Spring Security 3.x 完整入门教程

最新推荐文章于 2024-07-24 10:48:04 发布
转载 最新推荐文章于 2024-07-24 10:48:04 发布 · 3.2w 阅读 · 20
文章标签:

#security #spring #filter #interceptor #encoding #user

本文详细介绍如何在Spring Security框架中实现自定义权限控制,包括配置web.xml、applicationContext-security.xml,以及自定义filter、authentication-provider等关键组件的实现。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1,建一个web project,并导入所有需要的lib,这步就不多讲了。
2,配置web.xml,使用Spring的机制装载:

<? xml version="1.0" encoding="UTF-8" ?>
< web-app  version ="2.4"  xmlns ="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation ="http://java.sun.com/xml/ns/j2ee 
    http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" >
     < context-param >
         < param-name > contextConfigLocation </ param-name >
         < param-value > classpath:applicationContext*.xml </ param-value >
     </ context-param >

     < listener >
         < listener-class >
            org.springframework.web.context.ContextLoaderListener
         </ listener-class >
     </ listener >

     < filter >
         < filter-name > springSecurityFilterChain </ filter-name >
         < filter-class >
            org.springframework.web.filter.DelegatingFilterProxy
         </ filter-class >
     </ filter >
     < filter-mapping >
         < filter-name > springSecurityFilterChain </ filter-name >
         < url-pattern > /* </ url-pattern >
     </ filter-mapping >


     < welcome-file-list >
         < welcome-file > login.jsp </ welcome-file >
     </ welcome-file-list >
</ web-app >

这个文件中的内容我相信大家都很熟悉了,不再多说了。

2,来看看applicationContext-security.xml这个配置文件,关于Spring Security的配置均在其中:

<? xml version="1.0" encoding="UTF-8" ?>
< beans:beans  xmlns ="http://www.springframework.org/schema/security"
    xmlns:beans ="http://www.springframework.org/schema/beans"
    xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation ="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.0.xsd" >

     < http  access-denied-page ="/403.jsp" > <!--  当访问被拒绝时,会转到403.jsp  -->
         < intercept-url  pattern ="/login.jsp"  filters ="none"   />
         < form-login  login-page ="/login.jsp"
            authentication-failure-url ="/login.jsp?error=true"
            default-target-url ="/index.jsp"   />
         < logout  logout-success-url ="/login.jsp"   />
         < http-basic  />
         <!--  增加一个filter,这点与Acegi是不一样的,不能修改默认的filter了,这个filter位于FILTER_SECURITY_INTERCEPTOR之前  -->
         < custom-filter  before ="FILTER_SECURITY_INTERCEPTOR"
            ref ="myFilter"   />
     </ http >

     <!--  一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
    我们的所有控制将在这三个类中实现,解释详见具体配置  -->
     < beans:bean  id ="myFilter"  class ="com. user.erp.fwk.security.MyFilterSecurityInterceptor" >
         < beans:property  name ="authenticationManager"
            ref ="authenticationManager"   />
         < beans:property  name ="accessDecisionManager"
            ref ="myAccessDecisionManagerBean"   />
         < beans:property  name ="securityMetadataSource"
            ref ="securityMetadataSource"   />
     </ beans:bean >
    
     <!--  认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可  -->
     < authentication-manager  alias ="authenticationManager" >
         < authentication-provider
             user-service-ref ="myUserDetailService" >
             <!--    如果用户的密码采用加密的话,可以加点“盐”
                <password-encoder hash="md5" />
             -->
         </ authentication-provider >
     </ authentication-manager >
     < beans:bean  id ="myUserDetailService"
        class ="com. user.erp.fwk.security.MyUserDetailService"   />

     <!--  访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源  -->
     < beans:bean  id ="myAccessDecisionManagerBean"
        class ="com. user.erp.fwk.security.MyAccessDecisionManager" >
     </ beans:bean >
    
     <!--  资源源数据定义,即定义某一资源可以被哪些角色访问  -->
     < beans:bean  id ="securityMetadataSource"
        class ="com. user.erp.fwk.security.MyInvocationSecurityMetadataSource"   />

</ beans:beans >


3,来看看自定义filter的实现:

package  com. user.erp.fwk.security;
 import  java.io.IOException;

 import  javax.servlet.Filter;
 import  javax.servlet.FilterChain;
 import  javax.servlet.FilterConfig;
 import  javax.servlet.ServletException;
 import  javax.servlet.ServletRequest;
 import  javax.servlet.ServletResponse;

 import  org.springframework.security.access.SecurityMetadataSource;
 import  org.springframework.security.access.intercept.AbstractSecurityInterceptor;
 import  org.springframework.security.access.intercept.InterceptorStatusToken;
 import  org.springframework.security.web.FilterInvocation;
 import  org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;

 public   class  MyFilterSecurityInterceptor  extends  AbstractSecurityInterceptor
         implements  Filter  {

     private  FilterInvocationSecurityMetadataSource securityMetadataSource;

