拦截器、过滤器、Spring-Security的使用

最新推荐文章于 2024-04-18 16:07:15 发布
最新推荐文章于 2024-04-18 16:07:15 发布
阅读量4.5k 收藏 6
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zq929060568/article/details/96478389
版权

拦截器:拦截的是action,说白了拦截的是访问路径

过滤器:可以几乎过滤掉所有的东西

配置拦截器:interceptor

 

Spring-Security

是Spring项目组中提供安全认证服务的框架

认证:验证用户密码是否正确的过程

授权:对用户所能访问的资源进行控制

应用步骤:

1.导架包 pom.xml

<spring.security.version>5.0.1.RELEASE</spring.security.version>
<dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-web</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-config</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-core</artifactId>
            <version>${spring.security.version}</version>
        </dependency>
        <dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

2.配置web.xml

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

3.新建Spring-Security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:security="http://www.springframework.org/schema/security"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <security:global-method-security pre-post-annotations="enabled" jsr250-annotations="enabled" secured-annotations="enabled"></security:global-method-security>

    <!-- 配置不拦截的资源 -->
    <security:http pattern="/login.jsp" security="none"/>
    <security:http pattern="/login-register.jsp" security="none"/>
    <security:http pattern="/failer.jsp" security="none"/>
    <security:http pattern="/css/**" security="none"/>
    <security:http pattern="/img/**" security="none"/>
    <security:http pattern="/plugins/**" security="none"/>
    <!--
    	配置具体的规则
    	auto-config="true"	不用自己编写登录的页面,框架提供默认登录页面
    	use-expressions="false"	是否使用SPEL表达式(没学习过)
    -->
    <security:http auto-config="true" use-expressions="true">
        <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有ROLE_USER的角色" -->
        <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/>

        <security:form-login login-page="/login.jsp"
                             login-processing-url="/login.do"
                            default-target-url="/index.jsp"
                            authentication-failure-url="/failer.jsp"
                            authentication-success-forward-url="/pages/user-list.jsp"/>

        <!-- 关闭跨域请求 -->
        <security:csrf disabled="true"/>

        <!--退出并跳转到首页-->
        <security:logout invalidate-session="true" logout-url="/logout.do" logout-success-url="/login.jsp"></security:logout>

    </security:http>

    <!-- 切换成数据库中的用户名和密码 -->
    <security:authentication-manager>
        <security:authentication-provider user-service-ref="userService">
            <!-- 配置加密的方式
            <security:password-encoder ref="passwordEncoder"/> -->
        </security:authentication-provider>
    </security:authentication-manager>

    <!-- 配置加密类 -->
    <bean id="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"/>
    <!-- <bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />-->
    <!-- 提供了入门的方式,在内存中存入用户名和密码
    <security:authentication-manager>
    	<security:authentication-provider>
    		<security:user-service>
    			<security:user name="admin" password="{noop}admin" authorities="ROLE_USER"/>
    		</security:user-service>
    	</security:authentication-provider>
    </security:authentication-manager>
    -->

</beans>
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

5.UserService继承UserDeatilsService

bean:

Role:

package com.zhongruan.bean;
//Role 角色的实体类
public class Role {
    private int id;
    private String roleName;
    private String roleDesc;

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getRoleName() {
        return roleName;
    }

    public void setRoleName(String roleName) {
        this.roleName = roleName;
    }

    public String getRoleDesc() {
        return roleDesc;
    }

    public void setRoleDesc(String roleDesc) {
        this.roleDesc = roleDesc;
    }

    public Role(int id, String roleName, String roleDesc) {
        this.id = id;
        this.roleName = roleName;
        this.roleDesc = roleDesc;
    }

    public Role() {
    }

    @Override
    public String toString() {
        return "Role{" +
                "id=" + id +
                ", roleName='" + roleName + '\'' +
                ", roleDesc='" + roleDesc + '\'' +
                '}';
    }
}

dao:

RoleDao:

package com.zhongruan.dao;

import com.zhongruan.bean.Role;

import java.util.List;

public interface RoleDao {
    //在role表中,根据userId查询出当前的用户
    List<Role> findRoleByUserId(int userId);
}

RoleMapper.xml:

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd" >
<mapper namespace="com.zhongruan.dao.RoleDao" >

    <select id="findRoleByUserId" parameterType="java.lang.Integer" resultType="com.zhongruan.bean.Role">
        select*from tb_Role where id in(select roleId from tb_user_role where userId=#{userId})
    </select>


</mapper>

UserInfoServiceImpl:

@Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //1.查询当前登录的用户信息
        UserInfo userInfo = userDao.doLogin(username);
        //2.查询当前的用户有多少角色
        List<Role> roleList = roleDao.findRoleByUserId(userInfo.getId());
        //3.需要把角色给放入用户中
        userInfo.setRoleList(roleList);

        //4.把查询到的User和Role数据给到Spring-security中的内置对象User来管理
        User user=new User(userInfo.getUsername(),"{noop}"+userInfo.getPassword(),getAuthority(userInfo.getRoleList()));
        return user;

