Spring Security (章节1)

最新推荐文章于 2024-04-28 19:02:43 发布
最新推荐文章于 2024-04-28 19:02:43 发布
阅读量158 收藏
点赞数 1
分类专栏: Spring Framework 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38231448/article/details/91040526
版权

作者:jiangzz 电话:15652034180 微信:jiangzz_wx 微信公众账号:jiangzz_wy

Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足自定义要求。

快速入门

  • 在pom.xml文件中额外添加如下依赖
<!--SpringSecurity-->
<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-web</artifactId>
  <version>5.1.5.RELEASE</version>
</dependency>

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-config</artifactId>
  <version>5.1.5.RELEASE</version>
</dependency>

<dependency>
  <groupId>org.springframework.security</groupId>
  <artifactId>spring-security-taglibs</artifactId>
  <version>5.1.5.RELEASE</version>
</dependency>
  • 在applicationContext.xml引入如下配置
<!--引入security配置文件-->
<import resource="securityContext.xml"/>
  • securityContext.xml内容修改如下
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

  <!--配置SecurityFilterChain 最简单配置-->
  <security:http>
    <security:intercept-url pattern="/**" access="isAuthenticated()"/>
    <security:form-login/>
    <security:logout/>
  </security:http>

  <!--创建 ProviderManager 负责认证-->
  <security:authentication-manager>
    <!--DaoAuthenticationProvider负责查询用户-->
    <security:authentication-provider>
      <!--创建InMemoryDaoImpl-->
      <security:user-service>
        <!--表示一个UserDetail,其中{noop}表示没有使用密码编码器-->
        <security:user name="zhangsan" password="{noop}123456"  authorities="ROLE_USER"/>
        <security:user name="admin" password="{noop}123456" authorities="ROLE_USER"/>
      </security:user-service>
    </security:authentication-provider>
  </security:authentication-manager>
</beans>
  • 在web.xml如下Filter
<!--配置SpringSecurity安全框架-->
<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>encode</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

注意这里的filtername必须配置成springSecurityFilterChain不允许用户胡乱修改。也可以这么配置如下:

<filter>
  <filter-name>securityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  <init-param>
    <param-name>targetBeanName</param-name>
    <param-value>springSecurityFilterChain</param-value>
  </init-param>
</filter>
  • 编辑登录首页
<%@page pageEncoding="UTF-8" contentType="text/html;charset=utf-8" isELIgnored="false" %>
<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>
<html>
<body>
    <security:authentication property="principal.username" var="name"/>
    <h2>欢迎${name}登录成功!<a href="logout">退出</a></h2>
</body>
</html>

启动web服务访问首页
在这里插入图片描述

为什么Filter的name必须是springSecurityFilterChain

Spring Security在做权限限定的时候,通过一个前端过滤器将DelegatingFilterProxy拦截用户的web请求,底层将拦截到的请求委派给FilterChainProxy。其中FilterChainProxy中持有一个List<SecurityFilterChain>这些SecurityFilterChain就对应者securityContext.xml中的http标签。Spring容器在启动的时候会解析securityContext.xml文件中的一些标签,目的就是为例创建FilterChainProxy并且该类的bean的id就叫做springSecurityFilterChain.该bean的注册在FilterChainBeanDefinitionParser中注册。

在这里插入图片描述
注册FilterChainProxy

在这里插入图片描述

自定义登录页

自定义登录页

<%@ page contentType="text/html;charset=UTF-8" language="java" isELIgnored="false" %>
<html>
<%
    String path = request.getContextPath();
    String basePath = request.getScheme() + "://" + request.getServerName() + ":" + request.getServerPort() + path + "/";
%>
<head>
    <title>用户登录</title>
</head>
<body>
    <form action="userlogin" method="post">
        <input type="text" name="username" placeholder="用户名"/>
        <input type="password" name="password" placeholder="密码"/>
        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
        <button type="submit" class="btn">Log in</button>
    </form>
</body>
</html>

