java Spring Security 总结一 2

最新推荐文章于 2024-07-18 13:50:38 发布
最新推荐文章于 2024-07-18 13:50:38 发布
阅读量683 收藏
点赞数
文章标签: spring security java myeclipse filter bean
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wanghangzhou1984/article/details/5873347
版权

 二  保护Web资源

    Spring Security提供了很多的过滤器,它们拦截Servlet请求,并将这些请求转交给认证处理过滤器和访问决策过滤器进行处理,并强制安全性,认证用户身份和用户权限以达到保护Web资源的目的。对于Web资源我们大约可以只用6个过滤器来保护我们的应用系统,下表列出了这些安全过滤器的名称作用以及它们在系统中的执行顺序:

 

过 滤 

             

通道处理过滤器

确保请求是在安全通道(HTTP和HTTPS)之上传输的

认证处理过滤器

接受认证请求,并将它们转交给认证管理器进行身份验证

CAS处理过滤器

接受CAS服务票据,验证Yale CAS(单点登录)是否已经对用户进行了认证

HTTP基本授权过滤器

处理使用HTTP基本认证的身份验证请求

集成过滤器

处理认证信息在请求间的存储(比如在HTTP会话中)

安全强制过滤器

确保用户己经认证,并且满足访问一个受保护Web资源的权限需求

    接下来,通过一个实例来说明它们的具体使用方法和如何在Spring中进行配置。

    1  建立Spring Security项目

    首先在MyEclipse中创建一个Web Project,并使用MyEclipse工具导入Spring项目的依赖JAR包,并生成默认的,这里暂时不会用到这个文件,本文只是通过一个简单的实例来说明如何配置使用Spring Security,不会涉及到数据库,而是使用一个用户属性(users.properties)文件来保存用户信息(包括用户名,密码及相应的权限),但在实际的项目中,我们很少会这样做,而是应该把用户信息存在数据库中,下一篇文章中将会详细介绍并用到这个文件来配置Hibernate,这里我们保留它。

    现在还需要为项目导入Spring Security的JAR包,它没有包括在Spring Framework中,你可以从http://www.springframework.org/download/下载,并将spring-security-core-2.0.0.jar(这是核心代码库)和spring-security-core-tiger- 2.0.0.jar(和annotation有关的,比如使用注解对方法进行安全访问控制,在下一篇中会用到)拷贝到项目的lib目录下,其中也包括两个实例(tutorial和contacts),并且两个实例中都包括了如何使用Spring 2.0的命名空间来配置Spring Security,无论你对Spring 2.0命名空间的使用是否了解,它将使我们的配置文件大大缩短,简化开发,提高生产效率。到此,我们的Spring Security项目就建好了,项目目录结构如下图所示:

    图2 项目目录结构

    2 配置web.xml

    Spring Security使用一组过滤器链来对用户进行身份验证和授权。首先,在web.xml文件中添加FilterToBeanProxy过滤器配置:

<!--<br /> <br /> Code highlighting produced by Actipro CodeHighlighter (freeware)<br /> http://www.CodeHighlighter.com/<br /> <br /> -->  1  < filter >    
 2       < filter-name > springSecurityFilterChain </ filter-name >
 3      < filter-class >
 4         org.springframework.security.util.FilterToBeanProxy
  5      </ filter-class >
 6      < init-param >        
 7           < param-name > targetClass </ param-name >
 8          < param-value >            
 9               org.springframework.security.util.FilterChainProxy
 10          </ param-value >
11        </ init-param >
12 </ filter >
13

    org.springframework.security.util.FilterToBeanProxy实现了Filter接口,它通过调用 WebapplicationContextUtils类的getWebApplicationnContext(servletContext)方法来获取Spring的应用上下文句柄,并通过getBean(beanName)方法来获取Spring受管Bean的对象,即这里targetClass 参数配置的Bean,并通过调用FilterChain Proxy的init()方法来启动Spring Security过滤器链进行各种身份验证和授权服务(FilterChainProxy类也是实现了Filter接口),从而将过滤功能委托给 Spring的FilterChainProxy受管Bean(它维护着一个处理验证和授权的过滤器列表,列表中的过滤器按照一定的顺序执行并完成认证过程),这样即简化了web.xml文件的配置,又能充分利用 Spring的IoC功能来完成这些过滤器执行所需要的其它资源的注入。

