spring security总结 太有用了!!

最新推荐文章于 2022-11-03 11:13:10 发布
最新推荐文章于 2022-11-03 11:13:10 发布
阅读量165 收藏
点赞数
文章标签: 数据库 java web.xml
原文链接:http://www.cnblogs.com/ubuntuvim/p/4796542.html
版权
转至:  http://www.cnblogs.com/yl2755/archive/2012/04/19/2456823.html
谢谢作者!!!

首先导入spring security所需要的jar包 
spring-security-core-2.0.5.RELEASE.jar 
spring-security-core-tiger-2.0.5.RELEASE.jar 
一.配置过滤器 
在web.xml中定义如下过滤器 
   
        springSecurityFilterChain 
        org.springframework.web.filter.DelegatingFilterProxy 
     
     
        springSecurityFilterChain 
         
CREATE TABLE `t_account` ( 
  `id` int(11) NOT NULL, 
  `username` varchar(255) default NULL, 
  `password` varchar(255) default NULL, 
  `enabled` int default NULL,  
  PRIMARY KEY  (`id`) 
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8; 
     
    CREATE TABLE `t_role` ( 
  `id` int(11) NOT NULL, 
  `name` varchar(255) default NULL,  
  `descn` varchar(255) default NULL,  
  PRIMARY KEY  (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8; 

 
CREATE TABLE `t_account_role` ( 
  `a_id` int(11) NOT NULL, 
  `r_id` int(11) NOT NULL, 
  PRIMARY KEY  (`a_id`,`r_id`), 
  KEY `FK1C2BC9332D31C656` (`r_id`), 
  KEY `FK1C2BC93371CCC630` (`a_id`), 
  CONSTRAINT `FK1C2BC93384B0A30E` FOREIGN KEY (`a_id`) REFERENCES `t_account` (`id`), 
  CONSTRAINT `FK1C2BC9332D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8; 

 
insert into t_account values(1,'zhangsan','123',1); 
insert into t_account values(2,'lisi','321',1); 

insert into t_role values(1,'系统管理员','ROLE_ADMIN'); 
insert into t_role values(2,'普通用户','ROLE_USER'); 

insert into t_account_role values(1,2); 
    insert into t_account_role values(2,1); 
    
当用户登录时,spring security首先判断用户是否可以登录。用户登录后spring security获得该用户的 
所有权限以判断用户是否可以访问资源。 

spring配置文件中定义 
 
       
        users-by-username-query="select username,password,enabled from t_account where username=?" 
        authorities-by-username-query="select r.descn from t_account_role ar join 
         t_account a on ar.a_id=a.id join t_role r on ar.r_id=r.id where a.username=?"/> 
     
    
    users-by-username-query:根据用户名查找用户 
    authorities-by-username-query:根据用户名查找这个用户所有的角色名,将用户访问的URL地址和 
    查询结果与标签进行匹配。 
    匹配成功就允许访问,否则就返回到提示页面。 
    
    在标签中添加登录页面等信息 
     
       
         
         CREATE TABLE `t_account` ( 
  `id` int(11) NOT NULL, 
  `username` varchar(255) default NULL, 
  `password` varchar(255) default NULL, 
  `enabled` int default NULL,  
  PRIMARY KEY  (`id`) 
    ) ENGINE=InnoDB DEFAULT CHARSET=utf8; 
     
    CREATE TABLE `t_role` ( 
  `id` int(11) NOT NULL, 
  `name` varchar(255) default NULL,  
  `descn` varchar(255) default NULL,  
  PRIMARY KEY  (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8; 

 
CREATE TABLE `t_account_role` ( 
  `a_id` int(11) NOT NULL, 
  `r_id` int(11) NOT NULL, 
  PRIMARY KEY  (`a_id`,`r_id`), 
  KEY `FK1C2BC9332D31C656` (`r_id`), 
  KEY `FK1C2BC93371CCC630` (`a_id`), 
  CONSTRAINT `FK1C2BC93384B0A30E` FOREIGN KEY (`a_id`) REFERENCES `t_account` (`id`), 
  CONSTRAINT `FK1C2BC9332D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8; 
 
CREATE TABLE `t_module` ( 
  `id` int(11) NOT NULL, 
  `name` varchar(255) default NULL, 
  `address` varchar(255) default NULL, 
  PRIMARY KEY  (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8; 

