Spring学习之旅(八) Spring Security的使用

最新推荐文章于 2024-05-23 17:02:14 发布
最新推荐文章于 2024-05-23 17:02:14 发布
阅读量3k 收藏 7
点赞数 2
分类专栏: Java web 文章标签: spring mvc spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yjp19871013/article/details/53894260
版权

辛苦堆砌,转载请注明出处,谢谢!

        之前的User校验我们自己通过比较用户名和密码来完成,这样可能存在一些安全隐患,还需要自己处理Session的问题。本篇文章使用Spring Security进行安全校验,对项目进行重构。

        Spring Security是Spring实现的安全框架,可以对请求和方法进行安全保护,Spring Security根本上是一套Filter链,当配置使用Spring Security时,Spring会向项目中添加Filter,从而对请求进行拦截,并进行必要的安全校验。

        首先,为了让Spring支持Spring Security,需要添加必要的依赖,这是因为Spring Security不属于Spring Framework,是一个独立的项目。

<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-web</artifactId>
	<version>${spring-security-web.version}</version>
</dependency>
<dependency>
	<groupId>org.springframework.security</groupId>
	<artifactId>spring-security-config</artifactId>
	<version>${spring-security-web.version}</version>
</dependency>
然后,创建如下的类 

package com.yjp.springmvc.blog.config;

import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {
}
该类派生自AbstractSecurityWebApplicationInitializer,这样,当启用Spring Security时,会加入安全校验需要的Filter链。 最后,启用Spring Security,并配置拦截规则和用户数据源 

package com.yjp.springmvc.blog.config;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
	
	@Autowired
	private UserDetailsService userDetailsService;
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		//配置拦截规则
		http
			.formLogin()
				.loginPage("/login")
				.failureUrl("/loginError")
			.and()
			.logout()
				.logoutSuccessUrl("/login")
			.and()
			.authorizeRequests()
				.antMatchers("/").authenticated()
				.antMatchers("/**").permitAll();
	}
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) 
			throws Exception {
		auth.userDetailsService(userDetailsService);
	}
}
我们派生了WebSecurityConfigurerAdapter类,并重新实现了两个方法,其中,configure以HttpSecurity为参数的方法,用来定制拦截规则,我们这里拦截"/"请求,其他请求放行,然后通过表单认证,认证表单为login,验证失败进入loginError请求,注销时,默认会进入logout请求,注销成功跳转到login请求。通过 configure以AuthenticationManagerBuilder为参数的方法,我们返回数据源,数据源Spring会从UserDetailsService获取。记得将该配置类引入到RootConfig中。

        下面调整我们之前的项目,删除LoginController,创建SecurityController

package com.yjp.springmvc.blog.web.controller;

import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

@Controller
public class SecurityController {
	
	@RequestMapping(method=RequestMethod.GET, value="/login")
	public String login(String error) {
		return "login";
	}
	
	@RequestMapping(method=RequestMethod.GET, value="/loginError")
	public String loginError(Model model) {
		model.addAttribute("error", "用户名或密码错误");
		return "login";
	}
}
主要用来处理login流程的请求,将请求与对应的视图挂钩,看看login.jsp 

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page isELIgnored="false"%>
<!DOCTYPE html>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
	<title>简微</title>
	<link rel="stylesheet" type="text/css" href="resources/css/login.css">
	<link rel="stylesheet" type="text/css" href="resources/css/error.css">
</head>
<body>
	<div class="loginPanel">
	    <div>
	        <img src="resources/images/logo.png" alt="简微"/>
	    </div>
	    <form method="post" action="login">
	        <table>
	            <tr>
	                <td colspan="2" align="center" style="font-weight:bold">会员登录</td>
	            </tr>
	            <tr>
	                <td>名称:</td>
	                <td><input type="text" name="username"/></td>
	            </tr>
	            <tr>
	                <td>密码:</td>
	                <td><input type="password" name="password"/></td>
	            </tr>
	            <tr>
	        		<td colspan="2" align="center"><span class="error">${error}</span></td>
	        	</tr>
	            <tr>
	                <td colspan="2" align="center"><input type="submit" value="登入"></td>
	            </tr>
            	<tr>
            		<td align="center"><a href="registerPage">注册</a></td>
                	<td align="center"><a href="forgotPage">忘记密码?</a></td>
            	</tr>
	        </table>
	        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
	    </form>
    </div>
    <div>
        <h1>简微</h1>
        <ul>
	        <li>说你想说</li>
	        <li>看你想看</li>
	        <li>就这么简单</li>
    	</ul>
    </div>
</body>
</html>
删除了之前用Spring标签库做的内容,表单发送POST请求到login,这里千万注意,我们拦截规则的formPage中的/login是GET请求,会发送到我们的SecurityController处理,然后返回login.jsp视图,而视图表单中的login是POST给Spring Security处理的,会完成及鉴权相关的工作。另外,编单中添加了一个 
<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
这个是防止CSRF攻击的,Spring Security要求要有这个表单域。这样,如果我们输入的用户名密码与数据源比较通过校验,就会进入"/"请求,我们在HomeController中处理该请求 

