Spring Security 2.0 安全框架 使用及文件配置说明

最新推荐文章于 2022-11-03 14:50:59 发布
最新推荐文章于 2022-11-03 14:50:59 发布
阅读量154 收藏
点赞数
分类专栏: SSH2 文章标签: Security Spring 框架 配置管理 Bean

Spring Security 2.0 安全框架使用说明 结合extjs的图片验证登陆

环境:spring2.0+extjs

Acegi是基于Spring的一个开源的安全认证框架,现在的最新版本是Spring Security 2.0。它实现了简易配置的承诺,提高了开发者的生产力。 它已经是java平台上应用最广的安全框架了,Spring Security 2.0又提供了一系列的新功能。

1.Spring Security是什么

Spring Security是目前用于替换acegi的框架,它提供了一系列新的功能。

大为简化了配置

继承OpenID,标准单点登录

支持windows NTLM,在windows合作网络上实现单点登录

支持JSR 250("EJB 3")的安全注解

支持AspectJ切点表达式语言

全面支持REST Web请求授权

长期要求的支持组,层级角色和用户管理API

提升了功能,使用后台数据库的remember-me实现

通过spring webflow 2.0对web状态和流转授权进行新的支持

通过Spring Web Services 1.5加强对WSS(原来的WS-Security)的支持

2.使用步骤

1. 第一步是下载最新的Spring Security 2.0框架jar文件,

将文件放到工程里面,比如/WEB-INF/lib/。

2. 在web.xml文件里配置DelegatingFilterProxy,默认配置如下

第一种:

<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

过滤器的默认名称是springSecurityFilterChain,如果你想修改名称,需要配置targetBeanName参数,参数值为springSecurityFilterChain,如下

第二种:

<filter>
<filter-name>myName</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
<init-param>
<param-name>targetBeanName</param-name>
<param-value>springSecurityFilterChain</param-value>
</init-param>
</filter>

<filter-mapping>
<filter-name>myName</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>

3. 新建文件spring-security.xml,可以在applicationContext.xml中载入,也可以在web.xml随applicationContext.xml 一起加载.

spring-security.xml 主要部分讲解:

3.1 http节点的配置

<http auto-config="true" lowercase-comparisons="false" path-type="ant" access-denied-page="/accessDenied.jsp" access-decision-manager-ref="accessDecisionManager">
<intercept-url pattern="/index.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/logout.jsp*" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/accessDenied.jsp*" access="ROLE_ANONYMOUS"/>

<intercept-url pattern="/**/*.jsp*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.htm*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.html*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.action*" access="ADMIN,SYS_MANAGER"/>
<intercept-url pattern="/**/*.ftl*" access="ADMIN,SYS_MANAGER"/>

<form-login login-page="/index.jsp" always-use-default-target="true" login-processing-url="/j_security_check" authentication-failure-url="/index.jsp?login_error=1" default-target-url="/main.action"/>
<concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false"/>
<logout logout-url="/j_security_logout" logout-success-url="/index.jsp" invalidate-session="true"/>
</http>

配置说明:

lowercase-comparisons:表示URL比较前先转为小写。
path-type:表示使用Apache Ant的匹配模式。

access-denied-page:访问拒绝时转向的页面。

access-decision-manager-ref:指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。

login-page:指定登录页面。
login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为:/j_spring_security_check。
authentication-failure-url:指定了身份验证失败时跳转到的页面。
default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。

logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。
logout-success-url:退出系统后转向的URL。
invalidate-session:指定在退出系统时是否要销毁Session。

max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。

exception-if-maximum-exceeded: 默认为false,此值表示:用户第二次登录时,前一次的登录信息都被清空。
当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。

我的http部分:

<http auto-config='true' access-denied-page="/securityDispatch.action?action=denied">
<intercept-url pattern="/index.htm*" filters="none" />
<intercept-url pattern="/mainFrame.action*" access="ROLE_SP,ROLE_CP,ROLE_CARRIER" />
<form-login login-page="/index.htm" default-target-url="/securityDispatch.action?action=success"
always-use-default-target="true"
authentication-failure-url="/securityDispatch.action?action=failure&amp;errorcode=100" />
<logout invalidate-session="true" />
<concurrent-session-control max-sessions="1"
exception-if-maximum-exceeded="false" />
</http>

3.2 自定义安全策略

<beans:bean id="menuLoader"class="com.szmeiton.security.ui.PropertiesLoader">
<beans:property name="menusFile" value="../menu.properties" />
</beans:bean>

3.3 用户身份验证 (简单的模拟)

<authentication-provider>
<user-service>
<user name="sp" password="123" authorities="ROLE_SP" />
<user name="admin" password="123" authorities="ROLE_CARRIER" />
<user name="cp" password="123" authorities="ROLE_CP" />
</user-service>
</authentication-provider>

数据库验证:


