security java的配置_跟我学Spring Security配置(使用Java配置和注解)

最新推荐文章于 2023-09-26 08:45:44 发布
最新推荐文章于 2023-09-26 08:45:44 发布
阅读量276 收藏
点赞数
文章标签: security java的配置
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_32051661/article/details/114469366
版权

Spring Security 借助一系列Servlet Filter 来提供安全性功能,但是借助Spring的小技巧,我们只需要配置一个Filer就可以了,DelegatingFilterProxy是一个特殊的Servlet Filter,它本身所做的工作并不多,只是将工作委托给一个Javax.servlet.Filter 的实现类,这个实现类作为一个bean注册再Spring应用的上下文中。

如果了解过用xml配置spring security的朋友就知道,用基于xml配置Spring Security过程繁琐,而且不容易学习和入门,但是基于javaConfig和注解则大大简化了这一配置,下面我们来看看是如何用java的方式配置Spring Security

首先我们需要配置DelegatingFilterProxy,我们只需要拓展一个新类,该类实现了WebApplicationInitializer,因此Spring会发现它并用他在Web容器中注册DelegatingFilterProxy。

public class SecurityWebInitializer extendsAbstractSecurityWebApplicationInitializer {

}

接下来我们需要启用Web安全性功能,也是只需要拓展一个类,Spring Security 必须配置在一个实现了WebSecurityConfigurer 的bean中,或者拓展WebSecurityConfigurerAdapter 。在Spring 应用上下文中,任何实现了WebSecurityConfigurerAdapter 的bean都可以用来配置Spring Security。常用的配置已贴上,也全都写上了对应的注释。

@Configuration

@EnableWebSecuritypublic class SecurityConfig extendsWebSecurityConfigurerAdapter {

@AutowiredprivateUserDetailServiceImpl userDetailService;//对每个请求进行细粒度安全性控制的关键在于重载一下方法

@Overrideprotected void configure(HttpSecurity http) throwsException {

http

.authorizeRequests()//该方法所返回的对象的方法来配置请求级别的安全细节

.antMatchers("/login")

.permitAll()//对于登录路径不进行拦截

.antMatchers("/show").authenticated()//authenticated()表示允许过的用户访问

.and()

.formLogin()//配置登录页面

.loginPage("/login")//登录页面的访问路径

.loginProcessingUrl("/check")//登录页面下表单提交的路径

.failureUrl("/login")//登录失败后跳转的路径

.defaultSuccessUrl("/show")//登录成功后默认跳转的路径

.and()

.csrf()//启用防跨站伪请求攻击,默认启用

.and()

.logout()//用户退出操作

.logoutUrl("/logout")//用户退出所访问的路径,需要使用Post方式

.permitAll()

.logoutSuccessUrl("/login?logout=true")

.and()

.authorizeRequests()// //定义路径保护的配置方法//.antMatchers(HttpMethod.GET,"/admin")//.authenticated()

.antMatchers(HttpMethod.GET,"/message/**","/object/**").hasRole("USER")

.anyRequest().permitAll()

.and()

.rememberMe()//启用记住我功能

.tokenValiditySeconds(2419200)

;

}//配置Spring Security的Filter链

@Overridepublic void configure(WebSecurity web) throwsException {super.configure(web);

}//配置user-detail服务

@Overrideprotected void configure(AuthenticationManagerBuilder auth) throwsException {

auth.userDetailsService(userDetailService)

.passwordEncoder(new StandardPasswordEncoder("53cr3t"))//密码加密方式

;//auth.inMemoryAuthentication()//内置用户//.withUser("user").password("user").roles("USER");

}

}

需要注意的有几点,如果是用xml配置的springmvc环境下,基于javaConfig和注解配置Spring Security同样适用,只需要确保Spring的上下文能够扫描到上述的两个类即可。

如果在JSP页面下使用Spring的表单标签,该标签默认会自动添加隐藏的CSRF token标签,即防跨站伪请求攻击,如果没有使用Spring的表单标签,则需要手动添加以下标签,尤其是进行logout登出时表单提交,在Form标签内必须保护以下内容。

