Spring Security教程(2)----SpringSecurity简单测试

最新推荐文章于 2023-05-11 23:29:04 发布
最新推荐文章于 2023-05-11 23:29:04 发布
阅读量1.2w 收藏 7
点赞数 1

前面讲到了SpringSecurity的简单配置,今天做一个简单的测试,先看配置文件

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <?xml version="1.0" encoding="UTF-8"?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"  
  3.     xmlns:sec="http://www.springframework.org/schema/security"  
  4.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
  5.     xsi:schemaLocation="http://www.springframework.org/schema/beans  
  6.         http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
  7.         http://www.springframework.org/schema/security  
  8.         http://www.springframework.org/schema/security/spring-security-3.1.xsd">  
  9.   
  10.     <!-- 配置不过滤的资源(静态资源及登录相关) -->  
  11.     <sec:http pattern="/**/*.css" security="none"></sec:http>  
  12.     <sec:http pattern="/**/*.jpg" security="none"></sec:http>  
  13.     <sec:http pattern="/**/*.jpeg" security="none"></sec:http>  
  14.     <sec:http pattern="/**/*.gif" security="none"></sec:http>  
  15.     <sec:http pattern="/**/*.png" security="none"></sec:http>  
  16.     <sec:http pattern="/js/*.js" security="none"></sec:http>  
  17.       
  18.     <sec:http pattern="/login.jsp" security="none"></sec:http>  
  19.     <sec:http pattern="/getCode" security="none" /><!-- 不过滤验证码 -->  
  20.     <sec:http pattern="/test/**" security="none"></sec:http><!-- 不过滤测试内容 -->  
  21.       
  22.     <sec:http auto-config="true">  
  23.           
  24.         <sec:intercept-url pattern="/app.jsp" access="ROLE_SERVICE"/>  
  25.         <sec:intercept-url pattern="/**" access="ROLE_ADMIN"/>  
  26.               
  27.     </sec:http>  
  28.       
  29.     <sec:authentication-manager>  
  30.         <sec:authentication-provider>  
  31.             <sec:user-service >  
  32.                 <sec:user name="admin" password="admin" authorities="ROLE_ADMIN"/>  
  33.             </sec:user-service>  
  34.         </sec:authentication-provider>  
  35.     </sec:authentication-manager>  
  36.       
  37. </beans>  

其中

<sec:http pattern="" security="none"></sec:http>

是忽略拦截某些资源的意思,主要是针对静态资源

<sec:intercept-url pattern="/app.jsp" access="ROLE_SERVICE"/>

表示访问app.jsp时,需要ROLE_SERVICE权限

<sec:intercept-url pattern="/**" access="ROLE_ADMIN"/>

表示访问任何资源都需要ROLE_ADMIN权限。

注:/**的配置要放到最后,因为如果放到最前面的话就失去了拦截意义,任何只要有ROLE_ADMIN权限的用户都可以访问任何资源,并不会对app.jsp拦截。因为在访问app.jsp的时候先经过<sec:intercept-url pattern="/**" access="ROLE_ADMIN"/>,、/**又表示任何资源,所以只要具有ROLE_ADMIN权限就会放行。如果放到最后,先经过<sec:intercept-url pattern="/app.jsp" access="ROLE_SERVICE"/>,这时候访问app.jsp是就会先判断用户是否有ROLE_SERVICE权限,如果有则放行,反之拦截。

权限必须已ROLE_开头,在后面的文章中我们会讲到如何修改权限头和去掉权限头

authentication-manager用来配置用户管理,在这里我们定义了一个admin用户并且具有ROLE_ADMIN权限,也就是说我们访问任何资源都可以但是访问app.jsp时将被拦截

在没有自定义登录页面之前,SpringSecurity会自动生成登录页面,如下图




然后输入admin/admin登录


然后访问app.jsp发现已被spring拦截,说明我们的配置成功了



符:在JSP页面获取当前登录的用户名的方法

首先引入taglib

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>   
然后在jsp页面中使用下面的方法就可以获取到用户名了

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <sec:authentication property="name"/>  