<authentication-provider user-service-ref='userDetailsService'>
<password-encoder hash="md5" />
</authentication-provider>
<beans:bean id="userDetailsService" class="org.springframework.security.userdetails.jdbc.JdbcDaoImpl">
<beans:property name="dataSource" ref="dataSource" />
<beans:property name="usersByUsernameQuery">
<beans:value>select username,password,'true' as 'enabled' from t_users where username=?</beans:value>
</beans:property>
<beans:property name="authoritiesByUsernameQuery">
<beans:value>select username,roletoken as 'authority' from t_users where username=?</beans:value>
</beans:property>
</beans:bean>

3.4图片验证登陆部分

<beans:bean id="imageVerifyCodeFilter"
class="com.szmeiton.security.ImageVerifyCodeFilter">
<custom-filter before="AUTHENTICATION_PROCESSING_FILTER" />
<beans:property name="imageUrl" value="/verifyCode.jpg" />
<beans:property name="verifyUrl" value="/j_spring_security_check" />
<beans:property name="errorUrl" value="securityDispatch.action?action=failure&amp;errorcode=200" />
</beans:bean>

这里是我完整的spring-security.xml文件:

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
 http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd"
default-autowire="byType" default-lazy-init="true">
<http auto-config='true' access-denied-page="/securityDispatch.action?action=denied">
<intercept-url pattern="/index.htm*" filters="none" />
<intercept-url pattern="/mainFrame.action*" access="ROLE_SP,ROLE_CP,ROLE_CARRIER" />
<form-login login-page="/index.htm" default-target-url="/securityDispatch.action?action=success"
always-use-default-target="true"
authentication-failure-url="/securityDispatch.action?action=failure&amp;errorcode=100" />
<logout invalidate-session="true" />
<concurrent-session-control max-sessions="1"
exception-if-maximum-exceeded="false" />
</http>

<authentication-provider> 
<user-service> 
<user name="sp" password="123" authorities="ROLE_SP" /> 
<user name="admin" password="123" authorities="ROLE_CARRIER" /> 
<user name="cp" password="123" authorities="ROLE_CP" />
</user-service> 

</authentication-provider>

<!--
<authentication-provider user-service-ref='userDetailsService'>
 <password-encoder hash="md5" /> 
</authentication-provider>
<beans:bean id="userDetailsService"
class="org.springframework.security.userdetails.jdbc.JdbcDaoImpl">
<beans:property name="dataSource" ref="dataSource" />
<beans:property name="usersByUsernameQuery">
<beans:value>select username,password,'true' as 'enabled' from
t_users where username=?</beans:value>
</beans:property>
<beans:property name="authoritiesByUsernameQuery">
<beans:value>select username,roletoken as 'authority' from
t_users where username=?</beans:value>
</beans:property>
</beans:bean>
-->

<beans:bean id="imageVerifyCodeFilter"
class="com.szmeiton.security.ImageVerifyCodeFilter">
<custom-filter before="AUTHENTICATION_PROCESSING_FILTER" />
<beans:property name="imageUrl" value="/verifyCode.jpg" />
<beans:property name="verifyUrl" value="/j_spring_security_check" />
<beans:property name="errorUrl" value="securityDispatch.action?action=failure&amp;errorcode=200" />
</beans:bean>

<beans:bean id="menuLoader"
class="com.szmeiton.security.ui.PropertiesLoader">
<beans:property name="menusFile" value="../menu.properties" />
</beans:bean>

