spring security3进级篇II

最新推荐文章于 2019-09-19 19:26:15 发布
原创 最新推荐文章于 2019-09-19 19:26:15 发布 · 216 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#security #spring

本文详细介绍了如何使用数据库存储用户和权限信息,并通过Spring Security实现权限验证。包括创建数据库表、配置数据库连接池、实现不同权限级别的页面访问控制以及用户会话管理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本篇文章用户和权限用数据库存储,而资源(url)和权限的对应采用硬编码配置在XML中实现的。

在本篇中需要把用户和权限信息存到数据库中,本例子采用mysql数据库,数据库表如下:

 

Sql代码   收藏代码
  1. CREATE   TABLE  users(  
  2.     username VARCHAR (50)  NOT   NULL ,  
  3.     password   VARCHAR (50)  NOT   NULL ,  
  4.     enabled BOOLEAN NOT   NULL ,  
  5.     PRIMARY   KEY  (username)  
  6. )ENGINE=InnoDB DEFAULT  CHARSET=utf8;  
  7.   
  8.   
  9. CREATE   TABLE  authorities (  
  10. username VARCHAR (50)  NOT   null ,  
  11. authority VARCHAR (50)  NOT   null ,  
  12. CONSTRAINT  fk_authorities_users  FOREIGN   KEY (username)  REFERENCES  users(username)  
  13. )ENGINE=InnoDB DEFAULT  CHARSET=utf8;  
  14.   
  15. CREATE   UNIQUE   INDEX  ix_auth_username  ON  authorities (username,authority);  
  16.   
  17. INSERT   INTO  users(username, password ,enabled)  values ( 'admin' , '21232f297a57a5a743894a0e4a801fc3' ,1);  
  18. INSERT   INTO  users(username, password ,enabled)  values ( 'user' , 'ee11cbb19052e40b07aac0ca060c23ee' ,1);  
  19. INSERT   INTO  authorities  VALUES ( 'admin' , 'ROLE_ADMIN' );  
  20. INSERT   INTO  authorities  VALUES ( 'user' , 'ROLE_USER' );  

 创建名字为sping_security数据库,同时为该工程配置数据库信息,本例子采用了连接池的方式C30,配置如下:

