spring security4学习(一)

最新推荐文章于 2022-11-24 07:30:00 发布
原创 最新推荐文章于 2022-11-24 07:30:00 发布 · 723 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring security

本文介绍如何使用 Spring Security 进行 URL 访问控制,通过 Java 配置方式和 XML 方式展示用户授权及角色信息配置过程,并提供了一个实战案例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

本文将分别介绍注解和xml的方式来使用spring security ,通过一个简单的demo来演示对url访问进行验证。

因为我用的是gradle来构建项目,先看一下gradle依赖项。


第一步:创建Spring Security Java 配置类。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobalSecurity(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication().withUser("bill").password("abc123").roles("USER");
        auth.inMemoryAuthentication().withUser("admin").password("root123").roles("ADMIN");
        auth.inMemoryAuthentication().withUser("dba").password("root123").roles("ADMIN","DBA");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/", "/home").permitAll()
                .antMatchers("/admin/**").access("hasRole('ADMIN')")
                .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
                .and().formLogin()
                .and().exceptionHandling().accessDeniedPage("/Access_Denied");
    }
}

上面这个类的configureGlobalSecurity方法里的 AuthenticationManagerBuilder配置用户授权和角色信息 。

AuthenticationManagerBuilder (权限管理器创建器)创建负责所有权限请求的AuthenticationManager(权限管理器),使用的是基于内存的权限认证。

重写Configure方法,来配置HttpSecurity 来配置基于特定http请求的安全认证。

只有具有ADMIN权限的用户才可以访问符合‘/admin/**’的url。只能够同时具有ADMIN 和 DBA权限的人才可以访问符合‘/db/**’ 的Url 。

formLogin 方法提供了基于表单的权限验证,将会产生一个默认的对用户的表单请求。

使用exceptionHandling().accessDeniedPage() ,在本例中它将获取所有的403(http访问拒绝)异常然后显示我们的用户定义的HTTP403页面。

对应的xml配置:

<beans:beans xmlns="http://www.springframework.org/schema/security"  
    xmlns:beans="http://www.springframework.org/schema/beans"  
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd  
    http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">  
        
    <http auto-config="true" >  
        <intercept-url pattern="/" access="permitAll" />  
        <intercept-url pattern="/home" access="permitAll" />  
        <intercept-url pattern="/admin**" access="hasRole('ADMIN')" />  
        <intercept-url pattern="/dba**" access="hasRole('ADMIN') and hasRole('DBA')" />  
        <form-login  authentication-failure-url="/Access_Denied" />  
    </http>  
    
    <authentication-manager >  
        <authentication-provider>  
            <user-service>  
                <user name="bill"  password="abc123"  authorities="ROLE_USER" />  
                <user name="admin" password="root123" authorities="ROLE_ADMIN" />  
                <user name="dba"   password="root123" authorities="ROLE_ADMIN,ROLE_DBA" />  
            </user-service>  
        </authentication-provider>  
    </authentication-manager>  
        
       
</beans:beans>

第二步:创建springSecurityFilte安全过滤器。

public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {

}

对应在web.xml的l配置:

<filter-name>springSecurityFilterChain</filter-name>  
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>  
</filter>  
   
<filter-mapping>  
    <filter-name>springSecurityFilterChain</filter-name>  
    <url-pattern>/*</url-pattern>  
</filter-mapping>

第三步:创建SpringMVC 配置类。

@Configuration //标识一个类代替xml来配置bean容器
@EnableWebMvc //把WebMvcConfigurationSupport当成
// 配置文件来用,将其中所有标识有@Bean注解的方法配置成bean,这就成了Spring mvc的默认配置
@ComponentScan(basePackages = "security.controller")
@Import({ SecurityConfig.class })
public class AppConfig extends WebMvcConfigurerAdapter {

    @Bean //注解的方法都会发布成一个bean
    public ViewResolver viewResolver() {
        InternalResourceViewResolver viewResolver = new InternalResourceViewResolver();
        viewResolver.setViewClass(JstlView.class);
        viewResolver.setPrefix("/WEB-INF/views/");
        viewResolver.setSuffix(".jsp");

        return viewResolver;
    }

    /*@Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        //addResourceLocations指的是文件放置的目录,addResoureHandler指的是对外暴露的访问路径
        registry.addResourceHandler("/static/**").addResourceLocations("/static/");
    }*/
}
第四步:创建springmvc 初始化类
public class SpringMvcInitializer extends AbstractAnnotationConfigDispatcherServletInitializer {

    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { AppConfig.class };
    }

    @Override
    protected Class<?>[] getServletConfigClasses() {
        return null;
    }

    @Override
    protected String[] getServletMappings() {
        return new String[] { "/" };
    }
}
初始化器继承自AbstractAnnotationConfigDispatcherServletInitializer ,它是所有WebApplicationInitializer 实现的基类。

在Servlet 3.0 环境下,通过实现WebApplicationInitializer 来配置ServletContext 。这意味着我们将不使用web.xml下支持servlet3.0容器发布应用。

