springSecurity整合spring用到的

最新推荐文章于 2023-07-06 15:10:53 发布
最新推荐文章于 2023-07-06 15:10:53 发布
阅读量139 收藏
点赞数
分类专栏: SrpingSecurity javaEE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42078655/article/details/100512517
版权

1.SpringSecurity配置?
spring-security.xml文件配置?


	<!--2.释放静态资源-->
	<!-- 	
		pattern:配置是路径和资源
		security:none  当前资源不拦截
	-->
	<http pattern="" security="" />
		例如:
			对于所有的image文件下的资源都不拦截(包括子文件夹)
			<http patten="/image/**" security="none" />
	
	
	<!--3.配置访问相关 -->
	<http use-expression="false">
		
		<!--
			3.1配置拦截路径
			/*:包括根目录下的所有文件(不包括子文件夹)
			/**:包括根目录下的所有文件(包括子文件夹)
			access:ROLE_角色名
		-->
		<interceptor-url pattern="/**" access="ROLE_SELLER"/>
		
		<!-- 3.2配置登录相关-->
		<form-login login-page="/login.html" 
					login-processing-url="/login.do"
					default-target-url="/admin/index.html"
					always-use-default-url="true"
					authentication-failure-url="/login.html" />
		
		<!-- 3.3配置csrf:cross-site request forgery:跨域请求伪造
			不进行跨域校验
		-->
		<csrf disable="false" />
		
		<!-- 3.4配置退出
				logout-url:可以自定义处理名称
				invalidate-session:使session失效
				logout-success-url:退出后进入的页面
		-->
		<logout logout-url="/logout.do" 
				invalidate-session="true" 
				logout-success-url="/login.html" />
				
	</http>
	
	<!--4.配置验证服务 -->
	<authentication-manager>
		<authentication-provider user-service-ref="userDetailImpl">
			<password-encoder ref=""/>
		</authentication-provider>
	</authentication-manager>
	
	<dubbo:application name="web_shop"/>
	<dubbo:registry address="zookeeper://119.23.64.69:2181" />
	<dubbo:reference id="sellerService" interface="需要引入的服务的接口"/>
	<dubbo:consumer timeout="允许超时时间" />
	
	<beans:bean id="userDetailImpl" class="实现类的全限定名">
		<beans:property name="sellerService" ref="sellerService" />
	</beans:bean>
	
	
	<beans:bean id="passwordEncoder" class="BcryptPasswordEncoder全限定名"/>
	
web.xml配置?
	<filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>DelegatingFilterProxy全限定名</filter-class>
	</filter>
	
	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>
<?xml version="1.0" encoding="UTF-8"?>

<beans:beans
xmlns=“http://www.springframework.org/schema/security”
xmlns:beans=“http://www.springframework.org/schema/beans”
xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance”
xsi:schemaLocation=“http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd”>

<!--开启jsr250注解-->
<global-method-security jsr250-annotations="enabled" pre-post-annotations="enabled"></global-method-security>

<http pattern="/*.html" security="none"/>
<http pattern="/css/**" security="none"/>
<http pattern="/img/**" security="none"/>
<http pattern="/js/**"  security="none"/>
<http pattern="/plugins/**" security="none"/>
<http pattern="/plugins2/**" security="none"/>
<http pattern="/*.ico"  security="none"/>

<!-- use-expressions:设置是否启动SpEL表达式,默认值是true。 -->
<http use-expressions="false" auto-config="true">
    <intercept-url pattern="/**" access="ROLE_ADMIN"/>
    <form-login
            login-page="/login.html"
            login-processing-url="/login.do"
            default-target-url="/admin/index.html"
            always-use-default-target="true"
            authentication-failure-url="/login.html"/>
    <!-- 不使用csrf的校验 -->
    <csrf disabled="true"/>
    <!-- 配置框架页面不拦截 -->
    <headers>
        <frame-options policy="SAMEORIGIN"/>
    </headers>
    <!-- 注销的配置 -->
    <logout logout-url="/logout.do" invalidate-session="true" logout-success-url="/login.html"/>
</http>

<!-- 配置认证管理器 -->
<authentication-manager>
    <!-- 认证的提供者 -->
    <authentication-provider>
        <user-service>
            <user name="admin" password="123456" authorities="ROLE_ADMIN"/>
            <user name="wc" password="123456" authorities="ROLE_ADMIN"/>
        </user-service>
    </authentication-provider>
</authentication-manager>
</beans:beans>

