学习Spring-security (2)

最新推荐文章于 2024-05-31 10:46:10 发布
最新推荐文章于 2024-05-31 10:46:10 发布
阅读量86 收藏
点赞数
文章标签: java 数据库 web.xml
原文链接:https://my.oschina.net/u/2970507/blog/788301
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

Maven项目创建好之后,并加载好对应的Jar包依赖之后。

接着搭建Spring-Security环境

注意:使用Spring-Security 必须得加载Spring框架的依赖包 (Spring,Common等等Jar)

  1. 配置web.xml 加载Spring容器的监听器 ContextLoaderListener
  2. 加载Spring-Security的拦截器 filter.DelegatingFilterProxy
  3. 加载上述两个的配置文件 

   web.xml配置文件如下:

<?xml version="1.0"?>
<!DOCTYPE web-app PUBLIC "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
                         "http://java.sun.com/dtd/web-app_2_3.dtd">
<web-app>
 <display-name>Archetype Created Web Application</display-name>
 <context-param>
  <param-name>contextConfigLocation</param-name>
  <param-value>classpath:applicationContext.xml,
        classpath:applicationContext-security.xml</param-value>
 </context-param>
 <!-- SpringSecurity 核心过滤器配置 -->
 <filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
 </filter>
 <filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
 </filter-mapping>
 <listener>
  <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
 </listener>
 <login-config>
  <auth-method>BASIC</auth-method>
 </login-config>
</web-app>

      配置Spring-security.xml文件 如下:

<?xml version="1.0" encoding="UTF-8"?>  
<beans xmlns="http://www.springframework.org/schema/beans"  
    xmlns:sec="http://www.springframework.org/schema/security"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://www.springframework.org/schema/beans  
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
        http://www.springframework.org/schema/security  
        http://www.springframework.org/schema/security/spring-security-3.2.xsd">  
  
    <!-- 配置不过滤的资源(静态资源及登录相关) -->  
    <sec:http pattern="/**/*.css" security="none"></sec:http>  
    <sec:http pattern="/**/*.jpg" security="none"></sec:http>  
    <sec:http pattern="/**/*.jpeg" security="none"></sec:http>  
    <sec:http pattern="/**/*.gif" security="none"></sec:http>  
    <sec:http pattern="/**/*.png" security="none"></sec:http>  
    <sec:http pattern="/js/*.js" security="none"></sec:http>  
      
    <sec:http pattern="/login.jsp" security="none"></sec:http>  
    <sec:http pattern="/getCode" security="none" /><!-- 不过滤验证码 -->  
    <sec:http pattern="/test/**" security="none"></sec:http><!-- 不过滤测试内容 -->  
      
    <sec:http auto-config="true">  
        <!-- 配置资源链接过滤,表示意思为:访问/app.jsp 需要ROLE_SERVICE 权限 -->
        <sec:intercept-url pattern="/app.jsp" access="ROLE_SERVICE"/>  
         <!-- 配置资源链接过滤,表示意思为:访问所有资源   需要ROLE_ADMIN 权限 -->
        <sec:intercept-url pattern="/**" access="ROLE_ADMIN"/>  
        <!-- 注意,Spring-security采用从上到下过滤,你访问的链接 Spring从上面开始往下找。上面的优先级比下面的优先级高。-->
        
        <!-- 
        	自定义登陆页面,login-page 自定义登陆页面
        	authentication-failure-url 用户权限校验失败之后才会跳转到这个页面,如果数据库中没有这个用户则不会跳转到这个页面。
        	default-target-url 登陆成功后跳转的页面。
        	注:登陆页面用户名固定 name:j_username,密码 name:j_password,action:/j_spring_security_check
         -->
        <sec:form-login login-page="/login.jsp" authentication-failure-url="/loginfail.jsp" default-target-url="/index.jsp"/>
        
        <!-- 
        	登出, invalidate-session 是否删除session
			logout-url:登出处理链接
			logout-success-url:登出成功页面
			注:登出操作 只需要链接到 logout即可登出当前用户        	
        -->
        <sec:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp"/>      
    </sec:http>  

