Spring Security入门三

最新推荐文章于 2023-06-27 11:34:46 发布
最新推荐文章于 2023-06-27 11:34:46 发布
阅读量96 收藏
点赞数
分类专栏: Spring Security 文章标签: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42454617/article/details/107239624
版权

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
        ">

    <!--配置spring security注解-->
    <security:global-method-security pre-post-annotations="enabled"/>

    <!--1.配置不需要授权访问的资源-->
    <security:http auto-config="true" pattern="/favicon.ioc"/>
    <security:http auto-config="true" pattern="/login.jsp"/>
    <security:http auto-config="true" pattern="/login-fail.jsp"/>
    <security:http auto-config="true" pattern="/auth-fail.jsp"/>

    <!--2.配置需要授权访问的资源和访问角色权限-->
    <security:http auto-config="true" use-expressions="true">

        <!--配置三种角色,都可以访问的资源-->
        <security:intercept-url pattern="/main.jsp" access="hasAnyRole('ROLE_ADMIN', 'ROLE_READER','ROLE_OMS')"/>
        <!--配置拥有ROLE_READER角色 ,可以访问的资源-->
        <security:intercept-url pattern="/pages/checkitem.html" access="hasRole('ROLE_READER')"/>
        <!--配置用于ROLE_OMS角色,可以访问的资源-->
        <security:intercept-url pattern="/pages/checkgroup.html" access="hasRole('ROLE_OMS')"/>
        <!--配置拥有对应权限, 可以访问的资源-->
        <security:intercept-url pattern="/test/addData.do" access="hasAuthority('add')"/>
        <security:intercept-url pattern="/test/updateData.do" access="hasAuthority('update')"/>
        <security:intercept-url pattern="/test/delData.do" access="hasAuthority('delete')"/>
        <security:intercept-url pattern="/test/findData.do" access="hasAuthority('find')"/>

        <!--自定义登陆配置-->
        <security:form-login
                login-page="/login.jsp"
                default-target-url="/main.jsp"
                login-processing-url="/login.do"
                authentication-failure-url="/login-fail.jsp"/>
        <!--授权失败跳转-->
        <security:access-denied-handler error-page="/auth-fail.jsp"/>
        <!--csrf:对应CsrfFilter过滤器 disabled:如果使用自定义登录页面需要关闭此项,否则登录操作会被禁用(403) -->
        <security:csrf disabled="true"/>
        <!--配置退出-->
        <security:logout
                logout-url="/logout.do"
                logout-success-url="/login.jsp"
                invalidate-session="true"/>
    </security:http>

    <!--3.配置认证授权管理器(认证管理者、认证提供者、认证对象-->
    <security:authentication-manager>
        <!--authentication-provider:认证提供者,执行具体的认证逻辑-->
        <security:authentication-provider user-service-ref="securityUserDetailsService">
            <!--配置秘密-->
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置自定义授权服务对象-->
    <bean id="securityUserDetailsService" class="com.hgd.spring.security.SecurityUserDetailsService"/>

    <!--配置BCrypt密码加密对象-->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>

</beans>

spring-mvc.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xsi:schemaLocation="
       http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
       http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd
       http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc.xsd">

    <!--扫描包-->
    <context:component-scan base-package="com.hgd.spring.security"/>

    <context:component-scan base-package="com.hgd.spring.controller"/>

    <!--开启springmvc注解-->
    <mvc:annotation-driven/>

</beans>

TestSecurityController.java

package com.hgd.spring.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/test")
public class TestSecurityController {

	@PreAuthorize("hasAuthority('add')")
	@RequestMapping("/addData")
	public String addData(){
		return "add ok";
	}

	@PreAuthorize("hasAuthority('update')")
	@RequestMapping("/updateData")
	public String updateData(){
		return "update ok";
	}

	@PreAuthorize("hasAuthority('delete')")
	@RequestMapping("/delData")
	public String deleteData(){
		return "delete ok";
	}

	@PreAuthorize("hasAuthority('find')")
	@RequestMapping("/findData")
	public String findAll(){
		return "find ok";
	}
}

SecurityUserDetailsService.java

package com.hgd.spring.security;

import com.hgd.health.pojo.Permission;
import com.hgd.health.pojo.Role;
import com.hgd.health.pojo.User;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;

import java.util.ArrayList;
import java.util.HashMap;
import java.util.List;
import java.util.Map;

/**
 * @auther 黄国栋
 * @data 2020-07-09 16:13
 * @since
 */
public class SecurityUserDetailsService implements UserDetailsService {

