Spring Security基础及入门测试

最新推荐文章于 2024-06-13 13:15:52 发布
最新推荐文章于 2024-06-13 13:15:52 发布
阅读量173 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wetgravel/article/details/108455215
版权

Spring Security概述

Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。(https://projects.spring.io/spring-security/) Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能再

WAR 或 EAR 级别进行移植。这样,如果你更换服务器环境,就要,在新的目标环境进行大量的工作,对你的应用系统进行重新配 置安全。使用Spring Security 解决了这些问题,也为你提供很多有用的,完全可以指定的其他安全特性。 安全包括两个主要操作。

“认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系 统中执行动作的其他系统 。
“授权”指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由 身份验证过程建立了。

这些概念是通用的,不是Spring Security特有的。在身份验证层面,Spring Security广泛支持各种身份验证模式, 这些验证模型绝大多数都由第三方提供,或则正在开发的有关标准机构提供的,例如 Internet Engineering Task

Force.作为补充,Spring Security 也提供了自己的一套验证功能。

Spring Security 目前支持认证一体化如下认证技术: HTTP BASIC authentication headers (一个基于IEFT RFC 的标准) HTTP Digest authentication headers (一个基于IEFT RFC 的标准) HTTP X.509 client certificate exchange (一个基于IEFT RFC 的标准) LDAP (一个非常常见的跨平台认证需要做法,特别是在大环境) Form-based authentication (提供简单用户接口的需求) OpenID authentication Computer Associates Siteminder JA-SIG Central Authentication Service (CAS,这是一个流行的开源单点登录系统) Transparent authentication context propagation for Remote Method Invocation and HttpInvoker (一个Spring远程调用协议)

1.Spring Security介绍

Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。(https://projects.spring.io/spring-security/) Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能再

WAR 或 EAR 级别进行移植。这样,如果你更换服务器环境,就要,在新的目标环境进行大量的工作,对你的应用系统进行重新配 置安全。使用Spring Security 解决了这些问题,也为你提供很多有用的,完全可以指定的其他安全特性。 安全包括两个主要操作。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nC0f0BPD-1599480851631)(file:///C:\Users\ADMINI1\AppData\Local\Temp\ksohtml2672\wps2.png)][外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-So8ZeC2r-1599480851635)(file:///C:\Users\ADMINI1\AppData\Local\Temp\ksohtml2672\wps3.png)]“认证”,是为用户建立一个他所声明的主体。主题一般式指用户,设备或可以在你系 统中执行动作的其他系统 。 “授权”指的是一个用户能否在你的应用中执行某个操作,在到达授权判断之前,身份的主题已经由 身份验证过程建立了。

这些概念是通用的,不是Spring Security特有的。在身份验证层面,Spring Security广泛支持各种身份验证模式, 这些验证模型绝大多数都由第三方提供,或则正在开发的有关标准机构提供的,例如 Internet Engineering Task

Force.作为补充,Spring Security 也提供了自己的一套验证功能。

Spring Security 目前支持认证一体化如下认证技术: HTTP BASIC authentication headers (一个基于IEFT RFC 的标准) HTTP Digest authentication headers (一个基于IEFT RFC 的标准) HTTP X.509 client certificate exchange (一个基于IEFT RFC 的标准) LDAP (一个非常常见的跨平台认证需要做法,特别是在大环境) Form-based authentication (提供简单用户接口的需求) OpenID authentication Computer Associates Siteminder JA-SIG Central Authentication Service (CAS,这是一个流行的开源单点登录系统) Transparent authentication context propagation for Remote Method Invocation and HttpInvoker (一个Spring远程调用协议)

Maven依赖

<dependencies>

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-web</artifactId>

<version>5.0.8.RELEASE</version>

</dependency>

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-config</artifactId>

<version>5.0.8.RELEASE</version>

</dependency>

</dependencies>

2.Spring Security快速入门

2.1pom.xml
<project xmlns=["http://maven.apache.org/POM/4.0.0"](http://maven.apache.org/POM/4.0.0) xmlns:xsi="http://www.w3.org/2001/XMLSchema-!instance"

xsi:schemaLocation=["http://maven.apache.org/POM/4.0.0](http://maven.apache.org/POM/4.0.0) http://maven.apache.org/xsd/maven- 4.0.0.xsd">

