chapter09_保护Web应用_1_Spring Security简介

最新推荐文章于 2024-12-12 10:11:26 发布
原创 最新推荐文章于 2024-12-12 10:11:26 发布 · 159 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍Spring Security框架如何通过Servlet Filter提供Web安全性功能,包括配置DelegatingFilterProxy、启用Web安全性及个性化定制安全性配置的方法。

  • 安全性是绝大多数应用的一个重要__切面__。Spring Security是一个安全框架,它基于Spring AOP和Servlet中的Filter

  • 过滤Web请求

    (1) Spring Security借助一系列Servlet Filter提供各种安全性功能

    (2) 但是我们只需要配置一个Filter,当我们启用Web安全性的时候,会自动创建这些Filter

    (3) web.xml配置

      <web-app xmlns="http://java.sun.com/xml/ns/javaee"
           xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
           xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_3_0.xsd"
           version="2.5"> 

      <filter>
          <filter-name>springSecurityFilterChain</filter-name>
          <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
      </filter>

      <filter-mapping>
          <filter-name>springSecurityFilterChain</filter-name>
           <url-pattern>/*</url-pattern>
      </filter-mapping>

      ...

  </web-app>

    注意 必须配置为springSecurityFilterChain。因为接下来Spring Security会配置在Web安全性之中,这里会有一个springSecurityFilterChain的Filter bean,DelegatingFilterProxy会将过滤逻辑委托给它。

    (4) DelegatingFilterProxy是一个特殊的Servlet Filter,它的作用是将工作__委托给一个Filter的实现类__,这个实现类作为一个注册在Spring的上下文中

    (5) Java Config 配置

      public class SecurityWebInitializer extends AbstractSecurityWebApplicationInitializer {

  }

    AbstractSecurityWebApplicationInitializer实现了WebApplicationInitializer,因此会被Spring自动发现(P139),并用它在Web容器中注册DelegatingFilterProxy(onStartUp()方法中)

    (5) 无论使用web.xml还是JavaConfig配置DelegatingFilterProxy,它们都会拦截发往应用中的请求,并将请求委托给id为springSecurityFilterChain的bean;

    SpringSecurityFilterChain是一个特殊的Filter,它可以连接任意其他的Filter。但是,无需知道细节,不需要显式声明SpringSecurityFilterChain以及它所链接在一起的其他Filter。当我们启用Web安全性时,会自动创建这些Filter

  • 简单的Web安全性配置

    (1) @EnableWebSecurity注解会启用Web安全功能,但是它必须配置在一个 实现了WebSecurityConfigurer的bean中 或 扩展了WebSecurityConfigurerAdapter(推荐)

    (2) 如果使用了Spring MVC的话,推荐用 @EnableWebMVCSecurity 代替 @EnableWebSecurity

    示例 SecurityConfig.java

      @Configuration
  @EnableWebMvcSecurity
  public class SecurityConfig extends WebSecurityConfigurerAdapter {

  }

    (3) 按照上面的示例进行配置,会导致没有人能够进入系统,因为 WebSecurityConfigurerAdapter的默认configure方法是

      protected void configure(HttpSecurity http) throws Exception {

      logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");

      http
          .authorizeRequests()
              .anyRequest().authenticated()
              .and()
          .formLogin().and()
          .httpBasic();

    }

    所以为了在安全性上进行个性化定制,需要配置以下三个方法中的1个或几个:

    configure(WebSecurity) 配置Filter链

    configure(HttpSecurity) 配置如果通过拦截器保护请求

    configure(AuthenticationManagerBuilder) 配置user-detail服务

全面掌握Spring Security:从基础到高级应用
fykam的博客
12-24 601
本专栏为1-3年经验的Java开发者系统讲解Spring Security框架,涵盖基础入门到高级应用。内容包含六大模块:基础概念与核心组件、多种身份验证实现(表单、JWT、OAuth2.0、多因素认证)、细粒度授权管理(角色/权限/动态授权)、Web应用集成(MVC/Thymeleaf/RESTful/WebSocket)、高级特性(Remember-Me/CSRF防护/会话控制)以及性能优化与监控。通过150+代码示例,帮助开发者掌握安全开发规范,解决认证授权等实际问题,提升Web应用安全防护能力。
springboot整合springsecurity安全框架(后端spring_security模块代码可直接使用,根据需求自定义修改)
xyouzi的博客
06-06 741
SpringSecurity简介 用户认证和用户授权 主要包含两部分:用户认证和用户授权 用户认证:进入用户登录时候,输入用户名密码,查询数据库查看是否正确,如果正确,则认证成功 用户授权:登陆了系统,登录用户可能是不同的角色,比如普通用户和管理员 springsecurity本质上就是用filter对请求的路径进行过滤 如果是基于Session,则会对cookie里的sessionId进行解析,找到服务器存储的session信息,然后判断用户是否符合请求的要求 如果是token,则解析出toke
chapter09_保护Web应用_5_保护视图
captxb的博客
02-23 132
之前的种种操作都是为了不要让某些没有权限的用户看到某个页面,接下来要做的是这些用户能看到页面,但是看不到页面的全部。即,页面中的某些部分根据用户有无权限决定是否渲染 JSP的视图保护方案 (1) 声明 &amp;lt;%@ taglib prefix=“security” uri=“http://www.springframework.org/security/tags” %&amp;gt; (2) 标签...
chapter09_保护Web应用_2_保护视图
captxb的博客
01-15 124
之前的种种操作都是为了不要让某些没有权限的用户看到某个页面,接下来要做的是这些用户能看到页面,但是看不到页面的全部。即,页面中的某些部分根据用户有无权限决定是否渲染 JSP的视图保护方案 (1) 声明 &lt;%@ taglib prefix="security" uri="http://www.springframework.org/security...
chapter09_保护Web应用_4_认证用户
captxb的博客
02-23 166
添加自定义的登录页 (1) 示例 login.html &amp;lt;html xmlns=&quot;http://www.w3.org/1999/xhtml&quot; xmlns:th=&quot;http://www.thymeleaf.org&quot;&amp;gt; ... &amp;lt;div id=&quot;content&quot;&amp;gt;
chapter09_保护Web应用_3_拦截请求
captxb的博客
01-15 108
需求:某些请求需要进行认证,某些请求需要具备特定权限的用户才能访问…… 对每个请求进行细粒度的安全性控制的关键是重载configure(HttpSecurity http)方法 (1) 示例 SecurityConfig.java @Configuration @EnableWebMvcSecurity public class Secu...
chapter09_保护Web应用_2_选择查询用户详细信息的服务
captxb的博客
02-23 145
有的时候需要对用户的信息进行存储,以便判断登录进系统时的权限。我们需要的是__用户存储__,在进行认证决策的时候,进行检索 Spring Security内置了了多种数据存储方式来认证用户,包括__内存__、关系型数据库、__LDAP__等 使用基于内存的用户存储 (1) 适用于开发、测试的场景,数据量小 (2) 要重载 WebSecurityConfigurerAdapter的con...
chapter09_保护Web应用_5_选择查询用户详细信息的服务
captxb的博客
01-21 180
有的时候需要对用户的信息进行存储,以便判断登录进系统时的权限。我们需要的是用户存储,在进行认证决策的时候,进行检索 Spring Security内置了了多种数据存储方式来认证用户,包括内存、关系型数据库、LDAP等 使用基于内存的用户存储 (1) 适用于开发、测试的场景,数据量小 (2) 要重载 WebSecurityConfigurerAdapte...
