spring-security

最新推荐文章于 2023-03-27 19:45:52 发布
原创 最新推荐文章于 2023-03-27 19:45:52 发布 · 127 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#数据库 #java

本文详细介绍SpringSecurity的安全配置方法,包括HTTP安全配置、登录与注销流程、并发会话控制及访问控制列表等。针对不同功能模块提供了具体的XML配置示例。

Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:sec="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd"
    default-lazy-init="true">
    <!-- 
        auto-config = true 则使用from-login. 如果不使用该属性 则默认为http-basic(没有session). 
        lowercase-comparisons:表示URL比较前先转为小写。
        path-type:表示使用Apache Ant的匹配模式。
        access-denied-page:访问拒绝时转向的页面。
        access-decision-manager-ref:指定了自定义的访问策略管理器。当系统角色名的前缀不是默认的ROLE_时,需要自定义访问策略管理器。
     -->
    <sec:http auto-config="true" servlet-api-provision="false" lowercase-comparisons="false"
        access-denied-page="/html/error_page_access_denied.html" path-type="ant"
        access-decision-manager-ref="accessDecisionManager">
        <!-- 
            login-page:指定登录页面。
            login-processing-url:指定了客户在登录页面中按下 Sign In 按钮时要访问的 URL。与登录页面form的action一致。其默认值为:/j_spring_security_check。
            authentication-failure-url:指定了身份验证失败时跳转到的页面。
            default-target-url:指定了成功进行身份验证和授权后默认呈现给用户的页面。
            always-use-default-target:指定了是否在身份验证通过后总是跳转到default-target-url属性指定的URL。
         -->
        <sec:form-login login-page="/admin/page!login.action" login-processing-url="/admin/login" 
            default-target-url="/admin/page!main.action" authentication-failure-url="/admin/page!login.action" 
            always-use-default-target="true"  />
            
        <!-- "记住我"功能,采用持久化策略(将用户的登录信息存放在数据库表中) -->
        <sec:remember-me key="e37f8888-0ooo-22dd-bd0b-9900211c9a66" />
        <!-- 
            logout-url:指定了用于响应退出系统请求的URL。其默认值为:/j_spring_security_logout。
            logout-success-url:退出系统后转向的URL。
            invalidate-session:指定在退出系统时是否要销毁Session。
         -->
        <sec:logout invalidate-session="true" logout-success-url="/admin/page!login.action" 
            logout-url="/admin/logout" />
        <!-- 
            max-sessions:允许用户帐号登录的次数。范例限制用户只能登录一次。
            exception-if-maximum-exceeded: 默认为false,此值表示:用户第二次登录时,前一次的登录信息都被清空。
            当exception-if-maximum-exceeded="true"时系统会拒绝第二次登录。
         -->
        <sec:concurrent-session-control max-sessions="1" exception-if-maximum-exceeded="false" />
        
        <!-- 后台登录 -->
        <!-- intercept-url:拦截器,可以设定哪些路径需要哪些权限来访问. filters=none 不使用过滤,也可以理解为忽略 --> 
        <sec:intercept-url pattern="/admin/page!login.action" filters="none" />
        <!-- 商品管理 -->
        <sec:intercept-url pattern="/admin/goods!**" access="ROLE_GOODS" />
        <!-- 基础管理权限 -->
        <sec:intercept-url pattern="/admin/**" access="ROLE_BASE" />
        <!-- 
                   下面是对Struts2的Action请求时的配置。注意在前面加/,否则不会被拦截验证。
                          表示具有访问/unitsManager资源的用户必须具有ROLE_PLATFORMADMIN的权限。
                          当用户登录时,将用户的所有权限从数据库中提取出来,形成列表。 当用户访问该资源时,
                          将登录用户的权限列表提出来跟下面配置的权限进行比对,若有,则允许访问,若没有,
                          则给出AccessDeniedException。     
         -->
        <sec:intercept-url pattern="/unitsManager" access="ROLE_PLATFORMADMIN" />
        <sec:intercept-url pattern="/usersManager" access="ROLE_PLATFORMADMIN" />
        <sec:intercept-url pattern="/horizontalQuery" access="ROLE_PLATFORMADMIN" />
        <sec:intercept-url pattern="/verticalQuery" access="ROLE_PLATFORMADMIN" /> 
    </sec:http>