Java代码   收藏代码
  1. <?xml version= "1.0"  encoding= "UTF-8" ?>  
  2. <beans xmlns="http://www.springframework.org/schema/beans"   
  3.     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  xmlns:aop= "http://www.springframework.org/schema/aop"   
  4.     xmlns:tx="http://www.springframework.org/schema/tx"  xmlns:context= "http://www.springframework.org/schema/context"   
  5.     xmlns:jee="http://www.springframework.org/schema/jee"   
  6.     xmlns:p="http://www.springframework.org/schema/p"    
  7.     xsi:schemaLocation="  
  8.     http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context.xsd   
  9.     http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd   
  10.     http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx.xsd   
  11.     http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop.xsd   
  12.     http://www.springframework.org/schema/jee http://www.springframework.org/schema/jee/spring-jee.xsd">   
  13.     <description>dataSource配置</description>  
  14.     <!-- 指定数据库配置文件地址. -->  
  15.     <context:property-placeholder location="classpath*:datasource/jdbc.properties" />  
  16.       
  17.     <!-- 定义数据源Bean,使用C3P0连接池数据源实现 -->  
  18.     <bean name="spring_security_dataSource"  id= "spring_security_dataSource"   class = "com.mchange.v2.c3p0.ComboPooledDataSource"   
  19.         destroy-method="close" >  
  20.         <!-- 指定连接数据库的驱动 -->  
  21.         <property name="driverClass"  value= "${jdbc.driverClassName}"  />  
  22.         <!-- 指定连接数据库的URL -->  
  23.         <property name="jdbcUrl"  value= "${jdbc.url}"  />  
  24.         <!-- 指定连接数据库的用户名 -->  
  25.         <property name="user"  value= "${jdbc.username}"  />  
  26.         <!-- 指定连接数据库的密码 -->  
  27.         <property name="password"  value= "${jdbc.password}"  />  
  28.         <!-- C3p0连接池的配置信息 -->  
  29.         <!-- 指定连接池中保留的最大连接数. Default:15  -->  
  30.         <property name="maxPoolSize"  value= "${cpool.maxPoolSize}"  />  
  31.         <!-- 指定连接池中保留的最小连接数 -->  
  32.         <property name="minPoolSize"  value= "${cpool.minPoolSize}"  />  
  33.         <!-- 指定连接池的初始化连接数 取值应在minPoolSize 与 maxPoolSize 之间.Default:3  -->  
  34.         <property name="initialPoolSize"  value= "${cpool.initialPoolSize}"  />  
  35.         <!-- 最大空闲时间,60 秒内未使用则连接被丢弃。若为 0 则永不丢弃。 Default: 0  -->  
  36.         <property name="maxIdleTime"  value= "${cpool.maxIdleTime}"  />  
  37.         <!-- 当连接池中的连接耗尽的时候c3p0一次同时获取的连接数. Default:3  -->  
  38.         <property name="acquireIncrement"  value= "${cpool.acquireIncrement}"  />  
  39.         <!--JDBC 的标准,用以控制数据源内加载的PreparedStatements数量。但由于预缓存的statements属于单个connection而不是整个 连接池所以设置这个参数需要考虑到多方面的因数.如果maxStatements与maxStatementsPerConnection均为0 ,则缓存被关闭。Default: 0  -->  
  40.         <property name="maxStatements"  value= "${cpool.maxStatements}"  />  
  41.         <!-- 每60 秒检查所有连接池中的空闲连接.Default: 0  -->  
  42.         <property name="idleConnectionTestPeriod"  value= "${cpool.idleConnectionTestPeriod}"  />  
  43.         <!-- 定义在从数据库获取新连接失败后重复尝试的次数。 Default:30  -->  
  44.         <property name="acquireRetryAttempts"  value= "${cpool.acquireRetryAttempts}"  />  
  45.         <!--获取连接失败将会引起所有等待连接池来获取连接的线程抛出异常。但是数据源仍有效保留,并在下次调用getConnection()的时候继续尝试获取连接。如果设为true ,那么在尝试获取连接失败后该数据源将申明已断开并永久关闭。Default: false  -->  
  46.         <property name="breakAfterAcquireFailure"  value= "${cpool.breakAfterAcquireFailure}"  />  
  47.         <!--跟性能消耗大请只在需要的时候是哟个它。如果设为true ,那么在每个connection提交的时候都将校验其有效性。建议使用idleConnectionTestPeriod或automaticTestTable等提升连接测试的性能。Default: false  -->  
  48.         <property name="testConnectionOnCheckout"  value= "${cpool.testConnectionOnCheckout}"  />  
  49.         <!--连接关闭时默认将所有未提交的操作回滚。Default: false  -->  
  50.         <property name="autoCommitOnClose"  value= "${cpool.autoCommitOnClose}"  />  
  51.         <!--当连接池用完时客户端调用getConnection()后等待获取新连接的时间,超时后将抛出 SQLException,如设为0 则无限期等待。单位毫秒。Default: 0  -->  
  52.         <property name="checkoutTimeout"  value= "${cpool.checkoutTimeout}"  />  
  53.         <!--c3p0将建一张名为Test的空表,并使用其自带的查询语句进行测试。如果定义了这个参数那么属性preferredTestQuery将被忽略。你不能在这张Test表上进行任何操作,它将只供c3p0测试使用。Default:   
  54.             null  -->  
  55.         <property name="automaticTestTable"  value= "${cpool.automaticTestTable}"  />  
  56.     </bean>   
  57. </beans>  