下面是登录页面

login

用户名:password:

Remember me

登出页面

User Manager

注销

如果我们想要配置自定义认证和授权服务,则需要实现UserDetailsService

public class UserDetailServiceImpl implementsUserDetailsService {private static Logger logger=Logger.getLogger(UserDetailServiceImpl.class);

@AutowiredprivateIUserService userService;

@AutowiredprivateIRoleService roleService;

@Overridepublic UserDetails loadUserByUsername(String username) throwsUsernameNotFoundException {

logger.info("===========授权============");

User user= null;

List role=null;try{

user= userService.findUserByUsername(username);

role=roleService.listRoleByUserId(user.getId());

logger.info("用户角色为:"+role);

}catch(BaseException e) {

e.printStackTrace();

}

List list= new ArrayList();

list.add(new SimpleGrantedAuthority("ROLE_"+role));

org.springframework.security.core.userdetails.User authUser= neworg.springframework.security.core.userdetails.User

(user.getUsername(),user.getPassword(),list);returnauthUser;

}

}

该配置将安全级别细分到角色。重写的方法传来的参数为登录的username,再通过该参数从数据库中获取用户,以及相对应的权限,最终通过 将用户、密码、权限传入并实例化org.springframework.security.core.userdetails.User ,从而授权结束。配置安全路径或者方法中的权限依据上述方法中获取并绑定的权限。至此我们就可以对路径进行安全权限保护了。

Spring Security异常之You must provide a configuration attribute  http://www.linuxidc.com/Linux/2015-02/113364.htm

