二、Spring Security

最新推荐文章于 2024-07-21 23:44:17 发布
最新推荐文章于 2024-07-21 23:44:17 发布
阅读量95 收藏
点赞数
分类专栏: Spring 文章标签: java web.xml web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcw_java/article/details/84115160
版权
找了很多文章,文档结合源码构建成功了.在这里花点时间整理一下,看不懂的留言
本人对他的一些理解,有不同意见欢迎大家留言指证,谢谢
spring security文档介绍
http://static.springsource.org/spring-security/site/docs/3.0.x/apidocs/index-all.html#_D_
1,UserDetails 

//返回验证用户密码,无法返回则NULL
String getPassword();
String getUsername();
//账户是否过期,过期无法验证
boolean isAccountNonExpired();
//指定用户是否被锁定或者解锁,锁定的用户无法进行身份验证
boolean isAccountNonLocked();
//指示是否已过期的用户的凭据(密码),过期的凭据防止认证
boolean isCredentialsNonExpired();
//是否被禁用,禁用的用户不能身份验证
boolean isEnabled();

让User对象去实现,属性字段设计阶段就把字段跟接口字段对应!!

2.UserDetailsService 
UserDetails loadUserByUsername(String username)
        throws UsernameNotFoundException, DataAccessException;

这里这个方法是当用户登录ok,通过之后会缓存起来,可以通过用户名从缓存中读取.
UserDaoImpl可以去实现. 

    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        List users = getHibernateTemplate().find("from User where username=?", username);
        if (users == null || users.isEmpty()) {
            throw new UsernameNotFoundException("user '" + username + "' not found...");
        } else {
            return (UserDetails) users.get(0);
        }
    }

下边这个跟常用的session一样,也是从缓存中读取!
这里要特别注意,应用是这样!但是框架的流程则复杂很多.
3.SessionUtils 

public class SessionUtil {
    public static User getCurrentUser() {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        User currentUser;
        if (auth.getPrincipal() instanceof UserDetails) {
            currentUser = (User) auth.getPrincipal();
        } else if (auth.getDetails() instanceof UserDetails) {
            currentUser = (User) auth.getDetails();
        } else {
            throw new AccessDeniedException("User not properly authenticated.");
        }
        return currentUser;
    }
}

4.web.xml中配置
个人喜欢把security的东西新建一个xml,在web中启动自己的security.xml(当然放在web-inf下比较好) 

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
       /WEB-INF/security.xml
    </param-value>
</context-param>

dfp代理过滤Filter,在初始化的时候springSecurityFilterChain这个有注意到了吗? 

<!-- 所有的Filter委托给Spring -->
<!-- 第一种,可以自定义过滤器 -->
<filter>
  <filter-name>securityFilter</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
     <init-param>
        <param-name>targetBeanName</param-name>
        <param-value>springSecurityFilterChain</param-value>
     </init-param>
</filter>
<filter-mapping>
     <filter-name>securityFilter</filter-name>
     <url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 第二种配置 -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

在这里要特别[color=red]注意:[/color]springSecurityFilterChain这个名称是命名空间默认创建的,用于处理Web安全的一个内部Bean的Id
★在自定义Bean时不可以在用这个Id名称,不然会冲突异常!
5.security.xml 

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xmlns:beans="http://www.springframework.org/schema/beans"
             xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.0.xsd
              http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.1.xsd">
    <!-- 还记得前面的代理吗,这里注明后!代理会自动生成 -->
    <http auto-config="true" lowercase-comparisons="false">
        <!--intercept-url pattern="/images/*" filters="none"/>
        <intercept-url pattern="/styles/*" filters="none"/>
        <intercept-url pattern="/scripts/*" filters="none"/--> 
        <intercept-url pattern="/admin/*" access="ROLE_ADMIN"/>
        <intercept-url pattern="/cpManagerPages/*" access="ROLE_ADMIN,ROLE_CONTENT_PROVIDER"/>
        <intercept-url pattern="/**/*.ca*" access="ROLE_CONTENT_PROVIDER,ROLE_ADMIN,ROLE_USER"/>
        <!-- 这里/j_security_check是表单提交位置 -->
        <form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=true" login-processing-url="/j_security_check"/>
        <remember-me user-service-ref="userDao" key="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/>
    </http>
    <!--① 验证过程是由userDao,也就是连接数据库验证 -->
    <authentication-provider user-service-ref="userDao">
        <password-encoder ref="passwordEncoder"/>
    </authentication-provider>
    <!--② 这个跟1不同,这里是根据自定义的用户来验证 -->
    <authentication-provider>
        <user-service>
          <user name="sp" password="123" authorities="ROLE_SP" />
          <user name="admin" password="123" authorities="ROLE_CARRIER" />
          <user name="cp" password="123" authorities="ROLE_CP" />
        </user-service>
    </authentication-provider>
    <!-- Override the default password-encoder (SHA) by uncommenting the following and changing the class -->
    <!-- <bean id="passwordEncoder" class="org.springframework.security.providers.encoding.ShaPasswordEncoder"/> -->
    <!-- 限制对方法的访问 @Secured JSR-250注解 -->
    <global-method-security>
        <protect-pointcut expression="execution(* *..service.UserManager.getUsers(..))" access="ROLE_ADMIN"/>
        <protect-pointcut expression="execution(* *..service.UserManager.removeUser(..))" access="ROLE_ADMIN"/>
    </global-method-security>
</beans:beans>

在配置intercept-url,最先验证的是第一个intercept-url,队列形式!


