Spring Security 3应用的11个步骤

最新推荐文章于 2023-07-29 15:39:37 发布
最新推荐文章于 2023-07-29 15:39:37 发布
阅读量128 收藏
点赞数
分类专栏: Spring 文章标签: Security Spring 企业应用 JSP Web
本文详细介绍如何通过11个步骤使用SpringSecurity为应用程序增加安全性。从基本配置到高级自定义,涵盖验证与授权、数据库验证、页面元素安全控制及方法级安全等关键环节。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

  1. Spring Security
    11个步骤为应用程序添加安全防护
  2. 历史与现状
    自2003年出现的Spring扩展插件Acegi Security发展而来。
    目前最新版本为3.x,已成为Spring的一部分。
    为J2EE企业应用程序提供可靠的安全性服务。
  3. Authentication vs. Authorization
    区分概念验证与授权
    验证
    这个用户是谁?
    用户身份可靠吗?
    授权
    某用户A是否可以访问资源R
    某用户A是否可以执行M操作
    某用户A是否可以对资源R执行M操作
  4. SS中的验证特点
    支持多种验证方式
    支持多种加密格式
    支持组件的扩展和替换
    可以本地化输出信息
  5. SS中的授权特点
    支持多种仲裁方式
    支持组件的扩展和替换
    支持对页面访问、方法访问、对象访问的授权。
  6. SS核心安全实现
    Web安全
    通过配置Servlet Filter激活SS中的过滤器链
    实现Session一致性验证
    实现免登陆验证(Remember-Me验证)
    提供一系列标签库进行页面元素的安全控制
    方法安全
    通过AOP模式实现安全代理
    Web安全与方法安全均可以使用表达式语言定义访问规则
  7. 配置SS
    配置Web.xml,应用安全过滤器
    配置Spring,验证与授权部分
    在web页面中获取用户身份
    在web页面中应用安全标签库
    实现方法级安全
  8. 1:配置web.xml
    <filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:spring.xml</param-value>
</context-param>
<listener>
<listener-class>
org.springframework.web.context.ContextLoaderListener
</listener-class>
</listener>
     
  9. 2:Spring配置文件中设置命名空间
    <?xml version="1.0" encoding="UTF-8"?>
<beans:beansxmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
</beans:beans>
     
  10. 3:配置最基本的验证与授权
    <http auto-config="true">
<intercept-url pattern="/**" access="ROLE_USER" />
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="tom" password="123" authorities="ROLE_USER, ROLE_A" />
<user name="jerry" password="123" authorities="ROLE_USER, ROLE_B" />
</user-service>
</authentication-provider>
</authentication-manager>
     
  11. 4:通过数据库验证用户身份
    <authentication-manager>
<authentication-provider>
<password-encoder hash=“md5”/>
<jdbc-user-service data-source-ref="dataSource"/>
</authentication-provider>
</authentication-manager>
数据表结构见SS说明手册附录A
     
  12. 5:完善web页面验证规则
    <http auto-config="true">
<intercept-url pattern="/js/**" filters="none"/>
<intercept-url pattern="/css/**" filters="none"/>
<intercept-url pattern="/images/**" filters="none"/>
<intercept-url pattern="/a.jsp" access="ROLE_A" />
<intercept-url pattern="/b.jsp" access="ROLE_B" />
<intercept-url pattern="/c.jsp" access="ROLE_A, ROLE_B" />
<intercept-url pattern="/**" access="ROLE_USER" />
</http>
     
  13. 6:自定义验证配置
    <http auto-config="true">
<!-- 指定登陆页面、成功页面、失败页面-->
<form-login login-page="/login.jsp" default-target-url="/index.jsp" authentication-failure-url="/login.jsp" />
<!-- 尝试访问没有权限的页面时跳转的页面 -->
<access-denied-handler error-page="/accessDenied.jsp"/>
<!-- 使用记住用户名、密码功能,指定数据源和加密的key -->
<remember-me data-source-ref="dataSource" />
<!-- logout页面,logout后清除session -->
<logout invalidate-session="true" logout-success-url="/login.jsp" />
<!-- session 失效后跳转的页面,最大登陆次数 -->
<session-management invalid-session-url="/sessionTimeout.htm">
<concurrency-control max-sessions="1" expired-url="/sessionTimeout.htm" />
</session-management>
</http>
可以使用SS自带的登陆页面作为login.jsp的模板
  14. 7:本地化消息输出
    拷贝本地化资源文件后,在配置文件中加载该文件:
    <!-- 加载错误信息资源文件 -->
<beans:bean id="messageSource" 
class="org.springframework.context.support.ReloadableResourceBundleMessageSource">
<beans:property name="basename" value="classpath:messages"/>
</beans:bean>
资源文件在SS核心包:spring-security-core-3.0.2.RELEASE.jar的orgspringframeworksecurity目录中
     
