Spring-security3配置笔录

最新推荐文章于 2021-08-10 14:17:58 发布
最新推荐文章于 2021-08-10 14:17:58 发布
阅读量591 收藏
点赞数
文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zimu002/article/details/45094999
版权

环境:

jdk8 tomcat8 maven idea


版本:

spring-security-3.1.4.release


配置:

1,pom.xml增加security

<dependency>

    <groupId>org.springframework.security</groupId>

    <artifactId>spring-security-core</artifactId>

    <version>3.1.4.RELEASE</version>

</dependency>

<dependency>

    <groupId>org.springframework.security</groupId>

    <artifactId>spring-security-config</artifactId>

    <version>3.1.4.RELEASE</version>

</dependency>

2,注册security代理filter,在web.xml中配置security过滤器。security是利用过滤器进行权限的验证。在web.xml中注册一个security过滤器链的代理,在项目启动后,会根据security.xml中的配置,为每个请求的url加上访问权限,filter注册配置在web.xml中,url-pattern标签设置为/*表示需要对所有的请求进行拦截。

<filter>

    <filter-name>springSecurityFilterChain</filter-name>

    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>

</filter>

<filter-mapping>

    <filter-name>springSecurityFilterChain</filter-name>

    <url-pattern>/*</url-pattern>

</filter-mapping>

3,配置security.xml

<http>标签:包括登陆,登出,url权限配置都是在http标签中指定,子标签<intercept-url>是用来设置对url的拦截

如:<intercept-url pattern="/rs/main/admin" access="hasRole('ROLE_ADMIN')" />

是对"/rs/main/admin”这个url的请求拦截,security拦截器链在获取用户的请求匹配,会去检测请求用户是否拥有ROLE_ADMIN权限,是则通过身份验证,否则访问拒绝

<authentication-manager>:权限认证标签。我们可以在此标签中进行用户的权限认证操作,在demo实例程序中,注入了一个customUserAuthService,继承自UserDetailService

自定义权限认证器,可以灵活的对用户进行身份认证。

配置选项在spring-security.xml中讲解说明

标签:

jsp中的权限标签使用

首先需要在页面中引入标签库:

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>

在页面中获取认证用户的姓名:<sec:authentication property="name"/>

在页面中只有ROULE_USER权限的用户才可以显示

<sec:authorize access="hasRole('ROLE_USER')">

原理:

(1)在web.xml中配置过滤器代理,这样就可以控制这个项目的每个请求。

(2)在spring-security.xml配置,其中http标签配置如何截用户请求,和配置用户认证(固定用户、使用数据库管理用户)。

(3)过滤器最上层为HttpSessionContextIntegrationFilter、最后是LogoutFilter

(4)spring security中重要的类SecurityContextHolder提供几种访问SecurityContext的方式;SecurityContext,

保存Authentication认证信息,和请求对应的安全信息;Authentication,展示Spring Security特定的主体

(5)以登陆和退出为例说明,登陆成功后通过认证,认证信息保存到securityContext中并给holder。

并可以通过String id= SecurityContextHolder.getContext().getAuthentication().getName(); 取出用户信息。

退出时则清空securityContextHolder。


实例demo中实现了authenticationManager管理器 以对用户的身份进行验证,在此管理器中主要是根据用户提交的用户名从数据库中或者其他地方获取用户的信息,然后创建一个security内置的user对象,以与用户提交并被保存在session中的用户表单信息进行验证,验证用户是否是合法并是否有相应的权限访问资源


登陆验证的实现也是通过过滤器来进行的,如上所述,对于用户访问,若是登陆请求,在身份验证阶段会将合法用户的信息存储到一个SecurityContextHolder中,若不合法将丢出exception并将用户指引到配置的页面(登陆页面或者访问拒绝页面),对于登陆成功的用户,在以后的资源访问过程中,身份验证器会先判断SecurityContextHolder是否存在此用户的信息,若存在,就将用户的身份信息传给以后的filter作为用户的身份凭证。一层层的直至访问到相应的资源。


投票机制:使用spring-security默认的就足够了,如果需要自己实现,跟身份验证器的实现类似,在demo实例中没有实现投票器。


用户—角色—资源


角色是用户与资源之间的纽带。通过设置角色所持有的权限及资源访问的权限,然后将相应的角色分配给用户,实现了资源对不同用户的屏蔽。spring-security通过filter将访问拦截,并根据我们设置的权限资源表(这个可以自己设计,数据库表,xml配置都可以)来确定一个用户是否拥有对资源的访问权限,多层filter过滤以屏蔽非法访问保护资源。



