spring-security

最新推荐文章于 2024-02-01 23:33:15 发布
最新推荐文章于 2024-02-01 23:33:15 发布
阅读量117 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjk232/article/details/103112270
版权

概述: 是spring中提供安全认证服务的框架。
认证:验证用户密码是否正确的过程。
授权:对用户所能访问的资源进行控制。
使用步骤
导包
配置
spring-security.xml
加载xml文件
继承UserDetailsService
修改Jsp
使用步骤
首先创建数据库。

导包
在pom.xml中导入spring-security的相关架包。
在中加入spring-security的版本号。

<!--  spring.security 版本号   -->
  <spring.security.version>5.0.1.RELEASE</spring.security.version>

1
2
在中添加架包。

<!-- spring-security   -->
  <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-web</artifactId>
      <version>${spring.security.version}</version>
  </dependency>
  <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-config</artifactId>
      <version>${spring.security.version}</version>
  </dependency>
  <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-core</artifactId>
      <version>${spring.security.version}</version>
  </dependency>
  <dependency>
      <groupId>org.springframework.security</groupId>
      <artifactId>spring-security-taglibs</artifactId>
      <version>${spring.security.version}</version>
  </dependency>

配置
在web.xml中配置filter。

springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /*

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?> 

<security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

<!-- 配置不拦截的资源 -->
<security:http pattern="/login.jsp" security="none"/>
<security:http pattern="/failer.jsp" security="none"/>
<security:http pattern="/css/**" security="none"/>
<security:http pattern="/img/**" security="none"/>
<security:http pattern="/plugins/**" security="none"/>
<!--
	配置具体的规则
	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
	use-expressions="false"	是否使用SPEL表达式(没学习过)
-->
<security:http auto-config="true" use-expressions="true">
    <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
    <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

    <security:form-login login-page="/login.jsp"
                         login-processing-url="/login.do"
                        default-target-url="/index.jsp"
                        authentication-failure-url="/failer.jsp"
                        authentication-success-forward-url="/pages/main.jsp"/>

    <!-- 关闭跨域请求 -->
    <security:csrf disabled="true"/>

    <!--退出并跳转到首页-->
    <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

</security:http>

<!-- 切换成数据库中的用户名和密码 -->
<security:authentication-manager>
    <security:authentication-provider user-service-ref="userService">
        <!-- 配置加密的方式
        <security:password-encoder ref="passwordEncoder"/> -->
    </security:authentication-provider>
</security:authentication-manager>

<!-- 配置加密类 -->
<bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
<!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
<!-- 提供了入门的方式,在内存中存入用户名和密码
<security:authentication-manager>
	<security:authentication-provider>
		<security:user-service>
			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
		</security:user-service>
	</security:authentication-provider>
</security:authentication-manager>
-->

配置文件中:

切换成数据库中的用户名和密码中将user-service-ref=“userService"查找的service设置了名字,我们可以通过 注解 的方式将自己的service实现类修改。即:将@Service(“userService”)添加在service实现类上。
配置具体的拦截的规则中的security:form-login/内设置了默认路径。所以我们在登录时也要将form表单的提交地址进行修改。
action=”${pageContext.request.contextPath}/login.do"

加载xml文件
如果有多个文件,则逗号分隔。

contextConfigLocation classpath*:spring-security.xml

继承UserDetailsService
在IUserInfoService中继承UserDetailsService。
注意导包为:

import org.springframework.security.core.userdetails.UserDetailsService;

在实现类中实现继承方法。

@Override
public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
    return null;
}

即:
注意:

Spring-Security在进行验证登录的时候,会自动对密码进行加密。
所以这里的"{noop}“是对密码进行 解密 操作。
这里的userInfo可以对roles进行设置是因为:实体类中添加了private List roles;属性和get、set方法。
这里的User user = new User()不是自定义的实体类User。而是:import org.springframework.security.core.userdetails.User;所以使用时尽量避免自定义的实体类与之冲突。
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
// 根据用户名的到当前登录的用户
UserInfo userInfo = userInfoDao.doLogin(username);
// 根据当前查到的用户id,去查询所属角色
List roles = roleDao.findRoleByUid(userInfo.getId());
userInfo.setRoles(roles);
// 把最终得到的userInfo放到springSecurity中
User user = new User(userInfo.getUsername(),”{noop}"+userInfo.getPassword(),getAuthority(roles));
return user;
}

实现getAuthority()方法,遍历roles集合。

private Collection<? extends GrantedAuthority> getAuthority(List<Role> roles) {
    ArrayList<SimpleGrantedAuthority> list = new ArrayList<>();
    for (Role role:roles
         ) {
        list.add(new SimpleGrantedAuthority("ROLE_"+role.getRname()));
    }
    return list;
}

修改Jsp
可以获取当前登陆的用户名。

<security:authentication property=“principal.username”></security:authentication>
1
对侧边栏设置,当登录的用户是管理员时才显示用户管理模块。