 jdbc properties

Xml代码   收藏代码
  1. # 数据库配置信息  
  2. jdbc.driverClassName = com .mysql.jdbc.Driver  
  3. jdbc jdbc.url =jdbc:mysql://localhost:3306/spring_security? useUnicode = true & characterEncoding = UTF -8& autoReconnect = true   
  4. jdbc.username = root   
  5. jdbc.password = root   
  6.   
  7.   
  8. # 数据库连接池信息配置  
  9.   
  10. # Connection pool size  
  11. cpool.maxPoolSize = 25   
  12. cpool.minPoolSize = 10   
  13. cpool.initialPoolSize = 15   
  14.   
  15. # How long to keep unused connections around(in seconds)  
  16. # Note: MySQL times out idle connections after 8 hours(28,800 seconds)  
  17. # so ensure this value is below MySQL idle timeout  
  18. cpool.maxIdleTime = 7200   
  19.   
  20. # Acquiring new connections is slow, so eagerly retrieve extra connections  
  21. # when current pool size is reached  
  22. cpool.acquireIncrement = 5   
  23.   
  24. cpool.maxStatements = 0   
  25. cpool.idleConnectionTestPeriod = 60   
  26. cpool.acquireRetryAttempts = 30   
  27. cpool.breakAfterAcquireFailure = true   
  28. cpool.testConnectionOnCheckout = false   
  29. cpool.autoCommitOnClose = true   
  30.   
  31. # Time to wait for an open connection before timing out  
  32. # (in milliseconds)  
  33. cpool.checkoutTimeout = 5000   
  34. cpool.automaticTestTable = test   

 针对权限问题,我们建立了如下的几个页面,用于验证不同权限问题

(1) admin.jsp页面,只允许admin访问。

Java代码   收藏代码
  1. <%@ page language= "java"  contentType= "text/html; charset=UTF-8"   
  2.     pageEncoding="UTF-8" %>  
  3. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"   "http://www.w3.org/TR/html4/loose.dtd" >  
  4. <html>  
  5. <head>  
  6. <meta http-equiv="Content-Type"  content= "text/html; charset=UTF-8" >  
  7. <title>管理员页面</title>  
  8. </head>  
  9. <body>  
  10.     欢迎管理员  
  11. </body>  
  12. </html>  

 (2) 页面无权限时403页面,该页面用于显示无权限的页面accessDefined

Html代码   收藏代码
  1. < %@ page  language = "java"   contentType = "text/html; charset=UTF-8"   
  2.     pageEncoding = "UTF-8" % >   
  3. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">   
  4. < html >   
  5. < head >   
  6. < meta   http-equiv = "Content-Type"   content = "text/html; charset=UTF-8" >   
  7. < title > 无权访问 </ title >   
  8. </ head >   
  9. < body >   
  10.     你的访问被拒绝,无权访问该资源!  
  11. </ body >   
  12. </ html >   

 (3)在index页面显示用户,注意在页面显示用户信息的时候我们采用了spring security的特殊标签,如果想在java代码中获取用户的信息,采用如下的方式:



 同时,我们添加了用户退出按钮,代码如下:

 

Html代码   收藏代码
  1. < %@ page  language = "java"   contentType = "text/html; charset=UTF-8"   
  2.     pageEncoding = "UTF-8" % >   
  3. < %@taglib  prefix = "sec"   uri = "http://www.springframework.org/security/tags" % >   
  4. < %@taglib  prefix = "c"   uri = "http://java.sun.com/jstl/core" % >   
  5. <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">   
  6. < html >   
  7. < head >   
  8. < meta   http-equiv = "Content-Type"   content = "text/html; charset=UTF-8" >   
  9. < title > 首页 </ title >   
  10. </ head >   
  11. < body >   
  12.     < h1 > 这里是首页, < sec:authentication   property = "name" /> ! </ h1 >   
  13.     < %   
  14.         String[] str  =  session .getValueNames();  
  15.         for(int i = 0 ;i < str.length ;i++){  
  16.             out.println("key =="+str[i]);  
  17.             out.println("value =="+session.getAttribute(str[i]));  
  18.         }  
  19.     %>   
  20.     < br />   
  21.     < a   href = "admin.jsp" > 进入admin.jsp </ a >   
  22.     <!-- 页面退出的时候 应用spring security的固定url地址-->   
  23.     < br />   
  24.     < a   href = "${pageContext.request.contextPath}/j_spring_security_logout"   /> Logout </ a >    
  25. </ body >   
  26. </ html >   

