安全框架、单点登录

最新推荐文章于 2023-07-23 20:48:56 发布
最新推荐文章于 2023-07-23 20:48:56 发布
阅读量915 收藏
点赞数
分类专栏: java--安全框架、单点登录

文章内容目录:

  1. 安全框架

  2. 附录(Spring Security入门简介)

一.安全框架
第一种:在配置文件定死用户

  • 配置文件
    修改pinyougou-manager-web的pom.xml ,添加依赖
  	<!-- 身份验证 -->
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-web</artifactId>		
	</dependency>
	<dependency>
		<groupId>org.springframework.security</groupId>
		<artifactId>spring-security-config</artifactId>		
	</dependency>
  • 修改web.xml
 	 <context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:spring/spring-security.xml</param-value>
	 </context-param>
	 <listener>
		<listener-class>
			org.springframework.web.context.ContextLoaderListener
		</listener-class>
	 </listener>	
	 <filter>  
		<filter-name>springSecurityFilterChain</filter-name>  		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
	 </filter>  
	 <filter-mapping>  
		<filter-name>springSecurityFilterChain</filter-name>  
		<url-pattern>/*</url-pattern>  
	 </filter-mapping>
  • pinyougou-manager-web的spring目录下添加配置文件spring-security.xml
	<!-- 以下页面不被拦截 -->
	<http pattern="/login.html" security="none"></http>
	<http pattern="/css/**" security="none"></http>
	<http pattern="/img/**" security="none"></http>
	<http pattern="/js/**" security="none"></http>
	<http pattern="/plugins/**" security="none"></http>
	
	<!-- 页面拦截规则 -->
	<http use-expressions="false">
		<intercept-url pattern="/*" access="ROLE_ADMIN" />
		<form-login login-page="/login.html"  default-target-url="/admin/index.html" authentication-failure-url="/login.html" always-use-default-target="true"/>	
		<csrf disabled="true"/>
		<headers>
			<frame-options policy="SAMEORIGIN"/>
		</headers>
	</http>

	<!-- 认证管理器 -->
	<authentication-manager>
		<authentication-provider>
			<user-service>
				<user name="admin" password="123456" authorities="ROLE_ADMIN"/>
				<user name="sunwukong" password="dasheng" authorities="ROLE_ADMIN"/>
			</user-service>		
		</authentication-provider>	
	</authentication-manager>

配置说明:
always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。
如果你在系统中使用了框架页,需要设置框架页的策略为SAMEORIGIN

<headers>
	<frame-options policy="SAMEORIGIN"/>
</headers>
  • 登录页面
    修改pinyougou-manager-web的 login.html
<form id="loginform" action="/login" method="post"  class="sui-form">
	<div class="input-prepend"><span class="add-on loginname"></span>
		<input id="prependedInput"  name="username" type="text" placeholder="邮箱/用户名/手机号" class="span2 input-xfat">
	</div>
	<div class="input-prepend"><span class="add-on loginpwd"></span>
		<input id="prependedInput"  name="password" type="password" placeholder="请输入密码" class="span2 input-xfat">
	</div>
	<div class="setting">
		<div id="slider">
			<div id="slider_bg"></div>
				<span id="label">>></span> <span id="labelTip">拖动滑块验证</span>
			</div>
		</div>
		<div class="logined">
		<a class="sui-btn btn-block btn-xlarge btn-danger" onclick="document:loginform.submit()" target="_blank">登&nbsp;&nbsp;录</a>
		</div>
</form>

获取登陆人:

String name=SecurityContextHolder.getContext()
.getAuthentication().getName();
  • 退出登录
    在pinyougou-manager-web的spring-security.xml的http节点中添加配置
<logout/>

加此配置后,会自动的产生退出登录的地址/logout,如果你不想用这个地址 ,你也可以定义生成的退出地址以及跳转的页面,配置如下

<logout logout-url="" logout-success-url=""/>

logout-url:退出的地址,会自动生成
logout-success-url:退出后跳转的地址
修改注销的链接

<div class="pull-right">
      <a href="../logout" class="btn btn-default btn-flat">注销</a>
</div>