<security:authorize access="hasRole('ADMIN')">
	<a href="${pageContext.request.contextPath}/userInfoController/findAll.do">
	  <i class="fa fa-circle-o"></i> 用户管理
	</a>
</security:authorize>
yjk232
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用spring-security-oauth2和spring-security-oauth2-autoconfigure依赖来实现OAuth 2.0+JWT,及介绍迁移到更现代的解决方案
Ead_Y的博客
03-18 1225
关于早些时候的Spring Security版本中,可以使用和依赖来实现OAuth 2.0。然而,随着新版本的发布,Spring Security 5 引入了新的OAuth2客户端和资源服务器支持,而且Spring Security团队已经推出了一个新的项目Spring Authorization Server来替代作为授权服务器。本文为复现通过和实现OAuth 2.0及介绍迁移到更现代的解决方案。通常将一个项目配置成资源服务器以保护资源,另一个项目配置成授权服务器以发放令牌。
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
org.springframework.security.core.userdetails.UserDetails
m0_67402774的博客
04-21 1447
前言 集成spring security,项目启动,提示找不到UserDetails。 解决办法 所有引入了UserDetails实现类的代码,都要引入spring security的依赖。
Spring Security 实战干货:用户信息UserDetails相关入门
码农小胖哥
10-09 5562
1. 前言 前一篇介绍了 Spring Security 入门的基础准备。从今天开始我们来一步步窥探它是如何工作的。我们又该如何驾驭它。请多多关注公众号: Felordcn 。本篇将通过 Spring Boot 2.x 来讲解 Spring Security 中的用户主体UserDetails。以及从中找点乐子。 2. Spring Boot 集成 Spring Security ...
spring-security 默认登录页面(一)
modelmd的博客
02-01 2423
Spring Security是一个强大且高度可定制的身份验证和访问控制框架。天然与Spring整合,易扩展,引入jar包就可以用了,在boot自动装载下,不需要任何配置就可以控制资源访问。那么默认登录页是如何生产的呢?
spring-security-oauth2-authorization-server(一)SpringBoot3.1.3整合
weixin_42229668的博客
09-16 6832
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。
spring-security-oauth2-authorization-server(二)Token生成分析之JWT Token和Opaque Token
weixin_42229668的博客
09-17 5177
因为SpringBoot3.x是目前最新的版本,整合spring-security-oauth2-authorization-server的资料很少,所以产生了这篇文章,主要为想尝试SpringBoot高版本,想整合最新的spring-security-oauth2-authorization-server的初学者,旨在为大家提供一个简单上手的参考,如果哪里写得不对或可以优化的还请大家踊跃评论指正。前面一篇文章。
Spring-Security
小赵的呢
01-17 2572
一、Spring-Security初识 简介 最近做了一个ssm整合的项目,使用到了Spring-security,在我们之前的web项目在关于用户登录验证总是通过servlte中的session获取其中的user和设置user,现在我们有了框架spring就帮我把这些操作都封装到一个包里面 这是spring-security的核心功能 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 入门项目 <dependency> <groupId>org.sp
单独启用spring-security配置和spring-security集成cas配置
weixin_41758407的博客
05-25 1670
一:单独启用配置思路: spring-security.xml: 1.配置路径对应的权限 2.配置用户权限授权 web.xml: 1.配置spring-security过滤器 2.配置spring-security监听器,防止session固话攻击和session并发控制 二:spring-security集成cas配置思路: spring-security-cas.xml: 1.配置路径对应...
springboot整合spring-security
qq_40834643的博客
01-16 2101
对以上代码进行简单描述,configure(HttpSecurity http)方法是授权认证,其目的是告诉有哪些权限的人才可以访问哪个页面,configure(AuthenticationManagerBuilder auth)方法是定义认证规则,其目的是定义哪些用户有权限,即给每个用户绑定权限。在web开发中,安全性问题比较重要,一般会使用过滤器或者拦截器的方式对权限等进行验证过滤。此博客根据b站up主,使用demo示例进行展示spring-security的一些功能作用。
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-crypto-5.6.1-API文档-中文版.zip
05-04
赠送jar包:spring-security-crypto-5.6.1.jar; 赠送原API文档:spring-security-crypto-5.6.1-javadoc.jar; 赠送源代码:spring-security-crypto-5.6.1-sources.jar; 赠送Maven依赖信息文件:spring-security-...
浅析spring-security-oauth2-authorization-server
小东子的博客
06-07 4397
oauth2-authorization-server已做了很多封装处理, 在使用过程中, 我们主要关注这几个部分第一, 各种Converter或者我们自定义Converter, 如果自定义Converter通常需要自定义认证对象, 自定义Converter和认证对象都可以参考框架提供的, 如我们分析的ClientSecretBasicAuthenticationConverter和对应的认证对象OAuth2ClientAuthenticationToken第二, 各种Provider。
5G智慧农业大数据数字乡村乡村振兴整体建设方案.pdf
最新发布
08-24
5G智慧农业大数据数字乡村乡村振兴整体建设方案.pdf
java源码资源java俄罗斯方块java源码资源java俄罗斯方块
08-24
java源码资源java俄罗斯方块java源码资源java俄罗斯方块提取方式是百度网盘分享地址
基于springboot和vue的 社区待就业人员信息管理系统源码 社区待就业人员信息管理系统代码(高分毕设项目源码)
08-24
1. 社区待就业人员信息管理系统代码说明:经导师指导并认可通过的98分毕设项目代码。 2.适用对象:本代码学习资料适用于计算机、电子信息工程、数学等专业正在做毕设的学生,需要项目实战练习的学习者,也适用于课程设计、期末大作业。 3.技术栈:前端是vue,后端是springboot,项目代码都经过严格调试,代码没有任何bug! 4. 作者介绍:大厂码农,java领域创作者,阿里云开发社区乘风者计划专家博主,专注于大学生项目实战开发,文章底部有博主联系方式,更多优质系统、项目定制请私信。 5. 最新计算机软件毕业设计选题大全: https://blog.csdn.net/weixin_45630258/article/details/135901374
Spring-Security框架详解:安全访问控制
"Spring-Security应用-Spring-security学习ppt" Spring Security是一个强大的且高度可定制的安全框架,用于构建安全的Java企业级应用。该框架源于2003年的Acegi Security项目,并在2007年更名为Spring Security,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值