Spring Security 的详细介绍:请点这里

Spring Security 的下载地址:请点这里

0b1331709591d260c1c78e86d0c51c18.png

张坤平安
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Kafka配置SASL身份认证及权限实现文档
柳宏(Java)
08-04 2万+
Kafka配置SASL身份认证及权限实现文档Version:1.0Author:liuhongDate:2017-08-04一、 版本说明本例使用:zookeeper-3.4.10,kafka_2.11-0.11.0.0。zookeeper版本无要求,kafka必须使用0.8以后的版本二、 zookeeper配置SASLzookeeper集群或者单节点配置相同。具体步骤如下:1、zoo.cfg文件
Spring基于java注解配置
qq_37068426的博客
07-27 520
Spring框架是控制反转 (IOC) 或依赖性注入 (DI) 模式的推动因素,而这种推动是通过基于容器的配置实现的。过去, Spring 允许开发人员使用基于 XML 的配置,通过利用应用程序上下文 XML 文件来管理 bean 依赖性。此文件处于应用程序的外部,包含 bean 及其与该应用程序的依赖项的定义。尽管使用 XML 配置较为简单和便捷,但仍有另外一种方法可定义bean 及其依赖项。
Spring注解开发——JavaConfig
菜菜的博客
03-17 167
Spring注解开发-javaConfig开发
Kafka安全认证(Java)
skh2015java的博客
12-03 7256
一、概述 GSSAPI: 使用的Kerberos认证,可以集成目录服务,比如AD。从Kafka0.9版本开始支持 PLAIN: 使用简单用户名和密码形式。从Kafka0.10版本开始支持 SCRAM: 主要解决PLAIN动态更新问题以及安全机制,从Kafka0.10.2开始支持 OAUTHBEARER: 基于OAuth 2认证框架,从Kafka2.0版本开始支持 二、配置SASL/PLAIN kafka配置文件server.properties配置 securi...
java security 详解_Spring Security使用详解(基本用法 )
weixin_35480435的博客
02-16 1566
Spring Security使用详解(基本用法 )1,什么是 Spring Security ?Spring Security是一个相对复杂的安全管理框架,功能比Shiro更加强大,权限控制细粒度更高,对OAuth 2的支持也更友好。由于Spring Security源自Spring家族,因此可以和Spring框架无缝整合,特别是Spring Boot中提供的自动化配置...
详解springSecurityjava配置
08-18
主要介绍了详解springSecurityjava配置篇,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
applicationContext-security.rar_java security_spring security
09-21
spring security 用户数据库 配置
ss.rar_java security_spring security_springsecurity4xss
09-23
spring security的中文学习文档,很好用的
java学习之SpringSecurity配置了登录链接无权限
06-16
我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity的...
application-sexurity.zip_java security_spring security
09-24
spring实现安全登录问题,用spring-security实现登录和身份认证
Java Spring Security 详细配置使用
董嵩杰的博客
09-26 449
Java Spring Security 详细配置使用
java.security.auth.loin.config
weixin_41267871的博客
12-23 950
深度解析Kafka kerberos认证
justchnmm的博客
03-29 8527
Kafka kerberos动态认证及静态认证过程
Kafka启用SASL_PLAINTEXT动态配置JAAS文件的几种方式
热门推荐
russle的专栏
07-14 2万+
Kafka是广泛使用消息服务,很多情况下关于认证部分我都是默认的配置,也就是不需要用户名/密码,也不配置证书。在内网或者在项目组内部可以,但是设计的跨部门时一般处于安全考虑都需要加上认证,防止kafka被误用,产生大量垃圾信息,干扰了正常业务的运行。 Kafka提供的多种认证方式,比如SASL, 本文主要介绍启用了SASL_PLAINTEXT时,如何在kafka client配置jaas文件,以...
SpringSecurity配置注解说明
magicproblem的博客
10-25 1138
一、配置准备 1、引入相关pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <version>2.0.4.RELEASE</version>
java 简化判断_通过单点登录简化企业Java身份验证
cusi77914的博客
06-29 814
您的企业是否运行许多共存的Java应用程序,每个应用程序都需要进行身份验证才能访问企业资源? 如果是这样,您可能希望实现单点登录(SSO)安全功能,以使身份验证对用户的干扰减少。 在本文中,您将学习如何使用Kerberos和Java通用安全服务API(GSS-API)来实现SSO。 首先,我们将介绍SSO的含义并说明其潜在的应用。 然后,我们将探讨实现基于Kerberos的SSO时发生的消息交...
java 安全 认证和授权,Java安全之认证与授权
weixin_35676877的博客
03-20 892
Java平台提供的认证与授权服务(Java Authentication and Authorization Service (JAAS)),能够控制代码对敏感或关键资源的访问,例如文件系统,网络服务,系统属性访问等,加强代码的安全性。主要包含认证与授权两部分,认证的目的在于可靠安全地确定当前是谁在执行代码,代码可以是一个应用,applet,bean,servlet;授权的目的在于确定了当前执行代...
SPRING SECURITY JAVA配置:Web Security
飞鸟
03-02 2129
在前一篇,我已经介绍了Spring Security Java配置,也概括的介绍了一下这个项目方方面面。在这篇文章中,我们来看一看一个简单的基于web security配置的例子。之后我们再来作更多的个人定制。 Hello Web Security 在这个部分,我们对一个基于web的security作一些基本的配置。可以分成四个部分: 更新依赖 – 我们已经在前一篇文章中用Mav
Spring - 基于Java配置注解
soygrow的博客
03-01 3390
如果你已经很好使用XML的配置文件的方式实现依赖注入,那么没有那么必要再去学习如果使用基于Java配置的方式实现依赖注入,因为两者是相同的作用。 使用Java配置的方式可以让你在没有XML配置文件的方式下实现依赖注入,这章我们将简单介绍。 @Configuration &amp; @Bean Annotations 使用@Configuration的类表明这个类可以被IoC容器使用,并指...
什么是 Spring Securityjava 项目中如何配置使用
最新发布
05-12
Java 项目中使用 Spring Security,需要在 pom.xml 文件中添加相应依赖,例如: ```xml <groupId>org.springframework.security <artifactId>spring-security-web <version>5.4.2 <groupId>org.spring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值