配置<http>标签

<security:http use-expressions="false">
  <security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
  <security:intercept-url pattern="/**" access="ROLE_USER"/>
  <security:form-login login-page="/login.jsp"
                       login-processing-url="/userlogin"
                       username-parameter="username"
                       password-parameter="password"
                       default-target-url="/"
                       />
  <security:logout logout-url="/logout" 
                   logout-success-url="/login.jsp" 
                   invalidate-session="true" />
</security:http>

该技术称为夸站点请求伪造,Spring Security为了防止夸站点请求伪造,默认在所有的Post请求中会对所有的表单提交做校验。默认的实现是通过每次用户登录的时候随机生成一个token存储在用户当前会话的session中,用户在做post提交表单的时候必须携带当前token。这样如果用户异步小心点击了其他网站,但是由于Http的同源策略,在其他恶意的网站上由于获取不到系统的Token数据,因此任何恶意的操作就可以有效的避免。

自定义退出

配置<http>标签

<security:http use-expressions="false">
  <security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
  <security:intercept-url pattern="/**" access="ROLE_USER"/>
  <security:form-login login-page="/login.jsp"
                       login-processing-url="/userlogin"
                       username-parameter="username"
                       password-parameter="password"
                       default-target-url="/"
                       />
  <security:logout logout-url="/logout" logout-success-url="/login.jsp" invalidate-session="true" />
</security:http>

定制退出表单

<%@page pageEncoding="UTF-8" contentType="text/html;charset=utf-8" isELIgnored="false" %>
<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>

<html>
<body>
    <security:authentication property="principal.username" var="name"/>
    <h2>欢迎${name}登录成功!</h2>
    <form action="logout" method="post">
        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
        <button type="submit">退出</button>
    </form>

</body>
</html>

用户数据库登录

配置authentication-manager标签

<!--配置SecurityFilterChain 最简单配置-->
<security:http use-expressions="false">
  <security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
  <security:intercept-url pattern="/**" access="ROLE_USER"/>
  <security:form-login login-page="/login.jsp"
                       login-processing-url="/userlogin"
                       username-parameter="username"
                       password-parameter="password"
                       default-target-url="/"
                       />
  <security:logout logout-url="/logout" logout-success-url="/login.jsp" invalidate-session="true" />
</security:http>


<!--创建 ProviderManager 负责认证-->
<security:authentication-manager>
  <!--DaoAuthenticationProvider负责查询用户-->
  <security:authentication-provider >
    <!--创建InMemoryDaoImpl-->
    <security:user-service>
      <!--表示一个UserDetail,其中{noop}表示没有使用密码编码器-->
      <security:user name="zhangsan" password="{noop}123456"  authorities="ROLE_USER"/>
      <security:user name="admin" password="{noop}123456" authorities="ROLE_USER,ROLE_ADMIN"/>
    </security:user-service>
  </security:authentication-provider>
  <security:authentication-provider user-service-ref="webUserDetailService">
    <security:password-encoder ref="webPasswordEncoder"/>
  </security:authentication-provider>
</security:authentication-manager>

<!--配置用户服务-->
<bean id="webUserDetailService" class="com.jiangzz.security.WebUserDetailService"/>
    <bean id="webPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

WebUserDetailService

@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Collection<GrantedAuthority> authorities=new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN"));
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder(12,
                                                     new SecureRandom(username.getBytes()));
        return new User(username,encoder.encode("123456"),authorities);
    }

记住我

配置记住我

<security:http use-expressions="false" >

  <security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
  <security:intercept-url pattern="/**" access="ROLE_USER"/>
  <!--记住我-->
  <security:remember-me user-service-ref="webUserDetailService"
                        remember-me-cookie="rem"
                        remember-me-parameter="remember"
                        token-validity-seconds="3600"
                        key="key123"/>

  <security:form-login login-page="/login.jsp"
                       login-processing-url="/userlogin"
                       username-parameter="username"
                       password-parameter="password"
                       default-target-url="/"
                       />