    <!-- 权限管理器,用来查询用户的所有权限使用。登陆用户之后,由这个拦截器来查询用户,分配对应的权限 ,然后分配给sec:http 来做对应的拦截-->
    <sec:authentication-manager>  
    	<!-- 手动定义一个用户以及对应的权限 -->
        <sec:authentication-provider>  
            <sec:user-service >  
                <sec:user name="admin" password="admin" authorities="ROLE_ADMIN"/>  
            </sec:user-service>  
        </sec:authentication-provider>
        <!-- 自己定义 一个类处理用户登陆的时候,用户名,密码,权限获取-->
        <sec:authentication-provider user-service-ref="Userservices"></sec:authentication-provider>
        <!-- 直接通过SQL来获取数据库中的用户名,密码,权限-->
        <sec:authentication-provider>
        	<sec:jdbc-user-service data-source-ref="Datasource" authorities-by-username-query="select b.username as username,a.ROLE_CODE as authority from ZX_ROLE a left join ZX_USER b on a.USER_ID=b.ID where b.username=?" 
				users-by-username-query="select username,password,enable as status from ZX_USER where username=?"/>
        </sec:authentication-provider>
    </sec:authentication-manager>  
</beans>

配置applicationContext.xml文件如下:

<?xml version="1.0" encoding="UTF-8"?>  
<beans xmlns="http://www.springframework.org/schema/beans"  
    xmlns:sec="http://www.springframework.org/schema/security"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://www.springframework.org/schema/beans  
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
        http://www.springframework.org/schema/security  
        http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
        
        <bean id="sessionFactory" class="org.springframework.orm.hibernate3.LocalSessionFactoryBean">
        	<property name="dataSource" ref="Datasource"></property>
        	<property name="mappingLocations">
        		<list>
        			<value>classpath*:/hibernate/*.hbm.xml</value>
        		</list>
        	</property>
        </bean>
        <!-- 
        	这个类为用户登陆 处理类,需要实现UserDetailsService接口  
        	重写 loadUserByUsername 方法,并且注意  此方法的返回值为UserDetails类型
        	而UserDetails 是一个接口,所以应该返回他的实现类 org.springframework.security.core.userdetails.User
        	注意org.springframework.security.core.userdetails.User的参数 有七个
        	username,用户登陆名
        	password,密码
        	enabled,是否可用
        	accountNonExpired,set to true if the account has not expired
			credentialsNonExpired, set to true if the credentials have not expired
			accountNonLocked, set to true if the account is not locked
			authorities,是用户的权限集合 泛型为<?  extends GrantedAuthority> collection
			所以这个值需要我们定义一个泛型为GrantedAuthority(这是一个接口 ,他的实现类为GrantedAuthorityImpl)集合
			我们查询出对应的用户角色后 遍历 并且实例化GrantedAuthorityImpl 设置对应的角色代码 放入集合
			最后返回org.springframework.security.core.userdetails.User即可
        -->
        <bean id="Datasource" class="org.apache.commons.dbcp.BasicDataSource">
        	<property name="driverClassName" value="com.mysql.jdbc.Driver"></property>
        	<property name="url" value="*"></property>
        	<property name="username" value="**"></property>
        	<property name="password" value="***"></property>
        </bean>
    	<bean id="Userservices" class="services.userserviceDaoImp">
    		<property name="udi" ref="userdaoimp"></property>
    	</bean>
    	<bean id="userdaoimp" class="Dao.userDaoimp">
    		<property name="sessionFactory" ref="sessionFactory"></property>
    	</bean>
</beans>

