配置Spring Security 权限标签

最新推荐文章于 2024-12-08 13:32:47 发布
转载 最新推荐文章于 2024-12-08 13:32:47 发布 · 251 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://my.oschina.net/u/2489258/blog/1014770
文章标签:

#python #git #javascript #ViewUI

本文详细介绍了一个基于 Spring Security 的用户认证及授权系统实现过程,包括所需依赖、XML 配置、用户实体类、DAO 和 SERVICE 层实现等。此外,还介绍了自定义登录成功与失败处理器的实现方式。

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

在这里附上项目的地址,喜欢的可以给个star:https://git.oschina.net/huyup/shiyanshebeiguanlixinxixitong

1、Spring Security 所需的依赖

		<!-- spring-security -->
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-core</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>${spring.version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-taglibs</artifactId>
			<version>${spring.version}</version>
		</dependency>

2、spring-security.xml 的配置

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
		http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
		http://www.springframework.org/schema/security
		http://www.springframework.org/schema/security/spring-security.xsd">

	<!-- 不拦截的资源 -->
	<http pattern="/static/**" security="none" />
	<http pattern="/login.jsp" security="none" />
	
	<http auto-config="true" use-expressions="false">
		<!-- 配置用户正常访问page-->
		<intercept-url pattern="/**" access="ROLE_USER"/>

		 <form-login login-page="/login.jsp"
					 username-parameter="user.userName"  
					 password-parameter="user.userPassword"
					 authentication-success-handler-ref="loginSuccessHandler"
					 authentication-failure-handler-ref="loginFailHandler"  /> 
	</http>
	
	
	<!--用户权限管理-->
    <authentication-manager alias="authenticationManager">
        <authentication-provider user-service-ref="userInfoProvider" >
        </authentication-provider>
    </authentication-manager>

    <!--用户信息Provider-->
    <beans:bean id="userInfoProvider" class="com.gxuwz.service.impl.UserInfoServiceImpl" />
    
    <!--登陆成功-->
    <beans:bean id="loginSuccessHandler" class="com.gxuwz.handler.MyLoginSuccessHandler" />
    
    <!--登陆失败-->
    <beans:bean id="loginFailHandler" class="com.gxuwz.handler.MyLoginFailHandler"/>  

</beans:beans>

3、用户实体代码(与角色是多对多的关系,在这就不贴角色实体的代码了)

package com.gxuwz.entity;

import java.util.*;
import javax.persistence.*;
import org.springframework.security.core.*;

/**
 * 用户实体
 * @author 小胡  
 * @date 2017年5月28日
 */
@Entity
@Table(name = "sys_user")
public class SysUser extends BaseEntity implements UserDetails{

	private static final long serialVersionUID = 103889943178214590L;

	@Column(name = "user_name", unique = true, nullable = false)
	private String userName; // 用户名
	@Column(name = "user_password")
	private String userPassword; // 密码
	@ManyToMany(fetch = FetchType.EAGER)
	@JoinTable(name = "sys_user_role", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "role_id"))
	private Set<SysRole> user_role; // 所属角色
	@Column(name = "telephone")
	private String telephone; // 电话
	@Column(name = "user_create_date")
	private String createDate; // 创建日期
	@ManyToMany(fetch = FetchType.EAGER)
	@JoinTable(name = "sys_user_lab", joinColumns = @JoinColumn(name = "user_id"), inverseJoinColumns = @JoinColumn(name = "lab_id"))
	private Set<SysLaboratory> user_lab;

	public SysUser() {

	}
        // 省略属性的get、set的方法
	
	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
		Set<GrantedAuthority> auths = new HashSet<>();
        Set<SysRole> roles = this.getUser_role();
		// 默认所有的用户有"USER"的权利
        auths.add(new SimpleGrantedAuthority("ROLE_USER"));
        for (SysRole role : roles) {
            auths.add(new SimpleGrantedAuthority(role.getRoleName()));  //获得该用户所拥有的权限
        }
        return auths;
	}

	@Override
	public String getPassword() {
		return this.userPassword;
	}

	@Override
	public String getUsername() {
		return this.userName;
	}

	@Override
	public boolean isAccountNonExpired() {
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		return true;
	}

	@Override
	public boolean isEnabled() {
		return true;
	}

}

4、用户信息的DAO

package com.gxuwz.dao;

import com.gxuwz.entity.SysUser;

public interface IUserInfoDao {
	public SysUser getUserByName(String username);
}

package com.gxuwz.dao.impl;

import javax.annotation.Resource;

import org.hibernate.*;
import org.springframework.*;

import com.gxuwz.dao.IUserInfoDao;
import com.gxuwz.entity.SysUser;

