Spring security工作流程及集成

最新推荐文章于 2024-01-22 21:46:10 发布
转载 最新推荐文章于 2024-01-22 21:46:10 发布 · 66 阅读 · 0
文章标签:

#java #测试 #web.xml

本文详细介绍了 Spring Security 的配置方式,包括使用 XML 和 Java 注解两种方法来配置权限管理和登录验证。通过示例展示了如何定义不同的用户角色及对应访问权限。

A user enters their username and password into a login screen and clicks a login button. The entered information is placed into an object called Authentication which is passed to the AuthenticationManager’s authenticate method. this method will loop through all AuthenticationProviders that are configured and calls their authenticate method, passing in the Authentication object. Each AuthenticationProvider will calls its configured UserDetailsService’s loadUserByUserName method.

 

1. spring-security.xml配置文件如下所示:

<http auto-config="true">
    <intercept-url pattern="/admin**" access="ROLE_ADMIN" />
    <intercept-url pattern="/dba**" access="ROLE_ADMIN,ROLE_DBA" />
</http>

<authentication-manager>
  <authentication-provider>
    <user-service>
    <user name="mkyong" password="123456" authorities="ROLE_USER" />
    <user name="admin" password="123456" authorities="ROLE_ADMIN" />
    <user name="dba" password="123456" authorities="ROLE_DBA" />
    </user-service>
  </authentication-provider>
</authentication-manager>

等同于下面的注解

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
      auth.inMemoryAuthentication().withUser("mkyong").password("123456").roles("USER");
      auth.inMemoryAuthentication().withUser("admin").password("123456").roles("ADMIN");
      auth.inMemoryAuthentication().withUser("dba").password("123456").roles("DBA");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {

      http.authorizeRequests()
        .antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')")
        .antMatchers("/dba/**").access("hasRole('ROLE_ADMIN') or hasRole('ROLE_DBA')")
        .and().formLogin();

    }
}

其中,@EnableWebSecurity等同于配置文件spring-security.xml

2. web.xml集成spring-security

       <!-- Loads Spring Security config file -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/spring-security.xml
        </param-value>
    </context-param>

    <!-- Spring Security -->
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy
        </filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>

 

相同功能的注解实现:

import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

public class SpringSecurityInitializer extends AbstractSecurityWebApplicationInitializer {
   //do nothing
}

其中,AbstractSecurityWebApplicationInitializer的实现类自动加载springSecurityFilterChain

3. spring.xml配置文件

<context:component-scan base-package="com.test.web.*" />

<bean
    class="org.springframework.web.servlet.view.InternalResourceViewResolver">
    <property name="prefix">
        <value>/WEB-INF/pages/</value>
    </property>
    <property name="suffix">
        <value>.jsp</value>
    </property>
</bean>

相同功能的注解:

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.ComponentScan;
import org.springframework.context.annotation.Configuration;
import org.springframework.context.annotation.Import;
import org.springframework.web.servlet.config.annotation.EnableWebMvc;
import org.springframework.web.servlet.view.InternalResourceViewResolver;
import org.springframework.web.servlet.view.JstlView;

@EnableWebMvc
@Configuration
@ComponentScan({ "com.test.web.*" })
@Import({ SecurityConfig.class })
public class AppConfig {

    @Bean
    public InternalResourceViewResolver viewResolver() {
        InternalResourceViewResolver viewResolver
                          = new InternalResourceViewResolver();
        viewResolver.setViewClass(JstlView.class);
        viewResolver.setPrefix("/WEB-INF/pages/");
        viewResolver.setSuffix(".jsp");
        return viewResolver;
    }

}

4. spring DispatcherServlet配置

    <!-- Spring MVC -->
    <servlet>
        <servlet-name>mvc-dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet
        </servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>mvc-dispatcher</servlet-name>
        <url-pattern>/</url-pattern>
    </servlet-mapping>

等同功能的注解

import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;
import com.mkyong.config.AppConfig;

public class SpringMvcInitializer
       extends AbstractAnnotationConfigDispatcherServletInitializer {

    @Override
    protected Class<?>[] getRootConfigClasses() {
        return new Class[] { AppConfig.class };
    }

    @Override
    protected Class<?>[] getServletConfigClasses() {
        return null;
    }

    @Override
    protected String[] getServletMappings() {
        return new String[] { "/" };
    }

}

 

参考文献:

【1】http://stackoverflow.com/questions/23088004/spring-security-workflow

【2】http://www.mkyong.com/tutorials/spring-security-tutorials/

【3】http://www.mkyong.com/spring-security/spring-security-hello-world-annotation-example/

