Spring security(一)

最新推荐文章于 2024-04-20 16:32:09 发布
最新推荐文章于 2024-04-20 16:32:09 发布
阅读量330 收藏
点赞数
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/LchinaM/article/details/51644382
本文介绍如何使用SpringSecurity实现用户权限控制,通过配置过滤器及使用命名空间来拦截用户请求并进行权限验证。

要做一个用户管理模块,使用spring security来实现。

1、配置过滤器

为了在项目中使用spring security控制权限,首先要在web.xml中配置过滤器。

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
2、使用命名空间

在applicationContext.xml中使用spring security的命名空间进行配置。

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security.xsd">

    <http auto-config='true'>
        <intercept-url pattern="/admin.jsp" access="ROLE_ADMIN" />
        <intercept-url pattern="/**" access="ROLE_USER" />
    </http>

	<authentication-manager>
        <authentication-provider>
			<user-service>
				<user name="admin" password="admin" authorities="ROLE_USER, ROLE_ADMIN" />
			</user-service>
        </authentication-provider>
    </authentication-manager>

</beans:beans>

1

声明在xml中使用Spring Security提供的命名空间。

2

http部分配置如何拦截用户请求。auto-config='true'将自动配置几种常用的权限控制机制,包括form, anonymous, rememberMe。

3

我们利用intercept-url来判断用户需要具有何种权限才能访问对应的url资源,可以在pattern中指定一个特定的url资源,也可以使用通配符指定一组类似的url资源。例子中定义的两个intercepter-url,第一个用来控制对/admin.jsp的访问,第二个使用了通配符/**,说明它将控制对系统中所有url资源的访问。

在实际使用中,Spring Security采用的是一种就近原则,就是说当用户访问的url资源满足多个intercepter-url时,系统将使用第一个符合条件的intercept-url进行权限控制。在我们这个例子中就是,当用户访问/admin.jsp时,虽然两个intercept-url都满足要求,但因为第一个intercept-url排在上面,所以Spring Security会使用第一个intercept-url中的配置处理对/admin.jsp的请求,也就是说,只有那些拥有了ROLE_ADMIN权限的用户才能访问/admin.jsp。

access指定的权限部分比较有趣,大家可以注意到这些权限标示符都是以ROLE_开头的,实际上这与Spring Security中的Voter机制有着千丝万缕的联系,只有包含了特定前缀的字符串才会被Spring Security处理。目前来说我们只需要记住这一点就可以了,在教程以后的部分中我们会详细讲解Voter的内容。

4

user-service中定义了两个用户,admin和user。为了简便起见,我们使用明文定义了两个用户对应的密码,这只是为了当前演示的方便,之后的例子中我们会使用Spring Security提供的加密方式,避免用户密码被他人窃取。

最最重要的部分是authorities,这里定义了这个用户登陆之后将会拥有的权限,它与上面intercept-url中定义的权限内容一一对应。每个用户可以同时拥有多个权限,例子中的admin用户就拥有ROLE_ADMIN和ROLE_USER两种权限,这使得admin用户在登陆之后可以访问ROLE_ADMIN和ROLE_USER允许访问的所有资源。

