Spring-Security 简介、入门案例详解、安全框架、权限验证 SSM项目 使用 JavaConfig配置

最新推荐文章于 2023-02-09 17:58:51 发布
最新推荐文章于 2023-02-09 17:58:51 发布
阅读量286 收藏
点赞数
分类专栏: Security 安全框架 springboot系列 文章标签: spring java spring boot 后端 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45821811/article/details/115771206
版权

Spring-Security 简介

一、介绍

​ Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。

​ Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servlet请求,并将这些请求转给认证和访问决策管理器处理,从而增强安全性。根据自己的需要,可以使用适当的过滤器来保护自己的应用程序。

注:这篇不牵扯原理及大量理论知识,只是一个入门案例,但是完全足够大家理解和写简单的项目。

二、详细步骤

因为这一篇是讲spring-security 就是用spring写的 但是我在这篇文章中 并没有使用xml配置

全文都是使用javaconfig 进行配置的。

1、创建一个maven项目 添加web 框架。

2、导入依赖

  <dependencies>
        <dependency>
            <groupId>org.springframework</groupId>
            <artifactId>spring-webmvc</artifactId>
            <version>5.3.4</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>5.3.2.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>5.3.2.RELEASE</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet.jsp</groupId>
            <artifactId>jsp-api</artifactId>
            <version>2.2</version>
        </dependency>
        <dependency>
            <groupId>javax.servlet</groupId>
            <artifactId>javax.servlet-api</artifactId>
            <version>4.0.1</version>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <version>1.18.18</version>
        </dependency>
    </dependencies>

3、项目整体结构

4、Spring 容器配置

@Configuration
@ComponentScan(basePackages = "com.itheima.security.springmvc"
,excludeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION,value =
Controller.class)})
public class ApplicationConfig {
//在此配置除了Controller的其它bean,比如:数据库链接池、事务管理器、业务bean等。
}

5、servletContext配置

在config包下定义WebConfig.java,它对应s对应于DispatcherServlet配 置

@Configuration  // 相当于springmvc 文件
@EnableWebMvc
@ComponentScan(
        basePackages = "com.wyh",
        includeFilters = {@ComponentScan.Filter(type = FilterType.ANNOTATION, value = Controller.class)})
public class WebConfig implements WebMvcConfigurer {

    // 视图解析器
    @Bean
    public InternalResourceViewResolver viewResolver(){
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setPrefix("/WEB-INF/view/");
        viewResolver.setSuffix(".jsp");
        return viewResolver;
    }

    // 把根路径跳转到login上
    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login");
    }
}

6、加载 Spring容器

在init包下定义Spring容器初始化类SpringApplicationInitializer,此类实现WebApplicationInitializer接口, Spring容器启动时加载WebApplicationInitializer接口的所有实现类 加载 WebSecurityConfig

public class SpringApplicationInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    // spring 容器
    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[]{ ApplicationConfig.class , WebSecurityConfig.class};
    }

    //servletContext
    @Override
    protected Class<?>[] getServletConfigClasses() {
        return new Class[]{WebConfig.class};
    }
    //url-mapping
    @Override
    protected String[] getServletMappings() {
        return new String[]{"/"};
    }
}

7、Spring Security初始化

Spring Security初始化,这里有两种情况

若当前环境没有使用Spring或Spring MVC,则需要将 WebSecurityConfig(Spring Security配置类) 传入超 类,以确保获取配置,并创建spring context。

相反,若当前环境已经使用spring,我们应该在现有的springContext中注册Spring Security(上一步已经做将 WebSecurityConfig加载至rootcontext),此方法可以什么都不做。 在init包下定义SpringSecurityApplicationInitializer:

public class SpringSecurityApplicationInitializer extends AbstractSecurityWebApplicationInitializer {

        public SpringSecurityApplicationInitializer(){

        }

}

8、默认根路径请求

默认根路径请求 在WebConfig.java中添加默认请求根路径跳转到/login,此url为spring security提供:

    @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("redirect:/login");
//        registry.addViewController("/login-view").setViewName("login");
    }

8、认证页面

因为这次只是写一个入门案例 页面就没有额外写了 但是怎么设置还是有说滴。

默认认证页面

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JfAwesLK-1618576175316)(spring-security.assets/image-20210416191315376.png)]

8.1、定制登录页面

8.1.1、 在config包WebConfig.java中

//默认Url根路径跳转到/login,此url为spring security提供
@Override
public void addViewControllers(ViewControllerRegistry registry) {
	registry.addViewController("/").setViewName("redirect:/login‐view");
	registry.addViewController("/login‐view").setViewName("login");
}

