【SSM整合学习】spring-security入门(一)

最新推荐文章于 2024-01-22 16:55:22 发布
最新推荐文章于 2024-01-22 16:55:22 发布
阅读量250 收藏
点赞数
分类专栏: SSM
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43287478/article/details/103092217
版权

1.前期配置

主要功能: 认证和授权

1.1 导入依赖
<dependencies>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.0.1.RELEASE</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>5.0.1.RELEASE</version>
    </dependency>
</dependencies>
1.2 web.xml文件中创建filter
 <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
1.3 spring-security.xml配置
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:security="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans          
    http://www.springframework.org/schema/beans/spring-beans.xsd          
    http://www.springframework.org/schema/security          
    http://www.springframework.org/schema/security/spring-security.xsd">
    
    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    
    <!-- 
    	配置具体的规则 
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="false">
    	<!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
    	<security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
    	
    	<!-- 定义跳转的具体的页面 -->
    	<security:form-login  
    		login-page="/login.jsp"
    		login-processing-url="/login.do"
    		default-target-url="/index.jsp"
    		authentication-failure-url="/failer.jsp"
    	/>
    	
    	<!-- 关闭跨域请求 -->
    	<security:csrf disabled="true"/>
    	
    	<!-- 退出 -->
    	<security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />
    	
    </security:http>
    
    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
    	<security:authentication-provider user-service-ref="userService">
    		<!-- 配置加密的方式(未进行密码加密时不需要该行代码) -->
    		<security:password-encoder ref="passwordEncoder"/>
    	</security:authentication-provider>
    </security:authentication-manager>
    
    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
   <bean id="userService" class="com.itheima.ssm.service.impl.UserServiceImpl"/>
 </beans>

action:

  • web.xml中配置时其名称必须为springSecurityFilterChain。
  • 在spring-security.xml中定义了登录页面,登录路径,成功页面,失败页面,还定义了认证操作具体的service,角色需要的权限。

2.登录实现案例

2.1 实现流程图
2.2 Controller

spring security框架充当了controller的角色。前面已经配置好了。

2.3 Service

UserDetails是一个接口,我们可以认为UserDetails作用是于封装当前进行认证的用户信息,但由于其是一个
接口,所以我们可以对其进行实现,同时也可以使用Spring Security提供的一个UserDetails的实现类User来完成。
操作

1.IUserService

public interface IUserService extends UserDetailsService

action: 继承了UserDetailsService,从而在实现类中对其功能重写

2.在实现类中进行重写loadUserByUsername(String username)方法

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        UserInfo userInfo = null;
        try {
            userInfo = userDao.findByUsername(username);
        } catch (Exception e) {
            e.printStackTrace();
        }
//        处理自己的用户对象封装成UserDetails
        User user = new User(userInfo.getUsername(),"{noop}"+ userInfo.getPassword(),userInfo.getStatus() == 0?false:true , true,true,true,getAuthority(userInfo.getRoles()));
        return user;
    }

action: 以上封装在user对象中的分别是这些信息

public class User implements UserDetails, CredentialsContainer {
 
   	private final String username;
    private String password;
    private final boolean enabled; //帐户是否可用
    private final boolean accountNonExpired; //帐户是否过期
    private final boolean credentialsNonExpired; //认证是否过期
    private final boolean accountNonLocked; //帐户是否锁定
    private final Set<GrantedAuthority> authorities;

action:

  • 该方法的返回值时UserDetail,需要对springsecurity中的User封装。
  • 再写getAuthority(List roles)这个方法来封装角色信息。
  • 封装User时密码前缀{noop}是没有进行加密时需要添加的,后面对密码加密后则不再需要了。

    //    返回一个List集合,集合中装入的是角色描述
    public List<SimpleGrantedAuthority> getAuthority(List<Role> roles) {
        List<SimpleGrantedAuthority> list = new ArrayList<>();
        for (Role role  : roles) {
                list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
        }
        return list;
    }
2.4 Dao
    @Select("select * from users where username = #{username}")
    @Results({
            @Result(id = true,property = "id",column = "id"),
            @Result(property = "username",column = "username"),
            @Result(property = "email",column = "email"),
            @Result(property = "password",column = "password"),
            @Result(property = "phoneNum",column = "phoneNum"),
            @Result(property = "status",column = "status"),
            @Result(property = "roles",column = "id",javaType = List.class,many = @Many(select = "com.itheima.ssm.dao.IRoleDao.findByUserId"))
    })
   public UserInfo findByUsername(String username)throws  Exception;

action:

  • 根据用户名(唯一)查询该用户信息。同时还需要关联查询角色信息,来对角色进行权限校验。

最后运行项目即可: 在出现下面这些条件会登录失败

  1. 密码错误 —failer.jsp
  2. 账户不可用 —failer.jsp
  3. 权限不够 —报异常 Access is denied

项目登录功能完成

3.退出案例

这个很简单直接上代码

  • 配置
<!-- 退出 -->
    	<security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp" />
  • 页面
							<div class="pull-right">
								<a href="${pageContext.request.contextPath}/logout.do"
									class="btn btn-default btn-flat">注销</a>
							</div>