    //注入加密对象
    @Autowired
    private BCryptPasswordEncoder passwordEncoder;

    private static Map<String, User> userDb=new HashMap<String, User>();

    static{
        //admin
        User userAdmin=new User();
        userAdmin.setUsername("admin");
        userAdmin.setPassword("123456");
        //用户权限和角色
        Role roleAdmin=new Role("系统管理员","ROLE_ADMIN");
        roleAdmin.getPermissions().add(new Permission("添加权限", "add"));
        roleAdmin.getPermissions().add(new Permission("删除权限", "delete"));
        roleAdmin.getPermissions().add(new Permission("修改权限", "update"));
        roleAdmin.getPermissions().add(new Permission("查询权限", "find"));
        userAdmin.getRoles().add(roleAdmin);
        userDb.put(userAdmin.getUsername(), userAdmin);

        //zhangsan
        User userZhangSan=new User();
        userZhangSan.setUsername("zhangsan");
        userZhangSan.setPassword("123456");
        //用户权限和角色
        Role roleZhangSan=new Role("数据分析员","ROLE_READER");
        roleZhangSan.getPermissions().add(new Permission("查询权限", "find"));
        userZhangSan.getRoles().add(roleZhangSan);
        userDb.put(userZhangSan.getUsername(), userZhangSan);

        //lisi
        User userLisi=new User();
        userLisi.setUsername("lisi");
        userLisi.setPassword("123456");
        //用户权限和角色
        Role roleLisi=new Role("运营管理员", "ROLE_OMS");
        roleLisi.getPermissions().add(new Permission("添加权限", "add"));
        roleLisi.getPermissions().add(new Permission("删除权限", "delete"));
        roleLisi.getPermissions().add(new Permission("更新权限", "update"));
        userLisi.getRoles().add(roleLisi);
        userDb.put(userLisi.getUsername(), userLisi);
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //根据用户名,从数据库读取数据
        User user = userDb.get(username);
        if (user == null) {
            return null;
        }
        //提取用户信息的角色与权限关键词信息
        //把用户角色与权限关键词为List<GrantedAuthority>列表
        List<GrantedAuthority> authorityList=new ArrayList<>();
        //通过当前用户,得到用户关联的每一个角色
        for (Role role:user.getRoles()) {
            //获取当前角色中的角色关键字存入到授权集合中
            authorityList.add(new SimpleGrantedAuthority(role.getKeyword()));
            //通过当前角色,得到角色关联的每一个权限
            for (Permission permission:role.getPermissions()) {
                //获取当前权限中的权限关键字存入到授权集合中
                authorityList.add(new SimpleGrantedAuthority(permission.getKeyword()));
            }
        }
        //构建UserDetails对象(使用Security框架自动的User类封装),封装用户名、密码(必须是加密 过的)及权限角色关键词列表
        String password = user.getPassword();
        String passwordByAuth=passwordEncoder.encode(password);
        UserDetails userDetails=new org.springframework.security.core.userdetails.User(user.getUsername(),passwordByAuth,authorityList);
        System.out.println("userDetails = " + userDetails);
        System.out.println("passwordByAuth = " + passwordByAuth);
        return userDetails;
    }

}

web.xml

<!DOCTYPE web-app PUBLIC
 "-//Sun Microsystems, Inc.//DTD Web Application 2.3//EN"
 "http://java.sun.com/dtd/web-app_2_3.dtd" >

<web-app>

  <!--配置编码器-->
  <filter>
    <filter-name>CharacterEncodingFilter</filter-name>
    <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
    <init-param>
      <param-name>encoding</param-name>
      <param-value>UTF-8</param-value>
    </init-param>
  </filter>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
    <filter-name>CharacterEncodingFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

    <!--springmvc前端控制器-->
  <servlet>
    <servlet-name>SpringMVC</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
      <param-name>contextConfigLocation</param-name>
      <param-value>classpath:*.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
  </servlet>
  <servlet-mapping>
    <servlet-name>SpringMVC</servlet-name>
    <url-pattern>*.do</url-pattern>
  </servlet-mapping>
  
</web-app>

 

