Java for Web学习笔记(一四二)Spring security准备(3)初窥

最新推荐文章于 2021-03-30 15:17:31 发布
最新推荐文章于 2021-03-30 15:17:31 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: JAVA 读书笔记 愷风(Wei)之Java for Web学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/flowingflying/article/details/82865058
版权
本文介绍SpringSecurity的基础知识,包括如何使用JDBC、ActiveDirectory、CAS等进行用户认证,以及通过不同方式实现授权服务。探讨了配置SpringSecurity的方法,并对比了各种授权方式的优劣。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

了解Spring Security的基本知识

完全J2EE的web container也能提供完整的安全框架,但tomcat不是。Spring Security可以使用JDBC,或者我们的服务或仓库来认证用户,也提供了内置的对微软Active Derectory,Jasig的CAS(Central Authentication Service),JAAS(Java Authentication and Authorization Service),LDAP和OpenID的认证和授权。使用Spring Security要求客户端有额外的处理。

  • org.springframework.security.core.Authentication 继承了Principal。
  • org.springframework.security.core.GrantedAuthority 提供授权。可以支持role和activity授权。如果使用LDAP或者Active Directory进行认证,Spring Security会自动用户归属的directory groups填入Authentication 的授权中。
  • org.springframework.security.authentication.AuthenticationProvider,是为我们应用提供认证服务的提供者。AuthenticationProvider可以有Active Directory, CAS, JAAS, LDAP, OpenID, JDBC多个实现,也可以自定义。

使用Spring Security的授权服务

在Spring Security中,有集中使用授权的方式。当中最好的可能就是使用全局方法安全标记,它可以标记在service的方法上,Spring Security确保带有合适的GrantedAuthority(s)的Authentication来执行方法。

还可以在Spring Security配置中定义方法拦截规则。采用标记还是采用xml配置视我们代码的复杂性,如果应用比较复杂,可能定义方法连接规则比标记更为简单,另外,修改规则,不需要重新编译。

还可以使用URL拦截跪着,这是最容易实现的,但缺点不少,例如我们只能用于web应用,其他的不行;有例如如果我们有多种用户接口(web,REST,SOAP)我们需要为每个用户接口进行定义,这容易造成规则的不一致,从而产生授权漏洞。