 

工程结构如下:

 



 (3)部署,我们首先验证权限问题,当admin进入时页面直接显示admin的名字,同时我们访问”进入adim.jsp“,界面过程如下:

 



 

 (4)更换user用户登录,访问admin页面时,界面过程如下:

 



 

 (5) 验证下退出后的情况,当我们点击退出时,直接返回登录界面,点击浏览器后退按钮,返回到原先的界面,点击链接,此时又返回到登录界面,说明退出按钮的session被清空,起作用了。

 

关于权限的控制,spring security提供了标签,直接控制菜单的显示与否,标签用法如下:

 

<sec:authorize ifAllGranted="ROLE_ADMIN" >
<a href="admin.jsp">进入admin.jsp页面</a>
</sec:authorize>

 

sec:authorize 标签的属性:
A) ifAllGranted:只有当前用户拥有所有指定的权限时,才能显示标签体的内容 (相当于“与” 的关系)
B) ifAnyGranted:当前用户拥有指定的权限中的一个的时候,就能显示标签内部内容(相当于“或”的关系)
C) ifNotGranted:没有指定的权限的时候,显示标签体的内容 (相当于“非”的关系)

 

或者可如下方式写

<sec:authorize url="/admin.jsp" >
<a href="admin.jsp">进入admin.jsp页面</a>
</sec:authorize>