小果冻。。
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈spring security入门
08-18
"浅谈spring security入门" Spring Security是一个功能强大且广泛使用的Java安全框架,提供了完整的认证和授权解决方案。下面是春季安全入门的知识点总结: Spring Security的模块介绍 Spring Security的核心模块...
springsecurity入门代码资源
08-02
hello大家好,这里是X,今天这篇博文带来的是SpringBoot安全管理:SpringSecurity,讲到安全管理,不得不说几乎所有的大型项目开发必备之一,而且有了它,对项目的安全也起到了非常大的效果,可以说是项目搭建的必备...
2021.11.12完成任务:会员和用户的增删改查
учёба
11-12 1346
1.会员档案功能实现 1.1 分页显示 前台代码 member.html <el-table size="small" current-row-key="id" :data="dataList" stripe highlight-current-row> <el-table-column type="index" align="center" label="序号"></el-table-column>
spring security权限控制,ECharts图形报表
m0_46690280的博客
09-03 429
健康项目day10第10章 权限控制、图形报表1. 在项目中应用Spring Security1.1 导入和配置1.2controller,service,dao1.3权限1.4 403时如何处理给用户看1.5显示用户名1.6 用户退出2. 图形报表ECharts2.1 ECharts简介2.2会员数量折线图2.21 需求分析2.22 完善页面2.23 后台代码 第10章 权限控制、图形报表 1. 在项目中应用Spring Security 前面我们已经学习了Spring Security框架的使用方法,
SpringBoot - @PreAuthorize注解详解
热门推荐
记录并分享
08-21 8万+
@PreAuthorize注解会在方法执行前进行权限验证,支持Spring EL表达式。只有当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候,@PreAuthorize才可以使用。
Spring Security——session管理
weixin_33921089的博客
05-05 289
2019独角兽企业重金招聘Python工程师标准>>> ...
关于spring security权限控制
zhangweibin123的博客
07-12 1515
spring-security.xml 文件: xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"      xmlns:security="http://www.springframework.org/schema/security" xsi:schemaLocation="http://www.springframewo
SpringSecurity入门
凉茶铺的博客
07-15 837
SpringSecurity是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的实际标准。SpringSecurity是一个框架,致力于为Java应用程序提供身份验证和授权。与所有Spring项目一样,SpringSecurity的真正强大之处在于可以轻松扩展以满足自定义要求.1.认证用户登录,解决的是"你是谁?"2.授权判断用户拥有什么权限,可以访问什么资源.解决的是"你能干什么?"3.安全防护,防止跨站请求,session攻击等。...
SpringSecurity基础入门详解
小小默:进无止境
06-27 1038
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security正是Spring家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。
手把手教你spring security入门
yangfenggh的博客
11-24 2034
spring Security权限控制
spring security 入门demo
08-11
spring security 入门demo 非常不错 主要是完整
springboot+springsecurity入门
12-06
springboot+springsecurity入门,自定义表单登录
全套Spring Security入门到项目实战课程
03-21
Spring Security框架介绍 Spring Security认证与授权机制 Spring Security安全性解决方案 Spring Security权限控制实现 Spring Security与Web应用安全 Spring Security用户认证流程 Spring Security用户授权管理 ...
基于SpringMVC+Hibernate+AngularJs前后端分离的选课系统+源码+文档+界面展示(毕业设计&课程设计)
06-27
基于SpringMVC+Hibernate+AngularJs前后端分离的选课系统+源码+文档+界面展示,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于SpringMVC+Hibernate+AngularJs前后端分离的选课系统+源码+文档+界面展示,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 基于SpringMVC+Hibernate+AngularJs前后端分离的选课系统+源码+文档+界面展示,适合毕业设计、课程设计、项目开发。项目源码已经过严格测试,可以放心参考并在此基础上延申使用~ 项目简介: 本选课系统开源协议基于GPL协议,仅用作交流学习用途。 本系统采用了前后端分离的开发模式,后端采用Springmvc+Hibernate框架。 前端使用AngularJs+JQuery+Bootstrap开发,并且使用前端构建工具Gulp。
51单片机模拟汽车左右转向灯控制系统的源代码和仿真电路
06-27
免费开源《基于51单片机的模拟汽车左右转向灯控制系统》的源代码和仿真电路,含c程序源码、Proteus仿真电路。 //功能:汽车左右转向灯程序 #include <REGX51.H> //包含头文件REGX51.H sbit LEDL1=P0^0; //定义P0.0引脚位名称为LEDL1,左前转向灯 sbit LEDL2=P0^1; //定义P0.1引脚位名称为LEDL2,左后转向灯 sbit LEDR1=P0^2; //定义P0.2引脚位名称为LEDR1,右前转向灯 sbit LEDR2=P0^3; //定义P0.3引脚位名称为LEDR2,右后转向灯 sbit S1=P1^0; //定义P1.0引脚位名称为S1,S1为0,左转向灯闪烁 sbit S2=P1^1; //定义P1.1引脚位名称为S2,S2为0,右转向灯闪烁 //函数名:delay //函数功能:实现软件延时 //形式参数:无符号整型变量i //返回值:无 void delay(unsigned int i) { wh
windows hot key
06-27
windows 下常用的热键脚本配置
51CTO学院-《Java编程思想》精讲视频教程(上部).docx
06-27
51CTO学院-《Java编程思想》精讲视频教程(上部).docx
JAVA2课程教学大纲.doc
最新发布
06-27
JAVA2课程教学大纲.doc
《面向对象程序设计JAVA语言程序设计》期末考试试题及部分答案.doc
06-27
《面向对象程序设计JAVA语言程序设计》期末考试试题及部分答案.doc
SpringSecurity教学讲义.docx
12-04
SpringSecurity教学讲义是一份针对Spring Security 3.0的教程,它涵盖了Spring Security在Java Web开发中的重要角色。Spring Security是一个基于Spring框架的高级安全框架,它结合了AOP(面向切面编程)和Servlet...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值