8.1.2、在WebSecurityConfig.java中 增加配置

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable() // 关闭csrf
            	.authorizeRequests()
                .antMatchers("/r/r1").hasAnyAuthority("p1")// 表示:访问/r/r1资源的 url需要拥有p1权限。
                .antMatchers("/r/r2").hasAnyAuthority("p2")
                .antMatchers("/r/**").authenticated()  // 访问/r/下所有请求都需要通过身份认证
                .anyRequest().permitAll() //指定任何人都允许使用URL
                .and()
                .formLogin()  // 支持form表单认证,认证成功后转向/login-success。
                .loginPage("/login‐view")   //1
                .loginProcessingUrl("/login")// 2
                .successForwardUrl("/login-success")  // 自定义登录成功的配置  认证通过后跳转到login-success
            	.permitAll(); //3
    }

1、指定我们自己的登录页,spring security以重定向方式跳转到/login-view

2、指定登录处理的URL,也就是用户名、密码表单提交的目的路径

3、我们必须允许所有用户访问我们的登录页(例如为验证的用户),这个 formLogin().permitAll() 方法允许 任意用户访问基于表单登录的所有的URL。

9、安全配置 WebSecurityConfig

spring security提供了用户名密码登录、退出、会话管理等认证功能,只需要配置即可使用。

在config包下定义WebSecurityConfig,安全配置的内容包括:用户信息、密码编码器、安全拦截机制。

@EnableWebSecurity
public class WebSecurityConfig  extends WebSecurityConfigurerAdapter {

    @Bean //密码编码器、
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override //安全拦截机制。
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/r/r1").hasAnyAuthority("p1") // 访问/r/r1 需要有p1权限 下同
                .antMatchers("/r/r2").hasAnyAuthority("p2")
                .antMatchers("/r/**").authenticated()  // 访问/r/下所有请求都需要通过身份认证
                .anyRequest().permitAll() //指定任何人都允许使用URL
                .and()
                .formLogin()  // 支持form表单认证,认证成功后转向/login-success。
                .successForwardUrl("/login-success");  // 自定义登录成功的配置
    }
}

10、用户类

@Data
@AllArgsConstructor
@NoArgsConstructor
public class MyUser{
        private Integer id;
        private String username;
        private String password;
}

11、MyUserDetailsService

在MyUserDetailsService()方法中,我们返回了一个UserDetailsService给spring容器,Spring Security会使用它来 获取用户信息

今天是初使用 不写多了…。

@Component
public class MyUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 登录账号
        // 这里是模拟数据库查询
        MyUser myUser = getUserByName(username);
        if (myUser== null) {
            return null;
        }
        //创建userDetails
        UserDetails userDetails =
                User.withUsername(myUser.getUsername()).password(BCrypt.hashpw(myUser.getPassword(),BCrypt.gensalt())).authorities("p1").build();
        // pssword() 使用了密码加密   加密方式在之前讲了。 
        // 数据库里的密码是不会存明文密码 这里也是在模拟。
  		// 因为我使用了密码加密   我登录输入的密码 
        // security 在处理的时候 也会进行加密 然后再比对。
        return userDetails;
    }
    private MyUser getUserByName(String username){
        return new MyUser(1,username,"123456");
    }
}

12、Controller层

测试的请求

@RestController
public class LoginController {
    @RequestMapping(value = "/login-success", produces = "text/plain;charset=utf-8")
    public String loginSuccess(){
        return getUsername()+"登录成功";
    }


    @RequestMapping(value = "/r/r1", produces = "text/plain;charset=utf-8")
    public String r1(){
        return getUsername()+"资源1";
    }
    @RequestMapping(value = "/r/r2", produces = "text/plain;charset=utf-8")
    public String r2(){
        return getUsername()+"资源2";
    }

    // 这个权限是 身份验证通过就可以访问的  不要用户有权限的。
    @RequestMapping(value = "/r/r3", produces = "text/plain;charset=utf-8")
    public String r3(){
        return  getUsername()+"这个用户是没有任何权限  这个请求也只要登录验证就可"+  "    资源3";
    }

    private String getUsername(){
        String username=null;
        //当前通过的用户身份
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        Object principal = authentication.getPrincipal();
        if (principal==null){
            username="匿名";
        }
        if(principal instanceof UserDetails){
            UserDetails userDetails=  (UserDetails)principal;
            username = userDetails.getUsername();
        }else{
            username= principal.toString();
        }

        return username;
    }
}

三、测试

1、认证错误

当输入错误的密码的时候 会自动弹出提示。

2、认证成功

当用户名和密码都输入正确的时候 它就会跳转到 /login-success请求去

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ODtp2Cts-1618576175320)(spring-security.assets/image-20210416200732223.png)]

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-UbeqWyOh-1618576175323)(spring-security.assets/image-20210416200747582.png)]

3、授权

当我们的用户有权限的时候 就是用我现在模拟的数据(username:admin password:123456 p1 权限)

