spring security 3.0 的 用户详细信息的 session 扩展 (基于rapid framework)

最新推荐文章于 2023-04-24 14:12:58 发布
最新推荐文章于 2023-04-24 14:12:58 发布
阅读量581 收藏
点赞数

applicationContext-security.xml:

 

复制代码
<? xml version="1.0" encoding="UTF-8" ?>
< beans  xmlns ="http://www.springframework.org/schema/beans"  xmlns:s ="http://www.springframework.org/schema/security"
    xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation ="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd"
    default-autowire ="byType"  default-lazy-init ="true" >

     < description > 使用SpringSecurity的安全配置文件 </ description >

     <!--  http安全配置  -->
     < s:http  auto-config ="true"  access-decision-manager-ref ="accessDecisionManager" >
         < s:form-login  login-page ="/pages/Login/login.do"   />
         < s:logout  logout-success-url ="/"   />
         < s:remember-me  key ="ssss"   />
     </ s:http >
    <!-- 自定义成功和失败处理器,AppSessionSuccessHandler中设置了session -->
     < bean  id ="appSessionProcessingFilter"  class ="org.springframework.security.web.authentication.UsernamePasswordAuthenticationProcessingFilter" >  
         < s:custom-filter  before ="AUTHENTICATION_PROCESSING_FILTER"   />
         < property  name ="authenticationFailureHandler" >  
             < bean  class ="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler" >  
                 < property  name ="defaultFailureUrl"  value ="/pages/Login/login.do?error=true" />  
             </ bean >  
         </ property >  
         < property  name ="authenticationSuccessHandler" >  
             < bean  class ="javacommon.base.AppSessionSuccessHandler" >  
                 < property  name ="defaultTargetUrl"  value ="/" />  
             </ bean >  
         </ property >
     </ bean >    

     <!--  认证配置  -->
     < s:authentication-provider  user-service-ref ="userDetailsService" >
         <!--  可设置hash使用sha1或md5散列密码后再存入数据库  -->
         < s:password-encoder  hash ="plaintext"   />
     </ s:authentication-provider >

     <!--  项目实现的用户查询服务  -->
     < bean  id ="userDetailsService"  class ="com.awd.service.UserDetailServiceImpl"   />

     <!--  重新定义的FilterSecurityInterceptor,使用databaseDefinitionSource提供的url-授权关系定义  -->
     < bean  id ="filterSecurityInterceptor"  class ="org.springframework.security.web.access.intercept.FilterSecurityInterceptor" >
         < s:custom-filter  before ="FILTER_SECURITY_INTERCEPTOR"   />
         < property  name ="accessDecisionManager"  ref ="accessDecisionManager"   />
         < property  name ="objectDefinitionSource"  ref ="databaseDefinitionSource"   />
     </ bean >

     <!--  DefinitionSource工厂,使用resourceDetailService提供的URL-授权关系.  -->
     < bean  id ="databaseDefinitionSource"  class ="javacommon.base.DefinitionSourceFactoryBean" >
         < property  name ="resourceDetailService"  ref ="resourceDetailService"   />
     </ bean >
    
     <!--  项目实现的URL-授权查询服务  -->
     < bean  id ="resourceDetailService"  class ="com.awd.service.ResourceDetailServiceImpl"   />

     <!--  授权判断配置, 将授权名称的默认前缀由ROLE_改为A_.  -->
     < bean  id ="accessDecisionManager"  class ="org.springframework.security.access.vote.AffirmativeBased" >
         < property  name ="decisionVoters" >
             < list >
                 < bean  class ="org.springframework.security.access.vote.RoleVoter" >
                     < property  name ="rolePrefix"  value ="A_"   />
                 </ bean >
                 < bean  class ="org.springframework.security.access.vote.AuthenticatedVoter"   />
             </ list >
         </ property >
     </ bean >
</ beans >
复制代码

 

 

AppSessionSuccessHandler:

 

复制代码

package javacommon.base;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.security.web.savedrequest.SavedRequest;
import org.springframework.security.web.util.RedirectUtils;
import org.springframework.transaction.annotation.Transactional;
import org.springframework.util.StringUtils;

import com.awd.dao.UsersDao;
import com.awd.model.Users;

@Transactional(readOnly = true)
public class AppSessionSuccessHandler extends
        SavedRequestAwareAuthenticationSuccessHandler {

    @Autowired
    private UsersDao usersDao;

    public void onAuthenticationSuccess(HttpServletRequest request,
            HttpServletResponse response, Authentication authentication)
            throws ServletException, IOException {

        SavedRequest savedRequest = getSavedRequest(request);

        if (savedRequest == null) {
            super.onAuthenticationSuccess(request, response, authentication);

            return;
        }

        if (isAlwaysUseDefaultTargetUrl()
                || StringUtils.hasText(request
                        .getParameter(getTargetUrlParameter()))) {
            removeSavedRequest(request);
            super.onAuthenticationSuccess(request, response, authentication);

            return;
        }

        // 参考Lingo 的Spring security 3.0文档 附录 C. Spring Security-3.0.0.M1

        HttpSession session = request.getSession();
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
        Users currentUser = usersDao.findByUnique("loginname", userDetails.getUsername().toString());
        session.setAttribute("currentUser", currentUser);

