SpringSecurity的快速搭建(ssm项目)

最新推荐文章于 2025-01-21 16:32:10 发布
置顶 最新推荐文章于 2025-01-21 16:32:10 发布
阅读量229 收藏 2
点赞数
分类专栏: SpringSecurity Spring 无聊写博客mmd 文章标签: spring java 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42296117/article/details/105823546
版权

首先我们要知道spring security适应来干嘛,主要功能是什么,

Spring Security 参考手册
这是springsecurity的官方手册,如果需要详细了解可前往此处;

  • spring的核心功能主要有三个:
    – 认证(认证你的角色是什么)
    – 授权(你能干什么)
    – 攻击防护(防止伪造是否)
  • 核心就是一组通过职责链的过滤器链;

第一步当然是先要将相关的依赖包加入,这里我加入到我ssm项目中的父项目中

<dependencies>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>4.2.10.RELEASE</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>4.2.10.RELEASE</version>
		</dependency>
		<!-- 标签库 -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-taglibs</artifactId>
			<version>4.2.10.RELEASE</version>
		</dependency>

	</dependencies>

第二步就是编写SpringSecurity的配置web.xml配置Security的Filter拦截所有请求

<!-- 权限过滤Filter -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

第三步就是编写SpringSecurity的配置类;给个模版吧




@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
	UserDetailsService userDetailsService;
	
	
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		// TODO Auto-generated method stub
		//super.configure(auth);
		auth.userDetailsService(userDetailsService).passwordEncoder(new BCryptPasswordEncoder());
	}
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests().antMatchers("/static/**","/login.jsp").permitAll()
		.anyRequest().authenticated();//剩下都需要认证
		// /login.jsp==POST  用户登陆请求发给Security
		http.formLogin().loginPage("/toLogin")
		.usernameParameter("loginacct").passwordParameter("userpswd")
		.loginProcessingUrl("/login")
		.defaultSuccessUrl("/main").permitAll();
		
		http.csrf().disable();
		http.logout().logoutSuccessUrl("/index");
		
		//异常处理器
		http.exceptionHandling().accessDeniedHandler(new AccessDeniedHandler() {

			@Override
			public void handle(HttpServletRequest request, HttpServletResponse response,
					AccessDeniedException accessDeniedException) throws IOException, ServletException {
				String type=request.getHeader("X-Requested-With");
				if ("XMLHttpRequest".equals(type)) {

					//ajax 通过流的形式
					//response.getWriter().print("403");//403权限不够
				}else {
					request.getRequestDispatcher("/WEB-INF/jsp/error/error403.jsp").forward(request, response);
				}

			}
		});
		
		
		http.rememberMe();
	}
	
}
  • 可以看到这个配置类是需要继承springsecurity所提供的WebSecurityConfigurerAdapter的适配器,且还得通过注解开启相关功能
  • @EnableWebSecurity // 声明式配置,启用SpringSecurity安全机制
  • @EnableGlobalMethodSecurity(prePostEnabled = true) //开启细粒度全局方法级别权限控制功能 需要实现细粒话控制就得开启这个
  • 注意的事项:
    – 如果想开启csrf防跨站攻击,必须post方式的/logout请求,表单中需要增加csrf token;如果不禁用csrf,默认是开启的状态;页面不设置csrf表单域,那么,提交登录请求会报错 刷新页面其中的值是不会变化,一旦你登入成功才会改变;如果你登入成功,这个值会被删除,因为他是保持在session中,查询回到登陆页和后退页面,这个值就会重新生成

UserDetailsService类 通过自定义DAO认证方式 最终返回的是一个SpringSecurity所提供的User,在我博客中对SpringSecurity表单认证的过滤器有解释这个类;



@Component
public class SecurityUserDetailServiceImpl implements UserDetailsService {

	@Autowired
	TAdminMapper adminMapper;
	@Autowired
	TRoleMapper roleMapper;
	@Autowired
	TPermissionMapper permissionMapper;