相关依赖

<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-web</artifactId>
	<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-config</artifactId>
	<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
	<groupId>com.github.penggle</groupId>
	<artifactId>kaptcha</artifactId>
	<version>2.3.2</version>
	<exclusions>
		<exclusion>
			<groupId>javax.servlet</groupId>
			<artifactId>javax.servlet-api</artifactId>
		</exclusion>
	</exclusions>
</dependency>
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-cas</artifactId>
	<version>4.1.0.RELEASE</version>
</dependency>
<dependency>
	<groupId>org.jasig.cas.client</groupId>
	<artifactId>cas-client-core</artifactId>
	<version>3.3.3</version>
	<!--排除log4j包冲突-->
	<exclusions>
		<exclusion>
			<groupId>org.slf4j</groupId>
			<artifactId>log4j-over-slf4j</artifactId>
		</exclusion>
	</exclusions>
</dependency>
小菜鸡No.1
关注
专栏目录
4-SpringSecurityCSRF防护
GJ_ia的博客
01-08 163
从官网中可以知道,CSRF防护的关键在于我们发请求时附带一个随机数(CSRF token),而这个随机数不会被浏览器自动携带(eg: Cookie就会被浏览器自动带上)。通过form表单是一种发送POST请求的方式,但我们其他的请求不可能都通过form表单来提交。中的信息对于攻击者来说是不可见的,无法伪造的,虽然Cookie被浏览器。本系列教程,是作为团队内部的培训资料准备的。,这里演示下前后端分离项目如何实现CSRF防护下的安全请求。里面到底放了什么内容,攻击者是不知道的,所以将。
SpringSecurity使用
m0_66002415的博客
03-22 143
SpringSecurity使用
SpringSecurityCSRF
ybb_ymm的专栏
04-15 1239
跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已 登录的 Web 应用程序上执行非本意的操作的攻击方法。跟跨网站脚本(XSS)相比,XSS利用的是用户对指定网站的信任,CSRF利用的是网站对用户网页浏览器的信任。
Spring Boot(七):Spring Security如何启用与禁用CSRF
热门推荐
甘焕的博客
11-06 2万+
Spring Security 4开始,默认启用CSRF机制,本来这也不算什么大事,但与Spring Boot结合在一起,那么实现起来就比较麻烦了,尤其是采用前后端分离式的开发架构后,配置CSRF机制就更困难了,几乎所有网上的解决办法都无法解决如何获取CSRF编码的难题,首先以表单登陆的错误镇楼:There was an unexpected error (type=Forbidden, stat
spring security CSRF防护
aabbyyz的博客
10-22 1661
分享一下我老师大神的人工智能教程!http://blog.csdn.net/jiangjunshow 也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴! CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSR...
SpringSecurity源码学习之SpringSecurity相关配置类的读取
clyu的博客
09-12 430
SpringSecurity 初始化流程源码 本篇主要讲解 SpringSecurity初始化流程的源码部分,包括核心的 springSecurityFilterChain 是如何创建的,以及在介绍哪里可以扩展个性化的配置,SpringSecurity源码其实是蛮难得 各种Builder Configure 看得真的头疼 ...
使用SpringSecurity
bluemoon_0的博客
02-20 248
使用SpringSecurity
Spring Zuul和Spring Security整合
weixin_43900374的博客
11-14 1913
照搬了https://blog.csdn.net/WiLL_XS/article/details/104894724这篇文章的代码,先谢谢这位老哥,在这些代码的基础上根据自己的需求简化了很多 pom.xml: <!--zuul 网关组件--> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId&gt
SpringBoot整合Spring Security【超详细教程】
m0_67393342的博客
09-08 550
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。这篇文章就是想通过一个小案例将Spring Security整合SpringBoot中去。要实现的功能就是在认证服务器上登录,然后获取Token,再访问资源服务器中的资源。SpringBoot 整合 Spring Security到这里就结束了。
整合Spring+Spring security基于RBAC模型实现通用的权限控制和用户管理系统(适合新手了解学习权限相关技术)
06-21
本项目基于Spring整合Springsecurity模块,实现用户管理和权限控制,是一套较为通用的权限控制功能,主要内容如下: 1.登录,包括“记住我”的功能; 2.加密,存储的密码不采用明文,初始密码1234; 3.拦截器...