<modelVersion>4.0.0</modelVersion>

<groupId>com.yh</groupId>

<artifactId>SpringSecurity_quickStart</artifactId>

<version>0.0.1-SNAPSHOT</version>

<packaging>war</packaging>

<properties>

<spring.version>5.0.8.RELEASE</spring.version>

<spring.security.version>5.0.8.RELEASE</spring.security.version>

</properties>

<dependencies>

<dependency>

<groupId>org.springframework</groupId>

<artifactId>spring-core</artifactId>

<version>${spring.version}</version>

</dependency>

<dependency>

<groupId>org.springframework</groupId>

<artifactId>spring-web</artifactId>

<version>${spring.version}</version>

</dependency>

<dependency>

<groupId>org.springframework</groupId>

<artifactId>spring-webmvc</artifactId>

<version>${spring.version}</version>

</dependency>

<dependency>

<groupId>org.springframework</groupId>

<artifactId>spring-context-support</artifactId>

<version>${spring.version}</version>

</dependency>

<dependency>

<groupId>org.springframework</groupId>

<artifactId>spring-test</artifactId>

<version>${spring.version}</version>

</dependency>

<dependency>

<groupId>org.springframework</groupId>

<artifactId>spring-jdbc</artifactId>

<version>${spring.version}</version>

</dependency>

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-web</artifactId>

<version>${spring.security.version}</version>

</dependency>

<dependency>

<groupId>org.springframework.security</groupId>

<artifactId>spring-security-config</artifactId>

<version>${spring.security.version}</version>

</dependency>

 <dependency>

<groupId>javax.servlet</groupId>

<artifactId>javax.servlet-api</artifactId>

<version>3.1.0</version>

<scope>provided</scope>

</dependency>

</dependencies>

<build>

<plugins>

<!-- java编译插件 -->

<plugin>

<groupId>org.apache.maven.plugins</groupId>

<artifactId>maven-compiler-plugin</artifactId>

<version>3.2</version>

<configuration>

<source>1.8</source>

<target>1.8</target>

<encoding>UTF-8</encoding>

</configuration>

</plugin>

<plugin>

<groupId>org.apache.tomcat.maven</groupId>

<artifactId>tomcat7-maven-plugin</artifactId>

<configuration>

<!-- 指定端口 -->

<port>8080</port>

<!-- 请求路径 -->

<path>/</path>

</configuration>

</plugin>

</plugins>

</build>

</project>
2.2web.xml
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
2.3spring security配置

 1. <?xml version="1.0" encoding="UTF-8"?>
    
    <beans
    xmlns=["http://www.springframework.org/schema/beans"](http://www.springframework.org/schema/beans)
    xmlns:security=["http://www.springframework.org/schema/security"](http://www.springframework.org/schema/security)
    xmlns:xsi=["http://www.w3.org/2001/XMLSchema-instance"](http://www.w3.org/2001/XMLSchema-instance)
    xsi:schemaLocation=["http://www.springframework.org/schema/beans](http://www.springframework.org/schema/beans)
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    [http://www.springframework.org/schema/security/spring-security.xsd"](http://www.springframework.org/schema/security/spring-security.xsd)>
    
    <security:http auto-config="true" use-expressions="false">
    
    <!-- intercept-url定义一个过滤规则
    pattern表示对哪些url进行权限控制,access属性表示在请求对应的URL时需要什么权限,
    
    默认配置时它应该是一个以逗号分隔的角色列表,请求的用户只需拥有其中的一个角色就能成功访问对应
    
    的 URL -->
    
    <security:intercept-url pattern="/**" access="ROLE_USER" />
    
    <!-- auto-config配置后,不需要在配置下面信息 <security:form-login /> 定义登录表单信息
    
    <security:http-basic
    /> <security:logout /> -->
    
    </security:http>
    
    <security:authentication-manager>
    
    <security:authentication-provider>
    
    <security:user-service>
    
    <security:user name="user" password="{noop}user"
    authorities="ROLE_USER" />
    
    <security:user name="admin" password="{noop}admin"
    authorities="ROLE_ADMIN" />
    