下边这些是标签属性说明:
配置说明:
lowercase-comparisons:表示URL比较前先转为小写。
path-type:表示使用Apache Ant的匹配模式。
access-denied-page:访问拒绝时转向的页面。
access-decision-manager-ref:指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。
login-page:指定登录页面。
login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为:/j_spring_security_check。
authentication-failure-url:指定了身份验证失败时跳转到的页面。
default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。
logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。
logout-success-url:退出系统后转向的URL。
invalidate-session:指定在退出系统时是否要销毁Session。
max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。
exception-if-maximum-exceeded: 默认为false,此值表示:用户第二次登录时,前一次的登录信息都被清空。
当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。
zcw_java
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Security授权
qq_32734365的博客
08-04 3462
授权 授权架构 授权 调用前置处理 AccessDecisionManager 基于投票的AccessDecisionManager实现 RoleVoter AuthenticatedVoter 自定义Voter 调用后处理 分层角色 安全对象实现 AOP Alliance (MethodInvocation) 安全拦截器 显式MethodSecurityInterceptor配置...
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统,不同用户 所具有的权限是不同的。
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之一。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
springcloud集成Spring Security
最新发布
youxmm的博客
07-21 2880
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
SpringSecurity认证
小钟不想敲代码
05-28 5322
SpringSecurity认证
SpringSecurity自定义登录界面
weixin_43472934的博客
04-18 6856
为什么需要自定义登录界面? 答:因为SpringBoot整合SpringSecurity时,只需要一个依赖,无需其他配置,就可以实现认证功能。但是它的认证登录界面是固定那样的,如下图所示,但是我们希望自己搞个好看的登录界面,所以需要自定义登录界面。 第一步:创建springboot项目 <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="ht
Spring Security基本原理
花&败
07-17 3386
1、SpringSecurity 本质是一个过滤器链 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的各个进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 Securi
Spring Security快速入门
赵广陆
02-07 1万+
目录1 Spring Security介绍2 创建工程2.1 创建maven工程2.2 Spring容器配置2.3 Servlet Context配置2.4 加载 Spring容器3 认证3.1 认证页面3.2.安全配置3.2.Spring Security初始化2.3.默认根路径请求2.4.认证成功页面2.5 测试4 授权5 小结 1 Spring Security介绍 Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。由于它是Sprin
springsecurity工作流程
qq_39321234的博客
04-27 1988
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
springsecurity学习笔记
12-13
在"springsecurity学习笔记",你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全Web应用。在本笔记,我们将深入探讨Spring...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能Spring...
org.springframework.web.multipart.MultipartFile以及类型记录
zcw_java的专栏
10-28 2629
接口需求是Android/iPhone需要通过接口上传一些文件,例如图片,jar包,rar压缩包,视频,音乐...等!困扰我这个菜鸟很久,整理一下!!分享给同我一样的菜鸟 后台需要处理这些数据,之前没有接触过!但类似的FileUpLoad的插件用过,其实原理差不多,因为计算机原始数据都是01代码,所以只要将这些文件保存成进制就可以,数据库(mysql),最大4G!! 问题1,如果实现!联...
Jackson返回日期格式
zcw_java的专栏
12-06 672
近日,使用Jackson转化JSON对象的时候,显示的时候,日期始终显示不正确,输出的日期是一串数字代表的时间戳,不符合要求,所以想到Jackson应当有方法设置输出的日期格式。后来一查果然有两种方式来实现: 1.普通的方式: 默认是转成timestamps形式的,通过下面方式可以取消timestamps。 Java代码 objectMapper.configure(S...
spring的MultipartFile
zcw_java的专栏
10-28 408
利用MultipartFile实现文件上传 在java上传文件似乎总有点麻烦,没.net那么简单,记得最开始的时候用smartUpload实现文件上传,最近在工作使用spring的MultipartFile实现文件上传,感觉挺简单,在这里和大家分享一下. 一.主要有两个java类,和一般的servlet放在一起即可. 1.FileUploadB...
当@PathVariable遇上文和点
zcw_java的专栏
08-26 314
Spring MVC从3.0开始支持REST,而主要就是通过@PathVariable来处理请求参数和路径的映射。 由于考虑到SEO的缘故,很多人喜欢把新闻的名称作为路径的一部分去处理,这时候文的名称就会遇到问题,没办法映射,这个是因为编码问题,只要到TOMCAT/conf下找到server.xml,添加URIEncoding="UTF-8"进行URL编码设置就可以解决文问题。 另外经常...
Spring Security参考指南解析
Spring SecuritySpring框架的一个强大组件,专注于应用程序的安全性。这份参考指南是由Ben Alex、Luke Taylor和Rob Winch编写的,提供了关于Spring Security的官方详细信息,虽然内容可能对非英语母语者来说较为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值