        // Use the SavedRequest URL
        String targetUrl = savedRequest.getFullRequestUrl();
        logger.debug("Redirecting to SavedRequest Url: " + targetUrl);
        RedirectUtils.sendRedirect(request, response, targetUrl,
                isUseRelativeContext());

    }

    private SavedRequest getSavedRequest(HttpServletRequest request) {
        HttpSession session = request.getSession(false);

        if (session != null) {
            return (SavedRequest) session
                    .getAttribute(SavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY);
        }

        return null;
    }

    private void removeSavedRequest(HttpServletRequest request) {
        HttpSession session = request.getSession(false);

        if (session != null) {
            logger.debug("Removing SavedRequest from session if present");
            session
                    .removeAttribute(SavedRequest.SPRING_SECURITY_SAVED_REQUEST_KEY);
        }
    }
}

复制代码

 

 

 

UserDetailServiceImpl.java

 

复制代码
package  com.awd.service;

 import  java.util.HashSet;
 import  java.util.Set;

 import  org.springframework.beans.factory.annotation.Autowired;
 import  org.springframework.dao.DataAccessException;
 import  org.springframework.security.core.GrantedAuthority;
 import  org.springframework.security.core.authority.GrantedAuthorityImpl;
 import  org.springframework.security.core.userdetails.UserDetails;
 import  org.springframework.security.core.userdetails.UserDetailsService;
 import  org.springframework.security.core.userdetails.UsernameNotFoundException;
 import  org.springframework.transaction.annotation.Transactional;

 import  com.awd.dao.UsersDao;
 import  com.awd.model.Authorities;
 import  com.awd.model.Roles;
 import  com.awd.model.Users;


 /**
 * 实现SpringSecurity的UserDetailsService接口,实现获取用户Detail信息的回调函�数.
 * 
 *  @author  calvin  edit by meetrice
  */
@Transactional(readOnly  =   true )
 public   class  UserDetailServiceImpl  implements  UserDetailsService {
    
    
    @Autowired
     private  UsersDao usersDao;

     /**
     * 获取用户Detail信息的回调函�数.
      */
     public  UserDetails loadUserByUsername(String userName)  throws  UsernameNotFoundException, DataAccessException {

        Users users  =  usersDao.findByUnique( " loginname " , userName);
         if  (users  ==   null )
             throw   new  UsernameNotFoundException( " 用户 "   +  userName  +   "  不存在 " );

        GrantedAuthority[] grantedAuths  =  obtainGrantedAuthorities(users);
         //  无以下属性,暂时全部设为true.
         boolean  enabled  =   true ;
         boolean  accountNonExpired  =   true ;
         boolean  credentialsNonExpired  =   true ;
         boolean  accountNonLocked  =   true ;

        org.springframework.security.core.userdetails.User userdetail  =   new  org.springframework.security.core.userdetails.User(
                users.getLoginname(), users.getPassword(), enabled, accountNonExpired, credentialsNonExpired,
                accountNonLocked, grantedAuths);

