chapter09_保护Web应用_1_Spring Security简介

最新推荐文章于 2024-12-12 10:11:26 发布
原创 最新推荐文章于 2024-12-12 10:11:26 发布 · 159 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍Spring Security框架如何通过Servlet Filter提供Web安全性功能,包括配置DelegatingFilterProxy、启用Web安全性及个性化定制安全性配置的方法。

  • 安全性是绝大多数应用的一个重要__切面__。Spring Security是一个安全框架,它基于Spring AOP和Servlet中的Filter

  • 过滤Web请求

    (1) Spring Security借助一系列Servlet Filter提供各种安全性功能

    (2) 但是我们只需要配置一个Filter,当我们启用Web安全性的时候,会自动创建这些Filter

    (3) web.xml配置

      <web-app xmlns="http://java.sun.com/xml/ns/javaee"
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
           version="2.5"> 

      <filter>
          <filter-name>springSecurityFilterChain</filter-name>
          <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
      </filter>

      <filter-mapping>
          <filter-name>springSecurityFilterChain</filter-name>
           <url-pattern>/*</url-pattern>
      </filter-mapping>

      ...

  </web-app>

    注意 必须配置为springSecurityFilterChain。因为接下来Spring Security会配置在Web安全性之中,这里会有一个springSecurityFilterChain的Filter bean,DelegatingFilterProxy会将过滤逻辑委托给它。

    (4) DelegatingFilterProxy是一个特殊的Servlet Filter,它的作用是将工作__委托给一个Filter的实现类__,这个实现类作为一个注册在Spring的上下文中

    (5) Java Config 配置

      public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {

  }

    AbstractSecurityWebApplicationInitializer实现了WebApplicationInitializer,因此会被Spring自动发现(P139),并用它在Web容器中注册DelegatingFilterProxy(onStartUp()方法中)

    (5) 无论使用web.xml还是JavaConfig配置DelegatingFilterProxy,它们都会拦截发往应用中的请求,并将请求委托给id为springSecurityFilterChain的bean;

    SpringSecurityFilterChain是一个特殊的Filter,它可以连接任意其他的Filter。但是,无需知道细节,不需要显式声明SpringSecurityFilterChain以及它所链接在一起的其他Filter。当我们启用Web安全性时,会自动创建这些Filter

  • 简单的Web安全性配置

    (1) @EnableWebSecurity注解会启用Web安全功能,但是它必须配置在一个 实现了WebSecurityConfigurer的bean中 或 扩展了WebSecurityConfigurerAdapter(推荐)

    (2) 如果使用了Spring MVC的话,推荐用 @EnableWebMVCSecurity 代替 @EnableWebSecurity

    示例 SecurityConfig.java

      @Configuration
  @EnableWebMvcSecurity
  public class SecurityConfig extends WebSecurityConfigurerAdapter {

  }

    (3) 按照上面的示例进行配置,会导致没有人能够进入系统,因为 WebSecurityConfigurerAdapter的默认configure方法是

      protected void configure(HttpSecurity http) throws Exception {

      logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");

      http
          .authorizeRequests()
              .anyRequest().authenticated()
              .and()
          .formLogin().and()
          .httpBasic();

    }

    所以为了在安全性上进行个性化定制,需要配置以下三个方法中的1个或几个:

    configure(WebSecurity) 配置Filter链

    configure(HttpSecurity) 配置如果通过拦截器保护请求

    configure(AuthenticationManagerBuilder) 配置user-detail服务

全面掌握Spring Security:从基础到高级应用
fykam的博客
12-24 601
本专栏为1-3年经验的Java开发者系统讲解Spring Security框架,涵盖基础入门到高级应用。内容包含六大模块:基础概念与核心组件、多种身份验证实现(表单、JWT、OAuth2.0、多因素认证)、细粒度授权管理(角色/权限/动态授权)、Web应用集成(MVC/Thymeleaf/RESTful/WebSocket)、高级特性(Remember-Me/CSRF防护/会话控制)以及性能优化与监控。通过150+代码示例,帮助开发者掌握安全开发规范,解决认证授权等实际问题,提升Web应用安全防护能力。
springboot整合springsecurity安全框架(后端spring_security模块代码可直接使用,根据需求自定义修改)
xyouzi的博客
06-06 741
SpringSecurity简介 用户认证和用户授权 主要包含两部分:用户认证和用户授权 用户认证:进入用户登录时候,输入用户名密码,查询数据库查看是否正确,如果正确,则认证成功 用户授权:登陆了系统,登录用户可能是不同的角色,比如普通用户和管理员 springsecurity本质上就是用filter对请求的路径进行过滤 如果是基于Session,则会对cookie里的sessionId进行解析,找到服务器存储的session信息,然后判断用户是否符合请求的要求 如果是token,则解析出toke
chapter09_保护Web应用_5_保护视图
captxb的博客
02-23 132
之前的种种操作都是为了不要让某些没有权限的用户看到某个页面,接下来要做的是这些用户能看到页面,但是看不到页面的全部。即,页面中的某些部分根据用户有无权限决定是否渲染 JSP的视图保护方案 (1) 声明 &amp;lt;%@ taglib prefix=“security” uri=“http://www.springframework.org/security/tags” %&amp;gt; (2) 标签...
chapter09_保护Web应用_2_保护视图
captxb的博客
01-15 124
之前的种种操作都是为了不要让某些没有权限的用户看到某个页面,接下来要做的是这些用户能看到页面,但是看不到页面的全部。即,页面中的某些部分根据用户有无权限决定是否渲染 JSP的视图保护方案 (1) 声明 &lt;%@ taglib prefix="security" uri="http://www.springframework.org/security...
chapter09_保护Web应用_4_认证用户
captxb的博客
02-23 166
添加自定义的登录页 (1) 示例 login.html &amp;lt;html xmlns=&quot;http://www.w3.org/1999/xhtml&quot; xmlns:th=&quot;http://www.thymeleaf.org&quot;&amp;gt; ... &amp;lt;div id=&quot;content&quot;&amp;gt;
chapter09_保护Web应用_3_拦截请求
captxb的博客
01-15 108
需求:某些请求需要进行认证,某些请求需要具备特定权限的用户才能访问…… 对每个请求进行细粒度的安全性控制的关键是重载configure(HttpSecurity http)方法 (1) 示例 SecurityConfig.java @Configuration @EnableWebMvcSecurity public class Secu...
chapter09_保护Web应用_2_选择查询用户详细信息的服务
captxb的博客
02-23 145
有的时候需要对用户的信息进行存储,以便判断登录进系统时的权限。我们需要的是__用户存储__,在进行认证决策的时候,进行检索 Spring Security内置了了多种数据存储方式来认证用户,包括__内存__、关系型数据库、__LDAP__等 使用基于内存的用户存储 (1) 适用于开发、测试的场景,数据量小 (2) 要重载 WebSecurityConfigurerAdapter的con...