     //  ~ Methods
     //  ========================================================================================================

     /**
     * Method that is actually called by the filter chain. Simply delegates to
     * the { @link  #invoke(FilterInvocation)} method.
     * 
     *  @param  request
     *            the servlet request
     *  @param  response
     *            the servlet response
     *  @param  chain
     *            the filter chain
     * 
     *  @throws  IOException
     *             if the filter chain fails
     *  @throws  ServletException
     *             if the filter chain fails
      */
     public   void  doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain)  throws  IOException, ServletException  {
        FilterInvocation fi  =   new  FilterInvocation(request, response, chain);
        invoke(fi);
    }

     public  FilterInvocationSecurityMetadataSource getSecurityMetadataSource()  {
         return   this .securityMetadataSource;
    }

     public  Class <?   extends  Object >  getSecureObjectClass()  {
         return  FilterInvocation. class ;
    }

     public   void  invoke(FilterInvocation fi)  throws  IOException,
            ServletException  {
        InterceptorStatusToken token  =   super .beforeInvocation(fi);
         try   {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        }   finally   {
             super .afterInvocation(token,  null );
        }
    }

     public  SecurityMetadataSource obtainSecurityMetadataSource()  {
         return   this .securityMetadataSource;
    }

     public   void  setSecurityMetadataSource(
            FilterInvocationSecurityMetadataSource newSource)  {
         this .securityMetadataSource  =  newSource;
    }

    @Override
     public   void  destroy()  {
    }

    @Override
     public   void  init(FilterConfig arg0)  throws  ServletException  {
    }

}

最核心的代码就是invoke方法中的InterceptorStatusToken token = super.beforeInvocation(fi);这一句,即在执行doFilter之前,进行权限的检查,而具体的实现已经交给 accessDecisionManager了,下文中会讲述。

4,来看看authentication-provider的实现:

package  com. user.erp.fwk.security;
 import  java.util.ArrayList;
 import  java.util.Collection;

 import  org.springframework.dao.DataAccessException;
 import  org.springframework.security.core.GrantedAuthority;
 import  org.springframework.security.core.authority.GrantedAuthorityImpl;
 import  org.springframework.security.core.userdetails.User;
 import  org.springframework.security.core.userdetails.UserDetails;
 import  org.springframework.security.core.userdetails.UserDetailsService;
 import  org.springframework.security.core.userdetails.UsernameNotFoundException;

 public   class  MyUserDetailService  implements  UserDetailsService  {

    @Override
     public  UserDetails loadUserByUsername(String username)
             throws  UsernameNotFoundException, DataAccessException  {
        Collection < GrantedAuthority >  auths = new  ArrayList < GrantedAuthority > ();
        GrantedAuthorityImpl auth2 = new  GrantedAuthorityImpl( " ROLE_ADMIN " );
        auths.add(auth2);
         if (username.equals( " user1 " )) {
            auths = new  ArrayList < GrantedAuthority > ();
            GrantedAuthorityImpl auth1 = new  GrantedAuthorityImpl( " ROLE_ user" );
            auths.add(auth1);
        }
        
 //         User(String username, String password, boolean enabled, boolean accountNonExpired,
 //                     boolean credentialsNonExpired, boolean accountNonLocked, Collection<GrantedAuthority> authorities) {
        User user  =   new  User(username,
                 " user" true true true true , auths);
         return  user;
    }
    
}

在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等,我想这么简单的代码就不再多解释了。

5,对于资源的访问权限的定义,我们通过实现FilterInvocationSecurityMetadataSource这个接口来初始化数据。

package  com. user.erp.fwk.security;
 import  java.util.ArrayList;
 import  java.util.Collection;
 import  java.util.HashMap;
 import  java.util.Iterator;
 import  java.util.Map;

 import  org.springframework.security.access.ConfigAttribute;
 import  org.springframework.security.access.SecurityConfig;
 import  org.springframework.security.web.FilterInvocation;
 import  org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
 import  org.springframework.security.web.util.AntUrlPathMatcher;
 import  org.springframework.security.web.util.UrlMatcher;

 /**
 * 
 * 此类在初始化时,应该取到所有资源及其对应角色的定义
 * 
 *  @author user
 * 
  */
public   class  MyInvocationSecurityMetadataSource
         implements  FilterInvocationSecurityMetadataSource  {
     private  UrlMatcher urlMatcher  =   new  AntUrlPathMatcher();;
     private   static  Map < String, Collection < ConfigAttribute >>  resourceMap  =   null ;

     public  MyInvocationSecurityMetadataSource()  {
        loadResourceDefine();
    }

     private   void  loadResourceDefine()  {
        resourceMap  =   new  HashMap < String, Collection < ConfigAttribute >> ();
        Collection < ConfigAttribute >  atts  =   new  ArrayList < ConfigAttribute > ();
        ConfigAttribute ca  =   new  SecurityConfig( " ROLE_ADMIN " );
        atts.add(ca);
        resourceMap.put( " /index.jsp " , atts);
        resourceMap.put( " /i.jsp " , atts);
    }

