Spring Security 3.x 完整入门教程(转)

最新推荐文章于 2025-03-10 14:47:31 发布
最新推荐文章于 2025-03-10 14:47:31 发布
阅读量851 收藏
点赞数
分类专栏: java 文章标签: spring security
Spring Security 3.x 出来一段时间了,跟Acegi是大不同了,与2.x的版本也有一些小小的区别,网上有一些文档,也有人翻译Spring Security 3.x的guide,但通过阅读guide,无法马上就能很容易的实现一个完整的实例。

我花了点儿时间,根据以前的实战经验,整理了一份完整的入门教程,供需要的朋友们参考。
1,建一个web project,并导入所有需要的lib,这步就不多讲了。
2,配置web.xml,使用Spring的机制装载:


<? xml version="1.0" encoding="UTF-8" ?>
< web-app  version ="2.4"  xmlns ="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation ="http://java.sun.com/xml/ns/j2ee 
    http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd" >
     < context-param >
         < param-name > contextConfigLocation </ param-name >
         < param-value > classpath:applicationContext*.xml </ param-value >
     </ context-param >

     < listener >
         < listener-class >
            org.springframework.web.context.ContextLoaderListener
         </ listener-class >
     </ listener >

     < filter >
         < filter-name > springSecurityFilterChain </ filter-name >
         < filter-class >
            org.springframework.web.filter.DelegatingFilterProxy
         </ filter-class >
     </ filter >
     < filter-mapping >
         < filter-name > springSecurityFilterChain </ filter-name >
         < url-pattern > /* </ url-pattern >
     </ filter-mapping >


     < welcome-file-list >
         < welcome-file > login.jsp </ welcome-file >
     </ welcome-file-list >
</ web-app >
这个文件中的内容我相信大家都很熟悉了,不再多说了。

2,来看看applicationContext-security.xml这个配置文件,关于Spring Security的配置均在其中:


<? xml version="1.0" encoding="UTF-8" ?>
< beans:beans  xmlns ="http://www.springframework.org/schema/security"
    xmlns:beans ="http://www.springframework.org/schema/beans"
    xmlns:xsi ="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation ="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.0.xsd" >

     < http  access-denied-page ="/403.jsp" > <!--  当访问被拒绝时,会转到403.jsp  -->
         < intercept-url  pattern ="/login.jsp"  filters ="none"   />
         < form-login  login-page ="/login.jsp"
            authentication-failure-url ="/login.jsp?error=true"
            default-target-url ="/index.jsp"   />
         < logout  logout-success-url ="/login.jsp"   />
         < http-basic  />
         <!--  增加一个filter,这点与Acegi是不一样的,不能修改默认的filter了,这个filter位于FILTER_SECURITY_INTERCEPTOR之前  -->
         < custom-filter  before ="FILTER_SECURITY_INTERCEPTOR"
            ref ="myFilter"   />
     </ http >

     <!--  一个自定义的filter,必须包含authenticationManager,accessDecisionManager,securityMetadataSource三个属性,
    我们的所有控制将在这三个类中实现,解释详见具体配置  -->
     < beans:bean  id ="myFilter"  class ="com.robin.erp.fwk.security.MyFilterSecurityInterceptor" >
         < beans:property  name ="authenticationManager"
            ref ="authenticationManager"   />
         < beans:property  name ="accessDecisionManager"
            ref ="myAccessDecisionManagerBean"   />
         < beans:property  name ="securityMetadataSource"
            ref ="securityMetadataSource"   />
     </ beans:bean >
    
     <!--  认证管理器,实现用户认证的入口,主要实现UserDetailsService接口即可  -->
     < authentication-manager  alias ="authenticationManager" >
         < authentication-provider
             user-service-ref ="myUserDetailService" >
             <!--    如果用户的密码采用加密的话,可以加点“盐”
                <password-encoder hash="md5" />
             -->
         </ authentication-provider >
     </ authentication-manager >
     < beans:bean  id ="myUserDetailService"
        class ="com.robin.erp.fwk.security.MyUserDetailService"   />

     <!--  访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源  -->
     < beans:bean  id ="myAccessDecisionManagerBean"
        class ="com.robin.erp.fwk.security.MyAccessDecisionManager" >
     </ beans:bean >
    
     <!--  资源源数据定义,即定义某一资源可以被哪些角色访问  -->
     < beans:bean  id ="securityMetadataSource"
        class ="com.robin.erp.fwk.security.MyInvocationSecurityMetadataSource"   />

