读Spring实战(第四版)概括—保护Web应用(Spring Security)

最新推荐文章于 2023-03-25 00:21:40 发布
最新推荐文章于 2023-03-25 00:21:40 发布
阅读量422 收藏
点赞数
分类专栏: Spring 文章标签: Spring Security web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013468915/article/details/81347063
版权
一、前言Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。二、Spring Securit...
摘要由CSDN通过智能技术生成

一、前言

Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架。Spring Security提供了完整的安全性解决方案,它能够在Web请求级别和方法调用级别处理身份认证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入(dependency injection,DI)和面向切面的技术。

二、Spring Security详情

2.1.实现

Spring Security从两个角度来解决安全性问题:使用Servlet规范中的Filter保护Web请求并限制URL级别的访问;使用Spring AOP保护方法调用——借助于对象代理和使用通知,能够确保只有具备适当权限的用户才能访问安全保护的方法。

对于Spring Security来说主要提供的两个安全服务是指:认证(Authentication)和 授权(Authorization);认证是用来确定当前用户,授权是判断一个用户是否有访问某个安全对象的权限。

2.2.Spring Security模块

下面常用的模块包括:配置(config)、核心(core)和Web是必须要的;标签库也是常用的模块。

Spring Security标签库支持的标签包括:

使用方式如下所示:

<http auto-config="true" use-expressions="true">
    <intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')">
</http>

2.3.Spring Security用户认证

Spring Security中提供了多种的用户认证策略,常用的认证策略包括(认证将在后面详细说明过程):

         1.基于内存的用户存储(下面第一个Demo就是基于内存的用户存储)

         2.基于数据库表进行认证(将在后面展示Demo)

         3.基于LDAP进行用户认证(将在后面展示Demo)

三、Spring Security Demo

3.1.基于传统的XML实现

配置SpringSecurity(web.xml), DelegatingFilterProxy是Servlet Filter的代理类,通过这个类可以让Servlet Filter通过Spring来管理。它可以链接任意多个其他的过滤器,根据这些过滤器提供不同的安全特性.

<!-- SpringSecuity配置 -->
<filter>
	<filter-name>springSecurityFilterChain</filter-name>
	<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
	<filter-name>springSecurityFilterChain</filter-name>
	<url-pattern>/*</url-pattern>
</filter-mapping>

SpringSecurity具体配置(spring-security.xml)

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns:beans="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://www.springframework.org/schema/security"
	xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-4.2.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
	<!-- 静态资源不需要安全验证 -->
	<http pattern="/resources/**" security="none"/>

	<http auto-config="true" use-expressions="false">
		<intercept-url pattern="/admin**" access="ROLE_ADMIN" />
		<intercept-url pattern="/user**" access="ROLE_USER" />
		<!-- HTTP基本认证 
		<http-basic/> -->
		<!-- 通过form-login设置自定义的登陆界面
		<form-login/> -->
		<!-- 通过logout设置退出登陆地址等
		<logout/> -->
	</http>

	<authentication-manager>
	  	<authentication-provider>
	    	<user-service>
				<user name="admin" password="admin" authorities="ROLE_ADMIN" />
				<user name="wuxinhui" password="123456" authorities="ROLE_USER" />
	    	</user-service>
	  	</authentication-provider>
	</authentication-manager>
</beans:beans>

在最小化配置中只需要配置<http>节点(对特定的http请求基于安全考虑进行配置)和<authentication-manager>认证管理器。其中http-basic认证是弹出Dialog框进行用户名密码输入而不是完整的页面。

最后就是需要准备相应的controller,如下所示:

@Controller
public class HomeController {
	
	private static final Logger logger = LoggerFactory.getLogger(HomeController.class);
	
	@RequestMapping(value = { "/", "/welcome" }, method = RequestMethod.GET)
	public ModelAndView welcomePage() {

		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security");
		model.addObject("message", "This is welcome page!");
		model.setViewName("hello");
		return model;
	}

	@SuppressWarnings("unused")
	@RequestMapping(value = "/admin", method = RequestMethod.GET)
	public ModelAndView adminPage() {
		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security");
		model.addObject("message", "This is admin page!");
		model.setViewName("admin");
		return model;
	}
	
	@RequestMapping(value = "/user", method = RequestMethod.GET)
	public ModelAndView userPage() {
		ModelAndView model = new ModelAndView();
		model.addObject("title", "Spring Security");
		model.addObject("message", "This is user page!");
		model.setViewName("admin");
		return model;
	}
	