 
CREATE TABLE `t_module_role` ( 
  `m_id` int(11) NOT NULL, 
  `r_id` int(11) NOT NULL, 
  PRIMARY KEY  (`m_id`,`r_id`), 
  KEY `FKA713071E2D31C656` (`r_id`), 
  KEY `FKA713071ED78C9071` (`m_id`), 
  CONSTRAINT `FKA713071ED78C9071` FOREIGN KEY (`m_id`) REFERENCES `t_module` (`id`), 
  CONSTRAINT `FKA713071E2D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8; 

 
insert into t_account values(1,'zhangsan','123',1); 
insert into t_account values(2,'lisi','321',1); 

insert into t_role values(1,'系统管理员','ROLE_ADMIN'); 
insert into t_role values(2,'普通用户','ROLE_USER'); 

insert into t_account_role values(1,2); 
    insert into t_account_role values(2,1); 
    
    insert into t_module values(1,'部门管理','/dept.jsp'); 
    insert into t_module values(2,'人员管理','/emp.jsp'); 
    
    insert into `t_module_role` values(1,1); 
    insert into `t_module_role` values(1,2); 
    insert into `t_module_role` values(2,1); 
    
1.在自定义的过滤器中获取资源的URL地址和角色名以取代spring配置文件中原有的 
    过滤器代码: 
import java.sql.ResultSet; 
import java.sql.SQLException; 

import java.util.LinkedHashMap; 
import java.util.List; 
import java.util.Map; 

import javax.sql.DataSource; 

import org.springframework.beans.factory.FactoryBean; 

import org.springframework.jdbc.core.support.JdbcDaoSupport; 
import org.springframework.jdbc.object.MappingSqlQuery; 

import org.springframework.security.ConfigAttributeDefinition; 
import org.springframework.security.ConfigAttributeEditor; 
import org.springframework.security.intercept.web.DefaultFilterInvocationDefinitionSource; 
import org.springframework.security.intercept.web.FilterInvocationDefinitionSource; 
import org.springframework.security.intercept.web.RequestKey; 
import org.springframework.security.util.AntUrlPathMatcher; 
import org.springframework.security.util.UrlMatcher; 


public class JdbcFilterInvocationDefinitionSourceFactoryBean 
    extends JdbcDaoSupport implements FactoryBean { 
    private String resourceQuery; 

    public boolean isSingleton() { 
        return true; 
    } 

    public Class getObjectType() { 
        return FilterInvocationDefinitionSource.class; 
    } 

    public Object getObject() { 
        return new DefaultFilterInvocationDefinitionSource(this 
            .getUrlMatcher(), this.buildRequestMap()); 
    } 

    protected Map findResources() { 
        ResourceMapping resourceMapping = new ResourceMapping(getDataSource(), 
                resourceQuery); 

        Map resourceMap = new LinkedHashMap(); 

        for (Resource resource : (List) resourceMapping.execute()) { 
            String url = resource.getUrl(); 
            String role = resource.getRole(); 

            if (resourceMap.containsKey(url)) { 
                String value = resourceMap.get(url); 
                resourceMap.put(url, value + "," + role); 
            } else { 
                resourceMap.put(url, role); 
            } 
        } 

        return resourceMap; 
    } 

    protected LinkedHashMap buildRequestMap() { 
        LinkedHashMap requestMap = null; 
        requestMap = new LinkedHashMap(); 

        ConfigAttributeEditor editor = new ConfigAttributeEditor(); 

        Map resourceMap = this.findResources(); 

        for (Map.Entry entry : resourceMap.entrySet()) { 
            RequestKey key = new RequestKey(entry.getKey(), null); 
            editor.setAsText(entry.getValue()); 
            requestMap.put(key, 
                (ConfigAttributeDefinition) editor.getValue()); 
        } 

        return requestMap; 
    } 

    protected UrlMatcher getUrlMatcher() { 
        return new AntUrlPathMatcher(); 
    } 

    public void setResourceQuery(String resourceQuery) { 
        this.resourceQuery = resourceQuery; 
    } 

    private class Resource { 
        private String url; 
        private String role; 

        public Resource(String url, String role) { 
            this.url = url; 
            this.role = role; 
        } 

        public String getUrl() { 
            return url; 
        } 

        public String getRole() { 
            return role; 
        } 
    } 

    private class ResourceMapping extends MappingSqlQuery { 
        protected ResourceMapping(DataSource dataSource, 
            String resourceQuery) { 
            super(dataSource, resourceQuery); 
            compile(); 
        } 

        protected Object mapRow(ResultSet rs, int rownum) 
            throws SQLException { 
            String url = rs.getString(1); 
            String role = rs.getString(2); 
            Resource resource = new Resource(url, role); 
            
            return resource; 
        } 
    } 


将自定义的过滤器放入到原有的spring security过滤器链中(在spring配置文件中配置) 
定义自定义过滤器(sql语句用于查询资源的URL地址 如:/index.jsp 和角色名 如ROLE_USER) 

        class="com.lovo.JdbcFilterInvocationDefinitionSourceFactoryBean"> 
         
                     select m.address,r.descn 
from t_module_role mr 
join t_module m on mr.m_id=m.id 
join t_role r on mr.r_id=r.id; 
        "/> 
     
