chapter09_保护Web应用_1_Spring Security简介

最新推荐文章于 2024-12-12 10:11:26 发布
原创 最新推荐文章于 2024-12-12 10:11:26 发布 · 159 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍Spring Security框架如何通过Servlet Filter提供Web安全性功能,包括配置DelegatingFilterProxy、启用Web安全性及个性化定制安全性配置的方法。

  • 安全性是绝大多数应用的一个重要__切面__。Spring Security是一个安全框架,它基于Spring AOP和Servlet中的Filter

  • 过滤Web请求

    (1) Spring Security借助一系列Servlet Filter提供各种安全性功能

    (2) 但是我们只需要配置一个Filter,当我们启用Web安全性的时候,会自动创建这些Filter

    (3) web.xml配置

      <web-app xmlns="http://java.sun.com/xml/ns/javaee"
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
           version="2.5"> 

      <filter>
          <filter-name>springSecurityFilterChain</filter-name>
          <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
      </filter>

      <filter-mapping>
          <filter-name>springSecurityFilterChain</filter-name>
           <url-pattern>/*</url-pattern>
      </filter-mapping>

      ...

  </web-app>

    注意 必须配置为springSecurityFilterChain。因为接下来Spring Security会配置在Web安全性之中,这里会有一个springSecurityFilterChain的Filter bean,DelegatingFilterProxy会将过滤逻辑委托给它。

    (4) DelegatingFilterProxy是一个特殊的Servlet Filter,它的作用是将工作__委托给一个Filter的实现类__,这个实现类作为一个注册在Spring的上下文中

    (5) Java Config 配置

      public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {

  }

    AbstractSecurityWebApplicationInitializer实现了WebApplicationInitializer,因此会被Spring自动发现(P139),并用它在Web容器中注册DelegatingFilterProxy(onStartUp()方法中)

    (5) 无论使用web.xml还是JavaConfig配置DelegatingFilterProxy,它们都会拦截发往应用中的请求,并将请求委托给id为springSecurityFilterChain的bean;

    SpringSecurityFilterChain是一个特殊的Filter,它可以连接任意其他的Filter。但是,无需知道细节,不需要显式声明SpringSecurityFilterChain以及它所链接在一起的其他Filter。当我们启用Web安全性时,会自动创建这些Filter

  • 简单的Web安全性配置

    (1) @EnableWebSecurity注解会启用Web安全功能,但是它必须配置在一个 实现了WebSecurityConfigurer的bean中 或 扩展了WebSecurityConfigurerAdapter(推荐)

    (2) 如果使用了Spring MVC的话,推荐用 @EnableWebMVCSecurity 代替 @EnableWebSecurity

    示例 SecurityConfig.java

      @Configuration
  @EnableWebMvcSecurity
  public class SecurityConfig extends WebSecurityConfigurerAdapter {

  }

    (3) 按照上面的示例进行配置,会导致没有人能够进入系统,因为 WebSecurityConfigurerAdapter的默认configure方法是

      protected void configure(HttpSecurity http) throws Exception {

      logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");

      http
          .authorizeRequests()
              .anyRequest().authenticated()
              .and()
          .formLogin().and()
          .httpBasic();

    }

    所以为了在安全性上进行个性化定制,需要配置以下三个方法中的1个或几个:

    configure(WebSecurity) 配置Filter链

    configure(HttpSecurity) 配置如果通过拦截器保护请求

    configure(AuthenticationManagerBuilder) 配置user-detail服务

全面掌握Spring Security:从基础到高级应用
fykam的博客
12-24 602
本专栏为1-3年经验的Java开发者系统讲解Spring Security框架,涵盖基础入门到高级应用。内容包含六大模块:基础概念与核心组件、多种身份验证实现(表单、JWT、OAuth2.0、多因素认证)、细粒度授权管理(角色/权限/动态授权)、Web应用集成(MVC/Thymeleaf/RESTful/WebSocket)、高级特性(Remember-Me/CSRF防护/会话控制)以及性能优化与监控。通过150+代码示例,帮助开发者掌握安全开发规范,解决认证授权等实际问题,提升Web应用安全防护能力。
springboot整合springsecurity安全框架(后端spring_security模块代码可直接使用,根据需求自定义修改)
xyouzi的博客
06-06 741
SpringSecurity简介 用户认证和用户授权 主要包含两部分:用户认证和用户授权 用户认证:进入用户登录时候,输入用户名密码,查询数据库查看是否正确,如果正确,则认证成功 用户授权:登陆了系统,登录用户可能是不同的角色,比如普通用户和管理员 springsecurity本质上就是用filter对请求的路径进行过滤 如果是基于Session,则会对cookie里的sessionId进行解析,找到服务器存储的session信息,然后判断用户是否符合请求的要求 如果是token,则解析出toke
chapter09_保护Web应用_5_保护视图
captxb的博客
02-23 132
之前的种种操作都是为了不要让某些没有权限的用户看到某个页面,接下来要做的是这些用户能看到页面,但是看不到页面的全部。即,页面中的某些部分根据用户有无权限决定是否渲染 JSP的视图保护方案 (1) 声明 &amp;lt;%@ taglib prefix=“security” uri=“http://www.springframework.org/security/tags” %&amp;gt; (2) 标签...
chapter09_保护Web应用_2_保护视图
captxb的博客
01-15 124
之前的种种操作都是为了不要让某些没有权限的用户看到某个页面,接下来要做的是这些用户能看到页面,但是看不到页面的全部。即,页面中的某些部分根据用户有无权限决定是否渲染 JSP的视图保护方案 (1) 声明 &lt;%@ taglib prefix="security" uri="http://www.springframework.org/security...
chapter09_保护Web应用_4_认证用户
captxb的博客
02-23 166
添加自定义的登录页 (1) 示例 login.html &amp;lt;html xmlns=&quot;http://www.w3.org/1999/xhtml&quot; xmlns:th=&quot;http://www.thymeleaf.org&quot;&amp;gt; ... &amp;lt;div id=&quot;content&quot;&amp;gt;
chapter09_保护Web应用_3_拦截请求
captxb的博客
01-15 108
需求:某些请求需要进行认证,某些请求需要具备特定权限的用户才能访问…… 对每个请求进行细粒度的安全性控制的关键是重载configure(HttpSecurity http)方法 (1) 示例 SecurityConfig.java @Configuration @EnableWebMvcSecurity public class Secu...
chapter09_保护Web应用_2_选择查询用户详细信息的服务
captxb的博客
02-23 145
有的时候需要对用户的信息进行存储,以便判断登录进系统时的权限。我们需要的是__用户存储__,在进行认证决策的时候,进行检索 Spring Security内置了了多种数据存储方式来认证用户,包括__内存__、关系型数据库、__LDAP__等 使用基于内存的用户存储 (1) 适用于开发、测试的场景,数据量小 (2) 要重载 WebSecurityConfigurerAdapter的con...
chapter09_保护Web应用_5_选择查询用户详细信息的服务
captxb的博客
01-21 180
有的时候需要对用户的信息进行存储,以便判断登录进系统时的权限。我们需要的是用户存储,在进行认证决策的时候,进行检索 Spring Security内置了了多种数据存储方式来认证用户,包括内存、关系型数据库、LDAP等 使用基于内存的用户存储 (1) 适用于开发、测试的场景,数据量小 (2) 要重载 WebSecurityConfigurerAdapte...