来访问 /r/r1

接下来接着访问 /r/r2 /r/r2 是需要p2权限 模拟的数据是没有这个权限

会报 403 错误 权限不足。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-6OTK8bUl-1618576175327)(spring-security.assets/image-20210416201142415.png)]

在 /r/** 下 所有用户都需要身份验证通过才可以访问的。

如果在没有登录的情况下 访问 /r/r3 是会自动转到登录页面去。

自言自语

今天是做了一个security 的入门案例 。

今天比平时写的时间还长一些。

看完的话 最基本的是可以用了 那里面的数据 是可以从数据库里面查询的。

权限表的设计 在我之前一篇博客已经发出来了。

RBAC、控制权限设计、权限表设计

等过几天把springboot-security 的案例也写出来

那个是从数据库查询的,不再是模拟数据拉。

继续。

宁在春
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security-config-3.2.3.RELEASE.zip
10-18
curator-test-rule.zip,此项目提供了一个JUnit测试规则,用于管理底层ZookePerServer的启动和关闭。testrule还包括一种获取curatorframework实例的方法,这些实例根据rule.junit testrule的作用域自动连接和断开与基础zookeperserver的连接。junit testrule用于使用zookeperserver和curatorframeworks运行测试
SSM(System Safety Monitor) 视频教程
飘的梦客厅
04-08 3555
作者:baohe 转载自卡卡论坛这里看不到图片,文章源地址是:http://writeblog.csdn.net/PostEdit.aspx?entryId=1556289需要的朋友到源地址去看吧。SSM(System Safety Monitor) 是个不错的应用程序级监控工具(目前为止,最新版的的2.0.0.561版还是免费的),不少人都在用。但是,到目前为止,SSM一直没考虑自身
springSecurity-入门到实战(整合SSM-整合Springboot待更新)
qq_45441466的博客
05-03 236
SpringSecurty 认证和授权概念 前面我们已经完成了传智健康后台管理系统的部分功能,例如检查项管理、检查组管理、套餐管理、预 约设置等。接下来我们需要思考2个问题: 问题1:在生产环境下我们如果不登录后台系统就可以完成这些功能操作吗? 答案显然是否定的,要操作这些功能必须首先登录到系统才可以。 问题2:是不是所有用户,只要登录成功就都可以操作所有功能呢? 答案是否定的,并不是所有的用户都可以操作这些功能。 不同的用户可能拥有不同的权限,这就需要进 行授权了。 认证:系统提供的用于.
Java SSM 项目实战 day08 方法级别的权限操作 服务器端的权限控制(JSR-250注解)(支持表达式的注解)(@Secured)以及页面端的权限控制
程序员猫爪
06-14 472
Java SSM 项目实战 day08 方法级别的权限操作 服务器端的权限控制(JSR-250注解)(支持表达式的注解)(@Secured)以及页面端的权限控制
SSM整合项目中应用springsecurity技术进行权限控制,遇到可以登录但无法进行其他操作的问题的理解
weixin_43897803的博客
09-15 240
对于springsecurity的理解参考[链接](https://blog.csdn.net/weixin_44516305/article/details/87860966) 在我练习的一个SSM项目中,最近遇到一个问题: 现有条件: 1.数据库中有两个用户tom和dyb,用户tom具有权限ROLE_ADMIN和USER,用户dyb具有权限ADMIN。 2.springsecurity.xml中配置了拦截规则,具有ROLE_ADMIN和ROLE_USER两种权限的人才能访问系统。 3.通过jsp网页中
基于SSM框架的Java电商项目.zip
08-29
Spring Security可以用来处理权限控制和认证,提供安全的用户会话管理。 2. **商品模块**:涉及商品分类、搜索、详情展示等。MyBatis负责与数据库交互,查询和存储商品信息。可能使用Spring Data JPA进行更高级的...
SSM框架配置搭建 spring、 spring mvc、 mybatis 整合详解
08-02
在实际开发中,SSM框架配置会因项目需求而有所不同,例如添加缓存支持、安全框架(Spring Security)或任务调度(Spring Task)等。通过学习和实践SSM配置搭建,开发者能够更好地理解和掌握Java Web开发的核心...
Java EE电商项目使用SSM框架)--AwesomeMall.zip
最新发布
11-01
【Java EE电商项目——AwesomeMall使用SSM框架详解】 Java EE是企业级应用开发的首选平台,而SSM框架(Spring、Spring MVC、MyBatis)是Java EE开发中的主流技术栈。本项目"AwesomeMall"便是一个基于SSM框架的电商...
java毕设项目-SSM停车场管理系统.zip
07-31
此外,为了保证系统的安全性,可能采用了Spring Security或者Apache Shiro等权限管理框架,实现用户权限控制和防止SQL注入等安全问题。 总的来说,“java毕设项目-SSM停车场管理系统”是一次将理论知识应用于实践的...
基于SSM框架的RBAC权限系统设计与实现(付源码+论文)
azhou的代码园
02-09 266
