security安全框架

最新推荐文章于 2024-06-13 13:15:52 发布
最新推荐文章于 2024-06-13 13:15:52 发布
阅读量543 收藏
点赞数
分类专栏: 安全框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43792960/article/details/84862178
版权

Spring Security依赖

<dependencies>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>5.0.1.RELEASE</version>
    </dependency>
</dependencies>

Spring Security快速入门

使用Spring Security默认界面

1.引入依赖
2.配置web.xml
配置过滤器链 和核心监听器

 <!--sping核心监听器 监听sping容器创建-->
   <listener>
       <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
   </listener>
    <!--重新指定加载路径-->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:spring/spring-security.xml</param-value>
    </context-param>
    <!--过滤器链-->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

3.Spring-security.xml配置文件

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:security="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans          
    http://www.springframework.org/schema/beans/spring-beans.xsd          
    http://www.springframework.org/schema/security          
    http://www.springframework.org/schema/security/spring-security.xsd">
	<!-- 入门代码 -->
	<!-- 配置拦截的规则 auto-config="使用自带的页面" use-expressions="是否使用spel表达式",如果使用表达式:hasRole('ROLE_USER') -->
	<security:http auto-config="true" use-expressions="false">
		<!-- 配置拦截的请求地址,任何请求地址都必须有ROLE_USER的权限 -->
		<security:intercept-url pattern="/**" access="ROLE_USER" />
	</security:http>
	<!-- 在内存中临时提供用户名和密码的数据:{noop}表示不加密 -->
	<security:authentication-manager>
		<security:authentication-provider>
			<security:user-service>
				<security:user name="admin" password="{noop}admin" 					authorities="ROLE_USER" />
			</security:user-service>
		</security:authentication-provider>
	</security:authentication-manager>
</beans>

使用自定义界面

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:security="http://www.springframework.org/schema/security"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans          
    http://www.springframework.org/schema/beans/spring-beans.xsd          
    http://www.springframework.org/schema/security          
    http://www.springframework.org/schema/security/spring-security.xsd">
	<!-- 入门代码 -->
	<security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/error.jsp" security="none"/>
	<!-- 配置拦截的规则 auto-config="使用自带的页面" use-expressions="是否使用spel表达式",如果使用表达式:hasRole('ROLE_USER') -->
	<security:http auto-config="true" use-expressions="false">
		<!-- 配置拦截的请求地址,任何请求地址都必须有ROLE_USER的权限 -->
		<security:intercept-url pattern="/**" access="ROLE_USER" />
		<!-- 配置自定义的页面跳转
				login-page:设置登录界面
				login-processing-url:设置登录请求地址
				default-target-url:设置登录成功默认跳转界面
				authentication-failure-url:登录失败跳转界面
	          always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。
		 -->
        <security:form-login 
            login-page="/login.jsp"
            login-processing-url="/login"
            default-target-url="/success.jsp"
            authentication-failure-url="/error.jsp"
	always-use-default-target="true"
        />
        <!-- 授权不足跳转界面 -->
        <security:access-denied-handler error-page="/error.jsp"/>
        <!-- 关闭跨越请求 :如果要自定义界面,必须关闭此功能-->
        <security:csrf disabled="true"/>
        <!-- 退出 -->
        <security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp"/>
	</security:http>
	<!-- 在内存中临时提供用户名和密码的数据 -->
	<security:authentication-manager>
		<security:authentication-provider>
			<security:user-service>
				<!-- //{noop}铭文保存,明文比对 -->
				<security:user name="admin" password="{noop}admin" authorities="ROLE_USER" />
				<security:user name="user" password="{noop}user" authorities="ROLE_ADMIN"/>
			</security:user-service>
		</security:authentication-provider>
	</security:authentication-manager>
</beans>

使用数据库信息登录

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:context="http://www.springframework.org/schema/context"
       xmlns:aop="http://www.springframework.org/schema/aop"
       xmlns:tx="http://www.springframework.org/schema/tx"
       xmlns:mvc="http://www.springframework.org/schema/mvc"
       xmlns:dubbo="http://code.alibabatech.com/schema/dubbo"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
			    http://www.springframework.org/schema/beans/spring-beans.xsd
			    http://www.springframework.org/schema/context
			    http://www.springframework.org/schema/context/spring-context.xsd
			    http://www.springframework.org/schema/aop
			    http://www.springframework.org/schema/aop/spring-aop.xsd
			    http://www.springframework.org/schema/tx
			    http://www.springframework.org/schema/tx/spring-tx.xsd
			    http://www.springframework.org/schema/mvc
			    http://www.springframework.org/schema/mvc/spring-mvc.xsd
			    http://code.alibabatech.com/schema/dubbo
               http://code.alibabatech.com/schema/dubbo/dubbo.xsd
			    http://www.springframework.org/schema/security
			    http://www.springframework.org/schema/security/spring-security.xsd">
    <!--开启组件扫描-->
    <context:component-scan base-package="com.pinyougou.manager"/>
    <!--释放静态资源-->
    <security:http security="none" pattern="/login.html"/>
    <security:http security="none" pattern="/css/**"/>
    <security:http security="none" pattern="/img/**"/>
    <security:http security="none" pattern="/js/**"/>
    <security:http security="none" pattern="/plugins/**"/>