	Logger log=LoggerFactory.getLogger(SecurityUserDetailServiceImpl.class);
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		// TODO Auto-generated method stub
		/*
		 *  SELECT	t_role.* FROM t_role JOIN t_admin_role ON t_role.id = t_admin_role.roleid WHERE t_admin_role.adminid=2
		 * 
		 * 
		 * */
		// 1查询用户对象
		TAdminExample example = new TAdminExample();
		example.createCriteria().andLoginacctEqualTo(username);
		List<TAdmin> list = adminMapper.selectByExample(example);
		log.debug("用户信息{}",list);
		if (list != null && list.size() == 1) {
			TAdmin admin = list.get(0);
			Integer adminId = admin.getId();
			
			log.debug("用户信息{}",admin);
			
			// 1查询角色集合
			List<TRole> roleList = roleMapper.listRoleByAdminId(adminId);
			
			log.debug("用户角色{}",roleList);
			// 查询权限集合
			List<TPermission> permissionList = permissionMapper.listPermissionByAdminId(adminId);
			// 构建用户所有权限集合==》(ROLE_角色+权限)
			Set<GrantedAuthority> authorities=new HashSet<GrantedAuthority>();
			for (TRole role : roleList) {
				authorities.add(new SimpleGrantedAuthority("ROLE_"+role.getName()));
			}
			for (TPermission permission : permissionList) {
				authorities.add(new SimpleGrantedAuthority("ROLE_"+permission.getName()));
			}
			
			log.debug("用户总权限集合{}",authorities);
			
			
			// 第一个参数分别是 账号 密码 权限集合
			//return new User(admin.getLoginacct(), admin.getUserpswd(), authorities);
			
			return new TSecurityAdmin(admin, authorities);
		}else {
			return null;
		}

		
	}

}
  • 为什么我会把系统原先的User类给注释,因为可以通过继承来封装一个自定义的User类;原因是如果还需要往里面增加其他属性就显得力不从心,因为User的构造方法最多只提供了7个属性的赋值,上篇博客有讲到这些属性在源码中的应用;因为只能存储到账号密码和密码,但是在实际的使用上,我们还需要使用查询的用户的其他的属性;

public class TSecurityAdmin extends User {

	TAdmin admin;
	public TSecurityAdmin(TAdmin admin,Set<GrantedAuthority> authorities) {	
		super(admin.getLoginacct(), admin.getUserpswd(), true, true, true, true, authorities);
		this.admin=admin;
	}	
}

然后就是让SpringMVC来扫描所有的组件,因为细粒化控制注解需加在controller中,原因是Security的配置是在根容器(Spring配置文件)Spring配置文件没有扫SpringMVC的东西,导致SpringMVC中的组件不能被,所以在controller中的权限控制注解不成功

  • 解决方法1:在controller方法里的service中的具体方法实现累添加权限注解,因为除了controller的组件都是spring管理;
  • 方法2:删除spring ioc容器,让springMVC扫描全部组件;这里我们选择这种

所以在web.xml中注释掉了spring容器;让后将spring容器的配置文件加入到springMVC中:

<!-- 核心控制器 -->
	<!-- The front controller of this Spring Web application, responsible for 
		handling all application requests -->
	<servlet>
		<servlet-name>springDispatcherServlet</servlet-name>
		<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
		<init-param>
			<param-name>contextConfigLocation</param-name>
			<param-value>
			classpath*:/spring/springmvc.xml
			classpath*:/spring/spring-*.xml
			</param-value>
		</init-param>
		<load-on-startup>1</load-on-startup>
	</servlet>

	<!-- Map all requests to the DispatcherServlet for handling -->
	<servlet-mapping>
		<servlet-name>springDispatcherServlet</servlet-name>
		<url-pattern>/</url-pattern>
	</servlet-mapping>
	<!-- 创建Spring IOC容器 -->
	<!-- needed for ContextLoaderListener -->
	<!-- <context-param>
		<param-name>contextConfigLocation</param-name>
		<param-value>classpath*:/spring/spring-*.xml</param-value>
	</context-param>