</ beans:beans >


3,来看看自定义filter的实现:


package  com.robin.erp.fwk.security;
 import  java.io.IOException;

 import  javax.servlet.Filter;
 import  javax.servlet.FilterChain;
 import  javax.servlet.FilterConfig;
 import  javax.servlet.ServletException;
 import  javax.servlet.ServletRequest;
 import  javax.servlet.ServletResponse;

 import  org.springframework.security.access.SecurityMetadataSource;
 import  org.springframework.security.access.intercept.AbstractSecurityInterceptor;
 import  org.springframework.security.access.intercept.InterceptorStatusToken;
 import  org.springframework.security.web.FilterInvocation;
 import  org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;

 public   class  MyFilterSecurityInterceptor  extends  AbstractSecurityInterceptor
         implements  Filter {

     private  FilterInvocationSecurityMetadataSource securityMetadataSource;

     //  ~ Methods
     //  ========================================================================================================

     /**   *//**
     * Method that is actually called by the filter chain. Simply delegates to
     * the { @link  #invoke(FilterInvocation)} method.
     * 
     *  @param  request
     *            the servlet request
     *  @param  response
     *            the servlet response
     *  @param  chain
     *            the filter chain
     * 
     *  @throws  IOException
     *             if the filter chain fails
     *  @throws  ServletException
     *             if the filter chain fails
      */
     public   void  doFilter(ServletRequest request, ServletResponse response,
            FilterChain chain)  throws  IOException, ServletException {
        FilterInvocation fi  =   new  FilterInvocation(request, response, chain);
        invoke(fi);
    }

     public  FilterInvocationSecurityMetadataSource getSecurityMetadataSource() {
         return   this .securityMetadataSource;
    }

     public  Class <?   extends  Object >  getSecureObjectClass() {
         return  FilterInvocation. class ;
    }

     public   void  invoke(FilterInvocation fi)  throws  IOException,
            ServletException {
        InterceptorStatusToken token  =   super .beforeInvocation(fi);
         try  {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        }  finally  {
             super .afterInvocation(token,  null );
        }
    }

     public  SecurityMetadataSource obtainSecurityMetadataSource() {
         return   this .securityMetadataSource;
    }

     public   void  setSecurityMetadataSource(
            FilterInvocationSecurityMetadataSource newSource) {
         this .securityMetadataSource  =  newSource;
    }

    @Override
     public   void  destroy() {
    }

    @Override
     public   void  init(FilterConfig arg0)  throws  ServletException {
    }

}
最核心的代码就是invoke方法中的InterceptorStatusToken token = super.beforeInvocation(fi);这一句,即在执行doFilter之前,进行权限的检查,而具体的实现已经交给accessDecisionManager了,下文中会讲述。

4,来看看authentication-provider的实现:


package  com.robin.erp.fwk.security;
 import  java.util.ArrayList;
 import  java.util.Collection;

 import  org.springframework.dao.DataAccessException;
 import  org.springframework.security.core.GrantedAuthority;
 import  org.springframework.security.core.authority.GrantedAuthorityImpl;
 import  org.springframework.security.core.userdetails.User;
 import  org.springframework.security.core.userdetails.UserDetails;
 import  org.springframework.security.core.userdetails.UserDetailsService;
 import  org.springframework.security.core.userdetails.UsernameNotFoundException;

 public   class  MyUserDetailService  implements  UserDetailsService  {

    @Override
    public UserDetails loadUserByUsername(String username)
            throws UsernameNotFoundException, DataAccessException {
        Collection<GrantedAuthority> auths=new ArrayList<GrantedAuthority>();
        GrantedAuthorityImpl auth2=new GrantedAuthorityImpl("ROLE_ADMIN");
        auths.add(auth2);
        if(username.equals("robin1")){
            auths=new ArrayList<GrantedAuthority>();
            GrantedAuthorityImpl auth1=new GrantedAuthorityImpl("ROLE_ROBIN");
            auths.add(auth1);
        }
        
//        User(String username, String password, boolean enabled, boolean accountNonExpired,
//                    boolean credentialsNonExpired, boolean accountNonLocked, Collection<GrantedAuthority> authorities) {
        User user = new User(username,
                "robin"truetruetruetrue, auths);
        return user;
    }
    