  将自定义过滤器放入过滤器链中 
 
        class="org.springframework.security.intercept.web.FilterSecurityInterceptor" > 
         
         
     
    注意:FilterSecurityInterceptor过滤器会向request中写入一个标记,用于标记是否已经控制了当前请求,以避免对同一请求多次处理,导致第2个FilterSecurityInterceptor不会再次执行。 
    在中不需要再定义,如下: 
     
       
                    authentication-failure-url="/error.jsp" 
                    default-target-url="/index.jsp" /> 
                    
     
    自定义的过滤器就从配置文件中读取sql,查询结果就是角色和资源,用户登录时就在session中保存了用户的角色。 
    注意:intercept-url的先后顺序,spring security使用第一个能匹配的intercept-url标签进行权限控制。 
    现在intercept-url来源于数据库,所以在sql查询时注意角色和资源的顺序。 
    建议在角色和资源的中间表中添加1个字段用于标识顺序,(按从严到宽的顺序) 
    表结构修改如下: 
     
CREATE TABLE `t_module_role` ( 
  `m_id` int(11) NOT NULL, 
  `r_id` int(11) NOT NULL, 
  `priority` int(11) default NULL,  
  PRIMARY KEY  (`m_id`,`r_id`), 
  KEY `FKA713071E2D31C656` (`r_id`), 
  KEY `FKA713071ED78C9071` (`m_id`), 
  CONSTRAINT `FKA713071ED78C9071` FOREIGN KEY (`m_id`) REFERENCES `t_module` (`id`), 
  CONSTRAINT `FKA713071E2D31C656` FOREIGN KEY (`r_id`) REFERENCES `t_role` (`id`) 
) ENGINE=InnoDB DEFAULT CHARSET=utf8; 

数据如下: 
insert into t_account values(1,'zhangsan','123',1); 
insert into t_account values(2,'lisi','321',1); 

insert into t_role values(1,'系统管理员','ROLE_ADMIN'); 
insert into t_role values(2,'普通用户','ROLE_USER'); 

insert into t_account_role values(1,2); 
    insert into t_account_role values(2,1); 
    
    insert into t_module values(1,'部门管理','/dept.jsp'); 
    insert into t_module values(2,'人员管理','/emp.jsp'); 
    
    insert into `t_module_role` values(1,1,3); 
    insert into `t_module_role` values(1,2,2); 
    insert into `t_module_role` values(2,1,1); 
    
    自定义过滤器修改如下: 
   
        class="com.lovo.JdbcFilterInvocationDefinitionSourceFactoryBean"> 
         
                     select m.address,r.descn 
from t_module_role mr 
join t_module m on mr.m_id=m.id 
join t_role r on mr.r_id=r.id 
order by mr.priority 
        "/> 
     
    
    如果持久层使用的是hibernate,那么只需要给自定义过滤器注入1个hibernateTemplate. 
    在自定义过滤器中就不需要再使用mapRow的方式。而是直接获取url和角色名即可。 
    例如: 
    public class ModuleFilter implements FactoryBean { 
private String resourceQuery; 

    public boolean isSingleton() { 
        return true; 
    } 

    public Class getObjectType() { 
        return FilterInvocationDefinitionSource.class; 
    } 

    public Object getObject() { 
        return new DefaultFilterInvocationDefinitionSource(this 
            .getUrlMatcher(), this.buildRequestMap()); 
    } 

    protected Map findResources() { 
        ResourceMapping resourceMapping = new ResourceMapping(); 

        Map resourceMap = new LinkedHashMap(); 

        for (Resource resource : (List) resourceMapping.execute()) { 
            String url = resource.getUrl(); 
            String role = resource.getRole(); 

            if (resourceMap.containsKey(url)) { 
                String value = resourceMap.get(url); 
                resourceMap.put(url, value + "," + role); 
            } else { 
                resourceMap.put(url, role); 
            } 
        } 

        return resourceMap; 
    } 

    protected LinkedHashMap buildRequestMap() { 
        LinkedHashMap requestMap = null; 
        requestMap = new LinkedHashMap(); 