第二种:用户从数据库获取(完成商家系统登陆与安全控制,商家账号来自数据库,并实现密码加密)
①pom.xml、web.xml 、login.html 参照第一种方法
②在pinyougou-shop-web创建com.pinyougou.service包,包下创建类UserDetailsServiceImpl.java 实现UserDetailsService接口

/**
 * 认证类
 * @author Administrator
 *
 */
public class UserDetailsServiceImpl implements UserDetailsService {
	private SellerService sellerService;
	public void setSellerService(SellerService sellerService) {
		this.sellerService = sellerService;
	}
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		System.out.println("经过了UserDetailsServiceImpl");
		//构建角色列表
		List<GrantedAuthority> grantAuths=new ArrayList();
		grantAuths.add(new SimpleGrantedAuthority("ROLE_SELLER"));
		//得到商家对象
		TbSeller seller = sellerService.findOne(username);
		if(seller!=null){
			if(seller.getStatus().equals("1")){
				return new User(username,seller.getPassword(),grantAuths);
			}else{
				return null;
			}			
		}else{
			return null;
		}
	}
}

③在pinyougou-shop-web的spring目录下创建spring-security.xml

	<!-- 以下页面不被拦截 -->
	<http pattern="/*.html" security="none"></http>
	<http pattern="/css/**" security="none"></http>
	<http pattern="/img/**" security="none"></http>
	<http pattern="/js/**" security="none"></http>
	<http pattern="/plugins/**" security="none"></http>
	<http pattern="/seller/add.do" security="none"></http> 	
	<!-- 页面拦截规则 -->
	<http use-expressions="false">
		<intercept-url pattern="/**" access="ROLE_SELLER" />
		<form-login login-page="/shoplogin.html"  default-target-url="/admin/index.html" authentication-failure-url="/shoplogin.html" always-use-default-target="true"/>	
		<csrf disabled="true"/>
		<headers>
			<frame-options policy="SAMEORIGIN"/>
		</headers>
		<logout/>
	</http>
	<!-- 认证管理器 -->
	<!-- 认证管理器 -->
	<authentication-manager alias="authenticationManager">  
        <authentication-provider user-service-ref='userDetailService'>   
          	<password-encoder ref="bcryptEncoder"></password-encoder>	   		
        </authentication-provider>  
    </authentication-manager>  
	<beans:bean id="userDetailService"
 class="com.pinyougou.service.UserDetailServiceImpl"></beans:bean>

经过上述配置,用户在输入密码123456时就会通过(用户名随意)
④修改pinyougou-shop-web的spring-security.xml ,添加如下配置

   <!-- 引用dubbo 服务 -->	
	<dubbo:application name="pinyougou-shop-web" />
	<dubbo:registry address="zookeeper://192.168.25.129:2181"/>
	<dubbo:reference id="sellerService"  interface="com.pinyougou.sellergoods.service.SellerService" >
	</dubbo:reference>
	<beans:bean id="userDetailService" class="com.pinyougou.service.UserDetailsServiceImpl">
		<beans:property name="sellerService" ref="sellerService"></bean:property>
	</beans:bean>