关于spring-security的filter





noahxinhao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
Spring Security与Maven教程
最佳 Java 编程
06-08 2837
1.简介 在这篇文章中,我们将演示如何针对非常特定的用例将Maven依赖项用于Spring Security。 我们使用的所有库的最新版本都可以在Maven Central上找到。 在项目中,了解Maven依赖项的工作方式和管理方式对于有效的构建周期非常重要,并且对于我们在项目中使用的各种库之间的版本之间应有清晰的定义,这很重要。 这是由于我们经常在多个项目中重复一组依赖项的原因,并且当...
Spring框架中SecurityContextHolder类的使用详解(未完待续)
热门推荐
reggergdsg的博客
03-01 5万+
Spring框架借助ThreadLocal来保存和传递用户登录信息。我们通常是使用下面这段代码,来获取保存在ThreadLocal中的用户信息。 SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 一,我们来看一下源代码 public class SecurityContextHolde
史上最简单的Spring Security教程(四十一):SecurityContextHolder及SecurityContextHolderStrategy详解
银河架构师的博客
11-25 6028
如何静态的、较为方便的获取当前系统已登录的用户的信息?这恐怕就要靠 Spring Security 框架的另外一个“著名”的组件类SecurityContextHolder了。 /** * Associates a given {@link SecurityContext} with the current execution thread. */ SecurityContextHolder类最核心的作用,便是将当前给定的 SecurityContext 与 当前执行线程绑定,从而方便...
spring security手动 自定义 用户认证 SecurityContextHolder
陌子曦的专栏
06-13 2967
1.Spring Security 目前支持认证一体化如下认证技术:HTTP BASIC authentication headers (一个基于IEFT  RFC 的标准)HTTP Digest authentication headers (一个基于IEFT  RFC 的标准)HTTP X.509 client certificate exchange  (一个基于IEFT RFC 的标准)L...
SecurityContextHolder.getContext().setAuthentication(auth)重新设值
july_young的博客
11-09 1万+
String role = roleMapper.findByUserIdAndOrgId(AuthenticationUtils.getUserId(),po.getId()); SimpleGrantedAuthority grantedAuthority = new SimpleGrantedAuthority(role) ; List&lt;SimpleGrantedAuthorit...
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-oauth2-2.3.5.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
SecurityContextHolder详解
小汤圆
08-10 4381
SecurityContextHolder
SecurityContextHolder.getContext().getAuthentication()为空的解决
softwarehe的专栏
07-03 3万+
昨天在公司测试spring security,在controller里边发现SecurityContextHolder.getContext().getAuthentication()始终为null,百思不得其解,google上查半天也没解决,这样那样的说法都有,回家后继续google,结果有一阵不知搜什么词语了不让继续访问了,只好用百度,别说真找到答案了,头一次百度在技术搜索战胜了google,
SpringSecurity---SecurityContextHolder详解
池海
03-13 1万+
巴拉巴拉: 之前在使用SpringSecurity的过程中并没有把很多东西理解透彻,找了很多学习资料也都只是是很浅显了告诉你怎么使用这个东西。现在只能自己回过头来研究研究。。。。终究是一个人扛下了所有/(ㄒoㄒ)/~~。GO,现在越看spring源码越觉得里面注释是真的详细,虽然英语很菜耐不住有翻译哈哈哈。 介绍: 看了几篇大佬的技术博客里面都介绍到,SecurityContextHolder是保...
springSecurity系列之 SecurityContextHolder与SecurityContext
weixin_39802680的博客
03-27 1448
SecurityContextHolder SecurityContextHolder 是spring security 的基础工具类。这是一个工具类,只提供一些静态方法。这个工具类的目的是用来保存应用程序中当前使用人的安全上下文。将给定SecurityContext与当前执行线程关联。 官网介绍英文官网 SecurityContextHolder.getContext() 获取安全上下文SecurityContext。 安全上下文 SecurityContext SecurityContext 可以理
安全认证之SecurityContextHolder
花&败
11-28 2万+
简介 1)SecurityContextHolder是SpringSecurity最基本的组件了,是用来存放SecurityContext的对象,默认是使用ThreadLocal实现的,这样就保证了本线程内所有的方法都可以获得SecurityContext对象。 2) SecurityContextHolder还有其他两种模式,分别为SecurityContextHolder.MODE_GLOBAL和SecurityContextHolder.MODE_INHERITABLETHREADLOCAL...
spring security 3.2 pom配置
极客on之路
11-18 3057
3.2.0.RELEASE org.springframework.security spring-security-web ${org.springframework.security.version} org.springframework.security spring-security-config ${org.spring
spring security3 xml配置详细说明注释
daizi_xiao的专栏
07-02 2956
由于xiang
spring-security-oauth2 如何配置
最新发布
04-22
配置spring-security-oauth2,需要在Spring Boot项目中添加以下依赖: ``` <groupId>org.springframework.security.oauth <artifactId>spring-security-oauth2 <version>2.4.0.RELEASE ``` 然后,需要创建...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值