用户登陆操作类 如下:

package services;
import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

import hibernate.Role;
import hibernate.User;

import org.springframework.security.config.http.UserDetailsServiceFactoryBean;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.GrantedAuthorityImpl;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import Dao.userDaoimp;


public class userserviceDaoImp implements UserDetailsService{
	private userDaoimp udi;
	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException {
		System.out.println(username);
		System.out.println(udi.getSessionFactory());
		User u=udi.getUserByname(username);
		System.out.println(u.toString());
		List<Role> list=udi.getRoleByUser(u);
		List<GrantedAuthority> rolelist=new ArrayList<GrantedAuthority>();
		for (int i = 0; i < list.size(); i++) {
			Role rol=list.get(i);
			System.out.println(rol.getRoleCode());
			GrantedAuthorityImpl gi=new GrantedAuthorityImpl(rol.getRoleCode());
			rolelist.add(gi);
		}
		org.springframework.security.core.userdetails.User user=new org.springframework.security.core.userdetails.User(u.getUsername(), u.getPassword(),true, true, true, true, rolelist);
		return user;
	}
	public userDaoimp getUdi() {
		return udi;
	}
	public void setUdi(userDaoimp udi) {
		this.udi = udi;
	}
	
}

这样 整个配置完成

 

注意:个人管理器(userserviceDaoImp )必须继承 UserDetailsService 。但是其中权限的处理方法可能不同。上述的方法适用于Spring Security 3.*版本 对于Spring Security 4.*的话 处理方法不同 如下:

public class AuthuserService extends SqlSessionTemplate implements UserDetailsService{
	public AuthuserService(SqlSessionFactory sqlSessionFactory) {
		super(sqlSessionFactory);
	}

	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException {
		UserServices us=new UserServices(getSqlSessionFactory());
		List<role> list=us.getRoleByusername(username);
		System.out.println(list);
		List<GrantedAuthority> rolelist=new ArrayList<GrantedAuthority>();
		for (int i = 0; i < list.size(); i++) {
			role rol=list.get(i);
			System.out.println(rol.getRoleCode());
            //在Spring Security 4.*中移除了GrantedAuthorityImpl类。添加了SimpleGrantedAuthority
            //我们对权限的封装将采用这个类
			GrantedAuthority gi=new SimpleGrantedAuthority(rol.getRoleCode());
			rolelist.add(gi);
		}
		return new  User(username, "password", rolelist);
	}
	
}

 

