SpringSercurity

最新推荐文章于 2025-04-15 10:47:17 发布
最新推荐文章于 2025-04-15 10:47:17 发布
阅读量522 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_38568779/article/details/75799078
版权

SpringSecurity

  1. 权限设计 库表

Spring Security 必须跟Spring集成且只能在Web环境下运行。

Shiro相对独立,有自己的Ini配置(类似于Spring中的xml配置),且不仅可以在Web环境下运行还可以在非Web环境下运行。

RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用户拥有若干角色,每一个角色拥有若干权限。这样,就构造成“用户-角色-权限”的授权模型。

 

  1. 权限分类
  1. UI权限 view粗粒度权限
  2. 自定义jsp标签:

 

 

 

 

 

C. 功能权限 方法调用 相对细粒度

    1. 设计模式(代理模式、责任链模式)
    2. 设计思想 AOP 编程思想
    3. 技术手段(Filter、Interceptor、环绕通知)

D. 数据权限 字段

    1. 数据库视图View

权限设计草图:

 

 

  1. 搭建SpringSecurity框架
  1. 搭建spring基本框架;

applicationContext.xml

 

mcv.xml

Web,xml中:

关键的东西到了注意!!!!!!!!

Security.xml中要注意:

  1. 学会如何用SpringSecurity文档去书写xml文件;
  2. 注意返回的bool值要设置为true;
  3. 注意自定义custom-filter时,要把auto-config=’true’去掉
  4. ROLE_是权限的标识不能乱改;
  5. SpringSecurity默认提供了很多的Filter
  6. 责任链模式的体现在过滤器栈中。先入后出,

7.死去活来学法,先学会应用,然后在追寻源码进行学习

8.自定义CustmUser继承User来用加个盐salt

下面是我总结的图:

并发session的控制:

当用户名密码不一致的时候需要自定义异常否则抛出401的错误

 

 

 

 

 

 

 

 

 

记住我功能:实现退出浏览器后再次进入浏览器也可以免密登录

 

 

Spring的发布与订阅

主要是spring提供的异步调用方法。例如京东生成订单是后,进行的仓库查询,等一系列的操作异步进行,提高用户的体验度

具体异步实现的代码如下:这只是一个测试异步体现的代码

 

 

注意;remember me 要自己实现接口去清除cookie否则退出操作,并没有完全退出,cookie中读取数据

 

为什么要用springsecurity呢

1.将用户登录,权限控制分离出来,达到和其他控制、逻辑代码完全分离。

      2.在控制、逻辑代码里面,可以通过spring容器的到我们登录用户的信息,可插拔性的体现。

      3.自定义的权限控制访问,不但是对某个URL可操控,同时可以对某个方法进行控制。

      4.提供一些登录相关的操作,如记住我、登录成功跳转页面设定等等。

      5.安全控制性好,对并发session可控性好。

 

 

 

 

 

自定义SpringSecurity

 

DelegatingFilterPorxy

FilterChainProxy

 

 

DelegatingFilterPorxy 入口

doFilter(request, response, filterChain)

invokeDelegate(delegateToUse, request, response, filterChain);

delegate.doFilter(request, response, filterChain){

1. FilterInvocation fi = new FilterInvocation(request, response, chain);

2. List<Filter>filters= getFilters(fi.getRequest());//获取功能Filter Stack

3. VirtualFilterChain virtualFilterChain = new VirtualFilterChain(fi, filters);

4. virtualFilterChain.doFilter(fi.getRequest(), fi.getResponse());//链式调度入口

}

重点学习:

private static class VirtualFilterChain implements FilterChain { private final FilterInvocation fi; private final List<Filter> additionalFilters; private final int size; private int currentPosition = 0; private VirtualFilterChain(FilterInvocation filterInvocation, List<Filter> additionalFilters) { this.fi = filterInvocation; this.additionalFilters = additionalFilters; this.size = additionalFilters.size(); } public void doFilter(ServletRequest request, ServletResponse response) throws IOException, ServletException { if (currentPosition == size) { if (logger.isDebugEnabled()) { logger.debug(fi.getRequestUrl() + " reached end of additional filter chain; proceeding with original chain"); } fi.getChain().doFilter(request, response); } else { currentPosition++; Filter nextFilter = additionalFilters.get(currentPosition - 1); if (logger.isDebugEnabled()) { logger.debug(fi.getRequestUrl() + " at position " + currentPosition + " of " + size + " in additional filter chain; firing Filter: '" + nextFilter + "'"); } nextFilter.doFilter(request, response, this); } } }

 

 