SpringSecurity-基本概念处理流程
CTPeng的博客
01-08 1871
SpringSecurity-基本概念处理流程分析 优秀文章推荐: 1、https://www.cnkirito.moe/spring-security-1/ 2、https://www.jianshu.com/p/e8e0e366184e 文章较长,望耐心阅读。 首先,需要明白SpringSecurity它解决什么问题? 1、认证:证明你是你的问题,通常就是用用户名密码来证明。 2、授权:...
Security工作流程及代码分析
Xjzzon的博客
04-22 1289
Spring Security工作原理 在了解了Security几个核心类的概念之后,我们梳理一下Security的工作原理。 本文将要分析的几个问题 security工作流程security的几个核心过滤器的功能,即什么时候把Authentication与线程绑定,什么时候进行认证,什么时候将Authentication与session关联,什么时候将Authentication改变更新到s...
springsecurity原理流程.pdf
09-08
SpringSecurity框架的权限认证流程原理,请求到来时SpringSecurity如果调用层层过滤器来完成认证;
springsecurity工作流程
qq_39321234的博客
04-27 2106
3.如果请求未认证,Spring Security 会将用户重定向到登录页面。用户登录后,Spring Security 会将用户信息存储于 SecurityContext 中。1.当用户请求一个受保护的资源时,Spring Security 的过滤器链会拦截该请求。4.如果请求已认证但未授权,Spring Security 会返回 403 禁止访问响应。5.如果请求已认证且已授权,过滤链会放行请求,调用链继续正常执行。1.用户访问首页,不需要认证,可以正常访问。3.用户访问需要权限的页面,请求被拦截。
详解Spring Boot 使用Spring security 集成CAS
08-30
Spring Boot 使用 Spring Security 集成 CAS Spring Boot 是一个基于 Java 的开源框架,用于快速构建生产级别的应用程序。Spring Security 是一个基于 Spring 的安全框架,提供了身份验证、授权访问控制等功能。...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解实践上述...
Spring Session -- Spring Security Integration Spring Security 集成
kxh166的博客
10-18 415
Spring Session 提供管理用户会话信息的 API 实现。使支持集群会话变得简单,而无需绑定到特定于应用程序容器的解决方案,还提供与以下各项(HttpSession、WebSocket、WebSession、Spring Security)的透明集成
基于Spring Boot,Spring Security angular js使用集成activiti工作流实现
11-09
在本项目中,我们主要探讨如何使用Spring Boot与Spring Security集成Activiti工作流,并结合Angular JS构建一个现代、高效的Web应用程序。以下是对这些技术及其整合的详细解释。 **Spring Boot** Spring Boot是...
Spring Security OAuth2集成短信验证码登录以及第三方登录
08-27
在实现集成登录认证组件时,我们需要了解OAuth2.0认证体系、SpringBoot、SpringSecurity以及Spring Cloud等相关知识。同时,我们还需要了解如何定义拦截器、如何在拦截的通知进行预处理、如何在UserDetailService....
spring security工作流程
chengshiti9938的博客
07-27 681
1.拦截登录,获取到用户的所有权限信息 1.1默认的拦截器拦截 /login 方法 OncePerRequestFilter 集成这个过滤器,每一次请求都将会被拦截过滤 默认使用 UsernamePasswordAuthenticationFilter 来拦截用户的login操作。...
SpringSecuritySecurity工作流程的理解
燕大Java第一深情的博客
09-12 676
security理解
Spring-Security 运行流程
热门推荐
u012156496的博客
12-06 1万+
Spring-Security 运行流程首先在web.xml中配置如上图所示的过滤器,但这其实不是spring-security包下的类,而是spring-web下面的一个类,从名字上可以看出,这个类是一个过滤器的代理,根据我查阅资料,这样做的原因是:spring-security的过滤器链中的每一个都必须被注入来自 Spring 应用程序上下文的其他 Bean. 但 Servlet 规范并没有使得
SpringSecurity详细执行流程
最新发布
qq_52066082的博客
01-22 1996
SpringSecurity执行流程超详细讲解,SpringSecurity两大功能认证、授权。
权限管理系统后端实现1-SpringSecurity执行原理概述
m0_51935008的博客
07-08 695
方法,设置到其中。FilterChainProxy是一个代理,真正起作用的是各个Filter,这些Filter作为Bean被Spring管理,是Spring Security核心,各有各的职责,不直接处理认证授权,交由认证管理器决策管理器处理!3、认证成功后, AuthenticationManager 身份管理器返回一个被填充满了信息的(包括上面提到的权限信息, 身份信息,细节信息,但密码通常会被移除) Authentication 实例。但拦截器里面的实现需要一些组件来实现,所以就有了。
Spring Security工作原理认证流程
yx444535180的专栏
08-25 1553
一、工作原理 Spring Security所解决的问题是安全访问控制,而安全访问控制功能就是对所有访问系统的请求进行拦截,校验每个请求是否能访问它所期望的资源。一般可以通过FilterAOP来实现,Spring Securityweb资源的保护是通过Filter来实现的,所以从Filter来入手学习Spring Security的原理。 当初始化Spring Security的时候,会创建SpringSecurityFilterChain的过滤器,类型为org.springframework.secu
Spring Security运行流程的简单理解
weixin_70312788的博客
08-03 2049
Spring Security运行流程的简单理解
springSecurity工作流程学习
qq_15042899的专栏
06-19 4337
springSecurity执行流程 整个程序执行的过程如下: 1、容器启动时    通过MyInvocationSecurityMetadataSource # loadResourceDefine 加载系统资源与权限列表resourceMap(一个Map结构,资源[url]为key,权限[auth]为value )     2、WEB服务器启动,加载security内置的
Spring Boot与Spring Security集成示例及密码加密
本文将详细介绍如何在Spring Boot项目中集成Spring Security,一个强大的安全框架,用于实现Web应用的安全性,包括认证、授权会话管理。首先,我们将在一个基于Spring Boot 1.4.4.RELEASE版本的项目中集成必要的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值