}

项目结构如下所示:

3.2.基于Java配置实现

主要是实现 WebSecurityConfigurerAdapter适配器的类,如下所示。当使用@EnableWebSecurity注解时,其实就可以使用Spring Security,这时Spring Security会生成一串密码(用户名默认是user),例如:Using generated security password: c6ef06a4-6b1a-4932-b834-87d3923c919b。和XML配置类似,Java配置也需要两个基本的配置:httpSecurity和AuthenticationManager。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
				.antMatchers("/", "/home").permitAll()
				.anyRequest().authenticated()
				.and()
			.formLogin()
				.loginPage("/login")
				.permitAll()
				.and()
			.logout()
				.permitAll();
	}
	@Autowired
	public void configureGlobal(AuthenticationManagerBuilder authenticationManagerBuilder) throw
最低0.47元/天 解锁文章
永远_不会懂
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用SpringSecurity保护Web应用的安全
03-03
SpringSecurity为使用Spring框架的Web应用提供了良好的支持。本文将详细介绍如何使用SpringSecurity框架为Web应用提供安全支持。在Web应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,...
spring security3.x学习(8)_web的投票器和spEL配置
杜雷的技术博客
09-18 1484
上次我们说到了"访问决策投票管理"这个概念,那如何使用呢? 看一下如下代码:                           这里使用了一个unanimousBased这样的一个"访问决策投票管理",配置了相关的投票器(roleVoter/authenticatedVoter) 那好。我们仔细关注一下角色投票器(RoleVoter
找到问题的真正原因:20121021服务器故障处理经历
weixin_30571465的博客
10-22 340
前言 在这篇博文中,我们将分享2012年10月21日服务器故障发生与处理的过程,这其中会反映出我们在服务器运维中存在的问题,也许会引来更多的指责、担忧。。。,但我们相信真诚的力量,相信我们战胜困难的决心,更相信大家的理解与支持!想起当初刚创建博客园的时候,自己组装的服务器频频当机,大家的理解、支持与帮助让我们度过了难关。 正文 2012年10月21日早晨8点起床后,像刷牙洗脸一样习惯性地打开...
raid 物理盘缓存状态_Dell PowerEdge系列服务器RAID和物理磁盘开机自检错误信息及说明...
weixin_39951018的博客
12-20 6826
一、There are X enclosures connected to connector Y, but only maximum of 4 enclosures can be connected to a single SAS connector.Please remove the extra enclosures then restart your system.当BIOS检测到单个SAS...
服务器RAID维护相关资料
weixin_34343308的博客
09-28 457
原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://liubin.blog.51cto.com/282313/116046 DELL PowerEdge 2950 服务器RAID维护相关资料 DELL 服务站点:[url]www.dell.com.cn[/url] PowerEdge 800 电话:800-858-09...
SpringSecurity最新版本使用总结
very_Coolpad的博客
12-28 2703
​ https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter官方文档说的是:To assist with the transition to this new style of configuration, we have compiled a list of common use-cases and the suggested alternatives going forward.I
SpringSecurityWeb应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题时,通常会采用两个非常流行的安全框架,Shiro和SpringSecurity。Shiro配置简单,上手快,满足一般应用的安全需求,但是功能相对单一。SpringSecurity安全粒度细,与Spring...
详解Spring SecurityWeb应用和指纹登录实践
08-26
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理。它提供了一整套完善的权限控制机制,能够处理用户的认证(Authentication)和授权(Authorization)需求。在本文中,我们将深入探讨Spring ...
SpringSecurity最新版从入门到精通,WebSecurityConfigurerAdapter已经过时?最新版来了。
最新发布
qq_42713539的博客
03-25 2772
spring security的超详细配置和使用攻略,包括从登录校验开始到不同页面、不同功能的权限管理,包括了整合thymeleaf框架、用户登录信息持久化处理、csrf防护等web安全。
Spring Security 升级到 5.5.7、5.6.4 及以上启动报错出现版本不兼容解决思路
Master_Shifu_的博客
10-09 8316
修复spring-security-web:5.2.1.RELEASE版本启动报错spring版本不兼容
spring-security-web-5.6.1-API文档-中文版.zip
05-09