        ConfigAttributeEditor editor = new ConfigAttributeEditor(); 

        Map resourceMap = this.findResources(); 

        for (Map.Entry entry : resourceMap.entrySet()) { 
            RequestKey key = new RequestKey(entry.getKey(), null); 
            editor.setAsText(entry.getValue()); 
            requestMap.put(key, 
                (ConfigAttributeDefinition) editor.getValue()); 
        } 

        return requestMap; 
    } 

    protected UrlMatcher getUrlMatcher() { 
        return new AntUrlPathMatcher(); 
    } 

    public void setResourceQuery(String resourceQuery) { 
        this.resourceQuery = resourceQuery; 
    } 

    private class Resource { 
        private String url; 
        private String role; 

        public Resource(String url, String role) { 
            this.url = url; 
            this.role = role; 
        } 

        public String getUrl() { 
            return url; 
        } 

        public String getRole() { 
            return role; 
        } 
    } 

    private class ResourceMapping{ 
        public List execute(){ 
        List rlist = new ArrayList(); 
        List list = hibernateTemplate.find(resourceQuery); 
        for(int i=0;i
        Role role = list.get(i); 
        Set set = role.getModuleSet(); 
        Iterator it = set.iterator(); 
        while(it.hasNext()){ 
        Module m = it.next(); 
        Resource re = new Resource(m.getUrl(),role.getDescn()); 
        rlist.add(re); 
        } 
        } 
return rlist; 
        } 
    } 

    public void setHibernateTemplate(HibernateTemplate hibernateTemplate) { 
this.hibernateTemplate = hibernateTemplate; 


private HibernateTemplate hibernateTemplate; 

而从灵活性的角度考虑,把hql写在配置文件中 
 
        
         value="from com.lovo.po.Role order by ind"> 
          
          
          
     
    
    问题:系统只会在初始化的时候从数据库中加载信息。无法识别数据库中信息的改变。 
    解决:每个jsp页面上重新内存 
    代码:每个jsp页面include如下代码: 