转载于:https://my.oschina.net/u/2970507/blog/788301

weixin_34383618
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Security学习——入门例子
Benson的博客
01-29 840
Spring Security学习——入门例子       Spring Security的maven依赖如下   org.springframework spring-core ${spring.version} org.springframework spring-web ${spring.version}
如何全面升级spring-boot-2.x及Spring-security-oauth2
egegerhn的博客
07-31 1610
老的项目基于spring-boot-1.5.x、spring-security-oauth2-2.x实现的sso,在近期的安全漏洞扫描中发现如下2个漏洞漏洞涉及jar修复方案SpringFrameworkJDK>=9远程代码执行漏洞(CVE-2022-22965)升级官方安全版本>=5.3.18/5.2.20SpringSecurityRegexRequestMatcher认证绕过漏洞(CVE-2022-22978)5.5.x版本使用者建议升级至5.5.7及其以上;...
Spring Security 学习(3)
qq787458010的博客
01-31 146
  A) 上篇中用户名和密码直接写在配置文件中,而实际项目中我们是放在数据库中的。 好吧 . 开始把用户信息 和权限 放入 数据库 (oracle)   1.建表    --用户表 create table users( username varchar2(50) not null primary key , password varchar2(5...
spring security4.2.2的maven配置+spring-security配置详解+java源码+数据库设计
weixin_34227447的博客
07-26 230
一、引子 最近项目需要添加权限拦截,经讨论决定采用spring security4.2.2!废话少说直接上干货! spring security 4.2.2文档:http://docs.spring.io/spring-security/site/docs/4.2.2.RELEASE/reference/htmlsingle/#el-access-web ...
[译] 学习 Spring Security(一):Maven
weixin_34184158的博客
11-02 124
www.baeldung.com/spring-secu…作者:Eugen Paraschiv译者:oopsguy.com 1、概述本文将介绍如何使用 Maven 配置 Spring Security 和介绍使用 Spring Security 依赖的具体用例。最新的 Spring Security 版本可以在 Maven Central 上获取。 2、Spring Security 与 Ma...
Sprting security安全框架配置maven构建项目
奔跑中的蜗牛
10-05 355
pom.xml 4.0.0 cn.qiupengfei.test spring-security-demo war 0.0.1-SNAPSHOT &amp;lt;spring.version&amp;gt;4.2.4.RELEASE&amp;lt;/spring.version&amp;gt; &amp;lt;dependencies&amp;gt; &amp;lt;dependency&amp;gt;
spring-cloud-starter-security和spring-cloud-starter-oauth2
热门推荐
qq_30359369的博客
12-02 2万+
之前学过spring-security,最近又在学习spring-cloud-starter-security和spring-cloud-starter-oauth2, 脑子里顿时冒出一个问题: 之前学的spring-security和最近学的spring-cloud-starter-security有什么关系, spring-cloud-starter-security和spring-clou......
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 3889
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
SpringBoot集成Spring-Security(5.7.3)学习笔记
AG.『Feng』的博客
10-26 1932
SpringBoot集成Spring-Security(5.7.3)学习笔记
spring-security遇到的问题
roydon
10-08 2019
debug
spring-security-oauth:刚刚宣布-“学习Spring Security OAuth”:
02-19
我刚刚宣布了一门新课程,专用于探索Spring Security 5中的新OAuth2堆栈-了解Spring Security OAuth: : 建立项目 mvn clean install 项目/模块 该项目包含许多模块,以下是每个模块包含的内容的简要说明: ...
spring-security-material-master.zip
09-24
狂神springboot学习---spring Security静态资源笔记
jwt学习Spring-security
01-18
jwt学习Spring-security
spring-security-reference.pdf
12-02
spring security官方用户指南,基于5.3.0版,英文版。 官方写的用户手册,对于spring security的方方面面都写的很详细,与其在网上看各种学习资料,不如官方文档来的实在。
Spring-security学习ppt
11-01
Spring-security配置文档教程,能够满足日常的开发配置。个人总结。
operator <=> (spaceship operator)
janeqi1987的专栏
05-28 991
= 与!= 操作符为了检查是否相等,现在定义== 操作符就够了。当编译器找不到表达式的匹配声明a!=b 时,编译器会重写表达式并查找!(a==b)。若这不起作用,编译器也会尝试改变操作数的顺序,所以也会尝试!(b==a):a!=b,!(b==a)因此,对于TypeA 的a 和TypeB 的b,编译器将能够识别并编译a!= b若需要的话,可以这样做• 一个独立函数operator!• 一个独立函数operator==(TypeA, TypeB)
Java 异常处理中try-catch块、finally子句以及自定义异常的使用
最新发布
Itmastergo的博客
05-31 789
异常是程序运行过程中出现的非正常情况。Java 使用异常类(Exception 类及其子类)来表示这些异常情况。异常处理的核心思想是将正常的程序流程与异常处理流程分离开来,使代码更加清晰和可维护。Throwable 类:所有异常和错误的基类。Error 类:表示系统级的错误,程序通常无法处理,比如内存不足(OutOfMemoryError)。Exception 类:表示程序中可以处理的异常情况。RuntimeException 类。
Java手动启动jar包
liangweihao的博客
05-29 291
【代码】Java手动启动jar包。
java调用cmd执行命令
weixin_45210565的博客
05-28 257
3、exec(String command, String[] envp) ,在调用外部程序之前设置系统环境变量,该变量仅供command入参使用,envp每个元素为一个系统环境变量,并且字符串格式为“环境变量名=环境变量值”。2、exec(String[] cmdArray) ,调用外部程序,入参cmdArray的元素将组合成为一条完整的外部可执行程序的启动路径或命令。1、exec(String command) ,调用外部程序,入参command为外部可执行程序的启动路径或命令。
spring-Security
09-09
Spring Security 是 Spring 家族中的一个安全管理框架,与 Shiro 相比,它提供了更丰富的功能,并拥有更丰富的社区资源...通过学习入门案例,可以了解 Spring Security 的基本原理和使用方法,从而实现自己的登录流程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值