一般来讲,我们需要使用标记或者配置规则,加上针对login和logout定义一些URL安全规则。我们将在后面学习到。

配置Spring Security

Spring安全配置和Spring框架配置紧密结合,大量使用ApplicationContext来管理它的安全上下文。

设置Spring Security,可以使用XML,Java或者混合配制。在一个应用上下文中可以有多个Spring Security上下文的配置。具体后面学习。

相关链接:我的Professional Java for Web Applications相关文章

反序列化漏洞利用工具_Apereo_CAS_反序列化漏洞分析及利用
weixin_39777540的博客
11-28 3662
Apereo CAS 是一个开源的统一认证服务(单点登录系统),CAS是Central Authentication Service的首字母缩写。根据网上公开的漏洞详情,影响版本为4.1.X和4.2.X,本文讲述从环境搭建、漏洞分析到漏洞利用CAS反序列化漏洞一、环境搭建1. 4.1.X环境从github上下载cas-overlay-template,命令gitclone-b4.1...
cas5.3.9单点登录-总结遇到的坑
神奇de旋风的博客
06-28 1万+
cas5.3.9单点登录-总结遇到的坑前言cas简介术语解释Ticket Grangting Ticket(TGT)Ticket Granting Cookie(TGC)Service Ticket(ST)图解TGC与TGTServer与Client交互过程项目搭建项目文档项目二次开发项目二次开发遇到的问题SSL证书申请cas ticket过期策略cas client单机-单点退出cas clie......
DS_Store文件泄漏总结
热门推荐
王嘟嘟的博客
04-08 1万+
0x00 前言 导航:https://blog.youkuaiyun.com/qq_36869808/article/details/88895109 0x01 基础 .DS_Store是Mac下Finder用来保存如何展示文件//文件夹的数据文件,每个文件夹下对应一个。由于开发/设计人员在发布代码时未删除文件夹中隐藏的.DS_store,可能造成文件目录结构泄漏、源代码文件等敏感信息的泄露。 0x02 漏洞...
Retrofit中的注解原理项目实战
bugyinyin的博客
12-05 1199
今天我们来聊聊这个最近很火的网络请求库retrofit,在此基础上会延伸出一些列的知识点。现在关于retrofit的文章很多,我之所以写这篇文章的原因在于:8月份负责假设新客户端底层的过程中首次尝试使用该库,并取得非常不错的效果,不到20天的时间内实现新产品的快速开发。 另外因为个人的原因,在写完基础框架及发布两个基础版本之后,我也选择的离职。现在,留给自己10天的时间,用来对2016年做个简短的总结,也希望能帮助各位。首先简单的说说会总结哪方面的,觉得感兴趣的同学可以关注下: 网络请求及优化,以retr
CAS SSO 4.0 用户数据库验证
carl_china的专栏
04-27 1193
1.概述  单点登录(Single Sign On),简称为 SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。  耶鲁大学(yale)开发的单点登录(Single Sign On)系统称为CAS(Central Authentication Service)被设计成一个独立的Web应用程序(cas.war)
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security学习笔记(一)
09-07
以上就是Spring Security 学习笔记的第一部分,涵盖了Spring Security的基本使用和内存认证配置。后续的学习中,你将接触到更高级的主题,如自定义认证提供者、权限控制、OAuth2集成等。继续深入学习,你将能够构建...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurityJava领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
基于Java和前端技术的SpringSecurity笔记存储设计源码
10-02
本项目是一个全面的基于Java和前端技术的SpringSecurity笔记存储设计解决方案的源码实现。它包含了136个文件,覆盖了从后端到前端的多个层面,为笔记存储提供了安全的解决方案。源码涉及的文件类型多样,包括图像、...
cas单点登录验证失败,导致无法正常跳转的bug
qq_36179561的博客
08-06 5171
jetty的端口由80改为8080后,验证ticket异常 org.jasig.cas.client.validation.TicketValidationException 查看cas.log发现url明显不匹配 ERROR [org.jasig.cas.CentralAuthenticationServiceImpl] - ServiceTicket [ST-12-AzsjcTSZdP3g...
漏洞修复引发的项目报错
Shadowed_Heart
03-30 643
javax.net.ssl.SSLHandshakeException: Received fatal alert: handshake_failure 由于安全组进行漏洞修复,升级了TLS版本,但是项目没有跟着升级,于是得到了如下报错: HTTP Status 500 - type Exception report message description The server encountered an internal error () that prevented it from fulfi
Central AuthenticationService (CAS) CAS is Unavailable
不积跬步,无以至千里,不积小流,无以成江海
06-13 1万+
CAS 单点登录系统 连接不上去. 我用的是cas 用数据库中的 账号密码登录 数据库密码也确认过没问题 . 连的上 后来发现原来是 cas 访问页 修改的时候, 可能是因为文件没有引正确,导致的连接不上, 替换原来的访问页就恢复正常了 修改cas 的登录页面的时候, 引入的文件一定要看清楚...
图解SSO的著名解决方案——CAS(Central Authentication Service
实践求真知
10-07 2369
一 首次登陆 二 验证ticket 三 登录另外一个系统 四 另外一个系统验证ticket 五 点睛 其实本质就是一个认证中心的cookie,加上多个子系统的cookie。...
cas(中央认证服务)
随风而逝的博客
10-29 1012
CAS是Central Authentication Service的缩写,中央认证服务,一种独立开放指令协议。CAS 是Yale大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法,CAS 在 2004 年 12 月正式成为 JA-SIG 的一个项目。 中文名 中央认证服务器 外文名 Central Authentication Service (CAS) 成...
CAS(Central Authentication Service)——windows上简单搭建及测试
weixin_34310785的博客
03-22 421
入手文章,大神绕行。 一,服务端搭建 我使用的服务端版本为:cas-server-3.4.11-release.zip。解压之后,将\cas-server-3.4.11-release\cas-server-3.4.11\modules\cas-server-webapp-3.4.11.war文件改名为cas.war,放置到tomc...
CAS (Central Authentication Service )单点登录
l1394049664的博客
07-28 8769
CAS (Central Authentication Service )单点登录
spring boot security Active Directory 登录(自定义角色、权限)
msquan的博客
08-29 2934
spring boot 版本:2.0.4 spring security 版本:5.07 spring security 的验证,需要做的是下面三个: 实现AuthenticationProvider(验证业务等) 实现UserDetailsService(获取用户的业务) 实现UserDetails(用户实体) 但是,查询过spring的文档,只有简单几行的写了,如果使用AD域,需要...
中国能源互联网行业市场现状分析-发展状况良好(附-政策汇总).docx
最新发布
06-11
中国能源互联网行业市场现状分析-发展状况良好(附-政策汇总).docx
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值