@Repository("userInfoDao")
public class UserInfoDaoImpl extends HibernateDaoSupport implements
		IUserInfoDao {

	@Resource(name = "sessionFactory")
	public void setSuperSessionFactory(SessionFactory sessionFactory) {
		super.setSessionFactory(sessionFactory);
	}

	@Override
	public SysUser getUserByName(String username) {
		Query query = this.getSession().createQuery(
				"from SysUser where user_name = ?");
		query.setString(0, username);
		SysUser user = (SysUser) query.uniqueResult();
		if (user == null) {
			return null;
		}else{
			return user;
		}
	}

}

5、用户信息的SERVICE

package com.gxuwz.service;

import org.springframework.security.core.userdetails.UserDetailsService;

public interface IUserInfoService extends UserDetailsService{

}

package com.gxuwz.service.impl;

import javax.annotation.Resource;

import org.apache.commons.lang.StringUtils;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import com.gxuwz.dao.IUserInfoDao;
import com.gxuwz.entity.SysUser;
import com.gxuwz.service.IUserInfoService;

@Service("userInfoService")
public class UserInfoServiceImpl implements IUserInfoService {

	@Resource(name = "userInfoDao")
	private IUserInfoDao userInfoDao;

	@Override
	public UserDetails loadUserByUsername(String username)
			throws UsernameNotFoundException {
		System.out.println("service login...");
		if (StringUtils.isNotEmpty(username)) {
			SysUser user = userInfoDao.getUserByName(username.trim());
			if (user != null) {
				System.out.println("用户名:"+user.getUsername()+" "+"密码:"+user.getPassword());
				return user;
			}
		}
		throw new UsernameNotFoundException(
				"Can't not find user while username is '" + username.trim()
						+ "'");
	}

}

6、struts2 的登陆的方法

	@LogMsg(msg="用户登陆")  // 这里使用Spring AOP的日志管理,具体看参考上一篇文章
	public String doLogin(){
		setPrompt("/WEB-INF/pages/main.jsp");	
		return SUCCESS;
	}

7、登陆页面的链接使用Spring Security自带的

    <ul>
    	<div style="padding:5px;text-align:center;color: red;">${msg}</div> 
    	<form name="loginForm" method="post" action="<%=basePath%>j_spring_security_check"> 
    	<li><input name="user.userName" type="text" class="loginuser" value="admin" onclick="JavaScript:this.value=''"/></li>
    	<li><input name="user.userPassword" type="password" class="loginpwd" value="密码" onclick="JavaScript:this.value=''"/></li>
    	<li><input name="" type="submit" class="loginbtn" value="登录" />
    	<label><input name="" type="checkbox" value="" checked="checked" />记住密码</label><label>
    	<a href="#">忘记密码?</a></label></li>
    	</form>
    </ul>

8、自定义的登陆成功和失败的处理

package com.gxuwz.handler;

import java.io.IOException;

import javax.annotation.Resource;
import javax.servlet.*;
import org.springframework.security.*;

import com.gxuwz.entity.SysUser;
import com.gxuwz.service.IUserInfoService;

/**
 * 配置登陆成功处理器
 * @author h
 *
 */
public class MyLoginSuccessHandler implements AuthenticationSuccessHandler {

	@Resource(name = "userInfoService")
	private IUserInfoService userInfoService;

	@Override
	public void onAuthenticationSuccess(HttpServletRequest req,
			HttpServletResponse resp, Authentication authentication)
			throws IOException, ServletException {
		SysUser user = null;
		Object o = SecurityContextHolder.getContext().getAuthentication()
				.getPrincipal();
		if (o != null && o instanceof SysUser) {
			user = (SysUser) o;
			resp.sendRedirect("User_doLogin.action");
			System.out.println("密码:" + user.getPassword());
			HttpSession session = req.getSession();
			if (session != null) {
				session.setAttribute("user", user);
			}
		}
	}

}

package com.gxuwz.handler;

import java.io.IOException;

import javax.servlet.*;
import org.springframework.security.*;

import com.gxuwz.common.Const;

/**
 * 配置登陆失败处理器
 * @author h
 *
 */
public class MyLoginFailHandler implements AuthenticationFailureHandler {