    </security:user-service>
    
    </security:authentication-provider>
    
    </security:authentication-manager>
    
    </beans>
2.4测试

我们在webapp下创建一个index.html页面,在页面中任意写些内容。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-autoeUTZ-1599480851638)(file:///C:\Users\ADMINI~1\AppData\Local\Temp\ksohtml2672\wps10.png)]

当我们访问index.html页面时发现会弹出登录窗口,可能你会奇怪,我们没有建立下面的登录页面,为什么Spring Security会跳到上面的登录页面呢?这是我们设置http的auto-config=”true”时Spring Security自动为我们生成的。

2.5使用自定义页面
2.5.1spring-security.xml配置

 1. <?xml version="1.0" encoding="UTF-8"?>
    
    <beans
    xmlns=["http://www.springframework.org/schema/beans"](http://www.springframework.org/schema/beans)
    xmlns:security=["http://www.springframework.org/schema/security"](http://www.springframework.org/schema/security)
    xmlns:xsi=["http://www.w3.org/2001/XMLSchema-instance"](http://www.w3.org/2001/XMLSchema-instance)
    xsi:schemaLocation=["http://www.springframework.org/schema/beans](http://www.springframework.org/schema/beans)
    
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    [http://www.springframework.org/schema/security/spring-security.xsd"](http://www.springframework.org/schema/security/spring-security.xsd)>

 

<!-- 配置不过滤的资源(静态资源及登录相关) -->

<security:http security="none" pattern="/login.html" />

<security:http security="none" pattern="/failer.html" />

 

<security:http auto-config="true" use-expressions="false">

<!-- 配置资料连接,表示任意路径都需要ROLE_USER权限 -->

<security:intercept-url pattern="/**" access="ROLE_USER" />

<!-- 自定义登陆页面,login-page 自定义登陆页面 authentication-failure-url 用户权限校验失败之后才会跳转到这个页面,如果数据库中没有这个用户则不会跳转到这个页面。

default-target-url 登陆成功后跳转的页面。 注:登陆页面用户名固定 username,密码password,action:login -->

<security:form-login login-page="/login.html"

login-processing-url="/login" username-parameter="username"

password-parameter="password" authentication-failure-url="/failer.html" default-target-url="/success.html"

/>

<!-- 登出, invalidate-session 是否删除session logout-url:登出处理链接 logout-success- url:登出成功页面

注:登出操作 只需要链接到 logout即可登出当前用户 -->

<security:logout invalidate-session="true" logout-url="/logout" logout-success-url="/login.jsp" />

<!-- 关闭CSRF,默认是开启的 -->

<security:csrf disabled="true" />

</security:http>

 

