TZ_09_自定义Spring-security

最新推荐文章于 2024-11-04 22:26:34 发布
最新推荐文章于 2024-11-04 22:26:34 发布
阅读量89 收藏
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/asndxj/p/11434982.html
版权
本文详细介绍了SpringSecurity的前身及核心概念,通过实例演示了如何在项目中搭建SpringSecurity环境,实现用户登录与权限控制。从Maven依赖配置到web.xml、spring-security.xml的设置,再到UserService的具体实现,全方位解析SpringSecurity的应用。
摘要由CSDN通过智能技术生成

1.Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架

 

 

2.安全包括两个主要操作。

   “认证,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系统中执行动作的其他系统。

   授权指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由身份验证过程建立了。

 

3.Spring Security 应用与用户登陆

   需求:用户登陆后台不仅仅需要用户名和密码 ,并且需要相应的权限(如:authorities="ROLE_USER"才可以登陆)

 

4.环境搭建

   1>Maven依赖

<properties>
        <spring.security.version>5.0.1.RELEASE</spring.security.version>
 </properties>

<!--spring security授权认证.jar   -->
< dependencies>   
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>3.1.0</version>
            <scope>provided</scope>
        </dependency>
< /dependencies>

 

 

   2>web.xml

<!--配置Spring的监听器,默认只加载WEB-INF目录下的applicationContext.xml配置文件 -->
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <!--设置配置文件的路径 -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:applicationContext.xml,classpath:spring-security.xml</param-value>
    </context-param>

<!--spring-serurity的过滤器  -->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

 

 

  3>spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
        配置具体的规则
        auto-config="true"    不用自己编写登录的页面,框架提供默认登录页面
        use-expressions="false"    是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="false">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>

        <!-- 定义跳转的具体的页面 -->
        <security:form-login
          //那个页面发起的long请求
                login-page="/WEB-INF/pages/login.jsp"
          //匹配请求
                login-processing-url="/login
          //默认目标地址
                default-target-url="/index.jsp"
          //失败跳转地址
                authentication-failure-url="/failer.jsp"
          //成功跳转地址
                authentication-success-forward-url="/WEB-INF/pages/main.jsp"
        />

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>
        <!-- 退出 -->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp" />

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/>-->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
        <security:authentication-provider>
            <security:user-service>
                <security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
            </security:user-service>
        </security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>

 

 

 5. <security:authentication-provider user-service-ref="userService">

 userService 需要继承UserDatailsService

public interface UserService extends UserDetailsService{

    
}

 

 

 6.userServiceImpl

public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = userDao.findByUserName(username);
     //不需要对用户的状态进行判断的3个参数即可(username,password,Authority)
        // User user = new User(userInfo.getUsername(), "{noop}" + userInfo.getPassword(),getAuthority(userInfo.getRoles()));
     //对用户状态进行判断
     //{noop}不需要解密的时候需要加上 无加密
        User user = new User(userInfo.getUsername(), "{noop}" + userInfo.getPassword(),
        userInfo.getStatus() == 0 ? false : true, true, true, true, getAuthority(userInfo.getRoles()));
        System.out.println(userInfo);
        return user;
    }
  
   //将userInfo对象转化成Collection<? extends GrantedAuthority> authorities
     public List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {

        ArrayList<SimpleGrantedAuthority> list = new ArrayList<SimpleGrantedAuthority>();
        for (Role role : roles) {

            list.add(new SimpleGrantedAuthority("ROLE_" + role.getRoleName()));
        }
        return list;