    }

    private Collection<? extends GrantedAuthority> getAuthority(List<Role> roleList) {
        List<SimpleGrantedAuthority> list=new ArrayList<>();
        for(Role role:roleList){
            list.add(new SimpleGrantedAuthority("ROLE_"+role.getRoleName()));
        }
        return list;
    }

 

zq929060568
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-security Jar包
09-21
3. **过滤器链**:Spring Security 的核心是Filter Security Interceptor(过滤器安全拦截器)和Access Decision Manager(访问决策管理器)。过滤器链处理HTTP请求,进行身份验证和授权检查,而访问决策管理器根据...
spring-security静态资源
09-25
为了允许匿名用户访问这些资源,我们需要配置过滤器链,确保静态资源请求不会被安全拦截器拦截。 2. **配置WebSecurity** 在`WebSecurityConfigurerAdapter`的子类中,我们可以配置哪些URL应该被保护,哪些应该被...
详谈springboot过滤器拦截器
Alex的博客
03-21 3161
SpringMVC中有两种很普遍的AOP实现: 1.过滤器(Filter) 2.拦截器(Interceptor) 首先说一下两者之间的区别过滤器拦截器非常相似,但是它们有很大的区别 a.最简单明了的区别就是过滤器可以修改request,而拦截器不能 b.过滤器需要在servlet容器中实现,拦截器可以适用于javaEE,javaSE等各种环境 c.拦截器可以调用IOC容器中的各种依赖,而过滤器不能d.过滤器只能在请求的前后使用,而拦截器可以详细到每个方法 一、HandlerInterc
SpringSecurity原理剖析与权限系统设计
zdy0_2004的专栏
09-30 463
Spring Secutity和Apache Shiro是Java领域的两大主流开源安全框架,也是权限系统设计的主要技术选型。本文主要介绍Spring Secutity的实现原理,并基于Spring Secutity设计基于RBAC的权限系统。 一、技术选型 为何把Spring Secutity作为权限系统的技术选型,主要考虑了以下几个方面: 数据鉴权的能力:Spring Secutity支...
【Spring Security系列】Spring Security 过滤器详解与基于JDBC的认证实现
最新发布
小威的博客
04-18 1万+
Spring Security过滤器链由多个过滤器组成,每个过滤器负责处理特定的安全任务。当请求到达应用程序时,它会依次通过过滤器链中的每个过滤器,直到到达目标资源。在过滤器链中,每个过滤器都可以对请求进行拦截、修改或执行其他操作,以确保应用程序的安全性。:负责将安全上下文存储在HttpSession中,以便在后续请求中访问。:处理基于表单的身份验证。它拦截包含用户名和密码的请求,并执行身份验证过程。:处理注销请求,清除安全上下文和会话数据。:捕获并处理认证和授权过程中发生的异常。
Springboot过滤器拦截器详解及使用场景
m0_63437643的博客
07-12 992
过滤器拦截器非常相似,但是它们有很大的区别 最简单明了的区别就是**过滤器可以修改request,而拦截器不能 过滤器需要在servlet容器中实现,拦截器可以适用于javaEE,javaSE等各种环境 拦截器可以调用IOC容器中的各种依赖,而过滤器不能 过滤器只能在请求的前后使用,而拦截器可以详细到每个方法** 区别很多,大家可以去查下。4、Filter是依赖于Servlet容器,属于Servlet规范的一部分,而拦截器则是独立存在的,可以在任何情况下使用
Spring Security 安全框架应用
weixin_45001033的博客
07-23 819
Security背景 企业中数据是最重要的资源,对于这些数据而言,有些可以直接匿名访问,有些只能登录以后才能访问,还有一些你登录成功以后,权限不够也不能访问.总之这些规则都是保护系统资源不被破坏的一种手段.几乎每个系统中都需要这样的措施对数据(资源)进行保护.我们通常会通过软件技术对这样业务进行具体的设计和实现.早期没有统一的标准,每个系统都有自己独立的设计实现,但是对于这个业务又是一个共性,后续市场上就基于共享做了具体的落地实现, 例如:Spring的Security | Apache的shiro诞生了
Spring Boot拦截器过滤器区别
IT徐师兄
05-30 1080
在本文中,我们介绍了Spring Boot中拦截器过滤器区别拦截器过滤器都可以在处理请求之前或之后执行某些操作。拦截器可以访问和修改请求和响应对象,而过滤器只能访问和修改请求和响应头信息。拦截器只能拦截Spring MVC的请求,而过滤器可以拦截任何类型的请求。拦截器可以使用注解配置,而过滤器需要使用@WebFilter注解配置。无论您选择使用拦截器还是过滤器,都需要根据您的需求选择合适的机制。在实际开发中,您。
Springboot项目Aop、拦截器过滤器横向对比
凡夫编程
03-23 3044
伟人曾经说过,没有调查就没有发言权,有些东西看着简单,张口就来,但很有可能是错的。我个人的经验是,aop、过滤器拦截器的实现方式很简单,一学就会,不用就忘,忘了再学,学了再忘,如此循环内耗何必呢?因此,如果你和我一样,有一颗强烈的好奇之心,那么不管多简单,动手敲起来吧,温故而知新呢。过滤器拦截器、AOP本质上来讲,都是面向切面编程的实践,只是在功能特性、适用范围、实现细节上有一些区别。一般情况下,过滤器能实现的功能,拦截器也可以实现;过滤器拦截器可以实现的功能,AOP也可以实现;那么在业务开发过程中作