package com.yjp.springmvc.blog.web.controller;

import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

@Controller
public class HomeController {
	@RequestMapping(method=RequestMethod.GET, value="/")
	public String home(Model model) {
		//通过Spring Security获取当前的用户
		UserDetails userDetails = (UserDetails) SecurityContextHolder.getContext()
			    .getAuthentication()
			    .getPrincipal();
		
		model.addAttribute("username", userDetails.getUsername());
		return "home";
	}
}
该请求会跳转到home.jsp 

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page isELIgnored="false"%>
<!DOCTYPE html">
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
	<title>简微</title>
	<link rel="stylesheet" href="resources/css/home.css" type="text/css">
</head>
<body>
	<div class="leftPanel">
		<img src="resources/images/logo.png" alt="简微" /><br><br>
		<form method="post" action="logout" style="">
			<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>
			<button type="submit">注销 ${username}</button>
		</form>
	</div>
	
	<form method="post" action="message">
		说说你的事...<br><br>
        <textarea cols='60' rows='4' name='blabla'></textarea><br><br>
		<button type="submit">送出</button>
	</form>
</body>
</html>
这里的home.jsp我们已经完成了注销功能,注意有一个发送POST logout请求的表单,这个同样的道理,注销流程会交给Spring Security处理,主要是清除及鉴权相关的数据。

        最后,由于我们要给鉴权提供数据源,持久层做了相应的改动,首先看看UserService

package com.yjp.springmvc.blog.beans.service;

import org.springframework.security.core.userdetails.UserDetailsService;

import com.yjp.springmvc.blog.beans.model.User;

public interface UserService extends UserDetailsService {
	boolean saveUser(User user);
}



package com.yjp.springmvc.blog.beans.service;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import com.yjp.springmvc.blog.beans.model.User;
import com.yjp.springmvc.blog.beans.repository.UserRepository;

@Service
public class UserServiceImpl implements UserService {
	
	@Autowired
	private UserRepository userRepository;
	
	@Override
	public boolean saveUser(User user) {
		User saveUser = userRepository.save(user);
		return saveUser != null;
	}

	@Override
	public UserDetails loadUserByUsername(String username) 
			throws UsernameNotFoundException {
		UserDetails findUser = 
				userRepository.findUserByUsername(username);
		if (findUser != null) {
			return findUser;
		} else {
			return null;
		}
	}
}
UserService实现了UserDetailsService接口,用来提供数据源,我们的数据源就是User对象,但是User对象实现了UserDetails接口 

package com.yjp.springmvc.blog.beans.model;

import java.io.Serializable;
import java.util.Arrays;
import java.util.Collection;

import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.Id;
import javax.persistence.Table;

import org.hibernate.annotations.GenericGenerator;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

@Entity
@Table(name="users")
public class User implements Serializable, UserDetails {
			
	private static final long serialVersionUID = 9038460243059691075L;
	
	@Id
	@GenericGenerator(strategy = "assigned", name = "username")
	private String username;
	
	@Column
	private String password;
	
	@Column
	private String email;
	
	public User() {}
	
	public User(String username, String password, String email) {
		this.username = username;
		this.password = password;
		this.email = email;
	}

	public String getUsername() {
		return username;
	}
	
	public void setUsername(String username) {
		this.username = username;
	}
	
	public String getPassword() {
		return password;
	}
	
	public void setPassword(String password) {
		this.password = password;
	}
	
	public String getEmail() {
		return email;
	}
	
	public void setEmail(String email) {
		this.email = email;
	}

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		//返回用户权限
		return Arrays.asList(new SimpleGrantedAuthority("USER"));
	}

	@Override
	public boolean isAccountNonExpired() {
		//账户是否会过期
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		//用户是否被锁定
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		//密码是否会过期
		return true;
	}

