料,将帮助我们深入理解并实践 Spring Security OAuth2 的集成。 1. **springmvc-restful-security-oauth2整合.docx**: 这份文档很可能是关于如何在 Spring MVC 项目中整合 Restful 风格的...
SpringSecurity深度解析与实践(3)
12-23
8. **Spring Security与其他Spring组件的集成**:例如,Spring Security可以无缝集成Spring MVCSpring Data和Spring Cloud。我们将讨论这些集成如何增强应用的安全性。 9. **实战演练**:通过一个实际的项目案例...
基于springsecurity+springmvc+spring+hibernate的权限管理系统(免积分)
01-16
基于springsecurity+springmvc+spring+hibernate的权限管理系统,实现资源、用户、权限、角色的增删改查,角色-资源管理,用户-角色管理等基础功能,可以作为springmvc+spring+hibernate的增删改查入门项目,也可以对spring-security简单了解,界面使用bootstrap3,非常简洁,免积分
Spring Security 3》中文版 张卫滨译
04-25
Spring Security 3》中文版 张卫滨译 译者BLOG: http://lengyun3566.iteye.com/
spring-security-oauth的实现源码
04-11
通过深入研究这些源码,你可以了解Spring Security OAuth如何与Spring Boot、Spring MVC等其他Spring组件集成,以及如何自定义OAuth 2.0的各个步骤,以满足特定的安全需求。这将有助于你在实际项目中安全地实现用户...
Spring Security简单理解
yousun4688的专栏
06-06 986
Spring SecuritySpring Framework的安全认证框架,网上有很多相关资料,原先个人研究的时候,网上很多资料只是笼统的介绍了一下整个流程,当自己去实现认证器的时候感觉懵了,本文参考http://www.spring4all.com/article/443 上面很多讲解的都很详细,这里只是补充一些简单的东西 1 Authentication 很多文章都说使用这个接口进行实...
SpringMVC + security模块 框架整合详解
abcd_d_的专栏
01-08 1万+
最近整理一个二手后台管理项目,整体大体可分为 : Springmvc + mybatis + tiles + easyui + security 这几个模块,再用maven做管理。刚拿到手里面东西实在太多,所以老大让重新整一个,只挑出骨架。不可否认,架构整体规划得还是很好的,尤其是前端界面用tiles+easyui ,开发很高效!其实,之前虽然听说过security,但做过的项目都没用过secur
004springSecurity之配置类中配置用户名密码
lcgskycby的博客
03-03 517
在配置类中配置用户名密码如下: @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean PasswordEncoder passwordEncoder(){ //不加密方式返回 return NoOpPasswordEncoder.getInstance(); } @Override protected void
SpringSecurity中出现的问题 java.lang.IllegalStateException
yhlly_的博客
07-14 5018
org.springframework.beans.factory.BeanCreationException: Error creating bean with name ‘springSecurityFilterChain’ defined in class path resource [org/springframework/security/config/annotation/web/configuration/WebSecurityConfiguration.class]: Bean instan
Spring Security 学习笔记(六)--OAuth2.0
SuperArc1999的博客
01-08 1759
6.1OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息。而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth1.0。即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAuth认证服务,这些足以证明OAuth标准逐渐成为开放资源授权的标准。 OAuth2.0已被广泛应用。 下面是OAuth2.0的认证流程
OAuth 2.0实战指南:Spring Security保护Web应用
作者Adolfo Eloy Nascimento以实际案例和教程的形式展示了如何在Spring Security框架中集成OAuth 2.0,确保Web应用的安全性和用户认证。 书中内容涵盖了以下几个关键知识点: 1. **OAuth 2.0基础**:首先介绍了...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值