	@Override
	public void onAuthenticationFailure(HttpServletRequest req,
			HttpServletResponse resp,
			AuthenticationException authenticationexception)
			throws IOException, ServletException {
		resp.sendRedirect("login.jsp");
		HttpSession session = req.getSession();
		if (session != null) {
			session.setAttribute("msg", Const.LOGIN_ERROE_MSG);
		}
	}

}

9、具体的权限标签在WEB-INF/pages/left.jsp

    <!-- 权限标签 -->
    <!-- ifAllGranted,只有当前用户同时拥有 ROLE_ADMIN 和 ROLE_USER 两个权限时,才能显示标签内部内容 -->
    <!-- ifAnyGranted,如果当前用户拥有 ROLE_ADMIN 或 ROLE_USER 其中一个权限时,就能显示标签内部内容 --> 
    <!-- ifNotGranted,如果当前用户没有 ROLE_ADMIN 时,才能显示标签内部内容 -->
    <dd>
    <div class="title">
    <span><img src="static/images/leftico01.png" /></span>基本信息</div>
    	<ul class="menuson">
        <li  class="active"><cite></cite><a href="PageFrame_index.action" target="rightFrame">首页</a><i></i></li>
        <sec:authorize ifAnyGranted="ROLE_ADMIN">
        <li><cite></cite><a href="Department_listPrompt.action" target="rightFrame">部门列表</a><i></i></li>
        <li><cite></cite><a href="Laboratory_listPrompt.action" target="rightFrame">实验室列表</a><i></i></li>
        </sec:authorize>
        <sec:authorize ifAnyGranted="ROLE_ADMIN,ROLE_TCH,ROLE_TECH">
        <li><cite></cite><a href="Equipment_listPrompt.action" target="rightFrame">设备列表</a><i></i></li>
        </sec:authorize>
        <sec:authorize ifAnyGranted="ROLE_ADMIN">
        <li><cite></cite><a href="Role_listPrompt.action" target="rightFrame">角色列表</a><i></i></li>
        <li><cite></cite><a href="User_listPrompt.action" target="rightFrame">用户列表</a><i></i></li>
        </sec:authorize>
        </ul>    
    </dd>