    <!---->
    <security:http auto-config="true" use-expressions="false">
        <security:intercept-url pattern="/**" access="ROLE_USER"/>
        <!--自定义登录界面-->
        <!--
        always-use-default-target  登录成功后总是跳转到default-target-url所指定的路径
        -->
        <security:form-login login-page="/login.html"
                             login-processing-url="/login"
                             default-target-url="/admin/index.html"
                             authentication-failure-url="/login.html"
                             always-use-default-target="true"/>
        <!--使用了frame需要设置frame策略为同源-->
        <security:headers>
            <security:frame-options policy="SAMEORIGIN"/>
        </security:headers>
        <!--自定义登出界面-->
        <security:logout invalidate-session="true"
                         logout-url="/logout"
                         logout-success-url="/login.html"/>
        <!--释放csrf-->
        <security:csrf disabled="true"/>
    </security:http>

    <!--加密对象-->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- 在内存中临时提供用户名和密码的数据 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userDetailService">//指明实现类
            <security:password-encoder ref="passwordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>
    <!--必须重新从注册中心拿取-->
    <dubbo:application name="pinyougou-manager-web" />
    <!--访问的路径-->
    <dubbo:registry address="zookeeper://192.168.25.128:2181"/>
    <!--开启注解的路径 @Reference注入-->
    <dubbo:annotation package="com.pinyougou.manager.security" />

</beans>

创建一个类实现UserDetailsService,并重写方法

package com.pinyougou.manager.security;

import com.alibaba.dubbo.config.annotation.Reference;
import com.pinyougou.pojo.TbUser;
import com.pinyougou.sellergoods.service.UserService;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Component;

import java.util.ArrayList;
import java.util.Collection;
import java.util.List;