     //  According to a URL, Find out permission configuration of this URL.
     public  Collection < ConfigAttribute >  getAttributes(Object object)
             throws  IllegalArgumentException  {
         //  guess object is a URL.
        String url  =  ((FilterInvocation)object).getRequestUrl();
        Iterator < String >  ite  =  resourceMap.keySet().iterator();
         while  (ite.hasNext())  {
            String resURL  =  ite.next();
             if  (urlMatcher.pathMatchesUrl(url, resURL))  {
                 return  resourceMap.get(resURL);
            }
        }
         return   null ;
    }

     public   boolean  supports(Class <?>  clazz)  {
         return   true ;
    }
    
     public  Collection < ConfigAttribute >  getAllConfigAttributes()  {
         return   null ;
    }

}

看看loadResourceDefine方法,我在这里,假定index.jsp和i.jsp这两个资源,需要ROLE_ADMIN角色的用户才能访问。
这个类中,还有一个最核心的地方,就是提供某个资源对应的权限定义,即getAttributes方法返回的结果。注意,我例子中使用的是 AntUrlPathMatcher这个path matcher来检查URL是否与资源定义匹配,事实上你还要用正则的方式来匹配,或者自己实现一个matcher。

6,剩下的就是最终的决策了,make a decision,其实也很容易,呵呵。

package  com. user.erp.fwk.security;
 import  java.util.Collection;
 import  java.util.Iterator;

 import  org.springframework.security.access.AccessDecisionManager;
 import  org.springframework.security.access.AccessDeniedException;
 import  org.springframework.security.access.ConfigAttribute;
 import  org.springframework.security.access.SecurityConfig;
 import  org.springframework.security.authentication.InsufficientAuthenticationException;
 import  org.springframework.security.core.Authentication;
 import  org.springframework.security.core.GrantedAuthority;


 public   class  MyAccessDecisionManager  implements  AccessDecisionManager  {

     // In this method, need to compare authentication with configAttributes.
     //  1, A object is a URL, a filter was find permission configuration by this URL, and pass to here.
     //  2, Check authentication has attribute in permission configuration (configAttributes)
     //  3, If not match corresponding authentication, throw a AccessDeniedException.
     public   void  decide(Authentication authentication, Object object,
            Collection < ConfigAttribute >  configAttributes)
             throws  AccessDeniedException, InsufficientAuthenticationException  {
         if (configAttributes  ==   null ) {
             return  ;
        }
        System.out.println(object.toString());   // object is a URL.
        Iterator < ConfigAttribute >  ite = configAttributes.iterator();
         while (ite.hasNext()) {
            ConfigAttribute ca = ite.next();
            String needRole = ((SecurityConfig)ca).getAttribute();
             for (GrantedAuthority ga:authentication.getAuthorities()) {
                 if (needRole.equals(ga.getAuthority())) {   // ga is user's role.
                     return ;
                }
            }
        }
         throw   new  AccessDeniedException( " no right " );
    }

    @Override
     public   boolean  supports(ConfigAttribute attribute)  {
         //  TODO Auto-generated method stub
         return   true ;
    }

    @Override
     public   boolean  supports(Class <?>  clazz)  {
         return   true ;
    }


}

在这个类中,最重要的是decide方法,如果不存在对该资源的定义,直接放行;否则,如果找到正确的角色,即认为拥有权限,并放行,否则throw new AccessDeniedException("no right");这样,就会进入上面提到的403.jsp页面。