(2)Spring Security - 了解UserDetailsService
drsonxu的博客
12-12 1475
如图所示,Authentication Filter将身份验证请求委托给AuthenticationManager,后者使用AuthenticationProvider处理身份验证。InMemoryUserDetailsManager是UserDetailsManager的非持久性实现,他将用户信息存储在内存中,断电后信息会丢失。‌UserDetails是Spring Security框架中的一个核心接口,用于表示用户的详细信息。这些属性包括用户名、密码、权限、账户状态等,确保用户信息的安全性和完整性‌。
chapter13_java_spring_
10-03
标题中的"chapter13_java_spring_"暗示了这是一个关于Java Spring框架的学习章节,可能是某个教程或课程的一部分,重点是Spring框架在网络请求处理和SSM(Spring、Struts、MyBatis)项目开发中的应用。描述提到"用于...
chapter08_java_springmvc_giving1oq_图书的增删改查_
10-01
在本教程中,我们将深入探讨如何使用SpringMVC框架实现基于浏览器/服务器(B/S)架构的图书...同时,这也为我们提供了基础,以便进一步学习Spring SecuritySpring Boot和其他相关技术,以构建更复杂的Web应用程序。
精选资源
《Java EE企业级应用开发教程Spring+Spring MVC+MyBatis》_源代码.zip
11-29
1. **Chapter 01** - 基础篇:通常涵盖Java EE概述、Web应用基础、Servlet和JSP的基础知识。这部分为后续章节学习三大框架打下基础。 2. **Chapter 03** - Spring框架:讲解Spring的核心特性,如依赖注入(DI)和...
agv-monitor-main AGV Monitor是一个基于WPF和C#的开发的AGV轨迹可视化工具
01-03
AGV Monitor是一个基于WPF和C#的开发的AGV轨迹可视化工具。 ## 功能特性 - **多AGV轨迹可视化**:实时显示多AGV的运动路径,包含时间成本信息 - **逐秒播放**:逐帧查看轨迹分析运动 - **实时统计**:显示时间戳和已完成任务数 - **键盘快捷键**:高效的键盘控制 - **轻量级**:编译后仅124KB,Windows 10以上无需额外运行时 - **实时地图**:交互式网格地图,AGV位置实时更新 - **任务调度**:支持任务调度与执行 - **热点图**:热点图实时显示 - **路径规划**:自动路线计算与冲突解决
启动按扭和水位开关选择,进水至高(中、低)位
01-03
源码来自:https://pan.quark.cn/s/a4b39357ea24 ### 操作指南:洗衣机使用方法详解#### 1. 启动与水量设定- **使用方法**:使用者必须首先按下洗衣设备上的“启动”按键,同时依据衣物数量设定相应的“水量选择”旋钮(高、中或低水量)。这一步骤是洗衣机运行程序的开端。- **运作机制**:一旦“启动”按键被触发,洗衣设备内部的控制系统便会启动,通过感应器识别水量选择旋钮的位置,进而确定所需的水量高度。- **技术执行**:在当代洗衣设备中,这一流程一般由微处理器掌管,借助电磁阀调控进水量,直至达到指定的高度。#### 2. 进水过程- **使用说明**:启动后,洗衣设备开始进水,直至达到所选的水位(高、中或低)。- **技术参数**:水量的监测通常采用浮子式水量控制器或压力感应器来实现。当水位达到预定值时,进水阀会自动关闭,停止进水。- **使用提醒**:务必确保水龙头已开启,并检查水管连接是否牢固,以防止漏水。#### 3. 清洗过程- **使用步骤**:2秒后,洗衣设备进入清洗环节。在此期间,滚筒会执行一系列正转和反转的动作: - 正转25秒 - 暂停3秒 - 反转25秒 - 再次暂停3秒- **重复次数**:这一系列动作将重复执行5次,总耗时为280秒。- **技术关键**:清洗环节通过电机驱动滚筒旋转,利用水流冲击力和洗衣液的化学效果,清除衣物上的污垢。#### 4. 排水与甩干- **使用步骤**:清洗结束后,洗衣设备会自动进行排水,将污水排出,然后进入甩干阶段,甩干时间为30秒。- **技术应用**:排水是通过泵将水抽出洗衣设备;甩干则是通过高速旋转滚筒,利用离心力去除衣物上的水分。- **使用提醒**:...
安卓聊天框架-下载即用.zip
01-03