</beans:beans>

Carl_YC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-2.0.5
09-02
支持一大堆的权限功能,然后它又和Spring 这个当今超流行的 框架整合的很紧密,所以我们选择它
Spring Security 2 配置精讲
luzhou33的专栏
01-22 246
论坛上看了不少Spring Security的相关文章。这些文章基本上都还是基于Acegi-1.X的配置方式,而主要的配置示例也来自于SpringSide的贡献。 众所周知,Spring Security针对Acegi的一个重大的改进就在于其配置方式大大简化了。所以如果配置还是基于Acegi-1.X这样比较繁琐的配置方式的话,那么我们还不如直接使用Acegi而不要去升级了。所以在这里,我将结...
Spring Security 2.0学习笔记
The Program World
07-05 132
    spring 2.5也发布了,Acegi 2.0也出来了,发现里面也多了很多新特性,不过好多都是英文的,所以就到处看看,记些东西,谓之笔记也,呵呵。废话不多说,配置文件当然要从web.xml开始啊。看代码。     使用安全框架第一步就是需要在web.xml文件中声明要使用的过滤器&lt;filter&gt;&lt;/filter&gt;&lt;!--&lt;br /&gt; &lt;br...
Spring Security2.0
精致-简洁-唯美
03-10 112
[url]http://www.iteye.com/topic/319965[/url] [url]http://java.chinaitlab.com/Spring/762022.html[/url]
Spring Security Oauth2.0 实现短信验证码登录示例
08-28
Spring Security Oauth2.0 是一个基于 Spring Security 框架的授权和身份验证机制,提供了强大的安全功能和灵活的配置选项。Oauth2.0 是一种 industry-standard 授权协议,提供了多种授权方式,例如授权码流程、...
Spring Boot2.0使用Spring Security的示例代码
08-27
Spring Boot 2.0 中,可以使用 `application.properties` 文件或 `application.yml` 文件配置安全性参数。 例如,在 `application.properties` 文件中,可以配置用户名和密码: ``` spring.security.user.name...
spring cloud2.0 eureka server spring security配置
07-12
Spring Cloud 2.0版本中,Eureka Server的配置相比1.x版本确实有了一些显著的变化,尤其是在结合Spring Security进行安全设置时。Spring Cloud Eureka是Netflix Eureka的Spring Boot实现,它为微服务架构提供了...
spring security oauth2.0 (讲义+代码)
03-10
Spring Security OAuth2.0 是一个强大的安全框架,用于构建安全的Web应用和API。OAuth2.0 是一种授权框架,允许第三方应用在用户许可的情况下访问其受保护的资源,而无需共享用户凭证。本讲义结合代码将深入探讨如何...
SpringBoot2.0 整合 SpringSecurity 框架实现用户权限安全管理方法
08-25
Spring Boot 2.0 整合 Spring Security 框架实现用户权限安全管理】 Spring Security 是一个强大的安全框架,专为基于Spring的应用程序提供声明式的安全访问控制。它通过Spring的依赖注入(DI)和面向切面编程...
spring-security2.0.2初步配置
wmj2003的专栏
07-01 5997
使用spring security之后,网页的显示速度明显变慢,看来spring security使用还是需要优化配置的。在web.xml中配置 <!-- 配置spring acegi 使用的 和com.work.core.QxglConstants.USE_ACEGI=true 配合使用 springSecurityFilterChai
spring 安全框架
langzhiwang888的专栏
06-10 144
  F&amp;Q 1. 它这个例子怎么启动hsql数据库的spring-security-samples-contacts-2.0.4 2. 配置步骤。 见启动Spring安全管理的配置步骤,它说明了最小的配置方式。更详细的需要分析配置语法。 3.配置修改方法,权限是对哪个进行过滤的? 4.设计思想是什么? 5.org.springframework.security.user...
Spring安全框架 Spring Security
qq19930130的专栏
04-13 756
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中
Spring Security安全框架
qq_25861361的博客
04-29 552
Spring Securityspring提供的一个安全框架,他可以用来保护很多东西,这里说一下他在springcloud中担任的角色 在springcloud中,Security同样担任着安全的重要角色,这里使用它对Eureka注册中心中心进行保护(这里只是举例,并不是说Spring Security只能对注册中心进行保护) 可能有人会有疑惑,注册中心只是担任着一个类似于仓库的角色,并没有...
Spring 安全框架
chenx_cd的专栏
12-05 1063
公有接口public interface AuthenticationManager {public Authentication authenticate(Authentication authentication)throws AuthenticationException;}The idea of ProviderManager is to enable you to authenticat
Spring Security框架
Leuke的博客
08-26 546
Spring Security框架 1.1. Spring Security简介 Spring Security是一个安全框架,在常规使用时,主要使用它的: 框架内自带对密码进行加密的工具包,可以对密码进行加密处理; 自带登录验证及获取登录用户的信息的机制(包括页面、提交数据后的处理),可以更加简单的实现登录、获取权限; 可以便利的实现授权访问(即访问某个路径需要某个权限等); 结合其它框架实现更多功能。 1.2. 添加依赖 在使用时,还是先在straw父级项目的pom.xml中添加依赖: <!-
spring Security安全框架
qflyIT的博客
02-11 480
spring Security安全框架 基于springBoot框架 spring Security能做什么 1.认证,实现登录安全功能 2.授权,确认在当前系统下用户所拥有的功能权限 spring Security如何运行 1.在pom.xml中引入spring-boot-starter-security <dependency> <groupId&...
Spring Security安全框架
最新发布
weixin_53455615的博客
11-03 1479
利用Spring IoC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。导入依赖后默认会有一个登录页,并且没有登录时访问其他资源会自动跳到登录页,用户名为user,密码会打印在控制台。认证用户的主要凭证之一。可以是账号、邮箱、手机号等。在java中主体是Object类型。应用程序确认用户身份的过程,常见认证:登录。Spring Security所有功能都是。用户认证过程中的依据之一。判断用户具有哪些权限或角色。
Spring Security 4.0.0.RC2/3.2.6 发布
weixin_33716557的博客
06-02 87
Spring Security 4.0.0.RC2 发布,此版本解决了大约 50 tickets。 主要改进: Support for enforcing Same Origin for WebSocket connections Refinements in WebSocket Configuration (SEC-2827 SEC-2833 SEC-...
Spring Security 2.0.x 中文指南:配置与特性解析
"Spring Security 2.0.x中文参考文档提供了全面的关于Spring Security框架的指导,包括入门、配置、示例程序以及社区信息。" Spring Security是一个强大的安全框架,用于保护基于Spring的应用程序。该文档详细介绍...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值