    当用户发出请求,过滤器需要根据web.xml配置的请求映射地址来拦截用户请求,这时Spring Security开始工作,它会验证你的身份以及当前请求的资源是否与你拥有的权限相符,从而达到保护Web资源的功能,下面是本例所要过滤的用户请求地址:

<!--<br /> Code highlighting produced by Actipro CodeHighlighter (freeware) http://www.CodeHighlighter.com/<br /> <br /> -->  1  < filter-mapping >
 2 
 3          < filter-name > springSecurityFilterChain </ filter-name >
 4 
 5          < url-pattern > /j_spring_security_check </ url-pattern >
 6 
 7       </ filter-mapping >
 8 
 9       < filter-mapping >
10 
11          < filter-name > springSecurityFilterChain </ filter-name >
12 
13          < url-pattern > /* </ url-pattern >
14 
15 </ filter-mapping >

提示:
/j_spring_security_check是Spring Security默认的进行表单验证的过滤地址,你也可以修改为别的名称,但是需要和
applicationContext-security.xml中相对应,当然还会涉及到其它一些默认值(可能是一个成员变量,也可能是别的请
求地址),在下文我们将看到,建议你在阅读此文的同时,应该参照Spring Security项目的源代码,便于你更好的理解。

wanghangzhou1984
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java中使用Spring security(二)
Mr_Flouxetin的博客
08-06 355
上一篇,我们讲述的spring security的基础使用。但是对于一些复杂权限场景,我们需要更高级一些的功能。 我们接着往下展示它的高级部分。 <security:authentication-manager>的内部高级设置 在上一篇的Spring security设置示例中,我设置了authentication-manager来检查登录用户凭证,并使用<user-service>标签中定义的纯文本用户。如下所示,您可以在此处为您的应用程序定义多个用户。 <secu
详解springSecurityjava配置篇
08-18
Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring SecurityJava 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制安全性。在本文中,我们将详细介绍 ...
spring security
酷酷的馫博客
06-02 561
数据库授权表存的是 "admin" 单个授权 // 当前用户只有具有admin权限才可以访问这个路径 . antMatchers("/test/index") . hasAuthority("admin") 数据库授权表存的是 "admin" 和 "ctrl" 多个个授权 // 当前用户只有具有admin或ctrl权限才可以访问这个路径 . antMatchers("/test/index") . hasAnyAuthority("admin" , "ctrl")
Spring Security(2):常用权限拦截器
weixin_33686714的博客
11-08 1463
Spring Security提供了很多过滤器,它们拦截Servlet请求,并将这些请求转交给认证处理过滤器和访问角色处理过滤器,认证用户身份和用户权限,以保证web资源的安全性SecurityContextPersistenceFilter用途:位于过滤器的顶端。1:在执行其它过滤器之前,判断用户的session中是否已经存在了一个SecurityContext上下文,如果...
Spring Security系列教程之一简介
零学IT
07-02 1512
Spring Security 以“The Acegi Secutity System for Spring” 的名字始于2013年晚些时候。一个问题提交到Spring 开发者的邮件列表,询问是否已经有考虑一个基于Spring 的安全性社区实现。那时候Spring 的社区相对较小(相对现在)。实际上Spring自己在2013年只是一个存在于ScourseForge的项目,这个问题的回答是一个值得研...
基于JavaSpring Security OAuth2框架测试设计源码
06-01
本源码是基于Java开发的Spring Security OAuth2框架测试设计,包含58个文件,其中包括47个.java文件,3个.sol文件,2个.yml文件,2个.ftl文件,以及1个.md文件,1个.gitignore文件,1个.LICENSE文件和1个.xml文件。...