转载于:https://my.oschina.net/u/2489258/blog/1014770

thymeleaf提供的SpringSecurity标签支持
wunianisme的博客
07-10 1915
要想使用thymeleaf为SpringSecurity提供的标签属性,首先需要引入thymeleaf-extras-springsecurity4依赖支持。 <!--Spring Security和thymeleaf的整合依赖--> <dependency> <groupId>org.thymeleaf.extras</groupId> ...
Spring Security详解/基于配置信息的Spring Security使用/使用自定义登录页面/使用数据库认证/SpEL表达式/服务器端方法级权限控制/页面端标签控制权限
ZaynFox的博客
10-15 778
一、Spring Security介绍 Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。 Spring Security 为基于J2EE企业应用软件提供了全面安全服务。特别是使用领先的J2EE解决方案——Spring框架开发的企业软件项目。人们使用Spring Security有很多种原因,不过通常吸引他们的是在J2EE Servlet规范或EJB规范中找不到典型企业应用场景的解决方案。 特别要指出的是他们不能在 WAR 或
spring-security 在jsp中的标签
dong_19890208的专栏
06-21 718
spring-security 在jsp中的标签
Spring Security之页面端标签控制权限(九)
sygg12345666的博客
11-02 336
Spring Security之页面端标签控制权限(九) 在页面代码添以下注解 <%@taglib prefix="security" uri="http://www.springframework.org/security/tags" %> 在页面显示当前用户名称,property: 只允许指定Authentication所拥有的属性,可以进行属性的级联获取 <security:authentication property="principal.username">&
spring-security标签
qq_44551382的博客
04-30 303
login-page 自定义登录页url,默认为/login login-processing-url 登录请求拦截的url,也就是form表单提交时指定的action default-target-url 默认登录成功后跳转的url always-use-default-target 是否总是使用默认的登录成功后跳转url authentication-failure-url 登录失败后跳转的...
Spring security实现登陆和权限角色控制
09-09
在开始配置Spring Security之前,你需要创建一个用户表来存储用户信息。例如: ```sql CREATE TABLE `user` ( `username` varchar(255) NOT NULL, `password` char(255) NOT NULL, `roles` enum('MEMBER','...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
总的来说,这个项目为学习者提供了一个实际的、完整的SpringBoot集成Spring Security的示例,通过它,你可以了解如何配置和使用Spring Security进行权限控制,同时掌握如何将数据库集成到Spring Boot应用中。...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的...Web集成:Spring Security能够无缝集成到Spring框架和Spring MVC中,提供了过滤器、标签库等工具,简化了权限控制和
SpringBoot整合权限控制SpringSecurity.docx
12-10
在本文中,我们将探讨如何在SpringBoot项目中整合SpringSecurity实现权限控制,并结合前端Element UI的多标签页(Tabs)组件,提供更高效的用户体验。SpringBoot是一个流行的Java开发框架,它简化了Spring应用的...
Spring Security XML配置模板.docx
07-05
`<security:http>` 标签Spring Security 中的核心配置元素之一,用于定义 HTTP 安全配置。在这个配置文件中,我们可以看到以下关键属性和子标签: - **auto-config**: 设置为 `true` 表示自动配置 Spring ...
spring security权限标签记录
SunErlei的博客
09-19 1359
spring security权限标签记录 #转:原文链接http://blog.youkuaiyun.com/shadowsick/article/details/8868863 当我们自定义了spring security3 的过滤链的时候发现页面权限控制标签&lt;sec:authorize之类的已经不能起效了,这是因为我们缺少一个必须的实例 所以找了下源码看到需要一个DefaultWebInvocat...
入门篇Spring Security——标签
菜鸟没翅膀
08-15 902
字号  订阅 Security框架可以精确控制页面的一个按钮、链接,它在页面上权限的控制实际上是通过它提供的标签来做到的 Security共有三类标签authorize  authentication   accesscontrollist  ,第三个标签不在这里研究 前提:项目需要引用spring-security-taglibs-3.05,jstl1.2的jar包,页面
Springsecurity标签解析
weixin_34236869的博客
11-11 391
2019独角兽企业重金招聘Python工程师标准>>> ...
springSecurity权限控制
最新发布
hguhbh的博客
12-08 1045
在数据库中,我们会创建一个用户表,一个权限表(记录着权限功能说明和权限名),一个用户可以有多个权限,不好表达,所以我们又引入了一个角色表,里面有很多角色,在创建个角色权限管理表,每种角色对应不同的多种功能,为角色赋予不同的权限。那么SecurityContextHolder中的权限信息是从哪里获取的呢,前面SecurityContextHolder中的认证用户信息是从redis中获取的,权限信息也一样。我们能用的权限控制注解有很多,但真正经常用的只有@PreAuthorize就是在访问之前进行权限判断。
SpringSecurity
weixin_43732943的博客
05-19 898
3、访问任意controller会跳转到login页面,使用如上密码登录,就可以访问controller资源。在控制台中出现默认密码,这就是我们没有实现自定义密码,SpringSecurity帮我们自动生成的密码。5、出现下面的页面说明我们已经登录成功了(因为我没有写任何东西,所以页面会出现404异常)。1、在SpringBoot项目中的pom.xml文件中添SpringSecurity依赖。4、如果直接访问login页面,输入用户名密码之后会显示404。2、启动SpringBoot项目中的启动类。
Spring Security 页面端标签控制权限
xy的博客
01-05 1113
在jsp页面中我们可以使用spring security提供的权限标签来进行权限控制 1.maven依赖导入 <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> <version>${spring.se
Spring Security】四、自定义页面
weixin_34237596的博客
07-03 198
在前面例子中,登陆页面都是用的Spring Security自己提供的,这明显不符合实际开发场景,同时也没有退出和注销按钮,因此在每次测试的时候都要通过关闭浏览器来注销达到清除session的效果。 一 、自定义页面 login.jsp: &lt;%@ page language="java" contentType="text/html; charset=UTF-8" pageEnco...
7.SpringSecurity中的权限管理
飘然渡沧海的博客
03-06 841
7.SpringSecurity中的权限管理
SpringSecurity(安全)基础
jackroo12138的博客
04-30 299
SpringSecurity(安全) Spring Security,这是一种基于 Spring AOP 和 Servlet 过滤器的安全框架。它提供全面的安全性解决方案,同时在 Web 请求级和方法调用级处理身份确认和授权。他是基于AspectJ的切面经行配置的。 Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型,他可以是吸纳强大的Web安全控制,对于安全控制,我们仅需要引入spring-boot-starter-security模块,进
掌握Spring Security数据库权限管理配置
配置Spring Security基于数据库的权限管理是一个复杂的过程,需要对Spring Security框架和安全原则有深入的理解。开发者需要仔细规划数据库结构、选择合适的密算法、编写定制的服务逻辑,并正确配置Spring ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值