chapter09_保护Web应用_5_选择查询用户详细信息的服务
captxb的博客
01-21 180
有的时候需要对用户的信息进行存储,以便判断登录进系统时的权限。我们需要的是用户存储,在进行认证决策的时候,进行检索 Spring Security内置了了多种数据存储方式来认证用户,包括内存、关系型数据库、LDAP等 使用基于内存的用户存储 (1) 适用于开发、测试的场景,数据量小 (2) 要重载 WebSecurityConfigurerAdapte...
(2)Spring Security - 了解UserDetailsService
drsonxu的博客
12-12 1475
如图所示,Authentication Filter将身份验证请求委托给AuthenticationManager,后者使用AuthenticationProvider处理身份验证。InMemoryUserDetailsManager是UserDetailsManager的非持久性实现,他将用户信息存储在内存中,断电后信息会丢失。‌UserDetails是Spring Security框架中的一个核心接口,用于表示用户的详细信息。这些属性包括用户名、密码、权限、账户状态等,确保用户信息的安全性和完整性‌。
chapter13_java_spring_
10-03
标题中的"chapter13_java_spring_"暗示了这是一个关于Java Spring框架的学习章节,可能是某个教程或课程的一部分,重点是Spring框架在网络请求处理和SSM(Spring、Struts、MyBatis)项目开发中的应用。描述提到"用于...
chapter08_java_springmvc_giving1oq_图书的增删改查_
10-01
在本教程中,我们将深入探讨如何使用SpringMVC框架实现基于浏览器/服务器(B/S)架构的图书...同时,这也为我们提供了基础,以便进一步学习Spring SecuritySpring Boot和其他相关技术,以构建更复杂的Web应用程序。
精选资源
《Java EE企业级应用开发教程Spring+Spring MVC+MyBatis》_源代码.zip
11-29
1. **Chapter 01** - 基础篇:通常涵盖Java EE概述、Web应用基础、Servlet和JSP的基础知识。这部分为后续章节学习三大框架打下基础。 2. **Chapter 03** - Spring框架:讲解Spring的核心特性,如依赖注入(DI)和...
【计算机视觉】基于RandLANet的点云语义分割模型训练:SensatUrban数据集应用与精度评估系统实现
01-03
内容概要:本文是一篇关于使用RandLANet模型对SensatUrban数据集进行点云语义分割的实战教程,系统介绍了从环境搭建、数据准备、模型训练与测试到精度评估的完整流程。文章详细说明了在Ubuntu系统下配置TensorFlow 2.2、CUDA及cuDNN等深度学习环境的方法,并指导用户下载和预处理SensatUrban数据集。随后,逐步讲解RandLANet代码的获取与运行方式,包括训练、测试命令的执行与参数含义,以及如何监控训练过程中的关键指标。最后,教程涵盖测试结果分析、向官方平台提交结果、解读评估报告及可视化效果等内容,并针对常见问题提供解决方案。; 适合人群:具备一定深度学习基础,熟悉Python编程和深度学习框架,从事计算机视觉或三维点云相关研究的学生、研究人员及工程师;适合希望动手实践点云语义分割项目的初学者与进阶者。; 使用场景及目标:①掌握RandLANet网络结构及其在点云语义分割任务中的应用;②学会完整部署一个点云分割项目,包括数据处理、模型训练、测试与性能评估;③为参与相关竞赛或科研项目提供技术支撑。; 阅读建议:建议读者结合提供的代码链接和密码访问完整资料,在本地或云端环境中边操作边学习,重点关注数据格式要求与训练参数设置,遇到问题时参考“常见问题与解决技巧”部分及时排查。
【计算机视觉】基于YOLOv5/v8/v10的球场设备检测系统设计:体育场馆智能运维应用
01-03