(2)Spring Security - 了解UserDetailsService
drsonxu的博客
12-12 1476
如图所示,Authentication Filter将身份验证请求委托给AuthenticationManager,后者使用AuthenticationProvider处理身份验证。InMemoryUserDetailsManager是UserDetailsManager的非持久性实现,他将用户信息存储在内存中,断电后信息会丢失。‌UserDetails是Spring Security框架中的一个核心接口,用于表示用户的详细信息。这些属性包括用户名、密码、权限、账户状态等,确保用户信息的安全性和完整性‌。
chapter13_java_spring_
10-03
标题中的"chapter13_java_spring_"暗示了这是一个关于Java Spring框架的学习章节,可能是某个教程或课程的一部分,重点是Spring框架在网络请求处理和SSM(Spring、Struts、MyBatis)项目开发中的应用。描述提到"用于...
chapter08_java_springmvc_giving1oq_图书的增删改查_
10-01
在本教程中,我们将深入探讨如何使用SpringMVC框架实现基于浏览器/服务器(B/S)架构的图书...同时,这也为我们提供了基础,以便进一步学习Spring SecuritySpring Boot和其他相关技术,以构建更复杂的Web应用程序。
精选资源
《Java EE企业级应用开发教程Spring+Spring MVC+MyBatis》_源代码.zip
11-29
1. **Chapter 01** - 基础篇:通常涵盖Java EE概述、Web应用基础、Servlet和JSP的基础知识。这部分为后续章节学习三大框架打下基础。 2. **Chapter 03** - Spring框架:讲解Spring的核心特性,如依赖注入(DI)和...
PSO-BP神经网络纱线质量预测
01-04
下载方式:https://pan.quark.cn/s/a4b39357ea24 在纺织制造领域中,纱线的品质水平对最终制成品的整体质量具有决定性作用。 鉴于消费者对于产品规格和样式要求的不断变化,纺织制造工艺的执行过程日益呈现为一种更为复杂的操作体系,进而导致对纱线质量进行预测的任务变得更加困难。 在众多预测技术中,传统的预测手段在面对多变量间相互交织的复杂关系时,往往显得力不从心。 因此,智能计算技术在预测纱线质量的应用场景中逐渐占据核心地位,其中人工神经网络凭借其卓越的非线性映射特性以及自适应学习机制,成为了众多预测方法中的一种重要选择。 在智能计算技术的范畴内,粒子群优化算法(PSO)和反向传播神经网络(BP神经网络)是两种被广泛采用的技术方案。 粒子群优化算法是一种基于群体智能理念的优化技术,它通过模拟鸟类的群体觅食行为来寻求最优解,该算法因其操作简便、执行高效以及具备优秀的全局搜索性能,在函数优化、神经网络训练等多个领域得到了普遍应用。 反向传播神经网络则是一种由多层节点构成的前馈神经网络,它通过误差反向传播的机制来实现网络权重和阈值的动态调整,从而达成学习与预测的目标。 在实际操作层面,反向传播神经网络因其架构设计简洁、实现过程便捷,因此被广泛部署于各类预测和分类任务之中。 然而,该方法也存在一些固有的局限性,例如容易陷入局部最优状态、网络收敛过程缓慢等问题。 而粒子群优化算法在参与神经网络优化时,能够显著增强神经网络的全局搜索性能并提升收敛速度,有效规避神经网络陷入局部最优的困境。 将粒子群优化算法与反向传播神经网络相结合形成的PSO-BP神经网络,通过运用粒子群优化算法对反向传播神经网络的权值和阈值进行精细化调整,能够在预测纱线断裂强度方面,显著提升预测结果的...
植物实例分割数据集-20251116-235338.zip
01-04
植物实例分割数据集 一、基础信息 数据集名称:植物实例分割数据集 图片数量: - 训练集:9,600张图片 - 验证集:913张图片 - 测试集:455张图片 总计:10,968张图片 分类类别:59个类别,对应数字标签0至58,涵盖多种植物状态或特征。 标注格式:YOLO格式,适用于实例分割任务,包含多边形标注点。 数据格式:图像文件,来源于植物图像数据库,适用于计算机视觉任务。 二、适用场景 • 农业植物监测AI系统开发:数据集支持实例分割任务,帮助构建能够自动识别植物特定区域并分类的AI模型,辅助农业专家进行精准监测和分析。 • 智能农业应用研发:集成至农业管理平台,提供实时植物状态识别功能,为作物健康管理和优化种植提供数据支持。 • 学术研究与农业创新:支持植物科学与人工智能交叉领域的研究,助力发表高水平农业AI论文。 • 农业教育与培训:数据集可用于农业院校或培训机构,作为学生学习植物图像分析和实例分割技术的重要资源。 三、数据集优势 • 精准标注与多样性:标注采用YOLO格式,确保分割区域定位精确;包含59个类别,覆盖多种植物状态,具有高度多样性。 • 数据量丰富:拥有超过10,000张图像,大规模数据支持模型充分学习和泛化。 • 任务适配性强:标注兼容主流深度学习框架(如YOLO、Mask R-CNN等),可直接用于实例分割任务,并可能扩展到目标检测或分类等任务。