版权声明:本文为博主原创文章,未经博主允许不得转载。

转载于:https://www.cnblogs.com/ubuntuvim/p/4796542.html

weixin_30448603
关注
Spring Security实战实用
admin1973的专栏
12-28 1962
Spring Security安全框架实战单点登陆
为什么越来越多程序员使用SpringSecurity,这些原因你都知道吗?
uuuyy_的博客
12-08 4102
1|2 什么是安全框架 安全框架顾名思义,就是解决系统安全问题的框架。任何应用开发的计划阶段都应该确定一组特定的安全需求,如身份验证、授权和加密方式。不使用安全框架之前,我们需要手动处理每个资源的访问控制,针对不同的项目都需要做不同的处理,此时就会显得非常麻烦,并且低效率引起的额外开销会延缓开发周期。使用安全框架,使开发团队能够选择最适合这些需求的框架,可以通过配置的方式实现对资源的访问限制,使得开发更加的高效。 1|2常用的安全框架 Spring Security: Spring 家族一员,是一个
SpringSecurity简单实用
Burgess_Lee的博客
07-15 230
很早之前就学习了解过Spring-Security框架,但是因为做项目使用的是Apache-Shiro框架,所以时间久了也就忘了。这里针对此次学习和总结到的框架的基本知识点进行重点总结,方便以后开发,也希望给你遇到的问题提供一定的帮助。 应用场景 企业级角色权限控制 授权认证Oauth2.0协议 安全防护(防止跨站点请求) Session攻击 容易整合SpringMVC使用等 首先感谢教...
关于springSecurity简易入门使用
u010689849的博客
10-11 427
简介 springSecurity是一个安全框架,基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在 Spring 应用上下文中配置的 Bean,充分利用了Spring IoC,DI(控制反转 Inversion of Control ,DI:Dependency Injection 依赖注入)和 AOP(面向切面编程)功能,为应用系统提供声明式的安...
spring security 比较好的spring security讲解,很新
qq_38362616的博客
05-08 674
该作者还在b站上发布了视频,但是视频只有前四节。可惜了。文章一共有9卷 简书地址如下:https://www.jianshu.com/u/0737e578fbfe b站地址:https://space.bilibili.com/8265121/ ...
 基于Spring Security安全框架的联通资源管理系统安全分析
01-30
基于为联通资源管系统提供一个方便可靠的安全框架的目的,采用“面向切面编程”(AOP)的Spring Security安全框架,结合了Spring框架提供的“控制反转”技术,最终创建了一个功能强大、安全可靠的权限控制安全框架。
Spring Security--自定义成功&失败处理器
我和井盖都笑了博客
04-04 641
一 自定义登录成功处理器       1 源码分析       使用 successForwardUrl()时表示成功后转发请求到地址。内部是 通过 successHandler()方法进行控制成功后交给哪个类进行处理.    &nbsp...
Spring Security源码解析一:UsernamePasswordAuthenticationFilter之登录流程
www_xuhss_com的博客
01-20 2307
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 一.前言 spring security安全框架作为spring系列组件中的一个,被广泛的运用在各项目中,那么spring security在程序中的工作流程是个什么样的呢,它是如何进行一系列的鉴权和认证呢,下面让我们走进源码,从源码的角度来从头走一遍spr
Spring Security--基于注解访问控制 @Secured&@PreAuthorize
我和井盖都笑了博客
04-05 1766
    基于注解的访问控制       在 Spring Security 中提供了一些访问控制的注解。这些注解都是默是都不可用的,需要通过 @EnableGlobalMethodSecurity 进行开启后使用.如果设置的条件允许,程序正常执行。如果不允许会报 500.   ...
Spring Security--自定义登录参数
我和井盖都笑了博客
04-04 2168
   1源码简介       当进行登录时会执行 UsernamePasswordAuthenticationFilter 过滤器。 usernamePasrameter:账户参数名 passwordParameter:密码参数名 postOnly=true:默认情况下只允许 POST 请求。 &nbs...
spring-security-core-tiger-2.0.4.jar
06-30
spring-security-core-tiger-2.0.4.jar
SpringSecurity 使用过后的感受
走到无路可退
08-05 878
SpringSecurity 一款权限框架,第一次配置真的是搞毛了。 首先导包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security<...
Spring Security是什么?(一)
梁老师教你编程序
11-03 801
Spring SecuritySpring 项目组中用来提供安全认证服务的框架。应该说,Spring Security是使用最多的安全框架。Spring Security使用的目的: 验证,授权,攻击防护。背景:谈论优点的同时,不妨先考虑一下,没有Spring Security我们难道就无法实现认证和授权了吗?肯定不是的,一般涉及到用户授权,我们都会分为用户表、角色表、用户角色表、菜单表、角色菜单表。有这五张表,就算没有Spring Security我们依旧可以完成用户菜单等控制。
spring security2配置文件学习小结
iteye_19622的博客
05-11 152
[b]1.applicationContext-security的配置[/b] 使用命名空间,主要分为3个部分: a. 注册过滤器链,配置表单登陆,注销等 b. 注册自定义的安全认证管理器 c. 注册自定义的授权过滤器 [b]2.[/b] a. 元素会创建一个FilterChainProxy和filter使用的bean。以前常常出现的因为filter顺序不正确产生的问题不会再出现了...
Spring Security最难的地方就是这个了
码农小胖哥
12-27 3827
本篇摘自胖哥最新的基于Spring Security 5.6.x的《Spring Security干货》教程。旧版的教程将在2022年1月1日下线,请需要的同学尽快通过本公众号回复“202...
阿里大佬整理分享Spring Security王者晋级文档,实在香了
Java6888的博客
09-25 779
Spring是一个非常流行和成功的 Java 应用开发框架。SpringSecuritySpring家族中的一个安全管理框架,提供了一套 Web 应用安全性的完整解决方案。在用户认证方面,Spring Security 框架支持主流的认证方式,包括 HTTP 基本认证、HTTP 表单验证、HTTP 摘要认证、OpenID 和 LDAP 等。在用户授权方面,Spring Security 提供了基于角色的访问控制和访问控制列表(Access Control List,ACL),可以对应用中的领域对...
Spring下的权限框架 spring security总结
Gamehu520的专栏
05-31 927
Spring下的权限框架 spring security总结 Java代码 spring security总结 首先导入spring security所需要的jar包 spring-security-core-2.0.5.RELEASE.jar spring-security-core-tiger-2.0.5.RELEASE.jar 一.配置过滤器 在web.xml中定义
初步理解Spring Security并实践
north hunter
05-31 487
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。&lt;dependency&gt; &lt;!-- 由于我使用的spring boot所以我是引入spring-bo...
Spring Security入门:从Acegi到Spring Security的转变
"Spring Security学习总结一" Spring SecuritySpring生态系统中的一个强大且全面的安全框架,源自Acegi Security,自2007年底被纳入Spring Portfolio并更名。它旨在为基于Spring的应用提供声明式安全访问控制,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值