用户登入和权限管理
1.Spring Security概述
1.1Spring Security介绍
Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。(https://projects.spring.io/spring-security/) Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能再
WAR 或 EAR 级别进行移植。这样,如果你更换服务器环境,就要,在新的目标环境进行大量的工作,对你的应用系统进行重新配 置安全。使用Spring Security 解决了这些问题,也为你提供很多有用的,完全可以指定的其他安全特性。 安全包括两个主要操作。
“认证”,是为用户建立一个他所声明的主体。一般式指用户,设备或可以在你系统中执行动作的其他系统。
“授权”,指的是一个用户可以执行哪些操作,在到达授权判断之前,身份的主题已经由身份验证过程建立了。
1.2. Spring Security认证
在Spring Security中如果想要进行认证操作,有很多种操作方式,这里我们介绍使用UserDetails、
UserDetailsService来完成操作。UserDetails
UserDetails是一个接口,我们可以 认为UserDetails作用是于封装当前进行认证的用户信息,但由于其是一个 接口,所以我们可以对其进行实现,也可以使用Spring Security提供的一个UserDetails的实现类User来完成操作
以下是User类的部分代码
UserDetailsService规范了我们在做认证时具体执行哪个方法。
3.用户管理 用户登录
3.1.导jar包
Pom.xml
org.springframework.security
spring-security-web
s
p
r
i
n
g
.
s
e
c
u
r
i
t
y
.
v
e
r
s
i
o
n
<
/
v
e
r
s
i
o
n
>
<
/
d
e
p
e
n
d
e
n
c
y
>
<
d
e
p
e
n
d
e
n
c
y
>
<
g
r
o
u
p
I
d
>
o
r
g
.
s
p
r
i
n
g
f
r
a
m
e
w
o
r
k
.
s
e
c
u
r
i
t
y
<
/
g
r
o
u
p
I
d
>
<
a
r
t
i
f
a
c
t
I
d
>
s
p
r
i
n
g
−
s
e
c
u
r
i
t
y
−
c
o
n
f
i
g
<
/
a
r
t
i
f
a
c
t
I
d
>
<
v
e
r
s
i
o
n
>
{spring.security.version}</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>
spring.security.version</version></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring−security−config</artifactId><version>{spring.security.version}
org.springframework.security
spring-security-core
s
p
r
i
n
g
.
s
e
c
u
r
i
t
y
.
v
e
r
s
i
o
n
<
/
v
e
r
s
i
o
n
>
<
/
d
e
p
e
n
d
e
n
c
y
>
<
d
e
p
e
n
d
e
n
c
y
>
<
g
r
o
u
p
I
d
>
o
r
g
.
s
p
r
i
n
g
f
r
a
m
e
w
o
r
k
.
s
e
c
u
r
i
t
y
<
/
g
r
o
u
p
I
d
>
<
a
r
t
i
f
a
c
t
I
d
>
s
p
r
i
n
g
−
s
e
c
u
r
i
t
y
−
t
a
g
l
i
b
s
<
/
a
r
t
i
f
a
c
t
I
d
>
<
v
e
r
s
i
o
n
>
{spring.security.version}</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-taglibs</artifactId> <version>
spring.security.version</version></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring−security−taglibs</artifactId><version>{spring.security.version}
3.2.配置过滤器
Web.xml
springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /*3.3.新建spring-security.xml文件
在web.xml中添加classpath
contextConfigLocation classpath*:applicationContext.xml,classpath*:spring-security.xml3.4 添加页面
3.5.userservice extend UserDetailsService
3.6页面端标签控制权限
在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制
导jar包
页面导入
<security:authorize access=“hasRole(‘ADMIN’)”>
</security:authorize>
3.7常用标签
在jsp中我们可以使用以下三种标签,其中authentication代表的是当前认证对象,可以获取当前认证对象信息,例 如用户名。其它两个标签我们可以用于权限控制
3.7.1authentication
property: 只允许指定Authentication所拥有的属性,可以进行属性的级联获取,如“principle.username”, 不 允 许 直 接 通 过 方 法 进 行 调 用
htmlEscape:表示是否需要将html进行转义。默认为true。
scope:与var属性一起使用,用于指定存放获取的结果的属性名的作用范围,默认我pageContext。Jsp中拥 有的作用范围都进行进行指定
var: 用于指定一个属性名,这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存放,默认是存放在pageConext中
3.7.2authorize
authorize是用来判断权限的,通过判断用户是否具有对应的权限而控制其所包含内容的显示
access: 需要使用表达式来判断权限,当表达式的返回结果为true时表示拥有对应的权限
method:method属性是配合url属性一起使用的,表示用户应当具有指定url指定method访问的权限,
method的默认值为GET,可选值为http请求的7种方法
url:url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
var:用于指定将权限鉴定的结果存放在pageContext的哪个属性中
190
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