SpringCloud Gateway整合Spring Security Webflux的关键点(痛点解析),及示例项目
tiancao222的博客
02-18 1万+
最近公司项目需要用到后端的认证、授权,且公司项目目前是基于SpringCloud Gateway的,所以想到都是一家的产品就决定使用Spring Security了。 但是在整合过程中,经历了种种磨难,所以把最终的整合关键点列出来,让需要的读者不用再碰的头破血流了。。。 网上也有基于SpringCloud和Spring Security整合的方案,关键在于我们公司的项目使用的是Gateway,...
spring security整合QQ登录
huan的学习记录
03-03 1971
最近在了解第三方登录的内容,尝试对接了一下QQ登录,此次记录一下如何实现QQ登录的过程,在这个例子中是和spring secuirty整合的,不整合spring secuirty也是一样的。 需求: 整合QQ登录 步骤: 1、在QQ互联上注册开发者身份 2、开发者身份审核通过后,创建一个自己的应用,此时需要记录如下三个信息 |- APP...
java csrf攻击,Spring-SecurityCSRF攻击的支持
weixin_28784019的博客
03-19 125
何时使用CSRF保护什么时候应该使用CSRF保护?我们的建议是使用CSRF保护,可以通过浏览器处理普通用户的任何请求。如果你只是创建一个非浏览器客户端使用的服务,你可能会想要禁用CSRF保护。(即所有处理来自浏览器的请求需要是CSRF保护,如果后台服务是提供API调用那么可能就要禁用CSRF保护)配置CSRF保护CSRF保护默认情况下使用Java配置启用@EnableWebSecuritypubl...
spring security 处理CSRF
singkingcho的专栏
12-18 1016
csrf概念 英文全称叫做: cross-site request forgery,翻译过来叫做跨站请求伪造。spring security默认情况下是开启了csrf保护的。所谓的CSRF一般会在用户做了某个动作之后附加了一些额外动作。 csrf工作机制 往往是利用用户在某个系统中已经登录过,其具有一些服务器操作资源的权限,攻击者利用伪造的链接或其它骗用户完成某个操作,而这个操作会偷偷和该用户可操作的系统交互。 一个简单的示例图 如何解决 根本问题在于,我们必须要确定这个行为是不是由本身客户端发出的,而
10 SpringSecurity-跨域请求伪造(CSRF)的防护
02-22 4269
一、CSRF CSRF的全称是(Cross Site Request Forgery),可译为跨域请求伪造,是一种利用用户带登录 态的cookie进行安全操作的攻击方式。CSRF实际上并不难防,但常常被系统开发者忽略,从而埋下巨 大的安全隐患。 二、攻击过程 举个例子,假设你登录了邮箱,正常情况下可以通过某个链接http:xx.mail.com/send可以发送邮件。此时你又访问了别的网站,网站中有黄色广告,点击后广告会请求http:xx.mail.com/send。此时相当于在盗版网站中调用了发送邮
Spring securityCSRF相关问题
Ssolitude123的博客
04-14 795
什么是CSRF CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求。利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的。 一个典型的CSRF攻击有着如下的流程: 受害者登录a.com,并保留了登录凭证(Cookie)。 攻击者引诱受害者访问了b.com。 b.com 向 a.com 发送了一个请求:a.com/act=xx。浏览器会默认携带a.
从原理到实践,深入解析Spring Security中的CSRF保护机制
hunterzhang86的博客
05-14 1171
随着Web应用程序的普及和发展,网络攻击成为了一个严重的问题。其中,CSRF(Cross-Site Request Forgery)攻击是一种非常常见的攻击方式。攻击者可以利用这种漏洞欺骗用户执行恶意操作,如恶意转账、修改用户信息等。为了提高应用程序的安全性,我们必须采取措施保护Web应用程序,其中之一就是CSRF保护机制。本文将介绍Spring Security中的CSRF保护机制,并提供一些示例和实践建议,以帮助开发人员实现更安全的Web应用程序。
【深入浅出 Spring Security(八)】前后端分离-使用CSRF漏洞保护详讲
qq_63691275的博客
06-11 3900
前后端分离使用 CSRF 漏洞保护,首先是得从 Cookie 中获取对应的 xsrf(即csrf)令牌信息,享受服务器端的服务需要在请求参数中或者请求头中配置这个令牌信息(这里请求方式不包括GET、HEAD、OPTIONS、TRACE,如果是这四个请求方式,过滤器会直接放行),请求参数中配置名为_csrf,值是令牌信息;请求头的话配置名是X-XSRF-TOKEN,值是令牌信息。这样在一定程度上就提高了系统的安全性,不刻意去搞的话,这种方式很大程度上防御了跨站请求伪造(CSRF)。
Spring Boot中的CSRF攻击及预防
最新发布
Java徐师兄的博客
07-06 1846
CSRF攻击是一种常见的网络攻击方式,可以通过欺骗用户来执行恶意操作。在Spring Boot应用程序中,我们可以采取多种措施来预防CSRF攻击,如添加CSRF令牌、验证请求来源、使用HTTPS协议和定期更改密钥等。这些措施可以有效地保护应用程序的安全,防止攻击者利用CSRF漏洞进行攻击。在实际开发中,我们可以根据实际需求选择适当的预防措施。例如,如果应用程序只对内部用户开放,可以限制请求来源为内部网络;如果应用程序需要对外开放,可以使用HTTPS协议来加密数据传输。
Spring Boot与Spring Security整合实战
Spring SecuritySpring生态系统的组成部分,因此与Spring Boot的整合非常自然,使得开发安全的应用变得更加便捷。 在Spring Boot项目中整合Spring Security,首先需要在Maven的pom.xml文件中添加相应的依赖。例如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值