}

在这个类中,你就可以从数据库中读入用户的密码,角色信息,是否锁定,账号是否过期等,我想这么简单的代码就不再多解释了。

5,对于资源的访问权限的定义,我们通过实现FilterInvocationSecurityMetadataSource这个接口来初始化数据。

package  com.robin.erp.fwk.security;
 import  java.util.ArrayList;
 import  java.util.Collection;
 import  java.util.HashMap;
 import  java.util.Iterator;
 import  java.util.Map;

 import  org.springframework.security.access.ConfigAttribute;
 import  org.springframework.security.access.SecurityConfig;
 import  org.springframework.security.web.FilterInvocation;
 import  org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource;
 import  org.springframework.security.web.util.AntUrlPathMatcher;
 import  org.springframework.security.web.util.UrlMatcher;

 /**   *//**
 * 
 * 此类在初始化时,应该取到所有资源及其对应角色的定义
 * 
 *  @author  Robin
 * 
  */
public   class  MyInvocationSecurityMetadataSource
         implements  FilterInvocationSecurityMetadataSource {
     private  UrlMatcher urlMatcher  =   new  AntUrlPathMatcher();;
     private   static  Map < String, Collection < ConfigAttribute >>  resourceMap  =   null ;

     public  MyInvocationSecurityMetadataSource() {
        loadResourceDefine();
    }

     private   void  loadResourceDefine() {
        resourceMap  =   new  HashMap < String, Collection < ConfigAttribute >> ();
        Collection < ConfigAttribute >  atts  =   new  ArrayList < ConfigAttribute > ();
        ConfigAttribute ca  =   new  SecurityConfig( " ROLE_ADMIN " );
        atts.add(ca);
        resourceMap.put( " /index.jsp " , atts);
        resourceMap.put( " /i.jap " , atts);
    }

     //  According to a URL, Find out permission configuration of this URL.
     public  Collection < ConfigAttribute >  getAttributes(Object object)
             throws  IllegalArgumentException {
         //  guess object is a URL.
        String url  =  ((FilterInvocation)object).getRequestUrl();
        Iterator < String >  ite  =  resourceMap.keySet().iterator();
         while  (ite.hasNext()) {
            String resURL  =  ite.next();
             if  (urlMatcher.pathMatchesUrl(url, resURL)) {
                 return  resourceMap.get(resURL);
            }
        }
         return   null ;
    }

     public   boolean  supports(Class <?>  clazz) {
         return   true ;
    }
    
     public  Collection < ConfigAttribute >  getAllConfigAttributes() {
         return   null ;
    }

}
看看loadResourceDefine方法,我在这里,假定index.jsp和i.jsp这两个资源,需要ROLE_ADMIN角色的用户才能访问。
这个类中,还有一个最核心的地方,就是提供某个资源对应的权限定义,即getAttributes方法返回的结果。注意,我例子中使用的是AntUrlPathMatcher这个path matcher来检查URL是否与资源定义匹配,事实上你还要用正则的方式来匹配,或者自己实现一个matcher。

6,剩下的就是最终的决策了,make a decision,其实也很容易,呵呵。

package  com.robin.erp.fwk.security;
 import  java.util.Collection;
 import  java.util.Iterator;

 import  org.springframework.security.access.AccessDecisionManager;
 import  org.springframework.security.access.AccessDeniedException;
 import  org.springframework.security.access.ConfigAttribute;
 import  org.springframework.security.access.SecurityConfig;
 import  org.springframework.security.authentication.InsufficientAuthenticationException;
 import  org.springframework.security.core.Authentication;
 import  org.springframework.security.core.GrantedAuthority;


 public   class  MyAccessDecisionManager  implements  AccessDecisionManager  {

    //In this method, need to compare authentication with configAttributes.
    // 1, A object is a URL, a filter was find permission configuration by this URL, and pass to here.
    // 2, Check authentication has attribute in permission configuration (configAttributes)
    // 3, If not match corresponding authentication, throw a AccessDeniedException.
    public void decide(Authentication authentication, Object object,
            Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException, InsufficientAuthenticationException {
        if(configAttributes == null){
            return ;
        }
        System.out.println(object.toString());  //object is a URL.
        Iterator<ConfigAttribute> ite=configAttributes.iterator();
        while(ite.hasNext()){
            ConfigAttribute ca=ite.next();
            String needRole=((SecurityConfig)ca).getAttribute();
            for(GrantedAuthority ga:authentication.getAuthorities()){
                if(needRole.equals(ga.getAuthority())){  //ga is user's role.
                    return;
                }
            }
        }
        throw new AccessDeniedException("no right");
    }