spring-security-jwt-demo.zip
11-19
- JWT过滤器:拦截所有请求,解析JWT,进行认证和授权。 - 安全配置:定义Spring Security的配置,包括哪些URL需要保护,以及如何进行身份验证和授权。 5. 实战步骤: - 创建Spring Boot项目并引入Spring ...
user-impersonation-spring-security
05-13
这通常包括定义安全拦截器路径、配置认证和授权机制。例如,你可以创建一个`SecurityConfig`类,继承自`WebSecurityConfigurerAdapter`,并覆盖`configure(HttpSecurity http)`方法。 2. **实现用户模拟逻辑**: ...
spring-security3入门教程.doc
09-04
接下来,定义一个名为 `springSecurityFilterChain` 的过滤器使用 `DelegatingFilterProxy` 类来代理 Spring Security 的过滤链。最后,配置过滤器映射,将所有请求(`/*`)都通过此过滤器处理。`welcome-file-...
还不了解后端资源拦截和权限认证?过滤器拦截器,AOP,SpringSecurity教教你
qq_45704528的博客
07-10 3513
一.过滤器 过滤器实际上就是对web资源进行拦截,做一些处理后再交给下一个过滤器或servlet处理 通常都是用来拦截request进行处理的,也可以对返回的response进行拦截处理 Filter:拦截请求,过滤响应 如图所示: 通过filterChain.doFilter(request,response)交给下一个过滤器链处理 主要使用场景: 统一的资源管理(如用户会话的统一管理,编码格式的统一设置等等) 使用方式: 如果不满足条件,不要执行doFilter,不往下执行(跳转页面或直接输出内容),
Spring Security原理
...
04-14 372
Spring Security过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过滤器链的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集成。 SecurityContextPersistenceFilter:在每次请求处理之前将该请求相关的安全上下文信息加载到 SecurityContex
SpringSecurity如何理解学习常用拦截器——举例进行学习——从0到1教会方法自行学习~
Alascanfu的博客
02-15 1410
本篇内容:如何理解学习SpringSecurity的常用拦截器——举例进行学习 文章专栏:前后端分离项目(Vue + SpringBoot) 最近更新:2022年2月5日 Nginx 入门到实战案例 配置反向代理、负载均衡、动静分离以及对Nginx高可用的服务器集群 个人简介:一只二本院校在读的大三程序猿,本着注重基础,打卡算法,分享技术作为个人的经验总结性的博文博主,虽然可能有时会犯懒,但是还是会坚持下去的,如果你很喜欢博文的话,建议看下面一行~(疯狂暗示QwQ)
过滤器拦截器区别
qq_43141925的博客
08-14 245
从灵活性上说拦截器功能更强大些,Filter能做的事情,都能做,而且可以在请求前,请求后执行,比较灵活。Filter主要是针对URL地址做一个编码的事情、过滤掉没用的参数、安全校验(比较泛的,比如登录不登录之类,例如SpringSecurity就是在filter中进行操作),太细的话,还是建议用interceptor。不过还是根据不同情况选择合适的。(2) Interceptor需要在SpringMVC中配置,依赖于框架。(1) Filter需要在web.xml中配置,依赖于Servlet。...
SpringSecurity - 启动流程分析(四)- 默认过滤器
业精于勤荒于嬉
08-14 784
SpringSecurity - 启动流程分析(四)
Spring Security和Struts拦截器比较
zeb_perfect的专栏
07-14 3036
虽然收集了好多资料,但依旧还不是很懂为什么有人要做Spring Security和struts的整合,在我看来,他们都做到了拦截,希望了解的评论告诉我谢谢。 对比: Struts2 简单来说,就是一个拦截器栈 也就是一系列的拦截器。 处理用户的请求,OGNL的使用,表单验证 等都是默认的拦截器在起作用。 而spring的拦截器,主要体现在AOP的事务管理方面,还有比如一些错误或者异常的日志的
spring-security-test是干嘛用的
12-28
spring-security-test是用于支持Spring Security的测试的模块。它提供了一些工具和类,可以帮助你编写和执行针对Spring Security的单元测试和集成测试。 使用spring-security-test,你可以轻松地模拟用户的身份验证和授权,并测试你的安全配置是否按预期工作。它提供了一些方便的方法来模拟用户的登录和注销,并且可以在测试中设置和验证用户的角色和权限。 此外,spring-security-test还提供了一些用于测试Spring Security过滤器链的工具。你可以使用这些工具来验证请求是否被正确地拦截和处理,并且可以测试你的安全配置是否正确地应用到你的应用程序中。 总之,spring-security-test是一个非常有用的工具,可以帮助你编写高质量的测试,确保你的Spring Security配置和功能正常工作

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值