经过上述修改后,在登陆页输入用户名和密码与数据库一致即可登陆
附录
1))Spring Security

Spring Security简介
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

最简单Demo

  1. 创建工程spring-security-demo ,pom.xml内容
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd">
	<modelVersion>4.0.0</modelVersion>
	<groupId>cn.itcast.demo</groupId>
	<artifactId>spring-security-demo</artifactId>
	<packaging>war</packaging>
	<version>0.0.1-SNAPSHOT</version>
	<properties>
		<spring.version>4.2.4.RELEASE</spring.version>
	</properties>
	<dependencies>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-core</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-web</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-webmvc</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-context-support</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-test</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework</groupId>
			<artifactId>spring-jdbc</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>4.1.0.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>4.1.0.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>javax.servlet</groupId>
			<artifactId>servlet-api</artifactId>
			<version>2.5</version>
			<scope>provided</scope>
		</dependency>
	</dependencies>
	<build>
	  <plugins>		
	      <!-- java编译插件 -->
		  <plugin>
				<groupId>org.apache.maven.plugins</groupId>
				<artifactId>maven-compiler-plugin</artifactId>
				<version>3.2</version>
				<configuration>
					<source>1.7</source>
					<target>1.7</target>
					<encoding>UTF-8</encoding>
				</configuration>
		  </plugin>      
	      <plugin>
				<groupId>org.apache.tomcat.maven</groupId>
				<artifactId>tomcat7-maven-plugin</artifactId>
				<configuration>
					<!-- 指定端口 -->
					<port>9090</port>
					<!-- 请求路径 -->
					<path>/</path>
				</configuration>
	  	  </plugin>
	   </plugins>  
    </build>
</project>
  1. 创建web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns="http://java.sun.com/xml/ns/javaee"
	xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
	version="2.5">		
  	 <context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath:spring-security.xml</param-value>
	 </context-param>
	 <listener>
		<listener-class>
			org.springframework.web.context.ContextLoaderListener
		</listener-class>
	 </listener>	
	 <filter>  
		<filter-name>springSecurityFilterChain</filter-name>  		 <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
	 </filter>  
	 <filter-mapping>  
		<filter-name>springSecurityFilterChain</filter-name>  
		<url-pattern>/*</url-pattern>  
	 </filter-mapping>	
</web-app>

  1. 创建index.html 内容略

  2. 创建spring 配置文件spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
						http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">

	<!-- 页面拦截规则 -->
	<http use-expressions="false">
		<intercept-url pattern="/**" access="ROLE_USER" />
		<form-login/>	
	</http>

	<!-- 认证管理器 -->
	<authentication-manager>
		<authentication-provider>
			<user-service>
				<user name="admin" password="123456" authorities="ROLE_USER"/>
			</user-service>		
		</authentication-provider>	
	</authentication-manager>
</beans:beans>

此案例我们没有登录页,而是使用了系统自动生成的登陆页,效果如下:
在这里插入图片描述

配置说明:
intercept-url 表示拦截页面   
/*  表示的是该目录下的资源,只包括本级目录不包括下级目录
/** 表示的是该目录以及该目录下所有级别子目录的资源
form-login  为开启表单登陆
use-expressions 为是否使用使用 Spring 表达式语言( SpEL ),默认为true ,如果开启,则拦截的配置应该写成以下形式
<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />

另外:
用户自定义登录页(实际开发中,我们不可能使用系统生成的登录页,而是使用我们自己的登录页。)
①构建登陆页:

<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>登陆</title>
</head>
<body>	
	<form action='/login' method='POST'>
		<table>
			<tr>
				<td>用户名:</td>
				<td><input type='text' name='username' value=''></td>
			</tr>
			<tr>
				<td>密码:</td>
				<td><input type='password' name='password' /></td>
			</tr>
			<tr>
				<td colspan='2'><input name="submit" type="submit"
					value="登陆" /></td>
			</tr>
		</table>
	</form>
</body>
</html>

②构建登陆失败页 login_error.html(内容略)
③修改 spring 配置文件spring-security.xml

	<!-- 以下页面不被拦截 -->
	<http pattern="/login.html" security="none"></http>
	<http pattern="/login_error.html" security="none"></http>
	<!-- 页面拦截规则 -->
	<http use-expressions="false">
		<intercept-url pattern="/*" access="ROLE_USER" />
		<form-login login-page="/login.html" default-target-url="/index.html" authentication-failure-url="/login_error.html"/>	
		<csrf disabled="true"/>
	</http>

security=“none” 设置此资源不被拦截.
如果你没有设置登录页security=“none” ,将会出现以下错误
在这里插入图片描述
因为登录页会被反复重定向。
login-page:指定登录页面。
authentication-failure-url:指定了身份验证失败时跳转到的页面。
default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
csrf disabled=“true” 关闭csrf ,如果不加会出现错误
在这里插入图片描述
CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。