	Bootstraps the root web application context before servlet initialization
	<listener>
		<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
	</listener> -->

然后就是给我们的方法标注权限注解了比如在Controller中,控制doAdd这个方法的访问只能是项目经理


	@PreAuthorize("hasRole('项目经理')")
	@RequestMapping("admin/doAdd")
	public String doAdd(TAdmin admin) {
		adminService.saveTAdmin(admin);
		
		return "redirect:/admin/index?pageNum="+Integer.MAX_VALUE;

页面中元素也是可以被控制的,通过springsecurity的jsp标签来实现;如下面代码:认证的用户的角色钥匙组长才能看到这个帮助的图标

<sec:authorize access="hasRole('组长')">
<button type="button" class="btn btn-default btn-danger">
    <span class="glyphicon glyphicon-question-sign"></span> 帮助
</button>
</sec:authorize>
SpringSecurity快速搭建
zjb1314th的博客
08-11 484
文章暂不谈spring security源码,只简单记录快速搭建spring security实现登录、权限验证时,遇到的问题。 spring security快速搭建,分为两部分:配置部分、请求部分。配置部分会在项目启动时读取;请求部分就是经过security的一系列过滤器进行登录验证及权限验证。 先上demo的目录结构: 一、配置部分: 1、添加spring security依赖 <dependency> <groupId>org.spri.
Spring ssm SpringSecurity 做一个小项目,非常简单
m0_58039950的博客
04-13 522
SpringSecurity 本章我们会一边讲解SpringSecurity框架,一边从头开始编写图书管理系统。 SpringSecurity是一个基于Spring开发的非常强大的权限验证框架,其核心功能包括: 认证 (用户登录) 授权 (此用户能够做哪些事情) 攻击防护 (防止伪造身份攻击) 我们为什么需要使用更加专业的全新验证框架,还要从CSRF说起。 CSRF跨站请求伪造攻击 我们时常会在QQ上收到别人发送的钓鱼网站链接,只要你在上面登陆了你的QQ账号,那么不出意外,你的号已经在别人手中了。实际.
SpringSecurity学习笔记(一):搭建最简单的SpringSecurity应用
bangbang0203的博客
07-04 170
学习过程参考自:http://www.mossle.com/docs/auth/html/pt01-quickstart.html 一、搭建Maven项目:   所需引用的jar包如下:   pom.xml文件: <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://ma...
搭建SpringSecurity
weixin_42426099的博客
04-19 158
Spring Security:用来提供安全认证服务的框架 相关准备 构建工具使用Maven,创建一个Maven工程spring-security-demo,工程类型选择为war,通过Maven引入相关依赖 pom.xml: <properties> <spring.version>4.2.4.RELEASE</spring.version> <...
SpringSecurity简单搭建
Jz_Stu的博客
06-16 531
SpringSecurity入门体验demo 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录SpringSecurity入门体验demo前言一、使用步骤1.建立一个Spring Boot的简单maven项目,只需要选用Spring Web以及Spring Security的依赖即可2.新建一个自定义的Spring Security配置类3.新建一个Co
Spring Boot——搭建Spring Security(保姆级别)
一心同学的博客
12-30 1141
保姆级别讲解基于SpringBoot搭建SpringSecurity,利用权限认证来对控制用户对静态资源的访问。
ssm框架整合Spring Security项目.zip
03-06
安装与部署:每个项目都提供了详细的安装和部署指南,帮助您快速搭建和运行项目。 定制开发:您可以根据实际需求对项目进行定制开发,扩展功能和优化性能。 五、结语 通过这一系列SSM Java项目的下载和学习,您将...
IDEA搭建SSM项目源码下载
04-26