<security:authentication-manager>

<security:authentication-provider>

<security:user-service>

<security:user name="user" password="{noop}user" authorities="ROLE_USER" />

<security:user name="admin" password="{noop}admin" authorities="ROLE_ADMIN" />

</security:user-service>

</security:authentication-provider>

</security:authentication-manager>

</beans>
2.5.2login.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
<form action="login" method="post">
<table>
<tr>
<td>用户名:</td>
<td><input type="text" name="username" /></td>
</tr>
<tr>
<td>密码:</td>
<td><input type="password" name="password" /></td>
</tr>
<tr>
<td colspan="2" align="center"><input type="submit" value="登录" />
<input type="reset" value="重置" /></td>
</tr>
</table>
</form>
</body>
</html>
2.5.3success.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
success html<br>
<a href="logout">退出</a>
</body>
</html>
2.5.4failer.html
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>登录失败
</body>
</html>
wetgravel
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security单元测试
qq_34796981的博客
07-28 1459
1、简介 spring-security进行单元测试,从而自动化测试埋下伏笔。也无需频繁在在浏览器进行测试,也加快了开发人员的调试速度。 2、无验证单元测试 由于spring-security进行的都是安全方面的校验,而与实际的逻辑并没有太大关系。 如果单单想测试逻辑的可靠性,那么可以使用MockMvc来进行测试,这样大大减少了测试成本。 代码 @RunWith(SpringRunner.class) @SpringBootTest public class SpringSecurityTest {
第五节 集成Spring Security
qq_39266652的博客
04-23 494
Spring Security简介 Spring Security致力于为Java应用提供认证和授权管理。它是一个强大的,高度自定义的认证和访问控制框架。 具体介绍参见https://docs.spring.io/spring-security/site/docs/5.0.5.RELEASE/reference/htmlsingle/ 这句话包括两个关键词:Authentication(认证)和Authorization(授权,也叫访问控制) 认证是验证用户身份的合法性,而授权是控制你可以做什么。.
详解 Spring Security:全面保护 Java 应用程序的安全框架
最新发布
微笑听雨
06-13 1530
Spring Security 是一个功能强大且高度可定制的框架,用于保护基于 Java 的应用程序。它为身份验证、授权、防止跨站点请求伪造 (CSRF) 等安全需求提供了解决方案
2539-SpringSecurity系列--在有安全验证的情况下做单元测试Test
zzxx1994617的博客
07-24 5085
在有安全验证的情况下做单元测试Test 版本信息 &amp;lt;parent&amp;gt; &amp;lt;groupId&amp;gt;org.springframework.boot&amp;lt;/groupId&amp;gt; &amp;lt;artifactId&amp;gt;spring-boot-starter-parent&amp;lt;/artifactId&amp;gt;
Spring——Security安全框架使用详解(基于内存认证)
专注写bug
02-22 6516
文章目录前言Security简介Security相关模块配置和初试父项目依赖引入创建子项目工程security 登录账户密码修改、配置配置文件指定账户密码编写配置类获取登录账户、密码 前言 在日常开发中,几乎所有的项目都需要进行请求的安全校验操作。 通常会采取以下几种方式来实现安全校验和过滤。 1、实例化HandlerInterceptor接口,配置其中的preHandle、postHandle、afterCompletion属性信息。 具体可以参考博客: springboot实践----拦截器的配置
Spring Security教程(2)----SpringSecurity简单测试
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-16 2万+
前面讲到了SpringSecurity的简单配置,今天做一个简单的测试,先看配置文件 <beans xmlns="http://www.springframework.org/schema/beans" xmlns:sec="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/X
springboot+springsecurity入门
12-06
在这个"springboot+springsecurity入门"项目中,我们将关注如何将这两个框架结合使用,实现一个自定义表单登录的功能。自定义表单登录意味着我们可以根据应用需求设计登录界面,并且处理用户提交的登录信息。 1. ...
SpringSecurity+MVC入门Demo