  <security:logout logout-url="/logout" 
                   logout-success-url="/login.jsp"    
                   invalidate-session="true"  />

</security:http>

Session Management

超时检测

<security:http pattern="/session_timeout.jsp" security="none"/>
<security:http use-expressions="false" >

  <!--安全拦截-->
  <security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
  <security:intercept-url pattern="/**" access="ROLE_USER"/>

  <!--记住我-->
  <security:remember-me user-service-ref="webUserDetailService"
                        remember-me-cookie="rem"
                        remember-me-parameter="remember"
                        token-validity-seconds="3600"
                        key="key123"/>

  <!--用户登录 -->
  <security:form-login login-page="/login.jsp"
                       login-processing-url="/userlogin"
                       username-parameter="username"
                       password-parameter="password"
                       default-target-url="/"
                       />

  <!--测试退出-->
  <security:logout logout-url="/logout" logout-success-url="/login.jsp"    invalidate-session="true"  />

  <!--session 管理-->
  <security:session-management invalid-session-url="/session_timeout.jsp" />
</security:http>

为了能看到效果,用户需在web.xml配置会话超时时间

<session-config>
  <!--配置session超时,单位是分钟-->
  <session-timeout>1</session-timeout>
</session-config>

并发会话控制

在web.xml添加如下监听器

<listener>
  <listener-class>
    org.springframework.security.web.session.HttpSessionEventPublisher
  </listener-class>
</listener>

修改session-management标签

<security:session-management invalid-session-url="/session_timeout.jsp" >
  <security:concurrency-control max-sessions="1"  />
</security:session-management>

这种配置意味着,如果同一个账户登录同时在线登录次数操过1次,则第一个登录的账户将会收到如下提示

This session has been expired (possibly due to multiple concurrent logins being attempted as the same user).

通常在设计的时候,当用户登录成功后,如果有别的账户登录则需要阻止第二次登录,而不是将第一次登录失效

<!--用户登录 -->
<security:form-login login-page="/login.jsp"
                     login-processing-url="/userlogin"
                     username-parameter="username"
                     password-parameter="password"
                     default-target-url="/"
                     authentication-failure-url="/login.jsp"
                     />
<security:session-management invalid-session-url="/session_timeout.jsp"  >
  <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true"  />
</security:session-management>

此时如果第二次登录系统会自动的跳转到authentication-failure-url指定的页面。如果用户开启的记住我功能,一不小心将页面丢失了,即使用户在尝试去访问,也访问不了,因为系统认为用户的session会话没有失效。用户可以通过设置session-authentication-error-url设置错误页面,防止看到HTTP Status 401 - Unauthorized错误

<security:session-management invalid-session-url="/session_timeout.jsp" 
                             session-authentication-error-url="login.jsp"  >
    <security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true"  />
</security:session-management>