@Component
public class UserDetailService implements UserDetailsService {

    @Reference
    private UserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        TbUser tbUser=userService.findByName(username);
        if (null==tbUser){
            return null;
        }
        List<SimpleGrantedAuthority> authorities=new ArrayList<SimpleGrantedAuthority>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        return new User(username,tbUser.getPassword(),authorities);
    }
}
作业本丢了
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security
m0_45209551的博客
05-19 1465
目录 04、Spring Security从数据库中读取信息 pom依赖 application.properties User 1.每个实体类的属性名都不一样,怎么知道你哪个字段表示用户名,那个字段表示密码,Spring Security提供了统一的方法实现UserDetails 接口 2.先重写方法,再实现get和set方法 3.重写了自动的,记得删掉get方法 UserService 当用户登录的时候,会自动调用到这个方法 UserMapper UserMapper.xml ..
SpringSecurity原理和实际应用
cvpatient的博客
05-15 725
SpringSecurity,权限控制,密码加密,云存储器
详解 Spring Security:全面保护 Java 应用程序的安全框架
最新发布
微笑听雨
06-13 1534
Spring Security 是一个功能强大且高度可定制的框架,用于保护基于 Java 的应用程序。它为身份验证、授权、防止跨站点请求伪造 (CSRF) 等安全需求提供了解决方案
安全框架Spring Security
Tohsaca Rin
03-29 176
安全框架Spring Security Spring Security简介 2.1.1 安全框架概述 什么是安全框架? 解决系统安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过配置的方式实现对资源的访问限制。 2.1.2 常用安全框架 Spring Securityspring家族一员。是一个能够为基于Spring的企业应用系统提供 声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spri
Java 安全框架有哪些
记录一下
01-18 2891
例如,Spring Security适用于与Spring框架紧密集成的应用程序,而Shiro可能更适合那些希望一个简单而灵活的安全框架的项目。Spring Security和Apache Shiro都是用于Java应用程序安全框架,它们在一些方面有相似之处,但也有一些明显的区别。总体而言,Spring Security提供了一个全面而灵活的安全解决方案,使开发者能够轻松地集成强大的安全性能到他们的应用程序中。也支持防止会话固定攻击。支持安全的用户注销功能,确保用户在注销时相关的资源得到适当的清理和释放。
SpringSecurity安全框架简介
xsgnzb的专栏
03-29 1584
我们介绍了Spring Security的基本概念和常见功能,分析了Spring Security扩展机制的实现原理,最后对比了Spring Security6.0的一些改动。可见,使用Spring Security我们通过提供自己的业务过滤器,很容易实现功能的扩展。
Security 安全框架
07-14
Spring Security 是一个强大的且高度可配置的Java安全框架,用于处理Web应用程序的安全性。它提供了全面的身份验证、授权和访问控制功能,为开发人员提供了一种简单的方式,来保护应用程序免受各种安全威胁。 在...
SpringSecurity安全框架案例
09-23
在这个"SpringSecurity安全框架案例"中,我们将探讨其核心概念和实现细节,特别关注的是没有验证码校验的完整认证授权流程。 **1. 认证流程** 在Spring Security中,认证过程通常涉及以下步骤: - **用户尝试访问...
spring security安全框架
10-25
Spring Security 是一个强大的且高度可定制的 Java 安全框架,用于解决 Web 应用程序的安全问题。这个框架提供了一套全面的解决方案,包括身份验证、授权、会话管理以及跨站请求伪造(CSRF)防护等核心功能。在本文...
SpringSecurity安全框架基础Demo
01-02
这个"SpringSecurity安全框架基础Demo"旨在帮助开发者快速理解和实践Spring Security的核心功能。 **1. 用户认证** 在Spring Security中,用户认证主要由Authentication对象负责。当用户尝试访问受保护的资源时,...
SpringSecurity安全框架企业中应用
06-13
涉及到目前互联网项目中最常用的高并发解决方案技术, 如 dubbo,redis,solr,freemarker,activeMQ,springBoot框架,微信支付,nginx负载均衡,电商活动秒杀,springSecurity安全框架,FastDFS分布式文件服务器,还会涉及到...
深入浅出SpringSecurity
-
04-11 4655
SpringSecurity学习 SpringSecurity简介 安全框架的概述 什么是安全框架?是为了解决安全问题的框架。如果没有安全框架,我们需要手动处理每个资源的访问控制,非常麻烦。使用安全框架,我们可以通过的配置方式实现对资源的访问控制。 常用的安全框架概述 SpringSecuritySpring家族的一员,是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方...
SpringSecurity 安全框架
xiaoxu的博客
02-17 1782
创建基于maven环境的springboot2项目。并引入相关的依赖。
Spring Security 框架
qq_44182694的博客
05-27 2050
OncePerRequestFilter是Spring Security框架中的一个抽象类,实现了javax.servlet.Filter接口,通过继承它可以方便地实现对请求的过滤。它的作用是确保在请求处理期间只被调用一次,即只会过滤一次该请求,可以避免同一请求被重复处理的问题。OncePerRequestFilter实现了doFilter()方法,该方法在每个请求到达过滤器时会被调用。通过继承该类并重写方法,可以自定义实现请求过滤器的逻辑。
安全框架解析
m0_73804996的博客
03-15 77
安全框架解析
Spring Security 安全框架NOTE
一个热爱编程的大学僧
09-05 287
功能强大且灵活的身份验证和授权框架,用于保护基于 Spring 的应用程序;它提供了一套综合的安全性解决方案,可以用于 Web 应用程序、REST API、微服务等各种应用场景Spring Security 提供了多种身份验证方式,包括基于表单、HTTP 基本认证、LDAP、OAuth2 等。它可以集成到应用程序中,通过验证用户提供的凭据(如用户名和密码)来验证用户身份Spring Security 支持基于角色和权限的授权机制。
快速学习安全框架 Springsecurity最新版(6.2)--用户授权模块
qq_55272229的博客
02-22 1717
上一节Springsecurity 用户认证Springsecurity 拥有强大的认证和授权功能并且非常灵活,,一来说我们都i有以下需求可以帮助应用程序实现以下两种常见的授权需求:用户-权限-资源:例如张三的权限是添加用户、查看用户列表,李四的权限是查看用户列表用户-角色-权限-资源:例如 张三是角色是管理员、李四的角色是普通用户,管理员能做所有操作,普通用户只能查看信息“Auth” 表示 “授权” Authorization“O” 是 Open 的简称,表示 “开放”连在一起就表示。
java之路——带你了解SpringSecurity安全框架与基本应用
m0_68987535的博客
06-26 1151
*Spring Security是一个功能强大的开源框架,用于在Java应用程序中实现身份验证和授权功能。它提供了一套全面的安全性解决方案,可用于保护Web应用程序、REST API和其他类型的应用程序。**Spring Security提供了多种身份验证机制,包括基于表单、基于HTTP基本身份验证、基于OAuth等。它可以与各种身份验证提供者(如数据库、LDAP、OAuth服务器等)集成,以验证用户的身份。
安全框架知识概括
weixin_41005188的博客
03-02 2890
安全框架知识概括认证和授权的区别oAuth、oAuth2简介JWT安全框架心得加密算法常见web应用攻击 认证和授权的区别 认证和授权记忆法: 认证是authentication,授权是authorization authorization的author是作者,作者已经有了认证身份了就是作者。 而剩下的authen则是认证。 认证和授权简介: 飞机例子: ①你要登机,你需要出示你的身份证和机票,身份证是为了证明你张三确实是你张三,这就是 authentication; ②而机票是为了证明你张三确实买了
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值