去广告插件FuckWeChatAdBlocker.dylib
01-04
Wechat功能增强类插件,常见包括界面优化、快捷操作、部分辅助功能入口等。插件来源于网络仅供测试使用,严禁任何非法用途,测试请于1小时内删除。
室内物体实例分割数据集-20251117-174910.zip
01-04
室内物体实例分割数据集 一、基础信息 • 数据集名称:室内物体实例分割数据集 • 图片数量: 训练集:4923张图片 验证集:3926张图片 测试集:985张图片 总计:9834张图片 • 训练集:4923张图片 • 验证集:3926张图片 • 测试集:985张图片 • 总计:9834张图片 • 分类类别: 床 椅子 沙发 灭火器 人 盆栽植物 冰箱 桌子 垃圾桶 电视 • 床 • 椅子 • 沙发 • 灭火器 • 人 • 盆栽植物 • 冰箱 • 桌子 • 垃圾桶 • 电视 • 标注格式:YOLO格式,包含实例分割的多边形标注,适用于实例分割任务。 • 数据格式:图片为常见格式如JPEG或PNG。 二、适用场景 • 实例分割模型开发:适用于训练和评估实例分割AI模型,用于精确识别和分割室内环境中的物体,如家具、电器和人物。 • 智能家居与物联网:可集成到智能家居系统中,实现自动物体检测和场景理解,提升家居自动化水平。 • 机器人导航与交互:支持机器人在室内环境中的物体识别、避障和交互任务,增强机器人智能化应用。 • 学术研究与教育:用于计算机视觉领域实例分割算法的研究与教学,助力AI模型创新与验证。 三、数据集优势 • 类别多样性:涵盖10个常见室内物体类别,包括家具、电器、人物和日常物品,提升模型在多样化场景中的泛化能力。 • 精确标注质量:采用YOLO格式的多边形标注,确保实例分割边界的准确性,适用于精细的物体识别任务。 • 数据规模充足:提供近万张标注图片,满足模型训练、验证和测试的需求,支持稳健的AI开发。 • 任务适配性强:标注格式兼容主流深度学习框架(如YOLO系列),便于快速集成到实例分割项目中,提高开发效率。
基于储能电站服务的冷热电多微网系统双层优化配置(Matlab代码实现)
最新发布
01-04
基于储能电站服务的冷热电多微网系统双层优化配置(Matlab代码实现)内容概要:本文围绕“基于储能电站服务的冷热电多微网系统双层优化配置”展开,提出了一种结合鲁棒优化方法的双层优化模型,用于解决含可再生能源的多微网系统在冷、热、电多种能源耦合下的优化配置问题。该模型上层优化微网间储能电站的配置与服务分配,下层优化各微网内部能源设备的运行调度,旨在提升系统经济性、可靠性和对不确定性的适应能力。文中详细阐述了模型构建过程,并通过Matlab代码实现仿真验证,展示了在不同场景下系统的优化效果与鲁棒性能。; 适合人群:具备一定电力系统、能源系统或优化理论基础的研究生、科研人员及从事微电网、综合能源系统设计与运营的工程技术人员。; 使用场景及目标:①用于研究多微网系统中储能电站的共享机制与优化配置策略;②支撑含高比例可再生能源的综合能源系统在不确定性环境下的规划与运行优化;③为科研复现与教学提供Matlab代码参考与算法实现思路。; 阅读建议:建议读者结合Matlab代码逐段理解模型实现细节,重点关注双层优化结构的数学建模与求解方法(如C&CG算法),并尝试调整参数或场景以加深对鲁棒优化机制的理解。
胰腺癌分段与识别,利用UNet进行.zip
01-04
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
观察者动态演化一致性研究论文
01-04
已经博主授权,源码转载自 https://pan.quark.cn/s/c38eff4d1845 针对软件体系结构在动态演化过程中出现的非一致性挑战,旨在提升其演化效能,基于构件技术的属性特质,对软件演化领域的研究进展、其优势与局限进行了剖析,并考察了观察者技术的核心特征,随后利用观察者技术的特性对构件进行拓展,赋予构件可被监测及监测的功能。 最终,构建了一种基于观察者的动态演化框架,以保障动态演化过程的一致性,为分布式场景下的动态演化提供了一种切实可行的途径。 借助具体的项目实例演化对所提模型的实用性与便利性进行了实证检验。
SpringSecurity 3.0.2开发指南:入门与配置详解
SpringSecurity开发手册是一本由Ben Alex和Luke Taylor编写的指南,专为Spring Security 3.0.2.RELEASE版本提供深入的参考文档。Spring Security是一款强大的开源安全框架,用于保护Web应用程序免受未经授权的访问、...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值