  15. 8:在web页面中获取用户信息
    方式一:Java代码
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
Collection<GrantedAuthority> col = auth.getAuthorities();
方式二:标签库
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<sec:authentication property="name“/>
<sec:authentication property="authorities“/>
     
  16. 9:在web页面进行元素安全控制
    方式一
<sec:authorizeifAnyGranted="ROLE_A">
<a href="a.jsp">你可以访问a.jsp</a>
</sec:authorize>
<sec:authorizeifNotGranted="ROLE_A">
你不可以访问a.jsp
</sec:authorize>
方式二
<sec:authorizeurl="/a.jsp">
<a href="a.jsp">你可以访问a.jsp</a>
</sec:authorize>
     
  17. 10:全局方法安全控制
    <global-method-security pre-post-annotations="enabled">
<protect-pointcut expression="execution(* com.xasxt.*Service.add*(..))" access="ROLE_A"/>
<protect-pointcut expression="execution(* com.xasxt.*Service.delete*(..))" access="ROLE_B"/>
</global-method-security>
此处使用了AspectJ中常用的切入点表达式(百度:AspectJ execution)
     
  18. 11:使用注解进行方法安全控制
    public class DemoService {
@PreAuthorize("hasRole(&apos;ROLE_A&apos;)")
public void methodA() {
}
@PreAuthorize("hasAnyRole(&apos;ROLE_A, ROLE_B&apos;)")
public void methodB() {
}
}
hasRole与hasAnyRole为SS通用内置表达式(google : spring security Common Built-In Expressions)
     