赠送jar包:spring-security-web-5.6.1.jar; 赠送原API文档:spring-security-web-5.6.1-javadoc.jar; 赠送源代码:spring-security-web-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-web-5.6.1.pom; 包含翻译后的API文档:spring-security-web-5.6.1-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-web:5.6.1; 标签:springsecuritywebspringframework、jar包、java、中文文档; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
spring-security-web-4.2.8.RELEASE-API文档-中文版.zip
04-08
赠送jar包:spring-security-web-4.2.8.RELEASE.jar; 赠送原API文档:spring-security-web-4.2.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-web-4.2.8.RELEASE-sources.jar; 包含翻译后的API文档:spring-security-web-4.2.8.RELEASE-javadoc-API文档-中文(简体)版.zip 对应Maven信息:groupId:org.springframework.security,artifactId:spring-security-web,version:4.2.8.RELEASE 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
Spring Security实战源码
09-07
该资源是基本Spring Security实战七篇文档中组织的源码,详情如下: ssecurity项目是Spring Security实战(一和二)的源码; ssecurity-db项目是Spring Security实战(三)的源码; ssceurity-page项目是Spring Security实战(四)的源码; ssecurity-pageClass项目是Spring Security实战(五)的源码; ssecurity-customFilter项目是Spring Security实战(六)的源码; ssecurity-rememberMe项目是Spring Security实战(七)的源码; 本人开发工具是IDEA,每个项目中的代码均可以运行并测试。Eclipse也是一样可以运行的。
spring security中文版
11-22
本书的写作遵循了这样的一个开发模式,这个模式我们感觉提供了一个有用的前提来解决复杂的话题—— 即使用一个基于Spring3的web工程作为基础,以理解使用Spring Security3使其保证安全的概念和策略。 不管你是不是已经使用Spring Security还是只是对这个软件有兴趣,就都会在本书中得到有用的信息。 在本节的内容中,你能够: l 检查一个虚拟安全审计的结果 l 讨论web应用通常的一些安全问题 l 学习软件安全中的几个核心词汇和概念
2021年Java社招面试题,JD研发4面真题解析(Java岗
m0_60226911的博客
08-06 210
首先,让我们看一下使用Spring创建Web应用程序所需的最小依赖项 <dependency> <groupId>org.springframework</groupId> <artifactId>spring-web</artifactId> <version>5.1.0.RELEASE</version> </dependency> <dependency> &l
Spring Security学习:03.Spring Security模块【云图智联】
07-27 246
Spring3.0中,Spring Security将代码划分到不同的jar中,这使得不同的功能模块和第三方依赖显得更加清晰。如果你使用maven来构建项目,下面可能是你将会加入到pom.xml中的模块。即使你不使用maven,我们也建议你查阅一下pom.xml文件,从而了解其对第三方的依赖和版本问题。此外,一个比较好的想法是查看案例应用中引入的类库。 Core - spring-security-core.jar 包含核心的authentication和authorization的类和接口,远...
SpringSecurity---web
tianynnb的博客
07-28 1008
1. SpringSecurity 特点: 和 Spring 无缝整合。 全面的权限控制。 专门为 Web 开发而设计。 旧版本不能脱离 Web 环境使用。 新版本对整个框架进行了分层抽取,分成了核心模块和 Web 模块。单独引入核心模块就可以脱离 Web 环境。 重量级 1.1Shiro特点 轻量级。Shiro 主张的理念是把复杂的事情变简单。针对对性能有更高要求的互联网应用有更好表现。 通用性。 好处:不局限于 Web 环境,可以脱离 Web 环境使用。 缺陷:在 Web 环境下一些特定的
Spring-Security的详细配置及用法01
Hpeacheng的博客
11-23 1259
【1】Spring-Security通俗一点来讲是用来管理我们登陆的一个框架,之前我们的登陆底层代码,都是自己手写的,要从web端获取parameter,然后从数据库中取出,再获取数据库中的账户密码,进行对比,相同的话跳转到登陆成功页面,不成功提示登陆失败。 【2】利用Spring-Security框架的目的自然就是节省代码量,而且方便管理,不需要手动获取前端数据。 【3】第一步,我们需要在pol中导入spring-security的jar包,一共四个,分别是web,config,core,和jstl需
SpringSecurity(二)- SpringSecurity Web权限方案
及时当勉励,岁月不待人
09-22 815
SpringSecurity(二)- SpringSecurity Web权限方案
spring_in_action-sixth-edition.pdf
12-10
"Spring实战第六版" Spring是Java生态系统中的一个核心框架,专注于简化企业级应用的开发。Spring以其模块化、松耦合和依赖注入特性而闻名,使得开发者能够更有效地管理应用程序的组件。Spring框架提供了多种功能,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值