    }

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

转载于:https://www.cnblogs.com/asndxj/p/11434982.html

weixin_30297281
关注
Spring boot+Spring security+JWT实现前后端分离登录认证及权限控制
m0_54849806的博客
08-02 6013
基本上没讲什么底层实现,这篇是使用篇,后续会出SpringSecurity的底层源码讲解,并且如果本帖有问题的有疑问的读者可以在评论区留言,本人会积极处理。您的支持是我最大的动力,本人一直在努力的更新各种框架的使用和框架的源码解读~!先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。深知大多数初中级java工程师,想要升技能,往往是需要自己摸索成长或是报班学习,但对于培训机构动则近万元的学费,着实压力不小。httpshttpshttps。...
第一次试试自己搭tz
爱吃水果和蔬菜__yaya的博客
11-14 683
早上被告知Vultur打折,充10$送50,于是我买了服务器,不怎么向往外面的世界的我,搭好服务器之后,开始建立连接,期间出了一些错现在记录下来: 下载Xshell,运行报错![在这里插入图片描述](https://img-blog.csdnimg.cn/20191114171616864.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGV...
使用docker自建vaultWarden服务器并实现全平台https访问
lsy9202C的专栏
01-28 7141
1台运行了DSM6.2的黑群晖,打算在其上搭建1台bitWarden服务器,来替代keePass和1password,搭建过程中走了不少弯路,特此记录。 在搭建中尝试使用过群晖第三方套件源中的vaultWarden套件,但是版本过旧且配置也比较麻烦,最终选定用docker自己搭建。
全新的Spring Authorization Server快速入门
程序猿DD
11-12 2756
11月8日Spring官方已经强烈建议使用Spring Authorization Server替换已经过时的Spring Security OAuth2.0[1],距离Spring Se...
TZ_10_常用的2中加密算法MD5,spring-sucrity
weixin_30297281的博客
08-30 143
1.MD5   在注册时需要进行加密,在登陆时也需要加密进行配对 public class MD5util { public static String stringToMD5(String psd) { byte[] secretBytes = null; try { ...
docker-compose结合springcloud
z394642048的博客
05-06 2535
1.目录结构 2.docker-compose.yaml文件 version: '3' services: finance-eureka: restart: always build: ./eureka # 创建镜像,会自动执行当前目录下eureka文件夹中的Dockerfile文件 image:...
2-SpringSecurity:CSRF攻击
2401_86429858的博客
07-21 589
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:撤销:Ctrl/Command + Z 重做:Ctrl/Command + Y 加粗:Ctrl/Command + B 斜体:Ctrl/Command + I 标题:Ctrl/Command + S
SpringBoot搭建Spring Security 入门
醉鱼的博客
12-24 439
原文链接 ​简介 Spring Security 是一个提供身份验证,授权,保护以及防止常见攻击的框架,由于同时支持响应式和命令式,是spring框架的安全标准。 前提条件 jdk1.8+ 例子使用SpringBoot版本 【2.0.5.RELEASE】,代码都是简写,只写关键代码,源码demo,文章底部github 引入maven jar包(正常添加jar包依赖,只需保留第一步的jarbao,第...
springboot配置spring security 静态资源不能访问
weixin_46399366的博客
06-29 1390
** springboot配置spring security 静态资源不能访问 直接上图吧,图上有字有真相 ** 在springboot中集成spring security时,明明视频教程看的可简单,但自己用security默认的用户名:user和密码(会生成在你idea控制台中) 先来看一下我的静态资源目录 这是控制层的方法 第一步:开始访问静态资源 第二步:来到默认的security登录界面 (这里路径就是我controllerl的访问路径) 用户名:user 密码:默认生成的(每一次启动s
springboot(ssm)+spring security+druid+layui+xadmin2.2实现简单权限管理系统之问题总结和解决方案
濃墨淡写的博客
06-19 743
一、登录输入正确密码但还是提示密码错误,使用BCryptPasswordEncoder加密 解决方案 // 上面通过把输入的密码进行加密和数据库已加密的密码用equals比较的方法,因为每次加密后的密码其实是不一样的 // 将输入的密码和数据加密的密码通过matchers()方法比较可以解决此问题 BCryptPasswordEncoder().matches(oldPassword, sysU...