在此仅仅是为了方便测试所以只说下获取用户名的方法,如何获取用户的其他信息将在后续的章节中讲到
OkidoGreen
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-crypto-5.5.2.pom; 包含翻译后的API文档:spring-security-crypto-5.5.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-crypto:5.5.2; 标签:springframework、securityspring、crypto、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
使用 Spring Security 保护 Web 应用的安全
07-12 955
在 Web 应用开发中,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,但是应该在应用开发的初期就考虑进来。如果在应用开发的后期才考虑安全的问题,就可能陷入一个两难的境地:一方面,应用存在严重的安全漏洞,无法满足用户的要求,并可能造成用户的隐私数据被攻击者窃取;另一
非常优秀的权限管理框架 -- Spring Security
xiebinghu的专栏
11-08 3063
Spring SecuritySpring Framework 的一个子项目. 之前也叫做 Acegi Secruty. Spring Security 能以声明的方式来保护 Web 应用程序的 URL 访问. 只需简单的配置即可实现. Spring Security 通过一系列 Servlet 过滤器为 Web 应用程序提供了多种安全服务.   Spring Security 使
Spring-Security】使用及部分源码分析
ATFWUS的博客
05-09 519
0x01.Spring Security 概述 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 官网:(https://projects.spring.io/spring-security/) Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案-Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J
Spring Security学习笔记之整体配置
热门推荐
py_xin的博客
09-22 2万+
第一部分: web.xml的配置 使用过SpringSecurity的朋友都知道,首先需要在web.xml进行以下配置:  springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSecurityFilterChain /* 从这个配置中, 可能会给我
spring-security单元测试
qq_34796981的博客
07-28 1372
1、简介 spring-security进行单元测试,从而自动化测试埋下伏笔。也无需频繁在在浏览器进行测试,也加快了开发人员的调试速度。 2、无验证单元测试 由于spring-security进行的都是安全方面的校验,而与实际的逻辑并没有太大关系。 如果单单想测试逻辑的可靠性,那么可以使用MockMvc来进行测试,这样大大减少了测试成本。 代码 @RunWith(SpringRunner.class) @SpringBootTest public class SpringSecurityTest {
spring security 概述& 配置文件详解
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器在web.xml:     springSecurityFilterChain     org.springframework.
springboot2.1.2+springsecurity5.1.3+thymeleaf3.0.11 sec标签不生效
904897655
02-03 3728
在学习springsecurity时候,标签sec没有生效,也没有报错。如下语句无法正常使用 &lt;div sec:authorize="isAuthenticated()"&gt; This content is only shown to authenticated users. &lt;/div&gt; &lt;div sec:authorize="hasRole('ROLE_AD...
Spring Security安全实战,
m0_75198698的博客
05-11 90
希望这个详细的 Spring Security 安全实战教程能够帮助您深入了解 Spring Security 并成功实践安全功能。下面是一个详细的 Spring Security 安全实战教程,按照整洁、清晰、有逻辑和顺序进行排版,以帮助您深入了解 Spring Security 并实践安全功能。- 配置 Spring Security 的日志级别。- Spring Security 的主要功能和特点。- 优化 Spring Security 的性能。- 创建一个基本的 Spring Boot 项目。
SpringBoot框架:集成Spring Security
qq_51476114的博客
01-04 813
Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程 用户授权指的是验证某个用户是否有权限执行某个操作 注意:每一个用户可以对应多个角色,一个角色可以对应多个可以访问的资源权限
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-boot spring-security-oauth2 完整demo
11-22
spring-boot spring-security-oauth2 完整demo,可以使用微信的方式来获取token和查看资源,注意看代码中的备注
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2文档
03-26
spring-security-oauth2-boot-reference-2.6.8 是最后一版的官方文档
欧母龙PLC例程源码陶瓷厂用程序及图纸
04-22
欧母龙PLC例程源码陶瓷厂用程序及图纸提取方式是百度网盘分享地址
node-v19.6.1-darwin-arm64.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
集比赛直播、新闻资讯、数据查询为一体的APP,支持Android和iOS双平台.zip
04-22
NBA Player是由React Native创作的集比赛直播、新闻资讯、数据查询为一体的APP,支持Android和iOS双平台
那年的毕业设计.zip
04-22
那年的毕业设计
精品企业智慧中台规划与建设总体方案.rar
04-22
企业智慧中台规划与建设总体方案是一个针对企业数字化转型需求而设计的综合性IT解决方案。该方案旨在构建一个集中、高效和灵活的中台架构,通过整合企业内外部的数据资源、业务流程和应用服务,为企业提供一个统一的数字化运营平台。在当前的商业环境下,企业面临着激烈的市场竞争和不断变化的客户需求。为了应对这些挑战,企业需要快速响应市场变化,提高运营效率,降低成本,并实现持续创新。因此,企业智慧中台的规划和建设成为了关键任务。该方案的核心思想是将企业的业务逻辑、数据管理和技术创新紧密结合起来,形成一个高度集成的智慧中台系统。通过构建标准化的数据模型和接口,实现数据的一致性和可访问性,同时提供丰富的数据分析和挖掘工具,帮助企业发现潜在的商业价值和机会。此外,该方案还注重用户体验和业务敏捷性。通过构建灵活的应用开发框架和API接口,支持快速的业务迭代和定制化需求,满足不同部门和角色的个性化需求。同时,通过智能化的自动化流程和决策支持系统,提高企业的决策效率和准确性。总之,企业智慧中台规划与建设总体方案是一个全面而深入的IT解决方案,旨在帮助企业实现数字化转型,提升竞争力和创新能力。通过构建集中、高效和灵活
spring security 整合mybatis-plus
10-23
Spring Security 是一个开源的安全框架,用于保护基于Spring框架构建的应用程序。MyBatis-Plus 是基于 MyBatis 的增强工具,用于简化 MyBatis 操作和提高开发效率。 将 Spring Security 与 MyBatis-Plus 整合主要包括以下几个步骤: 1. 首先,在 Spring Boot 项目的 pom.xml 文件中添加 Spring Security 和 MyBatis-Plus 的依赖。 ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>com.baomidou</groupId> <artifactId>mybatis-plus-boot-starter</artifactId> <version>latest version</version> </dependency> ``` 2. 接下来,在项目的配置文件 application.properties 或 application.yml 中配置数据库连接和 MyBatis-Plus 的相关配置。 3. 创建一个用户实体类和对应的 Mapper 接口,使用 MyBatis-Plus 提供的注解和方法完成数据访问操作。 4. 创建一个自定义的 UserDetailsService 实现类,用于从数据库中获取用户信息,实现 loadUserByUsername 方法。 5. 创建一个自定义的 PasswordEncoder 实现类,用于加密和校验用户密码。 6. 配置 Spring Security,创建一个继承自 WebSecurityConfigurerAdapter 的类,并重写 configure 方法,设置用户认证规则、登录配置和访问控制规则。 7. 在 Spring Boot 启动类上使用 @MapperScan 注解,扫描 Mapper 接口。 通过以上步骤,就可以实现 Spring Security 与 MyBatis-Plus 的整合。在实际应用中,还可以根据具体需求进行一些其他配置和扩展,例如添加角色权限控制、自定义登录页面和处理逻辑等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值