    <sec:authentication-provider user-service-ref="adminDetailsServiceImpl">
        <sec:password-encoder hash="md5" />
    </sec:authentication-provider>

</beans>
Spring Security配置详细
2401_83447580的博客
08-29 2106
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,专为基于Spring的应用程序设计。本教程将指导你如何在一个简单的Spring Boot应用程序中集成Spring Security,以实现基本的用户认证和授权功能。
springsecurity使用配置详解
03-24
springsecurity使用配置详解,压缩包里包含主要的代码和详细的word文件说明。
SpringSecurity 3配置文件
03-19
NULL 博文链接:https://zhaobohao.iteye.com/blog/701238
spring-security学习笔记--配置文件
xyzroundo的专栏
01-06 575
来源:http://blog.sina.com.cn/s/blog_7c3328d701013fct.html xml version="1.0" encoding="UTF-8"?> beans xmlns="http://www.springframework.org/schema/beans"     xmlns:sec="http://www.springframework.org/
spring-security配置文件
WANG1690333108的博客
06-10 294
<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schem.
spring-security-core-5.2.0.RELEASE-API文档-中文版.zip
07-13
赠送jar包:spring-security-core-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-core-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
精选资源
spring-security-core-5.3.9.RELEASE-API文档-中文版.zip
07-14
赠送jar包:spring-security-core-5.3.9.RELEASE.jar; 赠送原API文档:spring-security-core-5.3.9.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.3.9.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
spring-security-core-5.0.7.RELEASE-API文档-中文版.zip
06-26
赠送jar包:spring-security-core-5.0.7.RELEASE.jar; 赠送原API文档:spring-security-core-5.0.7.RELEASE-javadoc.jar; 赠送源代码:spring-security-core-5.0.7.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
精选资源
spring-security-crypto-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-crypto-5.5.2.jar; 赠送原API文档:spring-security-crypto-5.5.2-javadoc.jar; 赠送源代码:spring-security-crypto-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-...
spring-security-jwt-1.0.10.RELEASE-API文档-中文版.zip
05-09
赠送jar包:spring-security-jwt-1.0.10.RELEASE.jar; 赠送原API文档:spring-security-jwt-1.0.10.RELEASE-javadoc.jar; 赠送源代码:spring-security-jwt-1.0.10.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
SpringSecurity配置文件
Ashley_Peng的博客
09-05 736
web.xml <!--springSecurity配置 --> <context-param> <param-name>contextConfigLocation</param-name> <param-value>classpath:spring/spring-security.xml<...
Spring security 配置文件(自用)
qq_42458198的博客
10-31 1356
Spring security 配置文件(自用) Maven 坐标 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>5.0.5.RELEA
我的JAVA笔记之spring security安全框架-配置文件
qq_46452011的博客
07-03 344
我的笔记之spring security安全框架-配置文件 先上代码:spring-security.xml配置文件 <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http:/
springSecurity配置文件 头
health的博客
04-02 185
<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" .
Spring Security——session管理
weixin_33921089的博客
05-05 366
2019独角兽企业重金招聘Python工程师标准>>> ...
apache shiro 如何升级_(八) SpringBoot起飞之路-整合Shiro详细教程(MyBatis、Thymeleaf)
weixin_39622710的博客
11-25 553
注:如果觉得不清楚,可以去看我博客或者最下面扫,看清晰的版本,知乎上传时图片可能被压缩了兴趣的朋友可以去了解一下前几篇,你的赞就是对我最大的支持,感谢大家!(一) SpringBoot起飞之路-HelloWorld(二) SpringBoot起飞之路-入门原理分析(三) SpringBoot起飞之路-YAML配置小结(入门必知必会)(四) SpringBoot起飞之路-静态资源处理(五) Spri...