    @Override
    public boolean supports(ConfigAttribute attribute) {
        // TODO Auto-generated method stub
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }


}


在这个类中,最重要的是decide方法,如果不存在对该资源的定义,直接放行;否则,如果找到正确的角色,即认为拥有权限,并放行,否则throw new AccessDeniedException("no right");这样,就会进入上面提到的403.jsp页面。
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
上古掌控安全的神-零:Spring Security5.x到Spring Security6.x的迁移
Xayla的博客
04-20 1874
之前有写过一篇关于的文章,但那已经是相对比较旧的版本了,就目前来说,这其中出现了不少的变动和更新,很多API的使用也是有不小的变化,所以我觉得有必要再写几篇文章学习一下,是的,不是一篇,是几篇,下面是初步的写作计划。《上古掌控安全的神-壹:Spring Security6.0+版本初探》《上古掌控安全的神-贰:Spring Security6.0+版本再探》《上古掌控安全的神-叁:Spring Security6.0+版本认证实践》
springSecurity3.x
02-13
springSecurity3.x 非常不错的实例
Spring Security 3.x 完整入门教程
热门推荐
01-12 3万+
<br />1,建一个web project,并导入所有需要的lib,这步就不多讲了。<br /> 2,配置web.xml,使用Spring的机制装载:<?xml version="1.0" encoding="UTF-8"?><br /><web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"<br />     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"<br />
Spring Security 3.x 秘籍(一)
龙哥盟
07-24 1064
Spring SecuritySpring 框架提供的安全层。Spring 框架是一个活跃的开源项目,使应用程序的进一步开发变得更加容易。它提供了各种层来处理项目设计和实施生命周期中面临的不同场景和挑战。Spring 框架的 Spring Security 层与 Spring 框架的耦合度非常低,因此可以轻松地集成到其他应用程序中。在本书中,我们将把 Spring Security 与其他框架集成,并通过编码示例进行演示。身份验证和授权已成为所有 Web 应用程序的重要组成部分。
spring security 3.x 边学习边胡来(1)
alexqdjay1的博客
11-07 135
1. 简介    Spring Security基于Spring框架提供了一整套(相对)完整的web应用解决方案。Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。认证上包含http表单,http摘要、OpenID和LDAP等,在授权方面有ACL访问控制列表和基于角色的访问控制。   2.  Hello World 型的基本...
SpringSecurity6.x使用教程
wsb_2526的博客
07-06 1928
SpringSecurity目前支持的版本如下图所示,可以看到5.x的版本过几年就不会再维护了,6.x将成为主流。
Spring Security 3.x 完整入门教程 源代码
03-10
在这个完整入门教程中,你将学习如何利用Spring Security来构建安全的Web应用。 1. **身份验证**:Spring Security 提供了多种认证机制,如基于表单的登录、HTTP基本认证、OAuth2等。在3.x版本中,你可以配置`...
Spring Security 3.x 入门教程 中文WORD版
11-06
文件列表中的`spring-security3入门教程.doc`是主要的学习资料,它应该包含了上述所有知识点的详细解释和示例代码。`jb51.net.txt`可能是一些额外的参考资料链接,而`.url`文件可能是相关网站的快捷方式,例如`脚本...
SpringSecurity学习
weixin_57128596的博客
02-26 5412
目录 基于尚硅谷web学习 Security配置: 两个核心接口UserDetailsService与PasswordEncoder: 2.PasswordEncoder 给密码加密 Web项目权限控制方案 (11条消息) SpringSecurity回顾_Fairy要carry的博客-优快云博客 configure(AuthenticationManagerBuilder auth): configure(HttpSecurity http) 注解(对于处理请求方法的) 用户注销:.
Spring Security
HAN_789的博客
01-05 243
springsecurity 前置知识: spring springboot javaweb Spring Security 简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Aut.
Spring Security的学习
最新发布
m0_75236543的博客
03-10 1492
官网语言:翻译:Spring Security 是一个强大且高度可定制的身份验证和访问控制框架。它是保护基于 Spring 的应用程序的事实标准。Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正威力在于它能够轻松扩展以满足自定义需求。是不是感觉不是人话?我用大白话来说一说:首先定个调,它有认证,授权,过滤器链,权限动态管理,OAuth2 第三方登录这五个技能,
spring security学习
ok,兄弟们。全体目光向我看齐,我宣布个事儿...
07-26 281
spring security学习笔记
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值