基于注解配置的spring mvc 4 + spring security 4实例与解析

最新推荐文章于 2025-06-17 04:16:51 发布
原创 最新推荐文章于 2025-06-17 04:16:51 发布 · 4.4k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring mvc #spring security

本文详细介绍了Spring Security 4的主要功能,包括Authentication和Authorization,并解析了关键组件如SecurityContextHolder、Authentication接口、UsernamePasswordAuthenticationToken、AuthenticationProvider以及UserDetails和UserDetailsService。通过实例代码阐述了这些组件的工作原理及其相互关系,帮助读者深入理解Spring Security的配置与使用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

关于spring security 4(以下简称SS) ,我们不能不否认,学习的成本是挺高的。如果光光是复制配置代码而不去理解SS的各个组件的实现原理和功能,那当然还是相当简单的一回事,因为配置的代码就那么几行

PS:本人不是大神,写博客只是为了增强记忆和理解,以下的内容都是本人通过大量学习SS官方文档和搜索stack overflow探索得来的观点

1.SS究竟主要实现什么功能?

SS实现了非常多的功能,但是概括地说,SS主要实现了Authentication和Authorization,中文译文为认证与授权。以下用一个生动的例子说明:
认证:就相当于去私人会所,进保安那一关,保安通过认脸(SS通过账户和密码等)确认你是否可以进入
授权:当然,私人会所里面也有森严的等级制度,一些抢手的红牌不是屌丝可以点的,当然就有些屌丝可以点红牌,也只允许陪酒和唱歌;而一些较牛的VIP,就有很高的权限可以为所欲为。

2. 认识各个关键部件

1. 基础上下文组件SecurityContextHolder
根据官网的译文,SecurityContextHolder是SS中最基础的类,主要用来储存认证信息、认证规则等信息。在SS 4之后的版本,几乎不需要我们手动去配置这个组件。但是我们还是来认识一下这个组件的具体原理:
SecurityContextHolder主要通过ThreadLocal来实现认证和授权信息的处理,这个组件如果要深究,请查看SS的源代码。
我们只要知道SecurityContextHolder有一个很重要的方法,那就是getContext(),方法返回SecurityContext 类,这个类同样有一个非常重要的getAuthentication(),返回的是一个Authentication类,这个类就是我们上文说到大名鼎鼎的认证接口。

2.认证接口Authentication,UsernamePasswordAuthenticationToken,AuthenticationProvide
值得注意的是Authentication继承了Principal接口,问题来了,什么是Principal,我们看看官方的说法:

This interface represents the abstract notion of a principal, which
can be used to represent any entity, such as an individual, a
corporation, and a login id.
这是一个虚拟的接口,可以代表任何的实体类

意思就是说,这个Principal什么都不干,只是一个纯粹的Object,开发者喜欢把它转换成什么就是什么。通常在SS里,一般会转换成UserDetails类,这个类等下再说。

回到Authentication接口,它有那么几个重要的方法值得注意:
getPrincipal():这个方法毫无疑问,返回的是一个Pincipal类,通常可以转换成UserDetails类
getCredentials():这个方法返回的是用户凭证,通常是密码
getAuthoritis():这个方法返回的是权限集合,例如{“ROLE_ADMIN”,”ROLE_EMPLOYER”}这样的集合。

实现了Authentication接口的具体类有以下几个,非常值得注意:

  • 一个是UsernamePasswordAuthenticationToken,它就是一个简单代表账号、密码和权限的东西。
  • 另外一个是AuthenticaitonManager和AuthenticationProvider,他们其实差别不大,就只拿AuthenticationProvider来讲好了。他们都有一个最重要的方法,那就是authenticate()方法

这个方法主要用来生成一个Authentication接口的实现类,好了相信很多童鞋看到这里都已经无法理解SS了,坦白说,我也是….

