spring security实践

最新推荐文章于 2024-05-06 09:25:44 发布
最新推荐文章于 2024-05-06 09:25:44 发布
阅读量737 收藏
点赞数
分类专栏: My Projects 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/paristao/article/details/38367675
版权

参考资料 documentation doc

web.xml启用spring的filter

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

servlet默认是jsp页面,如果改用html,需要添加filter mapping 

    <servlet-mapping> 
		<servlet-name>jsp</servlet-name> 
		<url-pattern>*.html</url-pattern> 
	</servlet-mapping>

配置拦截路径,如下用 /** 会拦截所有资源,包括js等静态资源,即使在spring-config.xml中取消了拦截。我这里改用了 /* 配置。

<http>
  <intercept-url pattern="/**" access="ROLE_USER" />
  <form-login />
  <logout />
</http>
如果这时候启动,会提示缺少ROLE_USER的声明,需要增加用户配置。 

<authentication-manager>
  <authentication-provider>
    <user-service>
      <user name="jimi" password="jimispassword" authorities="ROLE_USER, ROLE_ADMIN" />
      <user name="bob" password="bobspassword" authorities="ROLE_USER" />
    </user-service>
  </authentication-provider>
</authentication-manager>

这时就可以启动浏览器了,发现浏览器会自动跳到spring生成的jsp

关于这个登录页,doc中说明了是spring自动生成的,当然如果指定了登陆页就不会跳转到spring_security_login这个页面了


指定自定义的login,由于饮用了资源文件,先取消资源文件的拦截

<span style="white-space:pre">	</span><security:http pattern="**.jpg" security="none" />
	<security:http pattern="**.png" security="none" />
	<security:http pattern="**.gif" security="none" />
	<security:http pattern="**.css" security="none" />
	<security:http pattern="**.js" security="none" /> 
<security:form-login
        	login-page="/login.html"
        />
login.html 就是我自己的登陆页,重启server,效果如下。


实际情况中,肯定需要自定义登录控制

customized user service

  <authentication-manager>
    <authentication-provider user-service-ref='myUserDetailsService'/>
  </authentication-manager>

DB控制 

<authentication-manager>
  <authentication-provider>
    <jdbc-user-service data-source-ref="securityDataSource"/>
  </authentication-provider>
</authentication-manager>
声明具体的实现类,db方式就是spring中的datasource 

<authentication-manager>
  <authentication-provider user-service-ref='myUserDetailsService'/>
</authentication-manager>

<beans:bean id="myUserDetailsService"
    class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
  <beans:property name="dataSource" ref="dataSource"/>
</beans:bean>

MD5加密 

<password-encoder ref="bcryptEncoder"/>
记住用户 

<remember-me key="myAppKey"/>
https证书另外添加配置 

<http>
  <intercept-url pattern="/secure/**" access="ROLE_USER" requires-channel="https"/>
  <intercept-url pattern="/**" access="ROLE_USER" requires-channel="any"/>
  ...
</http>
  <port-mappings>
    <port-mapping http="9080" https="9443"/>
  </port-mappings>

session失效跳转 

<http>
  ...
  <session-management invalid-session-url="/invalidSession.htm" />
</http>
退出时清理session 