内容概要:本文是一份关于基于YOLOv5、YOLOv8和YOLOv10的体育场内球场设备检测系统的完整实践指南,旨在帮助学生完成毕业设计。文章详细介绍了目标检测模型YOLO系列的基本原理与差异,指导读者从环境搭建、数据采集与标注、模型训练到实时检测和可视化界面开发的全流程。通过构建一个能识别篮球架、球门、球网等体育设施的智能系统,实现场馆运维、赛事保障等实际场景的应用,并建议进行多模型对比实验以提升毕设深度。配套代码与数据配置链接也已提供,便于快速上手。; 适合人群:计算机相关专业、具备一定Python编程基础、正在准备毕业设计的学生,尤其是对人工智能、计算机视觉方向感兴趣的研发初学者。; 使用场景及目标:① 掌握YOLO系列模型在真实场景中的应用方法;② 完成一套可运行的球场设备自动检测系统用于毕设展示;③ 通过模型对比实验提升项目科研深度,增强答辩竞争力; 阅读建议:建议按照文档步骤循序渐进操作,重点理解数据准备与模型训练的关键环节,同时结合提供的代码链接进行实践调试,确保各模块顺利运行,最终集成完整系统并做好演示准备。
【信息系统管理】学习系统分析师的重要性与必要性,从职业发展、技术能力提升以及系统化思维培养等多个角度分析了成为系统分析师的价值
01-03
内容概要:本文主要阐述了学习系统分析师的重要性与必要性,从职业发展、技术能力提升以及系统化思维培养等多个角度分析了成为系统分析师的价值。文章指出,系统分析师不仅需要掌握软件工程、需求分析、架构设计等核心技术能力,还需具备良好的沟通协调能力和业务理解能力,能够在复杂项目中承担桥梁角色,连接技术与业务。通过系统分析师的学习与认证,可以全面提升个人在软件开发生命周期中的综合把控能力。; 适合人群:具备一定IT基础知识,从事或有意向转向软件工程、项目管理、系统设计等相关领域的技术人员,尤其是希望向高阶技术岗位或架构师方向发展的从业者; 使用场景及目标:①帮助技术人员突破编码层面局限,拓展全局视野;②掌握系统分析方法论,提升复杂系统的设计与规划能力;③为参加系统分析师考试或职业转型提供指导与动力; 阅读建议:建议结合实际项目经验进行思考,边学习边实践,重点关注文中提到的需求分析、系统建模、架构权衡等内容,深入理解系统分析师在项目全周期中的作用与价值。
电机控制基于SVPWM-DTC的三相异步电机仿真:Simulink建模与高性能控制策略实现
最新发布
01-03
内容概要:本文详细介绍了三相异步电机SVPWM-DTC(空间矢量脉宽调制-直接转矩控制)的Simulink仿真实现方法,结合DTC响应快与SVPWM谐波小的优点,构建高性能电机控制系统。文章系统阐述了控制原理,包括定子磁链观测、转矩与磁链误差滞环比较、扇区判断及电压矢量选择,并通过SVPWM技术生成固定频率PWM信号,提升系统稳态性能。同时提供了完整的Simulink建模流程,涵盖电机本体、磁链观测器、误差比较、矢量选择、SVPWM调制、逆变器驱动等模块的搭建与参数设置,给出了仿真调试要点与预期结果,如电流正弦性、转矩响应快、磁链轨迹趋圆等,并提出了模型优化与扩展方向,如改进观测器、自适应滞环、弱磁控制和转速闭环等。; 适合人群:电气工程、自动化及相关专业本科生、研究生,从事电机控制算法开发的工程师,具备一定MATLAB/Simulink和电机控制理论基础的技术人员。; 使用场景及目标:①掌握SVPWM-DTC控制策略的核心原理与实现方式;②在Simulink中独立完成三相异步电机高性能控制系统的建模与仿真;③通过仿真验证控制算法有效性,为实际工程应用提供设计依据。; 阅读建议:学习过程中应结合文中提供的电机参数和模块配置逐步搭建模型,重点关注磁链观测、矢量选择表和SVPWM调制的实现细节,仿真时注意滞环宽度与开关频率的调试,建议配合MATLAB官方工具箱文档进行参数校准与结果分析。
Vue2.0多Tab切换组件封装
01-03
已经博主授权,源码转载自 https://pan.quark.cn/s/bf1e0d5b9490 本文重点阐述了Vue2.0多Tab切换组件的封装实践,详细说明了通过封装Tab切换组件达成多Tab切换功能,从而满足日常应用需求。 知识点1:Vue2.0多Tab切换组件的封装* 借助封装Tab切换组件,达成多Tab切换功能* 支持tab切换、tab定位、tab自动化仿React多Tab实现知识点2:TabItems组件的应用* 在index.vue文件中应用TabItems组件,借助name属性设定tab的标题* 通过:isContTab属性来设定tab的内容* 能够采用子组件作为tab的内容知识点3:TabItems组件的样式* 借助index.less文件来设定TabItems组件的样式* 设定tab的标题样式、背景色彩、边框样式等* 使用animation达成tab的切换动画知识点4:Vue2.0多Tab切换组件的构建* 借助运用Vue2.0框架,达成多Tab切换组件的封装* 