被抽空的血管
关注
专栏目录
用“密码代填”实现单点登录安全吗?
nidengxia的博客
10-23 2050
密码代填是一种帮助用户实现自动登录的方式,它通过自动模拟用户填写账号密码的方式来进行登录,严格来说它不属于单点登录范畴,由于国内不少企业采用这种方式来登录日常应用,所以也成为了一种广泛应用的实现单点登录的形式。有人说密码代填很落后,有人说它有特定的应用的场景,那么“密码代填”到底安全吗?是否值得采用?本文就来深入探讨一下。 一、“密码代填”的几种常见方式 “密码代填”顾名思义就是程序代替用户填写登录信息表单,实现自动登录的过程。主要有以下几种实现方式。 1. 通过应用提供的接口获取账号密码 .
系统安全--1、单点登录原理
lxhjh的专栏
12-15 915
一、单系统登录机制 1、http无状态协议 web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,这个过程用下图说明,三次请求/响应对之间没有任何联系。 但这也同时意味着,任何用户都能通过浏览器访问服务器资源,如果想保护服务器的某些资源,必须限制浏览器请求;要限制浏览器请求,
单点登录Cas如何保证客户端的安全
numbbe的博客
01-07 1937
目录同花顺已经有TGC了,为什么还需要STCas如何保证客户端的安全性Cookie的安全性 同花顺 在一篇博客下边,我看到了这样一句话(如下图): 这个使用redis就能实现吧,把用户的信息放在redis里面,当用户访问其他系统时直接从redis里面获取是否有该用户信息,有则放行,没有则跳转到登录页面。 随后我就毫不留情的开喷,你咋不说放到随便一个tomcat中也可以实现呢,确实也可以啊。只要是个服务器都能用于存放用户信息。 Cas解决的是存放用户信息的问题吗,还真是。(尬.jpg) Cas占据了SSO领
安全单点登录(SSO)解决方案
运维有小邓
12-26 436
ADSelfService Plus使用users’用于身份验证的Windows Active Directory中的现有身份。这节省了原本用于为用户设置新身份的时间,也消除了对存储额外密码的密码库工具的依赖。
单点登录基本框架
cowboy258的博客
04-29 970
单点登录的目的: 1.实现一处登录,多系统可用 2.实现一个账号在同一时间只能在一个设备登录 实现逻辑: 1.服务端增加缓存服务器redis、mamcache,用于存储session,里边存放mac地址,每次登录更新session,session设置定期清楚代码,避免存储过多导致内存占用过多 2.客户端携带session进行访问,每次访问都进行比对mac地址,如果地址不一样,则抛出错误,并提示在另一台设备登录 *注:如果是1000人左右的小系统,没有必要使用red...
详解spring boot配置单点登录
08-31
2.灵活性强:spring boot 配置单点登录支持多种身份验证方式和授权机制,且支持多种安全框架集成。 3.高安全性:spring boot 配置单点登录使用 Shiro 框架,提供了高安全性的身份验证和授权机制。 spring boot 配置...
Jeecg配置单点登录 登录验证完整代码
11-02
单点登录是一种网络应用架构中的安全机制,允许用户在一次登录后,就能访问多个相互关联的应用系统,而无需再次输入凭证。 单点登录通常采用中央认证服务(Central Authentication Service,简称CAS)协议。CAS是一...
开源ITSM工具itop接入单点登录框架cas实现步骤.docx
09-12
CAS(Central Authentication Service)是一种开源的单点登录框架,旨在提供一个安全、可靠的身份验证机制。CAS框架广泛应用于各种Web应用程序中,包括ITSM工具iTop。 iTop简介 iTop是开源的ITSM(IT Service ...
SSO单点登录的PHP实现方法(Laravel框架
10-22
9. 总结:Laravel为SSO单点登录的实现提供了便利的工具和框架支持,通过结合路由、中间件、认证系统以及会话和缓存管理,开发者可以构建一个既安全又易用的单点登录系统。但同时,实现过程中需要对安全性进行充分的...
Spring Security基于JWT实现SSO单点登录详解
08-25