加油,坚持写下去~~

筱 语
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ssm整合--spring-mybatis-spring-mvc
03-06
ssm整合--spring-mybatis-spring-mvc,内含sql文件,全套整合,简洁,详细地址访问:https://blog.csdn.net/qq_40374604/article/details/88256278
ssm-spring-security-Aop.zip
09-05
ssm-spring-security-安全登入-aop日志入数据库
Spring Security 与 Oauth2 整合 步骤
_William_Cheung的博客
07-31 2030
spring-security-oauth2的项目地址为 https://github.com/spring-projects/spring-security-oauth/tree/master/spring-security-oauth2 spring-security-oauth2的demo 地址为 https://github.com/spring-projects/spring-se
ssm框架整合springSecurity
weixin_48605326的博客
05-17 1923
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
Spring Security怎么从数据库加载我们的用户?
BASK2311的博客
12-31 307
记住怎么自定义, 注意自定义的User需要实现哪些接口, 还有脱敏问题。
Spring Security(SSM整合)
miracle
06-22 6282
一.Security框架简介 Spring Security的功能: Authentication:认证,就是用户登录 Authorization:授权,判断用户拥有什么权限,可以访问什么资源 安全防护,防止跨站请求,session攻击等 二.SSM整合Security框架开发 1.pom依赖 <?xml version="1.0" encoding="UTF-8"?> <...
spring security原理_Spring Security工作原理
weixin_39849888的博客
11-26 149
Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保护是靠Filter实现的,所以从这个Filter来入手,逐步深入Spring Security原理。当初始化Spring Security时,会创建一个名为...
SpringSecurity过滤器链涉及组件绘图总结(十五)
欢谷悠扬
07-16 663
1.请求到SpringSecurity过滤器流程汇总图 1.请求发送到服务器端口,被tomcat监听到并转化为request,response 2.请求在tomcat中进入过滤器链ApplicationFilterChain 3.进入过滤器DelegatingFilterProxy(SpringSecurity创建并注入到过滤器链) 4.通过DelegatingFilterProxy持有的bean名称,从Spring容器中获取FilterChainProxy 5.FilterChainProxy 持有多条过
spring-ssm 框架整合
09-13
ssm 框架整合现成文件
基于Java的SSM整合Spring Security设计源码
最新发布
05-25
本源码为基于Java的SSM整合Spring Security设计,包含13个Java文件、8个JSP文件...该项目旨在为用户提供一个全面、便捷的SSM整合Spring Security解决方案,通过Java、JavaScript技术的结合,为用户带来高效的使用体验。
SSM+spring security3.x框架整合(附带数据文件)
10-02
该框架是博主整合的框架,所用技术是spring 4.x+spring mvc+4.x+mybatis4.x+spring security3.x,并附带springsecurity.sql文件
ssm-spring-part.rar
12-19
ssm-spring-part.rar
SSM整合SpringSecurity
wujulius的博客
09-28 587
SpringMVC中整合SpringSecurity
SSM项目集成Spring Security 4.X版本(使用spring-security.xml 配置文件方式)
u011529483的博客
01-22 1306
实战目标: Authentication:认证,实现用户认证登录 Authorization:授权,设定用户的资源,访问权限。
spring security——学习笔记(day03)-UserDetailsService 修改获取数据方式
键上艺术家
12-22 2372
4.认证与授权(简单实现) 我们一直使用的Spring Security默认的安全机制:仅有一个用户,仅有一种角色,仅是简单登录。在实际开发中,这自然是无法满足需求的。所以我们要开始学习认证与授权啦! 注意:这里只是按照 securtiy 的用户角色设计方式,进行的认证与授权,并没有涉及到完全动态的认证与授权。 后面会学习到动态的认证与授权的实例的!!! 在学习认证与授权时,我们先了解一下 security 提供的简单的多用户多角色模式。 4.1默认的数据库模型认证与授权(demo01) ..
两张图疏通Spring Security认证流程
HHH的博客
07-19 387
我们都知道实现一套Spring Security 的认证流程, 需要设计很多和类来回切换,等等, 这些类名又非常的长, 所以导致我们在写的时候,思绪混乱,不知道下一步应该写什么 ,所以今天我们就通过两张图来搞明白这个认证编码的流程Tip:最好自己是已经跟着文档或者视频做过一次Spring Security认证流程可以看看我的上一篇博客更加优雅的认证授权——Spring Security_Hzq958的博客-CSDN博客所以我们的编码流程自顶向下的方式是非常合理, 避免了反复频繁的切换类。
关于自己实现的 UserDetailsService 中 loadUserByUsername() 方法中抛出的异常被隐藏
余生愿你常欢笑
07-26 6383
问题 自己实现的 UserDetailsService 中 loadUserByUsername() 方法中抛出了 UsernameNotFoundException,在全局异常处理器中进行了捕获和处理,但是为什么没有用 自定义 UserDetailsService @Slf4j @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired SysUserService us
SpringSecurity之基本原理图示讲解
qq_45596525的博客
11-14 1183
文章目录前言一、SpringSecurity的功能二、基础构建模块与运行流程1. 图示与简介2.SpringSecurity框架下,HTTP如何访问web页面?总结 前言 不同于spring的其它框架 , SpringSecurity是一款重量级的 , 功能强大web安全框架,需要依赖的内容很多 ,极大地提高了Web开发中安全模块的开发效率 提示:以下是本篇文章正文内容,下面案例可供参考 一、SpringSecurity的功能 举几个例子吧,这在下面大部分都会用到 提供了除表单登录验证的身份验证以
SpringSecurity入门到源码分析(二):自定义用户信息获取方式和密码加密
敲代码的旺财的博客
06-27 955
之前我们一起学习了如何使用SpringSecurity搭建出一个有权限限制和登录认证的系统,但是这个系统实在是太low了,不仅满足不了我们的使用场景的实际需求,更是无法“软件工程师”和“程序员”的区别,不!那种级别的代码只能被称为“码畜”,提高逼格刻不容缓。 一、UserDetailsService 我们自定义获取用户信息的时候就需要实现这个接口,他只需要...
ssm整合springsecurity
06-28
SSM指的是Spring+SpringMVC+MyBatis这一组合,而Spring SecuritySpring框架中用于安全认证和授权的模块。将SSM整合Spring Security,可以在SSM应用中提供更加完善的安全控制和认证功能。 具体的实现过程包括以下...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值