SpringBoot-2-3-x分层构建Docker镜像实践,Java面试回忆录
m0_61439560的博客
09-05 378
镜像的构成 现在一谈起镜像大部分都是指 Docker 引擎构建的镜像,一般 Docker 镜像是由很多层组成,底层是操作系统,然后在其之上是基础镜像或者用户自定义 Dockerfile 脚本中定义的中间层。 其中镜像在构建完成后,用户只能对镜像进行读操作,而不能进行写操作,只有镜像启动后变为容器,才能进行读写操作。镜像整体结构,可以观看下图: 该图中展示了镜像的基本组成,但是图中这一个个中间层是什么呢?要想了解这些层具体是什么,那得知道如何构建 Docker 镜像了。平时我们构建 Docker 镜像时候,
HashMap为什么线程不安全?
rnnf_yyds的博客
11-03 725
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
spring循环依赖解决方式
qq_36400213的博客
11-04 875
字段注入和setter注入则提供了更多的灵活性,但需要更谨慎地管理对象的状态。方法注入和注解注入则适用于特定的场景。在Spring框架中,依赖注入(Dependency Injection,DI)是一种实现控制反转(Inversion of Control,IoC)的机制,用于将对象的依赖关系自动注入到对象中。这种方式不如构造器注入严格,但比字段注入更灵活,因为它可以在不创建新实例的情况下改变对象的依赖。这种方式是推荐的,因为它可以保证对象在创建时就处于完全初始化的状态,并且可以使得bean不可变。
Java知识】Java基础-对象排序的实现
最新发布
wendao76的专栏
11-04 338
方法,并且需要提供一个比较器(Comparator)来定义对象的排序逻辑。这些示例展示了如何在Java中对对象进行排序,无论是使用列表还是数组,都可以灵活地使用比较器来定义排序规则。在Java中,对象的排序通常涉及到使用。
信息学科平台系统开发:基于Spring Boot的最佳实践
2401_85761762的博客
11-02 1049
在整个系统测试中,根据需求文档和设计文档,逐一对功能进行检测并写好测试用例,有效避免残片缺陷,因为产品出现缺陷不仅影响功能,而且可以导致数据的不准确,导致产品质量的降低,经过测试,才能使得产品的稳定性和成熟度得到极大的提升,产品质量也才有保证。本系统具有易操作、易管理、交互性好的特点,在操作上是非常简单的,因此在操作上具有很高的可行性。(2)该完整内容全面,管理方便可以及时的全面的处理各种错误,异常,这样避免了很多因用户的马虎操作而出现的失误,其操作方便,用户界面友好,能够上网的人都可以很好的进行操作。
Qt自定义控件:汽车速度表
weixin_44788175的博客
11-02 464
从外到内进行绘制,初始化画布,画渐变色外圈,画刻度,写刻度文字,画指针,画扇形,画内圈渐变色,画黑色内圈,写当前值。这里难点使用正弦和余弦计算绘制刻度字。
GEMM优化(待更新)
qq_62704693的博客
11-03 808
来源参考:深入浅出GPU优化系列:GEMM优化(一) - 知乎深入浅出GPU优化系列:GEMM优化(二) - 知乎深入浅出GPU优化系列:GEMM优化(三) - 知乎。
JAVA学习-练习试用Java实现“数组排序”
weixin_69763181的博客
11-03 336
这个程序首先导入了'java.util.Arrays'和'java.util.Scanner',然后定义了一个'main'方法。程序使用'Scanner'类来读取用户的输入,并将其分割成一个字符串数组。然后,它将字符串数组转换成整数数组,并使用'Arrays.sort'方法对整数数组进行排序。以下是一个Java程序,它使用内置的'Arrays.sort'方法对用户输入的整数数组进行排序。编写一个Java程序,对用户输入的整数数组进行排序(可以使用内置的Arrays.sort方法,也可以自己实现排序算法)。
tz_localize 和 tz_convert 的区别
10-23
`tz_localize`和`tz_convert`都是Python的`pandas`库中的函数,用于处理日期时间序列与时区之间的转换,但它们的主要区别在于操作的目的: 1. `tz_localize`:这个函数主要用于将一个不含时区信息的时间序列(如`NaT`或`datetime`对象)转换为其指定的时区。它不会改变原有时间点的实际时刻,只是添加了时区标签。如果输入的时间序列已经有一个时区,该函数会抛出错误。 例如: ```python datetime_with_tz = pd.to_datetime("2023-03-01 08:00", utc=True).tz_localize('Asia/Shanghai') ``` 2. `tz_convert`:这个函数则是从一个时区转换到另一个时区,无论输入的时间是否有时区信息,都会尝试转换。它的重点是在两个时区间的关系上,比如把一个时间带入另一种时区标准。如果输入的时间不包含时区,则先将其视为UTC。 例如: ```python datetime_utc = pd.to_datetime("2023-03-01 08:00") datetime_converted = datetime_utc.tz_convert('America/New_York') ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值