spring security用法之maven配置文件
qq_41553871的博客
05-13 2427
spring security用法之maven配置文件 maven依赖 <dependencies> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> ...
Spring Security配置
qq_46005551的博客
03-27 2617
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
spring security 概述& 配置文件详解
热门推荐
feng27156的专栏
12-18 2万+
通常,安全任务是由应用服务器完成用户认证和对资源的授权,这些任务也可以委托给Spring security处理这些任务从而减轻应用服务器负担,Spring安全基本上通过实施标准的javax.servlet.Filter来处理这些任务,您需要声明下面的过滤器在web.xml:     springSecurityFilterChain     org.springframework.
spring-boot-starter-securityspring-security-config 包冲突
最新发布
10-25
<think>我们正在解决Spring Boot项目中`spring-boot-starter-security`与`spring-security-config`包之间的冲突问题。 冲突通常是由于版本不匹配引起的。`spring-boot-starter-security`是一个starter,它会引入一系列Spring Security相关的依赖,包括`spring-security-config`。如果我们单独引入`spring-security-config`且版本与starter中管理的版本不一致,就会导致冲突。 解决步骤: 1. **确认冲突**:使用Maven或Gradle的依赖树命令查看冲突。 2. **统一版本**:由于Spring Boot通过`spring-boot-starter-parent`管理依赖版本,推荐使用Spring Boot的依赖管理,避免手动指定版本。 3. **排除冲突**:如果确实需要引入其他版本的`spring-security-config`,可以在依赖中排除starter中的版本,然后引入指定版本(但需谨慎,确保兼容性)。 具体操作: **Maven项目**: 步骤1:查看依赖树,找到冲突 ``` mvn dependency:tree ``` 步骤2:在`spring-boot-starter-security`中排除`spring-security-config`(如果确实需要引入不同的版本,一般不推荐) ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <exclusions> <exclusion> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </exclusion> </exclusions> </dependency> ``` 步骤3:然后单独引入你需要的`spring-security-config`版本(注意与Spring Boot版本的兼容性) ```xml <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>6.5.6</version> <!-- 确保此版本与Spring Boot管理的其他Spring Security组件兼容 --> </dependency> ``` **Gradle项目**: 步骤1:查看依赖树 ``` gradle dependencies ``` 步骤2:排除依赖并引入指定版本 ```gradle implementation('org.springframework.boot:spring-boot-starter-security') { exclude group: 'org.springframework.security', module: 'spring-security-config' } implementation 'org.springframework.security:spring-security-config:6.5.6' ``` **重要建议**: 1. **优先使用Spring Boot管理的版本**:Spring Boot的starter已经管理了Spring Security组件的版本,通常不需要单独引入`spring-security-config`。如果你需要特定功能,应该升级Spring Boot版本,因为Spring Boot会升级其管理的Spring Security版本。 2. **检查兼容性**:如果你必须使用不同版本的`spring-security-config`,请确保该版本与Spring Boot版本兼容。参考[Spring Boot官方文档](https://docs.spring.io/spring-boot/docs/current/reference/html/dependency-versions.html)中的版本对应关系。 3. **避免手动指定**:在绝大多数情况下,只需引入`spring-boot-starter-security`即可,它会自动引入正确版本的`spring-security-config`。 引用中提到Spring Security的配置(引用[1]和[4])以及版本管理(引用[3]),所以解决冲突的关键在于依赖管理。另外,引用[3]提到Spring Boot 2.0后默认使用Lettuce,这暗示了版本兼容性的重要性。 如果你在项目中同时引入了这两个依赖,且没有版本冲突,其实不需要排除。只有当出现版本不一致导致问题时,才需要按照上述步骤解决。 关于Spring Boot与Spring Security的版本对应关系,可参考以下表格(部分): | Spring Boot版本 | Spring Security版本 | |----------------|---------------------| | 3.2.x | 6.2.x | | 3.1.x | 6.1.x | | 3.0.x | 6.0.x | | 2.7.x | 5.7.x | | 2.6.x | 5.6.x | 对于6.5.6版本的`spring-security-config`,它需要Spring Boot 3.2.0及以上版本。因此,请确保你的Spring Boot版本与之匹配。 例如,使用Spring Boot 3.2.0,则默认的Spring Security版本是6.2.0。如果你想使用6.5.6,可以在Maven中覆盖版本属性: ```xml <properties> <spring-security.version>6.5.6</spring-security.version> </properties> ``` 这样,所有Spring Security相关的依赖(包括`spring-security-config`)都会升级到6.5.6,而Spring Boot的其他依赖保持不变。