上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
Xayla的博客
04-20 2051
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
springsecurity教程
qq_35872777的博客
05-28 1万+
1、什么是springsecurity:
Spring Security教程(三)
码猿同学
01-02 3872
在上一篇博客中讲解了用Spring Security自带的默认数据库存储用户和权限的数据,但是Spring Security默认提供的表结构太过简单了,其实就算默认提供的表结构很复杂,也不一定能满足项目对用户信息和权限信息管理的要求。那么接下来就讲解如何自定义数据库实现对用户信息和权限信息的管理。 一 自定义表结构 这里还是用的mysql数据库,所以pom.xml文件都不用修改。这里只要新建三
spring security 3.0配制
ystar9的博客
08-12 575
前言     南朝《述异记》中记载,晋王质上山砍柴,见二童子下棋,未看完,斧柄已烂,下山回村,闻同代人都去世了,自已还未变老。    因此发出“山中方一日,世上几千年” 的慨叹。原文寥寥几笔,读来却发人深省。     另有宋朝周敦颐在《暮春即事》中也有诗云:双双瓦雀行书案,点点杨花入砚池。闲坐小窗读周易,不知春去几多时。     上述古文或古诗中对于时间的论述最符合我现在的感受。已经整整十五...
SpringSecurity基础教程
我有故人折剑去,斩尽春风不曾归
03-22 1320
基本上涉及到用户参与的系统都要进行权限管理,权限管理属于系统安全的范畴,权限管理实现对用户访问系统的控制,按照安全规则或者安全策略控制用户可以访问而且只能访问自己被授权的资源。​ 权限管理包括用户身份认证鉴权(授权)两部分,简称认证授权。对于需要访问控制的资源用户首先经过身份认证,认证通过后用户具有该资源的访问权限方可访问。是一个能够为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架。
Spring Security教程(1)----SpringSecurity3.2环境搭建
热门推荐
z69183787的专栏
03-13 2万+
目前Spring官方只提供Meven的下载方式。但在http://maven.springframework.org中有SpringSecurity及其他所有Spring产品的下载方式。 http://maven.springframework.org/release/org/springframework/中有Spring相关的所有下载,但好像直到3.2版的,最新的版本在这个里面找不到
Spring Security 3.x 完整入门教程 源代码
03-10
在这个完整入门教程中,你将学习如何利用Spring Security来构建安全的Web应用。 1. **身份验证**:Spring Security 提供了多种认证机制,如基于表单的登录、HTTP基本认证、OAuth2等。在3.x版本中,你可以配置`...
Spring Security 3.x源代码教程完整入门指南
标签中“SpringSecurity 3.x 完整 入门教程 源代码”是对文档内容的重申,强调了这是关于Spring Security 3.x版本的完整入门教程的源代码。标签的用意在于便于搜索和分类。 文件名称“ss3”虽然简短,但可能代表了...
SpringSecurity6.x使用教程
wsb_2526的博客
07-06 2049
SpringSecurity目前支持的版本如下图所示,可以看到5.x的版本过几年就不会再维护了,6.x将成为主流。
Spring Security 3.x 入门教程 中文WORD版
11-06
文件列表中的`spring-security3入门教程.doc`是主要的学习资料,它应该包含了上述所有知识点的详细解释和示例代码。`jb51.net.txt`可能是一些额外的参考资料链接,而`.url`文件可能是相关网站的快捷方式,例如`脚本...
springSecurity3.x
02-13
springSecurity3.x 非常不错的实例
Spring Security 3.x 秘籍(一)
最新发布
龙哥盟
07-24 1081
Spring SecuritySpring 框架提供的安全层。Spring 框架是一个活跃的开源项目,使应用程序的进一步开发变得更加容易。它提供了各种层来处理项目设计和实施生命周期中面临的不同场景和挑战。Spring 框架的 Spring Security 层与 Spring 框架的耦合度非常低,因此可以轻松地集成到其他应用程序中。在本书中,我们将把 Spring Security 与其他框架集成,并通过编码示例进行演示。身份验证和授权已成为所有 Web 应用程序的重要组成部分。
spring security教程
下雨天__的专栏
11-27 1404
spring security的配置 首先,先把项目的整体结构以及整体配置贴出来,后面介绍中会将其中的功能模块一个一个的细讲解,稍安勿躁,一步一步的往下看: 本例使用springMVC+spring security进行测试,需要导入的jar包:       项目基本结构:     环境搭建,主要是三个配置文件:web.xml, applic
Spring Security教程
qq_28248897的博客
08-31 4386
Spring Security教程 Web系统中登录认证(Authentication)的核心就是凭证机制,无论是Session还是JWT,都是在用户成功登录时返回给用户一个凭证,后续用户访问接口需携带凭证来标明自己的身份。后端会对需要进行认证的接口进行安全判断,若凭证没问题则代表已登录就放行接口,若凭证有问题则直接拒绝请求。这个安全判断都是放在过滤器里统一处理的: 登录认证是对用户的身份进行确认,权限授权(Authorization)是对用户能否访问某个资源进行确认,授权发生在认证之后。 这种通用逻辑都
Spring Security教程(一)
码猿同学
12-31 1万+
一 概要 Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。这里过多的spring security解释和作用就不在这里赘述了,请自行搜索。目前最新版本的Spring Security为4.2.2,但是我这里用了稳定版本3.1.3。下面例子为一个简单的Sp
Spring Security入门教程(一)
Trialknight的博客
03-11 1145
什么是spring Security Spring Security是一个能够为基于Spring的企业应用系统提供描述性安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC(依赖注入,也称控制反转)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。 简单来说sp...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值