代码下载地址: https://pan.quark.cn/s/c289368a8f5c 在安卓应用开发领域,构建一个高效且用户友好的聊天系统是一项核心任务。 为了协助开发者们迅速达成这一目标,本文将分析几种常见的安卓聊天框架,并深入说明它们的功能特性、应用方法及主要优势。 1. **环信(Easemob)** 环信是一个专为移动应用打造的即时通讯软件开发套件,涵盖了文本、图片、语音、视频等多种消息形式。 通过整合环信SDK,开发者能够迅速构建自身的聊天平台。 环信支持消息内容的个性化定制,能够应对各种复杂的应用场景,并提供多样的API接口供开发者使用。 2. **融云(RongCloud)** 融云作为国内领先的IM云服务企业,提供了全面的聊天解决方案,包括一对一交流、多人群聊、聊天空间等。 融云的突出之处在于其稳定运行和高并发处理性能,以及功能完备的后台管理工具,便于开发者执行用户管理、消息发布等操作。 再者,融云支持多种消息格式,如位置信息、文件传输、表情符号等,显著增强了用户聊天体验。 3. **Firebase Cloud Messaging(FCM)** FCM由Google提供的云端消息传递服务,可达成安卓设备与服务器之间的即时数据交换。 虽然FCM主要应用于消息推送,但配合Firebase Realtime Database或Firestore数据库,开发者可以开发基础的聊天软件。 FCM的显著优势在于其全球性的推送网络,保障了消息能够及时且精确地传输至用户。 4. **JMessage(极光推送)** 极光推送是一款提供消息发布服务的软件开发工具包,同时具备基础的即时通讯能力。 除了常规的文字、图片信息外,极光推送还支持个性化消息,使得开发者能够实现更为复杂的聊天功能。 此...
【医学图像识别】基于MobileNetV3的迁移学习模型设计:无全连接层卷积网络在肺部病理分类中的应用
01-03
内容概要:本文是一份关于使用MobileNetV3进行医学病理图像识别的实战指南,重点介绍如何基于迁移学习和无全连接层的设计思路构建高效的病理分类模型。文章详细讲解了环境配置、数据集准备与预处理、模型修改与训练流程,并通过PyTorch实现从数据加载到推理的完整流程。核心创新在于用卷积层替代传统全连接层,以保留空间特征并提升模型对医学图像的适应性,最终实现高精度的四分类病理识别任务。; 适合人群:具备一定深度学习基础,熟悉Python编程和PyTorch框架,对医疗AI或计算机视觉方向感兴趣的初学者与开发者,尤其是希望掌握迁移学习与轻量化网络应用的研发人员; 使用场景及目标:①应用于医学图像分类任务,如肺部PET-CT影像识别;②学习如何在真实项目中实施迁移学习、模型微调与结构优化;③掌握不使用全连接层的网络设计方法,提升模型效率与泛化能力; 阅读建议:建议读者结合文中提供的代码链接与飞书文档,边实践边学习,重点关注数据预处理、模型替换层的实现以及训练与推理流程的细节,建议在本地或云端GPU环境中运行代码以加深理解。
农业全要素生产率(2005-2023).xlsx
01-03
上市公司绿色全要素生产率,是将能源消耗、环境污染等非期望产出纳入传统全要素生产率核算框架,综合衡量企业在既定要素投入下,实现期望产出增长与非期望产出减少的综合效率水平。其核心是兼顾 “经济产出效率” 与 “环境治理成效”,体现企业可持续发展能力 参考崔立志等(2023)的方法,选取企业员工数、固定资产净额、用电量作为要素投入,企业营业收入作为期望产出,企业工业三废作为非期望产出,采用非径向SBM-ML指数进行测算,最终得到上市公司2007-2024年绿色全要素生产率、绿色技术效率变化指数、绿色技术进步变化指数 ## 一、数据介绍 数据名称:上市公司绿色全要素生产率数据 数据年份:2007-2024年 数据范围:上市公司 数据格式:面板数据,excel、dta
机车信号的噪声干扰实验
最新发布
01-03
机车信号的噪声干扰实验
蒙特卡洛模拟法计算电动汽车充电负荷研究(Matlab代码实现)
01-03
蒙特卡洛模拟法计算电动汽车充电负荷研究(Matlab代码实现)内容概要:本文围绕蒙特卡洛模拟法在电动汽车充电负荷计算中的应用展开研究,重点介绍了如何利用Matlab代码实现该方法,以模拟不同类型电动汽车(如常规充电、快速充电、换电模式)的充电负荷特性。研究结合概率统计模型,通过大量随机抽样模拟电动汽车的出行规律、充电行为及时空分布特征,进而预测区域内的充电负荷变化趋势。文中还探讨了充电负荷的空间可调度性及其与分布式电源、分时电价等因素的协同优化配置问题,旨在提升电网运行效率与可再生能源消纳能力。; 适合人群:具备一定电力系统基础知识和Matlab编程能力的高校研究生、科研人员及从事电动汽车、智能电网相关领域的工程技术人员。; 使用场景及目标:①用于电动汽车充电负荷的时空分布预测与电网影响分析;②支撑含电动汽车的综合能源系统优化调度、有序充电策略设计及充电站规划布局;③为电力系统应对大规模电动车接入提供仿真工具与决策支持。; 阅读建议:建议读者结合文中提供的Matlab代码进行实际操作与仿真复现,重点关注蒙特卡洛抽样过程、充电行为建模与负荷曲线生成逻辑,同时可拓展至与其他优化算法(如遗传算法、粒子群)结合的高级应用场景。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值