这种方式比排除更安全,因为保持了所有Spring Security模块版本一致。 总结:解决冲突的最佳实践是让Spring Boot统一管理版本,不要单独引入`spring-security-config`。如果必须引入,则排除starter中的版本并确保新版本兼容。 相关问题: 1. 如何查看Spring Boot与Spring Security的版本对应关系? 2. 在Maven中如何统一管理Spring Security的版本? 3. 排除依赖后出现ClassNotFoundError如何解决? 4. Spring Boot项目中如何升级Spring Security到指定版本? 5. 如何解决多个Spring Security模块版本不一致的问题? </think>### 解决 Spring Boot Security 依赖冲突的方法 当 `spring-boot-starter-security` 与 `spring-security-config` 发生版本冲突时,可通过以下步骤解决: --- ### 一、冲突原因分析 1. **版本不匹配**:`spring-boot-starter-security` 已包含 `spring-security-config`(如 Spring Boot 3.2.x 默认集成 Security 6.2.x),手动添加不同版本的 `spring-security-config` 会导致冲突[^1] 2. **隐性依赖**:其他依赖可能间接引入不同版本的 Security 组件 3. **配置重叠**:两个依赖提供的安全配置类可能重复加载 --- ### 二、解决方案(Maven项目示例) #### 方法1:统一依赖版本(推荐) 在 `pom.xml` 中仅保留 starter 依赖,移除手动添加的 config 依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- 移除以下手动添加的依赖 --> <!-- <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>xxx</version> </dependency> --> ``` #### 方法2:版本对齐 若需指定 Security 版本,通过属性统一管理: ```xml <properties> <spring-security.version>6.5.6</spring-security.version> </properties> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- 无需单独声明 config --> ``` #### 方法3:依赖排除 当其他组件引入冲突版本时: ```xml <dependency> <groupId>problematic.group</groupId> <artifactId>problematic-artifact</artifactId> <exclusions> <exclusion> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </exclusion> </exclusions> </dependency> ``` --- ### 三、验证解决方案 1. **检查依赖树**: ```bash mvn dependency:tree -Dincludes=org.springframework.security ``` 输出应显示唯一版本: ``` [INFO] +- org.springframework.boot:spring-boot-starter-security:jar:3.2.0 [INFO] | \- org.springframework.security:spring-security-config:jar:6.2.0 ``` 2. **运行时验证**: ```java // 在启动类中检查版本 @SpringBootApplication public class App { public static void main(String[] args) { System.out.println("Security Config版本: " + HttpSecurity.class.getPackage().getImplementationVersion()); SpringApplication.run(App.class, args); } } ``` --- ### 四、Gradle解决方案 在 `build.gradle` 中统一版本: ```gradle ext { set('springSecurityVersion', '6.5.6') } dependencies { implementation 'org.springframework.boot:spring-boot-starter-security' // 不需要单独引入 config } // 强制所有模块使用统一版本 configurations.all { resolutionStrategy.eachDependency { details -> if (details.requested.group == 'org.springframework.security') { details.useVersion "${springSecurityVersion}" } } } ``` --- ### 五、最佳实践 1. **避免混合配置**:不要同时使用 `@EnableWebSecurity` 和 XML 配置 2. **优先使用 starter**:Spring Boot Starter 已优化依赖管理(引用[1]) 3. **兼容性检查**:通过 [Spring Boot 版本矩阵](https://spring.io/projects/spring-boot#support) 验证版本兼容性 4. **CSRF集成**:冲突解决后,默认 CSRF 保护会自动生效(引用[4]) > 经过上述处理,Security 配置类如 `HttpSecurity` 将正常加载,参考[^1]实现定制化安全配置 --- ### 相关问题 1. 如何查看 Spring Boot Starter 的隐性依赖树? 2. 多模块项目中如何统一管理 Spring Security 版本? 3. Spring Security 6.x 与 Spring Boot 3.x 的兼容性要求有哪些? 4. 依赖冲突导致 CSRF 保护失效时如何排查? 5. 除了 Maven/Gradle,还有哪些工具可以解决 Jar 包冲突?
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符  | 博主筛选后可见
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值