<http>
  <logout delete-cookies="JSESSIONID" />
</http>

暂且到这里





空山灵雨_tsj
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security代码实践
qq_40151840的博客
03-01 164
Spring Security代码实践 一、Spring Security简介 1.什么是Spring Secutity?有何特别之处? Spring Security的官方介绍(译版)如下: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。 Spring Security是一个框架,致力于为Java应用程序提供...
初步理解Spring Security实践
north hunter
05-31 465
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。&lt;dependency&gt; &lt;!-- 由于我使用的spring boot所以我是引入spring-bo...
Spring Security基础教程:从入门到实战
最新发布
Yaml4的博客
05-06 1234
无论你选择以何种方式进行身份验证--是使用 Spring Security 提供的机制和提供商,还是与容器或其他非 Spring Security 身份验证机构集成--你都会发现授权服务可以以一致而简单的方式在你的应用程序中使用。在上面的示例中,都是基于配置文件进行用户的配置角色的设置,都是静态的信息,而实际工作中,都是需要从数据库中进行查询的。当环境中引入上面的依赖后,默认情况会对所有的请求都进行拦截,同时启动服务时会输出随机密码,而用户则默认是"user"。推荐订阅精彩专栏 👇🏻 避免错过下次更新。
Spring Security实践
superwind
08-23 333
Spring Security提供Basic Auth的鉴权方式,在一些涉及敏感信息的场景,例如应用监控等,可引入使用。 1. 配置依赖 org.springframework.boot spring-boot-starter-security 2. properties或yml文件配置相关参数 #开关 management: security: enabled:
Spring Security 应用实践
qq_38454776的博客
01-19 318
概述 Spring SecuritySpring 在安全方面的推出的框架,是采用责任链的设计模式,基于 Spring AOP 和 Servlet 过滤器进行实现。这篇文章记录认证授权的一些概念,以及如何使用其进行扩展保护我们的应用。 认证与授权的概念 认证:我是谁 授权:有哪些访问权限 在系统安全方面,我们面临的两个问题是: 1、如何保护需要访问权限的资源? 在 Java 中我们一般使用过滤器对我们的资源进行保护,使用拦截器对方法的访问进行控制。 2、用户的登录状态要如何传递? 如何让服务器意识到
我的SpringSecurity实践
04-03
《我的SpringSecurity实践SpringSecurity是Java领域中一个强大的安全框架,主要用于处理Web应用程序的安全问题,如身份验证、授权等。这篇博文的作者通过实际操作分享了他在使用SpringSecurity时的经验,虽然...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
spring security 官方文档
10-08
Spring Security的官方文档中,包含了详细的配置指南、API参考、示例代码和最佳实践,帮助开发者深入理解并有效使用这个框架。例如,5.1版本的新特性包括对Servlet和WebFlux的支持增强,以及与其他第三方库的集成...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话...通过深入学习和实践,我们可以更好地掌握SpringSecurity,为我们的应用构建坚固的安全防线。
SpringSecurity素材.rar
03-02
SpringSecurity是Java领域中一款强大的安全框架,专为SpringSpring Boot应用设计,提供全面的安全管理解决方案。...学习SpringSecurity时,理解其核心原理并结合实际项目进行实践,是掌握这个框架的关键。
Spring Security 最佳实践,看了必懂!
m0_71777195的博客
09-07 379
编写类,实现PasswordEncoder 接口/*** 凭证匹配器,用于做认证流程的凭证校验使用的类型* 其中有2个核心方法* 1. encode - 把明文密码,加密成密文密码* 2. matches - 校验明文和密文是否匹配* *//*** 加密* @param charSequence 明文字符串* @return*/@Overridetry {return "";}}/*** 密码校验* @param charSequence 明文,页面收集密码。
springsecurity的工作原理
qq_39368007的博客
01-02 770
结构总览 Spring Security所解决的问题就是安全访问控制, 而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。 根据前边知识的学习,可以通过Filter或AOP等技术来实现, Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。 当初始化Spring Security时,会创建一个名为SpringSecurityFilterChain 的Servle
SpringSecurity安全框架实践
m0_46103359的博客
04-13 129
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
SpringSecurity实践:小型且安全的Web应用程序
冲出仁川,走出马德里,故事还会再继续
02-18 1530
SpringSecurity实践:小型且安全的Web应用程序1、项目需求和设置1.1 项目需求1.2 开发前的准备2、实现用户管理2.1 实现步骤2.2 为每个PasswordEncoder注册一个bean2.3 User实体类2.4 Authority实体2.5 User实体的Spring Data存储库定义2.6 UserDetails接口的实现2.7 UserDetailsService接口的实现3、实现自定义身份验证逻辑3.1 实现AuthenticationProvider3.2 在配置类中注册A
Spring Security开发实践
分享开发、架构设计、容器、云原生、大数据、人工智能等等
12-27 1143
从零开始详细介绍了Spring Security的工作原理和开发实践过程,包括基于内存和数据库的用户认证、自定义用户认证、基于URL地址和访问级别的授权、密码编码、加密模块、默认过滤器链、自定义过滤器、自定义认证和动态授权的开发实践、自定义异常处理、单元测试、自定义登录和登出页面等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值