	@Override
	public boolean isEnabled() {
		//用户是否使能
		return true;
	}

}
UserDetails接口的方法已经添加注释,可以酌情修改。这样就完成了Spring Security的配置,并将其使用在了我们的项目中。














有理叔
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Spring Security学习使用
carolineme的博客
04-26 161
1、Springsecurity
基于SpringBoot+SpringSecurity的RBAC管理系统,易读易懂.zip
12-26
准备好一起踏上这次深入Java的SpringBoot之旅了吗?如果您正在寻找一个现代化、高效且易于扩展的开发框架,那么这个SpringBoot项目将是您的理想选择。 主要特点: 快速开发:SpringBoot通过自动配置和约定大于配置...
如何使用SpringSecurity
weixin_41553701的博客
08-17 3674
如何使用Spring Security
SpringSecurity使用
zuochangping的博客
11-01 1773
SpringSecurity使用,运行原理及源码的查看,还有在不同场景的应用
Spring Security 基础使用教程
最新发布
qq_44286009的博客
05-23 866
实际的项目开发中,我们往往会自定义一个登录的页面,而不会使用spring security提供的默认登录页面进行登录。所以下面将介绍如何自定义这些配置。引入thymeleaf依赖创建templates文件夹,创建登录页面,登录成功页面,登录失败页面和index页面,放入templates中。其中登录页面的代码如下:新建配置类新建一个controller访问http://localhost:8080/index.html进入我们自定义的登录界面。
Spring Security的基础使用
m0_48972623的博客
03-10 8243
目录 一. 什么是spring security 二. Spring security使用 1.创建springboot项目 2.主启动类 2.配置controller层 3.配置config类 4.配置多用户登录以及注入权限及登录config注入 5.配置config层 6.登录成功处理类及无权限处理类 7.配置工具类 8.启动测试 三. 总结 一. 什么是spring security Spring Security是一个能够为基于Spring的企业应用系统提供声明.
servlet中文传值乱码_学习JavaWeb这一篇就够了 Servlet (4/8)
weixin_39945523的博客
11-22 344
学习java这一篇就够了,从入门到精通,由浅至深,共8章,此篇为第四章中第2小节。附带安装包下载。配套资料,免费下载链接:https://pan.baidu.com/s/1G1YUANaBvGjzE-c-Z0xUWw 提取码:txnf4.5、Servlet继承体系其实我们不难发现,现有的Servlet它的方法比较多,而且大多需要我们自己来实现,那有没有一种它的实现子类,把大部分方法都是实现了,而我...
SpringSecurity的执行流程超详细讲解
qq_41473691的博客
09-18 5355
如果不是的话做放行,如果是的话做认证,并调用子类的attemptAuthentication方法去查数据库返回UserDetails,把认证成功的数据封装到这个Authentication对象中去,并且做一个session策略的设置,当认证失败,做异常抛出,掉认证失败方法。注意看这里是一个try,catch,有成功就肯定有失败,这步就是如果认证失败,则抛出异常,执行认证失败的方法。默认为false,如果认证成功,则变为true,执行后续操作。方法,得到表单数据,进行身份认证,如果认证成功,返回一个。
微服务架构之旅,springcloud.pptx
09-18
微服务架构之旅带你深入探索Spring Cloud的精彩世界。Spring Cloud作为一个强大的微服务工具包,它为企业级开发提供了全面的解决方案,涵盖了配置管理、服务发现、断路器、智能路由、微代理、控制总线等多个核心功能...
spring入门介绍PPT.rar
02-19
Spring框架是中国Java开发领域中最广泛使用的轻量级框架之一,它以其依赖注入...这份"spring入门介绍PPT"将是你深入理解Spring的宝贵资源,通过它,你可以逐步掌握Spring的核心理念和技术,开启你的Spring开发之旅
std-spring:我的学习 springcode
06-20
Spring 框架深度解析:从 std-spring 学习之旅Spring 框架作为 Java 开发中的核心工具之一,深受广大开发者喜爱。它以其强大的功能、灵活的设计和丰富的生态系统,成为了 Java 企业级应用开发的首选。本文将...
Spring in Action 中文版 pdf
03-09
Spring in Action》是Spring框架领域的一本经典著作,它以深入浅出的方式介绍了Spring框架的核心概念和技术。这本书的中文版对于中国的Java开发者来说是一份非常宝贵的...这是一次对Spring框架全面而深入的学习之旅
Spring Security的基本概念和用法
m0_51431003的博客
02-29 1229
Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是为Java应用程序提供全面的安全解决方案,包括身份验证、授权、防止跨站请求伪造(CSRF)等。Spring Security基于Spring框架,可以轻松地与Spring Boot、Spring MVC等其他Spring项目集成。
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4486
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
SpringSecurity安全框架通俗详解与使用示例
某位奇思妙想的IT人员
05-28 2981
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
Spring Security 保姆级教程!40000字!
竹林幽深
05-06 278
我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
SpringSecurity 简单使用
qq_43560701的博客
01-25 5021
SpringSecurity 简单使用 在 Web 开发中安全是不可忽视的问题(软件安全技术!),现在从 SpringSecurity 和 Shiro 两个框架来学习一下安全框架在 Web 应用中的使用Spring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based
Spring-Security(一)整体认证流程及其相关概念
姑苏
11-13 165
Spring security整体认知。
SpringSecurity介绍及基本使用
qq_47075878的博客
05-13 1205
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
spring security 官方文档
10-08
学习spring security最好的资料就是官网pdf,其他的都是浮云。至于你信不信,我反正信了

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值