第五步:创建Controller控制器

@Controller
public class HelloWorldController {

    @RequestMapping(value = { "/", "/home" }, method = RequestMethod.GET)
    public String homePage(ModelMap model) {
        model.addAttribute("greeting", "Hi, Welcome to mysite. ");
        return "welcome";
        /*ModelAndView model = new ModelAndView();
        model.addObject("greeting", "Spring Security Hello World");
        model.setViewName("hello");
        return model;*/
    }

    @RequestMapping(value = "/admin", method = RequestMethod.GET)
    public String adminPage(ModelMap model) {
        model.addAttribute("user", getPrincipal());
        return "admin";
    }

    @RequestMapping(value = "/db", method = RequestMethod.GET)
    public String dbaPage(ModelMap model) {
        model.addAttribute("user", getPrincipal());
        return "dba";
    }

    @RequestMapping(value="/logout", method = RequestMethod.GET)
    public String logoutPage (HttpServletRequest request, HttpServletResponse response) {
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        if (auth != null){
            new SecurityContextLogoutHandler().logout(request, response, auth);
        }
        return "welcome";
    }

    @RequestMapping(value = "/Access_Denied", method = RequestMethod.GET)
    public String accessDeniedPage(ModelMap model) {
        model.addAttribute("user", getPrincipal());
        return "accessDenied";
    }

    private String getPrincipal(){
        String userName = null;
        Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();

        if (principal instanceof UserDetails) {
            userName = ((UserDetails)principal).getUsername();
        } else {
            userName = principal.toString();
        }
        return userName;
    }

}
没有出现 /login,因为Spring Security默认会产生和处理。

注意退出:

首先我们在使用SecurityContextHolder.getContext().getAuthentication() 之前校验该用户是否已经被验证过。

然后调用SecurityContextLogoutHandler().logout(request, response, auth)  来退出。

logout 调用流程:

 1 将 HTTP Session 作废,解绑其绑定的所有对象。

 2 从SecurityContext移除Authentication 防止并发请求的问题。

 3 显式地清楚当前线程的上下文里的值。

在应用的其他地方不再需要处理 退出。

第六步:创建视图。

welcome.jsp

<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
	<title>HelloWorld page</title>
</head>
<body>
	Greeting : ${greeting}
	This is a welcome page.
</body>
</html>
admin.jsp
<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
	<title>HelloWorld Admin page</title>
</head>
<body>
	Dear <strong>${user}</strong>, Welcome to Admin Page.
	<a href="<c:url value="/logout" />">Logout</a>
</body>
</html>
dba.jsp
<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
	<title>DBA page</title>
</head>
<body>
	Dear <strong>${user}</strong>, Welcome to DBA Page.
	<a href="<c:url value="/logout" />">Logout</a>
</body>
</html>
accessDenied.jsp
<%@ page language="java" contentType="text/html; charset=ISO-8859-1" pageEncoding="ISO-8859-1"%>
<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<html>
<head>
	<meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
	<title>AccessDenied page</title>
</head>
<body>
	Dear <strong>${user}</strong>, You are not authorized to access this page
	<a href="<c:url value="/logout" />">Logout</a>
</body>
</html>
第七步:发布应用到tomcat容器

通过gradle clean,gradle build 构建war包,war文件放到 tomcat的webapps目录下,然后运行 tomcat的bin目录下的startup.sh文件即可。

第八步:验证

打开浏览器访问:http://localhost:8140/springSecurityDemo-1.0-SNAPSHOT/

访问http://localhost:8140/springSecurityDemo-1.0-SNAPSHOT/admin,会被引导到登录页面


输入USER角色账户


提交之后,看到访问拒绝页面,AccessDenied


退出再次访问admin页面


输入错误的密码


输入正确的admin密码,再次登录,显示登录成功


访问http://localhost:8140/springSecurityDemo-1.0-SNAPSHOT/db得到访问拒绝页面


退出回到首页



最后上一张我的项目目录结构图:


spring security 4 多点登录
01-23
最近看了spring security 4的开发文档,登录权限拦截封装的相当好!!! 附件为简单的多点登录demo,给开发前后台的朋友们做参考,其中authentication-provider为框架自带的user-service,后续会在整个自定义user-service和AccessDecisionManager、SecurityMetadataSource的demo。 demo放在web服务器根目录(不带项目名)。 后台登录路径为http://localhost:8080/loginAdmin.html 后台登录后首页为http://localhost:8080/admin/home.html 账号密码为 admin:123456 前台登录路劲为http://localhost:8080/loginUser.html 后台登录后首页为http://localhost:8080/user/home.html 账号密码为 user:123456 希望对大家有帮助。
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security 4入门
qq_55917018的博客
12-26 438
Spring SecuritySpring框架中的独立项目,是个安全框架,能够为基于Spring的Java EE应用提供声明式的安全访问控制解决方案。它提供了组可以在Spring应用上下文中配置的安全对象,充分利用了Spring DI(依赖注入)和AOP(面向切面)功能,为应用系统提供声明式的访问控制机制,以减少了企业级开发中需要重复编写大量安全代码的工作。
Spring Security4
分享专业、有用、有趣的技术、产品、运营和管理知识。
11-24 181
除了login()方法能成功,另外两个都失败,并不是因为代码问题,而是Spring Security默认是通过Web页面来实现页面逻辑跳转的。但在前后端分离的开发模式中,页面跳转的逻辑后端已经无法直接控制了,而是通过返回状态码由前端来执行跳转。因此,需要对应用进行改造。
Spring Security介绍(4)
风之影
02-05 477
7.4&nbsp; 保护Web应用程序 Spring Security对Web安全性的支持大量地依赖于Servlet过滤器。这些过滤器拦截进入请求,并且在你的应用程序处理该请求之前进行某些安全处理。 Spring Security提供有若干个过滤器,它们能够拦截Servlet请求,并将这些请求转给认证和访问决策管理器处理,从而增强安全性。根据自己的需要,你 可以使用表7.4中所列的几...
SpringSecurity4 学习笔记
愿你拥有大风与烈酒,也能享受孤独与自由
07-07 813
成结构 1. SpringSecurity 2. 入门案例 新建SpringBoot项目 添加Security和Web依赖即可 在resources–static新建登录和主页简单静态页面 启动项目 访问localhost:8080/login可以看到出现的 登录页(该页面为Security默认生成的) 在启动项目时 会在控制台输出串登录密码 2.1 UserDetailsService接口 用户判断用户名是否存在 而UserDetailsService返回的Userdetails接口中实现了
最详细Spring Security学习资料(源码)
最新发布
11-16
Spring Security个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
4. **SpringSecurity认证流程** - 用户提交登录请求,请求被SpringSecurity的过滤器拦截。 - 认证过滤器(如`UsernamePasswordAuthenticationFilter`)提取用户名和密码,并调用`UserDetailsService`进行验证。 -...
Spring Security学习笔记(
09-07
以上就是Spring Security 学习笔记的第部分,涵盖了Spring Security的基本使用和内存认证配置。后续的学习中,你将接触到更高级的主题,如自定义认证提供者、权限控制、OAuth2集成等。继续深入学习,你将能够构建...
spring security4登陆例子
02-23
spring security4登陆
Spring Security【四】微服务权限方案
博客
03-09 1110
视频链接:SpringSecurity框架教程 文章源码:https://github.com/geyiwei-suzhou/spring-security 认证授权过程
Spring Security 4 (03)—— 资源信息
每日丶滴
08-13 730
序言 这篇主要是讲资源的加载和认证 1.内存加载 <security:http auto-config="false" use-expressions="false" > <security:intercept-url pattern="/system/**" access="ROLE_ADMIN" /> <security:intercept-url patte
Spring Security4使用(
愿夜幕永不开启
11-03 6673
引入Spring Security4.0所需的jar包 org.springframework.security spring-security-core 4.0.3.RELEASE org.springframework.security spring-security-web
Spring Security 4 (01)—— 简介
每日丶滴
07-29 442
Spring Security 4本Markdown编辑器使用StackEdit修改而来,用它写博客,将会带来全新的体验哦: Markdown和扩展Markdown简洁的语法 代码块高亮 图片链接和图片上传 LaTex数学公式 UML序列图和流程图 离线写博客 导入导出Markdown文件 丰富的快捷键 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl +
Spring Security 4 基于角色的登录例子(带源码)
u011679955的博客
12-05 870
般来说,我们需要自定义个Success-Handler 来根据用户角色处理登录用户的重定向到对应的url。 这个功能在Spring Security 里面已经提供了。 SimpleUrlAuthenticationSuccessHandler 含有常用的successhandler的常用逻辑。 我们仅需要拓展它,实现我们自己的逻辑即可。 旦我们获得了successhandler(处理
Spring实战】----spring security4.1.3配置以及踩过的坑
热门推荐
honghailiang的专栏
12-08 1万+
spring security完全可以作为个专门的专题来说,有个专题写的不错http://www.iteye.com/blogs/subjects/spring_security,我这里主要是针对4.1.3进行配置说明 、所需的库文件 //spring-security compile 'org.springframework.security:spring-security-
Spring Security 4官方文档中文翻译与源码解读
atarik@163.com
11-19 2260
http://www.tianshouzhi.com/api/tutorials/spring_security_4/262   springsecurity5.0 官翻 https://blog.youkuaiyun.com/hchhan/article/details/80668470
springsecurity4.2入门完整实例
feinifi的博客
09-08 9465
1、构建maven项目,引入springsecurity相关依赖。 项目结构如下: pom.xml配置文件主要部分: &lt;properties&gt; &lt;spring.version&gt;4.2.0.RELEASE&lt;/spring.version&gt; &lt;/properties&gt; &lt;dependencies&gt; ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值