权限管理系统是整合SSM (Spring MVC+Spring+Mybatis)框架开发的,分成视图层(View)层,控制层(Controller)层,服务层(Servise)层以及Dao层这四层。输入并保存有关角色的信息,包括角色的名称、代码、QQ号和密码等。(3)授权查询:请求授权的一个元素,根据授权的名称和授权的角色,可以查看授权和授权角色的对应关系。Entity层(实体层、domain层):实体层,用于存放实体类,与数据库中的属性值基本保持一致,实现setter()和getter()方法。
ssm框架实现登录/shiro/demo
02-19
我最近用了2天整理一了个相对来说比较好的ssm框架,目前实现登录功能,有比较完善的权限功能。先上效果图,激发一下你们的学习兴趣。
Spring-security4.2官方整合jar包
06-05
Spring-security4.2官方整合jar包,从官网下载整合出来的,其中还有demo示例与文档,包括了spring-security-core-4.2.2.RELEASE.jar,spring-security-web-4.2.2.RELEASE.jar等jar包。不想到官网找就可以在这里直接下载。很多人下载却不评论心好累,用的好请给个好评。
SpringSecurity概念以及整合ssm框架
weixin_46245201的博客
12-16 607
Spring中提供安全认证服务的框架,认证:验证用户密码是否正确的过程,授权:对用户能访问的资源进行控制用户登录系统时我们协助 SpringSecurity 把,同时把各个设定好,剩下的“登录验证”、“权限验证”等等工作都交给SpringSecurity。
SpringSecurity相关jar包的介绍
Leon_Jinhai_Sun的博客
11-15 5084
初识SpringSecurity Spring Security是spring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的 授权功能。是一款非常优秀的权限管理框架。 创建SpringSecurity Spring Security主要jar包功能介绍 spring-security-core.jar:核心包,任何Spring Security功能都需要此包。 spring-security-web.jar:web工程必备,包含过滤器和相关的Web安全基础
SSM整合SpringSecurity实现权限管理实例 javaconfig配置方式
热门推荐
poorCoder_的博客
04-18 2万+
1.前言 本文讲述使用javaconfig的方式整合SpringMVC+Mybatis+SpringSecurity实现基于数据库的权限系统,包括对按钮的权限控制。 使用技术: springMVC、springsecurity4、mybatis、ehcache、前端使用dataTables表格、ztree。 2.表结构介绍 标准的五张表结构。其中t_resources包含了后台系...
ssm框架整合springSecurity
weixin_48605326的博客
05-17 1937
SSM整合springsecurity过程 前言:先来说一下springsecurity的作用 springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转 springsecurity的核心功能: 认证 (我是谁,用户信息验证) 授权 (可以做什么,权限角色) 攻击防护 (防止伪造攻击,csrf) 其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在s
Spring Security Config : 注解 EnableWebSecurity 启用Web安全
wangooo的博客
02-22 6050
@EnableWebSecurity是Spring Security用于启用Web安全的注解。典型的用法是该注解用在某个Web安全配置类上(实现了接口WebSecurityConfigurer或者继承自WebSecurityConfigurerAdapter)。 典型的使用例子如下 : @Configuration @EnableWebSecurity public class MyWebSecurityConfiguration extends WebSecurityConfigurer...
案例实现ssm整合(包含了pagehelper、springSecurity)
MainPoser的博客
05-07 262
案例实现ssm整合(One) 第1章 产品介绍 1.1 数据库与表结构 产品表信息描述 序号 字段名称 字段类型 字段描述 1 id int(11) 主键自增 2 productNum varchar(50) 产品编号,唯一不为空 3 productName varchar(50) 产品名称 4 cityName varchar(50) 出发城市 5 departu...
SpringSecurity的介绍和使用
weixin_49983224的博客
12-27 1351
一、用法简介 用户登录系统时我们协助SpringSecurity把用户对应的角色、权限装配好,同时把各个资源所要求的权限信息设定好,剩下的“登录验证”和 “权限验证”都交给SpringSecurity 二、权限管理的概念 1.主体 principal 使用系统的用户或设备或从其他系统远程登录的用户等等。简单的说就是那个使用系统那个就是主体。 2.认证 authentication ...
SSM框架实战:Spring4.1.7+Mybatis配置详解
"这篇教程是关于SSM框架的实战应用,涵盖了Spring 4.1.7、Mybatis和SpringMVC的集成配置。教程主要分为两部分,第一部分专注于Spring和Mybatis的配置。提供了所需的lib包下载链接,并且详细介绍了项目的环境配置、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值