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Boot 安全性:使用 Spring Security 实现用户认证与权限管理!
最新发布
**My Coding Family**
04-27 982
🏆 本文精选收录于《滚雪球学SpringBoot》专栏,专为零基础学习者量身打造。从Spring基础到项目实战,手把手带你掌握核心技术,助力你快速提升,迈向职场巅峰,开启财富自由之路🚀!无论你是刚入门的小白,还是已有基础的开发者,都能在这里找到适合自己的学习路径!    🌟 关注、收藏、订阅,持续更新中!和我们一起高速成长,突破自我!💡
Spring多数据源的配置和使用
haifeiyue的博客
02-20 521
本文以Spring2.5 + Hibernate3 + Mysql5 + Oracle10g 为例配置和使用多数据源。   1. 配置多个数据源 这里以两个c3p0数据库连接池的数据源作为实例。在Spring框架下使用c3p0的数据库需要加入c3p0-0.9.1.2.jar(现在最新的)这个支持包。这里以数据同步项目为例: 数据来源库的连接池数据源配置(Oracle10g)
服务假死问题解决过程实记(二)——C3P0 数据库连接池配置引发的血案
琦小虾的代码世界
05-01 3198
接上文 三、03.30 Tomcat 假死后续——C3P0 连接池参数配置问题 昨晚上正在看有关 B+Tree 相关的内容,收到业务组的微信消息: 最帅气的大龙龙:现场数据库连接不上,他们排查问题,怀疑与连接池或者日志有关系,最后发现从昨天下午到现在产生 30 万条日志,其中我们就有 22 万条,明天查一下我们服务 @琦小虾 好吧,那就和师父一起查问题好了。第二天早上,果然数据库组的同事过来...
mysql 密码过期
Draco
05-02 5509
mysql密码过期了,今天遇到了连接mysql,总是连接不上去, 错误现象1: An attempt by a client to checkout a Connection has timed out 第一次出现连接超时错误,第一反应是去修改cpool.checkoutTimeout参数为18000,初始为500,结果还是错误, 在修改为36000,并且加大了c3p0连接数cpool
MySQL连接配置文件密码加密及其在多种连接池上的应用
weixin_34242819的博客
12-12 447
2019独角兽企业重金招聘Python工程师标准>>> ...
多数据源配置
夜晓星的博客
09-19 344
jdbc.properties: 首先在jdbc文件中配置多个数据源信息 jdbc.driverClassName=com.mysql.jdbc.Driver orcl.jdbc.driverClassName=oracle.jdbc.driver.OracleDriver #生产环境数据库配置 jdbc.url=jdbc:mysql://XXXX:3306/XXX?serverTimez...
spring security进级 V 自定义标签控制显示
04-04
"Spring Security进阶 V 自定义标签控制显示"的博客文章显然深入探讨了如何在Spring Security中实现自定义的安全控制,以便更好地管理和展示应用内容。在本文中,我们将详细解析这个主题,并与"JSP自定义标签...
spring-security3 入门
03-27
本入门将介绍Spring Security的基础知识,包括其核心概念、配置以及如何在实际项目中使用。 1. **核心概念** - **Authentication(认证)**: 用户身份验证是Spring Security的基础,它确认用户的身份是否合法。...
spring中连接池的配置
tobeno2的专栏
03-19 220
在默认通过myeclipse生成的配置里,spring使用的是apache的dbcp连接池 &lt;bean id="dataSource"   class="org.apache.commons.dbcp.BasicDataSource"&gt;   &lt;property name="driverClassName"    value="com.mysql.jdbc.Driver"&gt;
jdbc.properties
gongyouong的博客
06-12 342
# Driver class name jdbc.driverClassName=com.mysql.jdbc.Driver # Database URL #local server jdbc.url=jdbc:mysql://192.168.1.1:3306/mysql?zeroDateTimeBehavior=convertToNull # Database login inform
使用c3p0连接池checkoutTimeout
热门推荐
renshenguo的专栏
03-18 1万+
开始程序执行Hibernate调用数据库查询的时候,隔一段时间会挂死,以至于连接该数据库的所有操作都无法执行。 怀疑是oracle分页查询的问题,网上也确实有说,分页排序需要添加主键或唯一键,不然导致分页重复记录,问题不在这。 优化c3p0配置参数,开始设了最大连接数100(后面发现这是导致为什么程序需要执行一段时间之后才挂死的原因之一),添加property name="checkoutTi
spring MVC链接数据库与JDBC连接数据库
zhangludcsdn的博客
08-26 8616
本文讨论的是对mysql的连接操作 1.在开发环境中加载指定数据库的驱动程序: JDBC:下载mysql支持jdbc的驱动程序,例:mysql-connector-java-5.1.18-bin.jar,将该驱动程序加载到开发程序中去。 spring mvc:在POM配置文件中写下面的依赖: dependency> groupId>mysqlgroupId> artif
使用C3P0连接池时TimeoutException的解决方法
weixin_43395911的博客
08-27 2376
C3P0数据库连接池解决:Exception in thread "main" java.sql.SQLException: An attempt by a client to checkout a Connection has timed out.Caused by: com.mchange.v2.resourcepool.TimeoutException: A client timed out while waiting to acquire a resource from com.......的方法
quartz定时任务时间设置
a1015088819的专栏
12-11 9212
字段顺序   允许值   允许的特殊字符 秒   0-59   , - * / 分   0-59   , - * / 小时   0-23   , - * /
Spring Security3实现动态权限管理教程
根据给定的文件信息,我们可以看到,本内容将重点介绍如何在使用Spring框架的基础上,结合Struts2、Hibernate3、MySQL、Tomcat和Spring Security3实现动态权限控制。在深入探讨这些知识点之前,先来对标题和描述中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值