06-10
通过这个"SpringSecurity+MVC入门Demo",初学者可以了解如何在Spring MVC应用中集成Spring Security,实现用户认证和授权的基本流程,为后续深入学习和实践打下基础。这个Demo应该包含了配置文件、控制器、视图和...
Spring Security 新手入门级maven实例
07-02
通过这个入门级实例,你可以掌握Spring Security基础用法,包括用户认证和权限控制。随着对Spring Security的深入学习,你将能够实现更复杂的场景,如OAuth2集成、记住我功能、CSRF防护、基于URL的访问控制等。...
springsecurity入门实例
11-20
**Spring Security 入门实例详解** Spring Security 是一个强大的安全框架,用于保护基于 Java 的 Web 应用程序。它提供了一套完整的访问控制和身份验证机制,帮助开发者处理应用程序的安全需求。本教程将引导你...
Spring Security 示例项目
11-29
这个示例项目旨在为初学者提供一个基础的起点,让他们了解如何在Spring应用中集成和配置Spring Security。 **一、Spring Security核心概念** 1. **身份验证(Authentication)**: 这是确认用户身份的过程。Spring ...
SpringSecurity入门和与SpringBoot整合使用
weixin_51364443的博客
05-28 611
SpringSecurity 官方文档 https://spring.io/projects/spring-security 一. springsecurity 简介 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它实际上是保护基于spring的应用程序的标准。 Spring Security是一个框架,侧重于为Java应用程序提供身份验证和授权。与所有Spring项目一样,Spring安全性的真正强大之处在于它可以轻松地扩展以满足定制需求 sp...
iapp跳转QQ支付界面
qq_45566212的博客
10-03 2070
s qqpay="mqqapi://forward/url?url_prefix=aHR0cHM6Ly9pLnFpYW5iYW8ucXEuY29tL3dhbGxldC9yZWNoYXJnZS9kaXN0L20vaW5kZXhfdjQuaHRtbD9fd3Y9MTAzMSZzb3VyY2U9c25nXzEwODgwMSZwdnNyYz0xMTImcGF5Q2hhbm5lbD13YWxsZXRfaWNvbiZfdmFjZj1xdw==&version=1&src_type=web" sit(a,
Spring Security源码解析
ThisLX的博客
11-01 409
1、SecurityContextPersistenceFilter: SecurityContextPersistenceFilter有两个主要任务: 在请求到达时处理之前,从SecurityContextRepository中获取安全上下文信息填充到SecurityContextHolder; 在请求处理结束后返回响应时,将SecurityContextHolder中的安全上下文信息保存回S...
SpringSecurity下做POST测试以及传递实体
铃铛
06-22 7145
写完代码之后,要测试,由于不怎么会用postman,加上用了spring security,所以需要登录,很麻烦。对于对于get请求,直接访问还好,但是对于POST请求,我就很无可奈何了,一些post请求能改成get请求还好说,有些不好改的就太费劲了。后来有人告诉了我一个ajax的写法。其实也蛮麻烦的,但是还好。 首先,我不是用了spring security吗,所以需要先登录。 然后,因为要
Spring Security参考手册
殇莫忆的博客
05-05 5167
Spring Security 参考手册Ben AlexLuke TaylorRob WinchGunnar HillertTable of Contents前言入门简介Spring Security是什么?历史发布版本号Getting Spring SecuritySpring Security 4.1新特性Java 配置提升Web应用程序安全性提升授权改进密码模块的改进测试的改进一般的改进样品...
Spring Security源码解析(一)
qq_40577332的博客
05-30 3312
Spring Security是什么? Spring官网中对Spring Security有这么一段介绍: Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame...
Spring Security源码分析
not_say的博客
03-31 811
参考链接(主要参考此系列文章,截图和补充总结等由debug程序、阅读源码得出) https://juejin.im/post/5d8d66aee51d45783f5aa49e 一、三句话解释框架原理 1、整个框架的核心是一个过滤器,这个过滤器名字叫springSecurityFilterChain类型是FilterChainProxy 2、核心过滤器里面是过滤器链(列表),过滤器链的...
iApp跳转到QQ转账和微信支付界面,以及跳转个人QQ或者支付宝的AA支付
六桥风月IT随笔
06-19 1万+
s qqpay="mqqapi://forward/url?url_prefix=aHR0cHM6Ly9tcXEudGVucGF5LmNvbS92Mi9oeWJyaWQvd3d3L21vYmlsZV9xcS9wYXltZW50L2luZGV4LnNodG1sP193dj0xMDI3JmZyb209MTMmX3ZhY2Y9cXc=&version=1&src_type=web...
Spring Security 3.0 教程:入门与核心概念
4. **核心组件与API**:`spring-security-core`模块包含核心的认证和权限控制类及接口,如`Authentication`对象表示当前用户的认证信息,`AuthorizationManager`用于权限决策,以及用于用户数据存储的`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值