与之对应的是,user用户就只拥有ROLE_USER权限,所以他只能访问ROLE_USER允许访问的资源,而不能访问ROLE_ADMIN允许访问的资源。


具体例子参考网页:http://www.mossle.com/docs/auth/html/ch001-helloworld.html


LchinaM
关注
利用spring security控制同个用户只能次登陆
04-21
标题中的“利用Spring Security控制同个用户只能次登录”是指在基于Spring Security的Web应用程序中实现单点登录(Single Sign-On, SSO)的功能,确保同时间只有个设备或浏览器会话可以登录同用户的账户。...
Spring Security in Action
11-22
Spring Security个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
spring security简单示例
mush_me的专栏
01-06 152
spring security比acegi的配置简单了好多好多,尽量升级到spring security吧 1.建好web项目,配置好监听器和拦截器 [code="java"] contextConfigLocation classpath:applicationContext*.xml springSecuri...
Spring Security 详细配置
liuhanfeng123的专栏
08-03 1814
此文是转载自 sparta-紫杉兄的,http://www.blogjava.net/SpartaYew/archive/2011/05/19/SpingSecurity3.html原文 本来自己想总结spring security,发现sparta-紫杉兄写的很完整就摘过来了. 此文是转载自 sparta-紫杉兄的,http://www.blogjava.net/SpartaYew/
SpringSecurity源码理解及使用(
m0_52889702的博客
10-21 699
springSecurity 简介认证与授权整体架构默认配置原理springBoot对SpringSecurity的配置默认数据源存放位置默认用户信息位置自定义配置自定义资源权限规则自定义登录页面自定义登录成功后页面的跳转(传统web项目)自定义登录成功后返回的json(前后端分离)自定义显示登录失败信息自定义登录失败页面跳转(传统web开发)自定义登录失败后返回的json(前后端分离)定义注销登录配置注销登录后 返回的页面(传统web开发)注销登录后 返回的json(前
spring security 3.0配制
ystar9的博客
08-12 580
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在个系统中,不同用户 所具有的权限是不同的。
spring security CSRF防护
热门推荐
yjclsx的博客
07-31 45万+
CSRF是指跨站请求伪造(Cross-site request forgery),是web常见的攻击之。 从Spring Security 4.0开始,默认情况下会启用CSRF保护,以防止CSRF攻击应用程序,Spring Security CSRF会针对PATCH,POST,PUT和DELETE方法进行防护。 我这边是spring boot项目,在启用了@EnableWebSecurity...
SpringSecurity笔记,编程不良人笔记
10-28
- **Filter Chain**: SpringSecurity通过系列过滤器实现其安全功能,这些过滤器构成了Filter Chain。每个过滤器负责特定的安全任务,如认证、授权等。 - **Authentication**: 表示用户的身份信息,包括用户名、...
Spring Cloud Gateway 整合 Spring Security登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring_Security_Concepts:此仓库包含Spring Security部分的各种概念的示例
04-04
10. **集成其他Spring组件**:Spring Security可以与Spring MVC、Spring Boot、Spring Data JPA等其他Spring组件无缝集成,提供站式的安全解决方案。 在"Spring_Security_Concepts-main"的源代码中,你可能会找到...
springSecurity安全框架的学习和原理解读
执笔写童话的博客
04-25 1181
springSecurity安全框架的学习和原理解读 标签: java springsecurity 更多 最近在公司的项目中使用了spring security框架,所以有机会来学习下,公司的项目是使用springboot搭建 springBoot版本1.59 spring security 版本4.2.3 (个人理解可能会有偏差,希望有不正确之处,大家能够指出来,共同探讨交流。) 目录...
Spring Security详解
每天進步一點點
05-09 1484
在Web开发中,我们在设计之初就需要考虑系统安全的方面,而不是把功能全部实现完成后,再去考虑。那样的话就会造成两难的境地:方面,应用会存在严重的漏洞,无法满足用户需求,并可能造成用户信息被攻击者窃取;另方面,应用的基本架构已经确定,想要修复安全漏洞,可能需要对系统做出较大的调整,因此,耗费大量的人力和物力,因此,我们应该从系统开始做的第天就应该把安全策略考虑进去,并贯穿在整个应用开发过程中。
公路工程机械设计制造与自动化发展方向.docx
最新发布
09-10
公路工程机械设计制造与自动化发展方向.docx
电子商务实训心得体会范文.docx
09-10
电子商务实训心得体会范文.docx
Excel表格通用模板:成品管理表格.xls
09-10
Excel表格通用模板:成品管理表格.xls
pygtk2-codegen-2.24.0-24.module_el8.0.0+36+bb6a76a2.tar.gz
09-10
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
podman-compose-1.0.6-1.el8.tar.gz
09-10
# 适用操作系统:Centos8 #Step1、解压 tar -zxvf xxx.el8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm
Spring Security基础演示项目解析
Spring Security个功能强大、可高度定制...spring-security demo项目是学习和理解Spring Security个很好的起点。通过实际操作和研究这样的示例项目,开发者可以更好地掌握如何在自己的Spring应用中实现安全机制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值