项目"IDEA搭建SSM项目源码下载"是针对初学者设计的,旨在帮助他们快速理解和实践SSM框架的集成与应用。 1. **Spring框架**:Spring是一个全面的企业级应用开发框架,它提供依赖注入(DI)和面向切面编程(AOP)等...
从零搭建SSM项目
02-25
SSM项目中,Spring作为容器管理其他组件,包括Service层和DAO层。 1. **依赖注入(DI)**:通过配置文件或注解实现对象间的依赖关系,使得代码更加松耦合,易于测试和维护。 2. **AOP**:用于实现横切关注点,如...
(SSMSpring Boot、Spring Security、MinIO、Vue). 以Java项目实践
03-06
安装与部署:每个项目都提供了详细的安装和部署指南,帮助您快速搭建和运行项目。 定制开发:您可以根据实际需求对项目进行定制开发,扩展功能和优化性能。 五、结语 通过这一系列SSM Java项目的下载和学习,您将...
Spring Security 安全框架搭建
xzh2022的博客
03-28 1131
SpringBoot系列----Spring Security 安全简介 在Web开发中,安全第一位!!!安全虽属于应用的非功能性需求,但应当在应用开发系统设计之初就考虑进来,若开发后期才考虑安全的问题: ​ 应用会存在严重的安全漏洞,可能造成用户隐私泄露 ​ 应用的基本架构已经确定,再考虑应用安全,修复安全漏洞,需要较大幅度调整系统架构,耗时耗力 ​ 认证,授权(admin,user1,user2,VIP) ​ 功能权限 ​ 访问权限 ​ 菜单权限 ​ … ​ 以前用拦截器、过滤器, 产生大量的
Spring Boot-搭建SpringSecurity(保姆级别)
2301_82242204的博客
04-09 3458
看完美团、字节、腾讯这三家的一二三面试问题,是不是感觉问的特别多,可能咱们真的又得开启面试造火箭、工作拧螺丝的模式去准备下一次的面试了。开篇有提及我可是足足背下了Java互联网工程师面试1000题,多少还是有点用的呢,换汤不换药,不管面试官怎么问你,抓住本质即可!能读到此处的都是真爱Java互联网工程师面试1000题。
springsecurity项目快速搭建
weixin_42383680的博客
05-15 366
自定义security的搭建
搭建第一个springSecurity工程
雨天的麦子的博客
10-09 228
1.利用maven中webapp骨架创建项目 2.导入相关的pom文件 <properties> <spring.version>5.0.2.RELEASE</spring.version> <spring.security.version>5.0.1.RELEASE</spring.security.version>...
01 SpringSecurity项目搭建
01-12 730
Spring Security 的前身是 Acegi Security,在被收纳为Spring项目后正式更名为Spring Security。 现在Spring Security已经升级到5.6.1.RELEASE版本,加入了原生OAuth2.0框架。(OAuth2具体概念自己搜索) 一、创建一个简单的SpringSecurity项目 1.创建项目 选择Spring Initializr,项目SpringSecurityDemo, Jdk8 2.选择依赖 SpringBoot2.6.2版
Spring Security框架简单搭建
最新发布
weixin_45822714的博客
01-21 742
4.在service层调用authenticate方法传入一个authentication对象,DaoAuthenticationProvider会调用UserDetailsService接口的loadUserByUsername方法,所以们还需要一个实现了UserDetailsService接口的类重写loadUserByUsername方法(第5步)它包含一个名为loadUserByUsername()的方法,我们在这个方法自定义认证逻辑,最后返回一个UserDetails对象。
Spring Security入门(一)搭建环境
CSNZのBlog
06-15 283
一:导入依赖 <properties> <spring.version>5.0.2.RELEASE</spring.version> <spring.security.version>5.0.1.RELEASE</spring.security.version> </properties> <dependencies> <dependency>
Spring Boot集成Spring Security 搭建登录模块
qq_58353992的博客
02-29 1953
Spring Cloud搭建Spring Security笔记
Spring Security 学习-环境搭建(一)
程序员小奎的博客
07-09 1438
快速搭建Spring Security 的hello word 环境
Spring框架搭建SSM Demo教程
通过分析这个Demo,开发者可以学习如何搭建SSM框架结构、如何配置各项参数、如何实现具体的业务逻辑以及如何进行数据库操作。Demo通常用于教育目的,帮助开发者快速理解框架的工作原理,并提供一个可以快速开始实际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值