使用Vue2.0的组件化理念,达成TabItems组件的封装* 通过运用Vue2.0的指令和绑定机制,达成tab的切换功能知识点5:Vue2.0多Tab切换组件的优势* 达成多Tab切换功能,满足日常应用需求* 支持tab切换、tab定位、tab自动化仿React多Tab实现* 能够满足多样的业务需求,具备良好的扩展性知识点6:Vue2.0多Tab切换组件的应用场景* 能够应用于多样的业务场景,例如:管理系统、电商平台、社交媒体等* 能够满足不同的业务需求,例如:多Tab切换、数据展示、交互式操作等* 能够与其它Vue2.0组件结合运用,达成复杂的业务逻辑Vue2.0多Tab切换组件的封装实例提供了...
htmldiff:展示差异的HTML标签库
01-03
代码下载地址: https://pan.quark.cn/s/41cd695ddf65 `htmldiff` 是一个以 Ruby 语言为基础构建的库,其主要功能是在 HTML 文档中展示文本之间的差异。 该库的一个显著特点在于它不仅能够识别出不同之处,还会借助 HTML 标签来呈现这些差异,从而让用户能够直观地观察到文本的变化情况。 这种特性使得 `htmldiff` 在版本控制、文档对比或任何需要展示文本变动场景的应用中显得尤为有用。 `htmldiff` 的核心作用是对比两个字符串,并生成一个 HTML 输出结果,这个结果会明确地指出哪些部分被添加、哪些部分被删除以及哪些部分被修改。 此外,通过运用 CSS,用户可以进一步调整差异展示的样式,使其与项目或网站的现有设计风格相协调。 在使用 `htmldiff` 之前,需要先完成该库的安装。 如果项目已经配置了 Ruby 环境和 Gemfile,可以在 Gemfile 文件中添加 `gem htmldiff` 语句,随后执行 `bundle install` 命令进行安装。 如果没有 Gemfile 文件,也可以直接采用 `gem install htmldiff` 命令来进行全局安装。 在编程实现时,可以通过调用 `Htmldiff.diff` 方法来对比两个字符串,并获取相应的 HTML 输出。 例如:```rubyrequire htmldiffstr1 = "这是一个示例文本。 "str2 = "这是一个示例文本,现在有更多内容。 "diff_html = Htmldiff.diff(str1, str2)puts diff_html```上述代码将会输出两个字符串之间的差异,其中新增的内容会被 `<ins>` 标签所包围,而...
模拟电子技术(第五版)课后习题解答
01-03
源码地址: https://pan.quark.cn/s/4b03c5611266 依据所提供的资料,可以判定这份资料是关于《电子技术基础模拟部分》第五版教科书第七章节的习题解析,由湖南人文科技学院通信与控制工程系的田汉平教师提供。 尽管具体内容未予展示,但能够围绕模拟电子技术的基础理论、第七章节所涉及的核心概念以及潜在的习题种类等方面来展开相关知识点的阐述。 ### 模拟电子技术概述模拟电子技术是电子工程学科中的一个关键领域,主要探讨模拟信号的产生、转换、传输和处理等议题。 模拟信号是指时间与幅度上均呈现连续变化的电信号。 模拟电路的设计与剖析是模拟电子技术的核心,它涵盖了放大器、振荡器、滤波器等电路的设计原理及其应用。 ### 第七章核心知识点猜测#### 1. 放大电路分析与设计- **基本放大电路**:共射极、共基极和共集电极放大电路的特性及其应用场景。 - **多级放大电路**:掌握如何将多个放大电路串联,以提升增益或优化频率响应。 - **差分放大电路**:用于抑制共模信号,放大差模信号,是精密仪器和测量设备中的关键构成部分。 #### 2. 反馈电路与稳定性- **反馈的基本概念**:正反馈与负反馈的区分,以及它们在电路中的应用场景。 - **深度负反馈**:解析深度负反馈状态下的放大器性能改进,包括增益稳定性和带宽的拓宽。 - **振荡电路**:理解LC振荡器、RC振荡器的工作机制及应用领域。 #### 3. 功率放大器- **A类、B类、AB类功率放大器**:熟练掌握不同类型功率放大器的特性、效率及其适用环境。 - **热效应与保护措施**:讨论在功率放大器设计过程中需要关注的散热问题及相应的防护措施。 #### 4. 集成运算放大器的应用- **理想运放模型**:熟...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值