不过各位这样理解就好了,AuthenticationProvider是一个负责验证用户信息的类,如果通过认证,就返回一个UsernamePasswordAuthenticationToken类,说明认证成功。否则,抛出BadCredentialsException错误或者其他Exception。

3.UserDetails和UserDetailsService接口
这个接口的具体实现类是SS的org.springframework.security.core.userdetails.User类(以下简称User类),用来储存SS所需的用户信息。而UserDetails一般很少自己new出来,主要是通过UserDetailsService的loadUserByUserName(String name)来生成。在方法里,开发者可以通过任何途径将自己的用户类转换成SS的User类。

说了那么一大堆,我还是放出代码来比较好理解

SercurityConfig.java

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    @Bean
    public UserDetailsService userDetailsService(){
        return new MyUserDetailsService();
    }

    @Bean
    public MyAuthenticationProvider myAuthenticationProvider(){
        MyAuthenticationProvider provider = new MyAuthenticationProvider();
        provider.setUserDetailsService(userDetailsService());
        return provider;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // TODO Auto-generated method stub

        http
            .csrf()
                .disable()
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll();
    }
}

MyUserDetailsService

public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserDao userDao;

    @Override
    public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
        System.out.println("UserDetails invoked");
        AppUser appUser = userDao.findUser(name);
        return new User(appUser.getName(),appUser.getPassword(),true,true,true,true,appUser.getAuthorities());
    }
}

MyAuthenticationProvider

    public class MyAuthenticationProvider extends DaoAuthenticationProvider{
        @Autowired
        private MyUserDetailsService uds;

        @Override
        public Authentication authenticate(Authentication auth) throws AuthenticationException {
            String requestName = auth.getName();
            String requestPass = auth.getCredentials().toString();
            UserDetails ud = uds.loadUserByUsername(requestName);

            //对比用户输入密码与数据库密码是否一致
            if (requestPass.equals(ud.getPassword())) {
                System.out.println("auth:user auth success");
                return new UsernamePasswordAuthenticationToken(auth.getPrincipal(), auth.getCredentials(),
                        ud.getAuthorities());
            }
            throw new BadCredentialsException("Bad credentials");
        }

        @Override
        public boolean supports(Class<?> arg0) {
            // TODO Auto-generated method stub
            return true;
        }

涉及其他配置的代码太多了,有需要的自己下载哈。
http://download.youkuaiyun.com/download/selfreeyuan/10118873