更多精彩内容关注

微信公众账号

麦田里的守望者·
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
security 会话并发管理
程序三两行
08-01 945
会话指得是浏览器和服务端通过session交互过程当前系统中,同一个用户是否可以在多台设备登录,springsecurity默认没有限制,可以在多台设备登录,可以在springsecurity中配置管理。
SpringSecurity实现踢掉前一个登录用户
qq_34136709的博客
05-09 3160
SpringSecurity实现踢掉前一个登录用户 1.需求分析 要实现一个用户不可以同时在两台设备上登录,有两种思路: (1)后来的登录自动踢掉前面的登录,就像大家在扣扣中看到的效果 (2)如果用户已经登录,则不允许后来者登录。 这种思路都能实现这个功能,具体使用哪一个,还要看我们具体的需求。 在 Spring Security 中,这两种都很好实现,一个配置就可以。 2.具体实现 (1)踢掉前面的登录 想要用新的登录踢掉旧的登录,我们只需要将最大会话数设置为 1 即可,配置如下: @Override p
Spring Security(学习笔记) --会话管理(会话并发管理实现以及源码分析,会话固定攻击)!
最新发布
TONGZHOUGONGDU的博客
04-28 1024
本篇介绍了会话概念,以及并发会话管理,看了下并发会话的源码,最后介绍了下会话固定攻击的概念,以及Security自带的防御会话攻击的策略,下一篇我们来看看Security中的防火墙。
spring security 配置文件小结(2)
zfsn7722483的专栏
10-29 134
# 六、为了使用MD5对密码加密,我们需要修改一下配置文件。 # 任何一个正式的企业应用中,都不会在数据库中使用明文来保存密码的,我们在之前的章节中都是为了方便起见没有对数据库中的用户密码进行加密,这在实际应用中是极为幼稚的做法。可以想象一下,只要有人进入数据库就可以看到所有人的密码,这是一件多么恐怖的事情,为此我们至少要对密码进行加密,这样即使数据库被攻破,也可以保证用户密码的安全。 ...
SpringSecurity+Springboot实现踢掉前一个登录用户
weixin_43381157的博客
08-03 1891
实现踢掉前一个用户功能
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
spring security 管理会话 多个用户不可以使用同一个账号登录系统
weixin_30404405的博客
11-30 364
多个用户不能使用同一个账号同时登陆系统。 1.添加监听器 在web.xml中添加一个监听器,这个监听器会在session创建和销毁的时候通知Spring Security。 <listener> <listener-class>org.springframework.security.web.session.HttpSessionEventP...
Spring Security 自动踢掉前一个登录用户,一个配置搞定!
江南一点雨的专栏
05-07 9251
登录成功后,自动踢掉前一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。 自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。 本文是本系列的第十三篇,阅读前面文章有助于更好的理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你...
java怎么实现踢掉在线用户_Spring Security 自动踢掉前一个登录用户的实现代码
weixin_35060159的博客
02-25 754
登录成功后,自动踢掉前一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。本文是本系列的第十三篇,阅读前面文章有助于更好的理解本文:1.需求分析在同一个系统中,我们可能只允许一个用户在一个终端上登录,一般来...
chrome登录_Spring Security 自动踢掉前一个登录用户,一个配置搞定!
weixin_39753584的博客
11-26 316
今日干货刚刚发表查看:66666回复:666公众号后台回复 ssm,免费获取松哥纯手敲的 SSM 框架学习干货。登录成功后,自动踢掉前一个登录用户,松哥第一次见到这个功能,就是在扣扣里边见到的,当时觉得挺好玩的。自己做开发后,也遇到过一模一样的需求,正好最近的 Spring Security 系列正在连载,就结合 Spring Security 来和大家聊一聊这个功能如何实现。本文是本系...
Spring全家桶-Spring Security之会话并发控制与集群解决
HQ DevJ的专栏
05-27 1169
Spring全家桶-Spring Security之会话并发控制与集群解决 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(控制反转),DI(依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 文章目录Spring全家桶-Spring Security之会话并发控制与集群
spring security2.x 会话管理
01-18 137
参考http://www.family168.com/oa/springsecurity/html/ch102-concurrent-session.html security会话管理有两种控制策略:   首先在web.xml文件配置: 在web.xml中添加一个监听器,这个监听器会在session创建和销毁的时候通知Spring Security &lt;listener&gt; ...
Spring Security学习笔记之UsernamePasswordAuthenticationFilter, ConcurrentSessionFilter
py_xin的博客
09-23 1万+
UsernamePasswordAuthenticationFilter主要用来处理登录时的验证操作. 它的一般用法请参考Spring Security学习笔记之整体配置 这里主要介绍一下如何用它来防止用户重复登录的问题. UsernamePasswordAuthenticationFilter的父类AbstractAuthenticationProcessingFilter有一个属性
springboot + security 自定义session过期处理方式
热门推荐
mushuntaosama的博客
12-27 2万+
security校验session校验是在ConcurrentSessionFilter,在doFilter方法里可以看到如果session过期会执行方法this.doLogout(request, response); this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpi
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值