Ant风格

Spring Sercurity在Spring Boot 中的使用
ywn0601的博客
01-11 677
Spring Security的使用
SpringSercurity登录验证之密码编码器
qq_55414449的博客
07-28 255
我们自己可以修改我们在springsecurity中登录进来得用户和密码,相当于下面这两条数据都是数据库中得数据。通过实现UserDetailsService (用户详细信息服务),我们可以实现在SpringSecurity自带的登入验证框架中,设置我们自己设置的用户名和密码,当然,要实现的前提时将我们的用户存入InMemoryUserDetailsManager (内存中用户详细信息管理器),并且将这个对象返回,就说明我么可以通过该设置的用户名和密码进行登录和验证。
springsercurity
qq_44833327的博客
06-07 966
安全框架
关于在Spring Boot + SpringSecurity工程中Sercurity上下文对象无法传递至新线程的问题解决
最新发布
weixin_44212870的博客
04-15 463
OJ系统后端开发过程中,前端用户提交代码后,后端接收到请求开始对提交记录进行保存并开启一个新线程用于判题,但是由于开启了Mybatis-plus自动填充功能,在保存数据时需要从Sercurity上下文对象中取得UserDetail信息,由于新线程的SercurityConxt中的UserDetail信息为空导致空指针异常。最终通过Security自动传递解决问题。添加后通过@Async注解开启的异步线程可在创建时获取到SercurityContext对象。
spring sercurity
星星_月亮的光芒
10-25 664
http://www.blogjava.net/redhatlinux/archive/2008/08/20/223148.html http://shmily2038.iteye.com/blog/1114714
SpringSecurity
iiiis的博客
08-31 2059
::: tip SpringSecurity是什么Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。Spring Security致力于为Java应用程序提供身份验证和授权的能力。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。::: 2.创建接口 3.访问接口 ​ 2.通过创建配置类实现设置 3.编写自定义实现类(常用) 第一步:编写UserDetailsService实现类,可以从数据库中获取用户
springboot之SpringSercurity安全框架
qq_48608598的博客
02-08 437
一、 简介 spring security 的核心功能主要包括: 认证 (你是谁) 授权 (你能干什么) 攻击防护 (防止伪造身份) 权限管理:功能权限,访问权限,菜单权限,拦截器,过滤器等等 spring security是 Spring 项目组中用来提供安全认证服务的框架。其核心就是一组过滤器链,项目启动后将会自动配置。最核心的就是 Basic Authentication Filter 用来认证用户的身份,一个在spring security中一种过滤器处理一种认证方式。 二、 记住几个类: W
SpringSercurity相关教程.zip
07-12
这个"Spring Security相关教程.zip"包含两部分:01-全套Spring Security入门到项目实战课程.pdf 和 02-SpringSecurityOAuth2和SpringCloudOAuth2分布式认证与授权.pdf,主要涵盖了Spring Security的基本概念、配置...
spring sercurity 密码校验
攻城专栏
04-08 668
Spring sercurity 默认密码校验逻辑为根据前端获取的明文进行encode加密,加密后的密文与userDetailsService后台获取的数据库中的用户密码密文进行match比较一致则认为密码校验成功。 @Override protected void configure(AuthenticationManagerBuilder auth) throws Exce...
权限控制与安全认证 Spring Security
张锦的博客
06-11 1498
仅为个人学习使用。
spring security中文版
11-22
本书的写作遵循了这样的一个开发模式,这个模式我们感觉提供了一个有用的前提来解决复杂的话题—— 即使用一个基于Spring3的web工程作为基础,以理解使用Spring Security3使其保证安全的概念和策略。 管你是是已经使用Spring Security还是只是对这个软件有兴趣,就都会在本书中得到有用的信息。 在本节的内容中,你能够: l 检查一个虚拟安全审计的结果 l 讨论web应用通常的一些安全问题 l 学习软件安全中的几个核心词汇和概念
关于SpringBoot整合Security认证授权的使用和介绍;
gzx233的博客
07-27 1089
整合Security的旧版和新版的区别和使用,密码加密器,自定义账号密码,多用户,修改登录页,获取当前用户信息等..
Spring Security 详解
阿水的博客
03-28 1486
Spring Security 是 Spring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。
Spring Security详解
热门推荐
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
SpringSercurity笔记
球球你被学了的博客
08-24 1099
SpringSercurity 1. 概述 1. 简介 Spring Security 是一个专注于为 Java 应用程序提供身份验证和授权的框架。与所有 Spring 项目一样,Spring Security 的真正强大之处在于它可以轻松扩展以满足自定义要求。 特点: 对身份验证和授权的全面且可扩展的支持 防止会话固定、点击劫持、跨站点请求伪造等攻击 Servlet API 集成 与 Spring Web MVC 的可选集成 2. 安全方面两大核心 用户认证(Authentication) 验证某个用
新人小白学习Java之SpringSecurity
pinlei的博客
09-24 2197
SpringSecurity框架的使用
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

happyProgrammerWANG

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值