直接上代码:
1导入maven坐标
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>4.1.0.RELEASE</version>//如果工程已经绑定版本号,这里就不需要
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>4.1.0.RELEASE</version>
</dependency>
2web.xml中添加拦截器,和监听器;
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring/spring-security.xml</param-value>//这里根据实际放置spring-security.xml而定
</context-param>
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-clas
s>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
3 spring 目录下添加配置文件 spring-security.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security.xsd">
<!-- 以下页面不被拦截 -->
<http pattern="/login.html" security="none"></http>
<http pattern="/css/**" security="none"></http>
<http pattern="/img/**" security="none"></http>
<http pattern="/js/**" security="none"></http>
<http pattern="/plugins/**" security="none"></http>
<!-- 页面拦截规则 use-expressions:是否启动SPEL表达式 默认true -->
<http use-expressions="false">
<!--当前用户必须有ROLE_ADMINde1角色,才能访问跟目录及所属子目录的资源-->
<intercept-url pattern="/*" access="ROLE_ADMIN" />
<!--开启表单登录功能
login-page:当用户没有登录的情况下,拦截到重定向的页面
default-target-url:登录后跳转的页面
authentication-failure-url:登录失败页面
always-use-default-target:登录后总是跳到首页
-->
<form-login login-page="/login.html" default-target-url="/admin/index.html"
authentication-failure-url="/login.html" always-use-default-target="true"/>
<csrf disabled="true"/>
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</http>
<!-- 认证管理器 -->
<authentication-manager>
<authentication-provider>
<user-service>
<!--添加角色用户-->
<user name="admin" password="123456" authorities="ROLE_ADMIN"/>
<user name="sunwukong" password="dasheng" authorities="ROLE_ADMIN"/>
</user-service>
</authentication-provider>
</authentication-manager>
配置说明:
always-use-default-target:指定了是否在身份验证通过后总是跳转到 default-target-url 属性指
定的 URL。
如果你在系统中使用了框架页,需要设置框架页的策略为 SAMEORIGIN
<headers>
<frame-options policy="SAMEORIGIN"/>
</headers>
</beans:beans>
4登录页面(不做实际开发页面)
<!--注意:action默认就行/login是spring Security自动生成的,并且提交方式必须是post-->
<form id="loginform" action="/login" method="post" class="sui-form">
<div class="input-prepend"><span class="add-on loginname"></span>
<input id="prependedInput" name="username" type="text" placeholder=" 邮箱 / 用
户名 / 手机号 " class="span2 input-xfat">
</div>
<div class="input-prepend"><span class="add-on loginpwd"></span>
<input id="prependedInput" name="password" type="password" placeholder=" 请
输入密码 " class="span2 input-xfat">
</div>
<div class="setting">
<div id="slider">
<div id="slider_bg"></div>
<span id="label">>></span> <span id="labelTip">拖动滑块验证</span>
</div>
</div>
<div class="logined">
<a class="sui-btn btn-block btn-xlarge btn-danger"
onclick="document:loginform.submit()" target="_blank">登 录</a>
</div>
</form>
简单介绍
**概念:是spring项目中用来提供安全认证服务的框架;
认证:登录的过程就是认证
授权:判断用户是否有权限去执行某一个功能
实现:从数据库获取信息;
基于配置文件,和数据库两种方式
springSecurityFilterChain//这个名称不能改变,是安全框架内置好的
org.springframework.web.filter.DelegatingFilterProxy//DelegatingFilterProxy是springweb提供的,也是spring Security的入口
springSecurityFilterChain
/*
**原理简单分析:
web.xml配置文件中
springSecurityFilterChain名字不能随便改,
所有的请求经过过滤器之后会自动找springSecurityFilterChain类
是spring容器帮我们去初始化的一个filter
它的类型是FilterChainProxy,
将我们spring Security框架所应用的所有filter全都加载上;
**spring-security.xml配置:
核心,
在执行中底层走了很多filter去处理了我们配置文件中的操作;
**框架中分很多角色,为每个角色分配权限
角色的定义必须是ROLE_开头
218
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