         return  userdetail;
    }

     /**
     * 获得用户所有角色的权限.
      */
     private  GrantedAuthority[] obtainGrantedAuthorities(Users user) {
        Set < GrantedAuthority >  authSet  =   new  HashSet < GrantedAuthority > ();
         for  (Roles role : user.getRoles()) {
             for  (Authorities authority : role.getAuthorities()) {
                authSet.add( new  GrantedAuthorityImpl(authority.getName()));
            }
        }
         return  authSet.toArray( new  GrantedAuthority[authSet.size()]);
    }
}
转载自 http://www.cnblogs.com/meetrice/archive/2009/08/04/1538441.html
_清晨
关注
Spring Security 自定义登录Session配置
CodingGoat
02-18 2027
有这样一个需求,一个账号只能在一个客户端浏览器上登录,如果同样的账号在别的客户端浏览器上登录的话,之前的登录需要被踢下去
Spring web Mvc framework 原文
houchangxi的专栏
05-27 820
13.1. Introduction Spring's Web MVC framework is designed around a DispatcherServlet that dispatches requests to handlers, with configurable handler mappings, view resolution, locale a...
【学习记录】Spring Security中对认证用户信息的扩展
qq_44701342的博客
04-14 453
【学习记录】Spring Security中对认证用户信息的扩展 参考文章 spring security 扩展User,自定义User字段 Spring SecuritySession中的值和修改userDetails Spring Security 实现UserDetails 简易扩展 (转)SpringSecurity扩展User类,获取Session ...
SpringSecurity用户认证扩展配置——囊括登陆成功或失败处理器的相关配置原理及示例——从0到1教会方法自行学习
Alascanfu的博客
02-19 1349
本篇内容:SpringSecurity用户认证扩展配置——囊括登陆成功或失败处理器的相关配置原理及示例——从0到1教会方法自行学习 文章专栏:前后端分离项目(Vue + SpringBoot) 最近更新:2022年2月18日 如何理解SpringSecurity用户登录所需信息以及配置原理——源码学习——从0到1教会方法自行学习 个人简介:一只二本院校在读的大三程序猿,本着注重基础,打卡算法,分享技术作为个人的经验总结性的博文博主,虽然可能有时会犯懒,但是还是会坚持下去
security登录信息在session中的操作
Bruce_Json的博客
09-10 1414
一、共享用户权限信息 首先每个请求过来都就会去判断是否需要做session共享信息 如果需要session共享用户信息,如果需要就用Attribute做共享 key为SPRING_SECURITY_CONTEXT 二、获取用户权限信息 每个请求都会先去走loadContext来获取权限 如果系统做了session持久化,那么当系统重启后,用户请求过来会自动去session中获取用户权限 具体实现就是从之前共享到session中的信息获取 三、退出登录使session失效 ...
spring boot小说网站系统 毕业设计源码论文+答辩PPT
TOT_dddd的博客
11-05 4301
管理员账户的基本信息管理。主要提供管理员账户的基本信息录入、删除、维护和查询等功能,包括: 管理员录入管理员账户基本信息; 管理员更新、增加及删除管理员账户基本信息; 用户根据管理员账户 ID 查询基本信息; 系统管理员更改个人密码; 留言的基本信息管理。主要提供留言的基本信息录入、修改和查询功能,包括: 用户录入留言基本信息; 管理员更新、增加及删除留言基本信息; 评论的基本信息管理。主要提供评论的基本信息录入、修改和查询功能,包括: 用户录入评论基本信息; 管理员更新、增加及删除评论基本信息; ……
SpringBoot
最新发布
weixin_52114888的博客
04-24 1074
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化Spring应用的初始搭建以及开发过程。使用springboot以后,搭建一个spring应用和开发变得很简单该框架使用了特定的方式(继承starter,约定优先于配置)来进行配置,从而是开发人员不再需要定义样板的配置。通过这种方式,Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。
SpringBoot详解
qq_34124252的博客
08-09 2万+
Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。......
使用Spring Boot实现个人博客简单展示
weixin_42543839的博客
07-12 1168
什么是Spring Boot Spring Boot是由Pivotal团队提供的全新框架,其设计目的是用来简化新Spring应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置,从而使开发人员不再需要定义样板化的配置。通过这种方式,Spring Boot致力于在蓬勃发展的快速应用开发领域(rapid application development)成为领导者。 简介 使用Spring Boot实现个人博客登录,增删改查,分页等功能 目录 代码实现 pom.xml <?xml version
Spring Security基本框架之登录数据保存
大后生大大大的博客
11-12 3022
SecurityContextHolder
springside3使用cas认证
evan_min的专栏
11-09 87
最近刚开始接触springside3,使用它写一个小的web应用,这个框架写起来感觉是要比appfuse1.9.4好一些,感觉干净不少,写起来也很清晰。 因为是学校的应用,所以我要使用统一认证系统,我们学校的统一认证系统是基于CAS的,所以就涉及到CAS和Springside3的集成问题,其实就是和Spring Security2.0.4集成。 具体方法,修改application...
Spring Security OAuth2.0认证授权五:用户信息扩展到jwt
皮球
08-31 924
Spring Security OAuth2.0认证授权五:用户信息扩展到jwt
spring security 扩展User,自定义User字段
hwt_211博客
12-05 8010
Spring security中的系统的User只有username,password,enabled等几个属性,但是我们实际应用中对应的User肯定需要很多自定义的字段,比如说年龄,真实姓名,部门等字段,下面我们针对spring security的user进行自定义操作:   说明:为了简便,我们就只建立一个表,表中包括权限和用户信息,按正常情况应该要建立一个用户表,一个权限表以及一个中间表
spring security 获取用户信息
热门推荐
neweastsun的专栏
02-19 3万+
spring security 获取用户信息 本文描述在spring security中如何获取用户信息。分别介绍几种常用的方法实现。 通过Bean获取用户 获取当前认证用户(authenticated principal)最简单的方式是通过SecurityContextHolder类的静态方法: Authentication authentication = SecurityCo...
手把手教你搞定权限管理,结合Spring Security实现接口的动态权限控制!
macrozheng的专栏
02-25 1万+
权限控管理作为后台管理系统中必要的功能,mall项目中结合Spring Security实现了基于路径的动态权限控制,可以对后台接口访问进行细粒度的控制,今天我们来讲下它的后端实现原理。...
springsecurity扩展自定义user UserDetail Authentication
sinat_35747438的博客
06-20 1996
1、创建一个UserInfo对象,作为扩展的User,扩展了id,storeId,username import lombok.Data; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.userdetails.User; import java.util.Collection; @Data public class UserInfo extends U
SpringSecurity 3.0:入门与集成Spring 3.0教程
SpringSecurity 3.0 是一个强大的基于Spring框架的高级安全模块,它整合了Spring AOP(面向切面编程)和Servlet过滤器技术,提供全面的身份验证和授权解决方案。它在Web请求处理和方法调用层面实现了安全功能,充分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值