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
springBoot-springSecurity-OAuth2
01-16
SpringBoot、SpringSecurity和OAuth2是Java开发领域中非常重要的技术组件,它们分别在Web应用的快速开发、安全控制和授权认证方面发挥着关键作用。本文将深入探讨这些技术的结合使用,以及如何在实际项目中实现它们...
JavaSpringSecurity密码错误5次锁定用户的实现方法
08-31
主要介绍了JavaSpringSecurity密码错误5次锁定用户的实现方法,非常不错,具有参考借鉴价值,需要的朋友可以参考下
SpringBoot集成EasyExcel实现模板写入多个sheet导出
最新发布
LynneZoe的博客
07-18 192
SpringBoot集成EasyExcel实现模板写入多个sheet导出。
springboot start.aliyun.com java8
JavaUpgrade
07-15 127
springboot 2.3.12.RELEASE alibaba cloud RDS alibaba cloud Redis alibaba cloud oss alibaba cloud sms alibaba cloud schedulerX spring cloud alibaba
Spring Security 授权
persistence_PSH的博客
07-14 901
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
springboot基于协同过滤算法的黔醉酒业白酒销售系统lw源码调试讲解
u014445459的博客
07-16 800
本章开始先是介绍了系统进行测试目的及方法,然后简单地阐述了系统测试中常见的黑命、白盒和灰盒测试方法,以及它们各自的特征,随后围绕本系统的注册登录、删除分类、修改密码、等功能进行了功能测试,并将测试用例和测试结果呈现出来,此外,还对实现的系统进行了关于登录和功能模块的压力测试。本系统开发之前的所有调研基本都是本人独立完成,需求设计,功能开发等也都是自己及指导老师的帮助下完成,通过自己的努力解决掉开发过程中所遇到的问题经济支出可以忽略不计,固黔醉酒业白酒销售系统在经济可行性上完全可行可以开发。
Spring IoC&DI
qq_66333706的博客
07-13 1434
此时,我们只需要将原来由⾃⼰创建的下级类,改为传递的⽅式(也就是注⼊的⽅式),因为我们不 需要在当前类中创建下级类了,所以下级类即使发⽣变化(创建或减少参数),当前类本⾝也⽆需修 改任何代码,这样就完成了程序的解耦.先设计汽⻋的⼤概样⼦,然后根据汽⻋的样⼦来设计⻋⾝,根据⻋⾝来设计 底盘,最后根据底盘来设计轮⼦. 这时候,依赖关系就倒置过来了:轮⼦依赖底盘, 底盘依赖⻋⾝, ⻋⾝依赖汽⻋。1.Spring bean是Spring框架在运⾏时管理的对象, Spring会给管理的对象起⼀个名字.
玩转springboot之springboot集成redis乱码问题
Lxn2zh的博客
07-15 209
在使用redis操作字符串时发现会变成乱码,这是因为RedisTemplate默认是使用的是JdkSerializationRedisSerializer序列化方式,这里可以使用StringRedisTemplate来进行操作,StringRedisTemplate中默认使用的是StringRedisSerializer。也可以对RedisTemplate进行配置,设置其序列化方式。springboot集成redis乱码问题。
基于SpringBoot+MySQL的租房项目+文档
欧阳小白闯天涯
07-11 1030
在当今快节奏的生活中,房屋租赁市场的需求与日俱增。为了有效管理租房流程、提升用户体验,本文基于SpringBoot+MySQL技术栈,设计并实现了一套全方位的租房系统。该系统融合了经纪人、维修员、管理员和用户四个角色,各自拥有独特的功能模块,包括房源管理、维修处理、员工用户管理、统计分析等。经纪人角色能够方便地添加房源、管理自己的房源、处理房源出租事务,并通过系统提供的月出租量统计功能进行业绩分析与优化。其次,维修员可以及时响应待处理的房源报修请求,有效地管理已处理的房源维修记录。
深入剖析 JavaSpring Bean 的生命周期
weixin_42545951的博客
07-12 706
Java 开发中,Spring 框架是广泛使用的企业级应用开发框架。理解 Spring Bean 的生命周期对于开发者来说至关重要,这也是面试中经常会被问到的重要知识点。
SpringCloud第二篇(如何将大型项目拆分成微服务项目)
Du_XiaoNan的博客
07-13 1031
这一章我们从单体架构的优缺点来分析,看看开发大型项目采用单体架构存在哪些问题,而微服务架构又是如何解决这些问题的
java spring security
09-21
Spring Security是一个基于Spring框架的开源框架,用于在Java应用程序中实现身份验证和授权功能。它提供了一套完整的Web应用安全解决方案,包括用户认证和用户授权两个部分。Spring Security的主要功能有: - 用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值