SpringMVC+Spring security登录验证+权限控制
yeqingyun2012的博客
12-31 927
一、pom.xml添加依赖 <!-- Spring Security --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactI...
spring MVC 3.1 spring security 注解实现安全机制
06-28
spring MVC 3.1+spring security3.1+mybaits+ 注解 实现安全机制。jar包没有上传。自己补充
基于springMVC+springSecurity3.x+Mybaits3.x的权限系统,,开放源码,支持开源
热门推荐
蓝缘
11-24 10万+
在平时的空闲时,自己做了一个权限管理系统,细粒度控制,支持控制到按扭!支持开源!分享知识!   很久之前就想把自己所学到的知识以及项目所用的技术集结起来,之前太忙了,一直没有动手做,这段时间有点闲,就把一个系统的基本要素功能做了出来,发现自己又懂得很多!其中也遇到不少困难和问题,但最终还是一一解决了!经验就是这样得来的!哈哈!我的博客有很多文章都是在项目中遇到问题以及解决办法写下来的!写得不好不
Spring Boot + Spring Security + 自定义注解实现数据权限控制(含前后端代码)
最新发布
ldwtxwh的专栏
06-17 891
*** 租户字段名(默认tenant_id)*//*** 部门字段名(默认dept_id)*//*** 用户字段名(默认user_id)*//*** 数据范围类型*//*** 额外过滤条件*/// 数据范围枚举ALL, // 所有数据TENANT, // 当前租户DEPT, // 当前部门DEPT_AND_SUB, // 当前部门及子部门SELF, // 仅自己数据CUSTOM // 自定义条件2.2.2 字段权限注解/*** 角色类型。
Spring MVC4 + Spring Security4 + Hibernate实例
weixin_34138056的博客
01-25 278
http://www.yiibai.com/spring-security/spring-mvc-4-and-spring-security-4-integration-example.html 在这篇教程文章中,我们将使用Spring Security,Hibernate+MySQL数据库来集成构建一个成熟的Spring MVC应用程序。处理多对多映射关系,同时利用BCrypt格式加密密码存储,...
spring-securityspringmvc整合
x286129277的专栏
11-03 7212
一、导入pom坐标 &lt;dependency&gt; &lt;groupId&gt;org.springframework.security&lt;/groupId&gt; &lt;artifactId&gt;spring-security-web&lt;/artifactId&gt; &lt;vers...
spring+spring mvc+mybatis框架整合实现超市货物管理系统
01-08
同时,还需要配置Spring MVC的`servlet-context.xml`,定义DispatcherServlet的拦截器、视图解析器等。对于MyBatis,我们需要创建`mybatis-config.xml`配置文件,配置数据源、事务管理器以及映射文件的位置。 ...
《Java EE企业级应用开发教程Spring+Spring MVC+MyBatis》_源代码.zip
11-29
《Java EE企业级应用开发教程Spring+Spring MVC+MyBatis》是一本深入探讨Java企业级应用程序开发的书籍,源代码包含多个章节的实例,旨在帮助读者理解和掌握使用SpringSpring MVC和MyBatis框架进行实际开发的关键...
ssm(spring+spring mvc+mybatis+maven)高仿bilibili视频网站项目实例
12-27
通过XML或注解方式配置,MyBatis能将SQL语句Java代码紧密集成,提供了灵活的查询控制。在本项目中,MyBatis用于数据库交互,如用户信息存储、视频上传记录、播放量统计等。 **Maven**是项目构建工具,负责管理...
基本的spring mvc + spring security实现的登录(无数据库)
01-01
- 通常包含src/main/java目录下的Controller、Service、DAO层以及配置类,src/main/resources下可能有Spring MVCSpring Security配置文件,webapp下是静态资源和视图文件。 7. **学习重点**: - 理解Spring ...
ssm框架整合项目(Spring+Spring MVC+Mybatis+Layui)
07-12
5. **SSM整合**:SSM整合的关键在于配置,包括Spring的bean配置Spring MVC的DispatcherServlet配置以及Mybatis的SqlSessionFactory配置。这些配置文件通常在项目的资源目录下,如`src/main/resources`,它们定义了...
springMVC注解+ security + redis 实例
04-10
springMVC注解+ security + redis 简单的实例,提供大家学习。springMVC注解+ security + redis 简单的实例,提供大家学习。
SpringMVC集成SpringSecurity
05-29
1.SpringSecurity 3.2实例,继承SpringMVC 3.2; 2.默认账户 admin,admin; 3.模拟后台数据加载,未集成数据库;
Spring基于注解整合Redis完整实例
08-07
实例完美的实现了Spring基于注解整合Redis,只需在相应方法上加上注解便可实现操作redis缓存的功能,具体实现方法运行测试方法请参见博文:http://blog.youkuaiyun.com/l1028386804/article/details/52141372
Spring Security3 - MVC 整合教程 (初识Spring Security3)
Java/Android/IOS/前端/云计算
10-06 2948
博客分类:  spring3MVC教程 SpringMVCSecurityXMLJSP  下面我们将实现关于Spring Security3的一系列教程.  最终的目标是整合Spring Security + Spring3MVC  完成类似于SpringSide3中mini-web的功能.  Spring Security是什么?  引用 Spring
SpringMVC+Spring Security实现登录认证的简单功能
xiaosongwahaha的博客
01-01 8980
一、依赖pom.xml 这里仅仅列出security需要的依赖,其他依赖见前面Spring目录下文章。                org.springframework.security          spring-security-core          3.1.4.RELEASE                      org.springframew
Spring MVC 4 + Spring Security 4 + Hibernate +JPA实战
github_31804537的博客
12-14 2266
最近花了有三个星期把spring实战学了遍,同时也把maven,git,Hibernate给用上了,确实比较锻炼手。登陆,注册(我前端不是很好)是网上找得模版,(提前说下界面做的很挫,是用来练手的,还有很多写的不是很好的代码,我会慢慢完善的,但功能是全的)登陆之后 用来报名考试用的 之后 点了之后,就会扣除你的钱,你也会报名成功。如果不成功就会跳转第一步pom.xml<project
Spring SecuritySpring MVC 整合
深圳市多克创新科技有限公司
10-28 1119
Spring SecuritySpring MVC 整合
spring-security注解配置
AKABUGmaker的博客
11-18 425
<?xml version="1.0" encoding="UTF-8"?> <!-- 配置不需要权限就能访问资源 css js --> <security:http pattern="/css/**" security="none"></security:http> <security:http pattern="/js/**" se...
Spring MVC注解实例详解演示
Spring MVC注解实例Demo的实施要确保每个组件正确配置,并且能够Hibernate协同工作,以实现数据持久化操作。通过整合这两个框架,开发者可以利用注解带来的便利性,快速开发出可维护性高、扩展性好的Web应用程序。
评论 16
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值