  19. 12:下一步做什么???
    采用更安全的验证方式
    采用安全的数据传输方式
    实现动态授权
    自定义验证与授权部件
    实现数据级安全
SpringSecurity学习笔记
雨落
05-07 2274
使用SpringSecurity+jwt实现前后端认证和授权
Spring Security基础使用
jkj2460228393的博客
05-14 453
前言 学习Spring Security 的认证和授权。 一、Spring Security 的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 二、新建控制器类 package com.example.de
Spring Security(10)权限处理
weixin_43189971的博客
07-20 2440
1.getAuthorities的方法中实现权限配置 2.权限评估器 permissionEvaluator 3. @PreAuthorize权限注解的两种写法(user中先开启注解)
Spring Security核心组件之用户
clyu的博客
09-28 256
一、用户 public interface UserDetails extends Serializable { Collection<? extends GrantedAuthority> getAuthorities(); // 上文中已经分析, 权限标识集合 String getPassword(); // 密码 String getUsername(); // 用户名 boolean isAccountNonExpired(); // 是否未过期 boole
Spring Security详解三:核心组件
骑个小蜗牛的博客
04-29 3398
核心组件 1.SecurityContextHolder SecurityContextHolder持有安全上下文(security context)的信息,可以通过SecurityContextHolder.getContext静态方法获取。 当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权等等,这些都被保存在SecurityContextHolder中。 SecurityContextHolder默认使用ThreadLocal 策略来存储认证信息。看到ThreadLocal 也就意味着,这是一
Spring-Security-3应用11步骤.docx
09-04
总之,Spring Security 3.x 提供了一个强大而全面的安全框架,能够帮助开发者快速、安全地实现应用程序的认证和授权。通过理解其核心概念和配置流程,可以有效地保护你的Java应用免受潜在的安全威胁。
Spring Security 3应用11步骤.doc
08-30
11步骤应用程序添加安全防护 2. 历史与现状 自2003年出现的Spring扩展插件Acegi Security发展而来。 目前最新 版本为3.x,已成为Spring的一部分。 为J2EE企业应用程序提供可靠的安全性服务。
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 是一个功能强大且灵活的安全框架,提供了多种身份验证机制和访问控制机制。在实际开发中,我们经常需要配置多个身份验证提供程序(AuthenticationProvider)以适应不同的业务需求。本文将详细介绍...
基于 Spring Boot 3Spring Security 6Vue.js 3 的前后端分离式论坛系统
最新发布
04-03
Spring Security 是一个全面的安全框架,用于保护基于Spring应用Spring Security 6 可能包括改进的身份验证和授权机制、支持最新的OAuth2标准以及增强的加密和安全配置选项。在这个论坛系统中,它扮演着核心角色...
spring boot3.x结合spring security最新版实现jwt登录验证
09-02
在现代Web应用开发中,Spring Boot和Spring Security是两个非常重要的框架。Spring Boot简化了Spring应用的初始搭建以及开发过程,而Spring Security则为应用程序提供了全面的安全管理解决方案。本教程将详细讲解...
Spring Boot 系列实战合集.7z
07-13
Spring Boot 系列实战合集.7z
spring-security-3.0.2 jar
04-22
spring-security-3.0.2 jar包 spring-security-acl-3.0.2.RELEASE.jar spring-security-cas-client-3.0.2.RELEASE.jar spring-security-config-3.0.2.RELEASE.jar spring-security-core-3.0.2.RELEASE.jar spring-security-taglibs-3.0.2.RELEASE.jar spring-security-web-3.0.2.RELEASE.jar
SpringSecurity+JWT认证流程解析 | 优快云新人第一弹
和耳朵
07-07 2125
纸上得来终觉浅,觉知此事要躬行。 楔子 本文适合: 对Spring Security有一点了解或者跑过简单demo但是对整体运行流程不明白的同学,对SpringSecurity有兴趣的也可以当作你们的入门教程,示例代码中也有很多注释。本文代码: 码云地址 GitHub地址 大家在做系统的时候,一般做的第一个模块就是认证与授权模块,因为这是一个系统的入口,也是一个系统最重要最基础的一环,在认证与授权服务设计搭建好了之后,剩下的模块才得以安全访问。 市面上一般做认证授权的框架就是shiro和Spring.
spring security入门--自定义UserDetails实现用户登录访问简单示例五
热门推荐
浅时光|初如梦
09-16 1万+
1.说明 此示例,是在(spring security入门--从数据库读取数据实现用户登录访问简单示例四)的基础上改用了自定义UserDetails实现用户登录访问,因为这里只修改了实体类User和UserService中的代码,其他代码请参见示例四 地址:https://blog.youkuaiyun.com/qq_32224047/article/details/108607746 2.代码示例 因为要实现UserDetails自定义,在User类中实现接口UserDetails,然后重写里面的方法 注意
【业务功能篇59】Springboot + Spring Security 权限管理 【下篇】
studyday1的博客
07-29 1316
我们需要自定义一个登陆接口,并让SpringSecurity不要对该接口进行登录验证,以允许未登录用户访问。在该接口中,我们使用AuthenticationManager的authenticate方法进行用户认证,需要在SecurityConfig中配置将AuthenticationManager注入到容器中。如果认证成功,则需要生成一个jwt并将其放入响应中返回。为了让用户在下次请求时能够通过jwt识别出具体的用户,我们需要将用户信息存储在redis中,可以将用户id作为key。
Spring Security 部分详解
RichardGeek的博客
08-01 1180
简介: Spring Security是一个能够为基于Spring企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应...
十、Spring Boot 安全管理(3
走在bug的路上
08-10 1252
高级配置
spring security入门
文盲青年的博客
07-17 435
一部分是验证,一部分是鉴权。先说验证:该图来自知乎某大牛,下面有传送门。我觉得写得最好,最清晰易懂。体系如下:基本上参考该大牛文章就没问题了。
Spring Security 3 应用安全配置详解
"Spring Security 3应用11步骤.docx" Spring Security 是一个强大的且高度可定制的Java安全框架,它为Java EE(现在称为Java EE)企业应用程序提供了全面的安全解决方案。该框架起源于2003年的AcegiSecurity...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值