在实际应用中,可以使用 Spring Security 框架和 JWT 技术,实现 SSO 单点登录系统,提高用户体验和安全性。 在 DEMO 中,我们创建了一个 SSO 单点登录系统,包括认证服务器(sso-server)、资源服务器(sso-client...
jeeplus带工作流开发框架ani.zip
09-01
jeeplus开发框架ani带工作流。可完整运行通过。仅限研究学习使用。 jeeplus开发框架ani带工作流。可完整运行通过。仅限研究学习使用。
java shiro安全框架登录
weixin_39728880的博客
06-02 549
引用三个jar: Maven: org.apache.shiro:shiro-core:1.2.4 Maven: org.apache.shiro:shiro-spring:1.2.4 Maven: org.apache.shiro:shiro-web:1.2.4 代码调用如下: Subject subject=SecurityUtils.getSubject(); UsernameP...
springsecurity安全登录框架
weixin_47120348的博客
04-20 665
springsecurity框架已经被springboot进行了集成,使用时直接导入启动器就可以了 org.springframework.boot spring-boot-starter-security 导入spring-boot-starter-security启动器就可以了, 启动项目后就会发现不管是什么请求都是要出现一个登录页面 密码是:控制台有 ...
如何安全的实现单点登陆
未来工厂的博客
12-13 498
思考问题:如何安全的实现单点登陆? 单点登陆:通常指的是1个用户仅可在1个设备上登陆系统 。这里要排除的情况,PC上虚拟机的使用、移动设备上双开或多开设备的使用。 如何实现? 仅可在1个设备上登录。只需要在设备应用用户第一次登录的时候,系统后台为此用户分配唯一ID标识,便可以实现。用唯一ID标识做系统逻辑,当此用户有再次做登录时,驳回当次登录操作,提示该用户已登录系统并提示其做其它操作(如提示修改密码、允许其它设备此次登录)。 如何确保它是安全的? 唯一ID,与sessionid机制类似,故可确保它的安全
单点登录
郝大侠的博客
08-03 1031
1.概念 一处登录,多处使用。 前提:多是使用在分布式系统中。 京东:单点登录,是将token放入到cookie中的。
Security(安全框架
vengu733的博客
10-25 3976
进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是****认证****。系统为什么要认证?
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token和用户授权(接口权限控制)
Json的知识梦工厂
07-23 5053
org.springframework.security.crypto.password.PasswordEncoder 接口。
【五一创作】SSO单点登录 防篡改、防重放、防盗用
m0_63546281的博客
05-03 701
主要是对单点登录系统中ticket进行防篡改、防重放、防盗用的安全优化,虽然在一般的系统中其实也用不到这较为完善的方案(学校项目会进行安全检测),但也能有效提高开发人员安全意识和技能,本次专栏到此就结束了,欢迎大家补充。
使用单点登录 (SSO):便捷访问,降低风险,精简流程
OneAuth身份云
07-25 728
如OA办公自动化系统,HR人力资源管理系统,企业ERP系统,企业BBS系统等,这些系统有着自己独立的用户认证模块和机制,用户不得不记住每一个系统的登录账号和密码,并且在使用不同的系统时,必须重复登录,给用户带来了很大的不便,而且对用户信息也没有一个很好的统一管理,使得维护用户信息变的比较困难。但是对于客户的单点登录需求,OneAuth提供了另外一种实现的方式。为了满足企业云时代不断增长的业务系统的访问需求,减少员工的账号管理工作,避免重复登录,实现一个账号多个系统同时登录,我们下面讲讲什么是单点登录?...
bladex框架单点登录
最新发布
11-09
bladex框架单点登录功能可以提高用户的使用体验,减少用户的登录次数,提高系统的安全性。如果您需要在bladex框架中实现单点登录功能,可以参考CAS的相关文档和bladex框架的官方文档进行配置和开发。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值