Spring Security

最新推荐文章于 2024-09-27 14:04:34 发布
最新推荐文章于 2024-09-27 14:04:34 发布
阅读量569 收藏
点赞数 1
分类专栏: JAVA
<?xml version="1.0" encoding="UTF-8"?> 
<beans:beans xmlns="http://www.springframework.org/schema/security" 
        xmlns:beans="http://www.springframework.org/schema/beans" 
        xmlns:context="http://www.springframework.org/schema/context" 
        xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
        xsi:schemaLocation="http://www.springframework.org/schema/beans 
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
           http://www.springframework.org/schema/context     
           http://www.springframework.org/schema/context/spring-context-3.0.xsd   
           http://www.springframework.org/schema/security 
           http://www.springframework.org/schema/security/spring-security-3.0.xsd"> 
 
        <!-- access-denied-page 自定义拒绝页面 --> 
        <http auto-config='true' access-denied-page="/accessDenied.jsp"> 
                <!-- 
                        filters='none' spring security不对其进行拦截,任何用户都可以不授权访问 <intercept-url 
                        pattern='/index.jsp' access="ROLE_ADMIN" /> <intercept-url 
                        pattern="/**" access="ROLE_USER" /> 
                --> 
                <!-- 只有拦截后才能使spring security 标签--> 
                <intercept-url pattern="/common/**/*.jsp" filters="none" />  
                <intercept-url pattern="/common/**/index-top.jsp" access="ROLE_ADMIN" /> 
                <intercept-url pattern='/login.jsp' filters='none' /> 
                <!-- 不要过滤图片等静态资源 --> 
                <intercept-url pattern="/**/*.jpg" filters="none" /> 
                <intercept-url pattern="/**/*.png" filters="none" /> 
                <intercept-url pattern="/**/*.gif" filters="none" /> 
                <intercept-url pattern="/**/*.css" filters="none" /> 
                <intercept-url pattern="/**/*.js" filters="none" /> 
                <intercept-url pattern="/**" access="IS_AUTHENTICATED_FULLY" /> 
                 
                 
 
 
                <!-- 
                        <form-login> 登录过滤器; login-page 登录页面(必须在以上拦截链中配置其可对任何人访问,否则不停的拦截跳转); 
                        authentication-failure-url 登陆失败页面;default-target-url 默认登录成功后转向的页面 
                --> 
                <form-login login-page='/login.jsp' 
                        authentication-failure-url="/login.jsp?error=true" 
                        default-target-url="/index.jsp" /> 
 
                <!-- 
                        <logout /> 注销过滤器; invalidate-session=true 用户注销,不设置此参数时默认值为true; 
                        logout-success-url 用户注销后跳转的页面/action(可在此处理回收资源等); 
                        logout-url="/j_spring_security_logout" 
                        设置一个特殊的URL以便特定的注销过滤器来捕捉处理,在任何页面中添加一个链接来注销<s:a 
                        href="j_spring_security_logout"></s:a>. 
                        不设置此参数默认值为:"/j_spring_security_logout". 
                --> 
                <!--注销用户--> 
                <logout invalidate-session="true" logout-success-url="/login.jsp" 
                        logout-url="/j_spring_security_logout" /> 
 
  <!-- 检测失效的sessionId,超时时定位到另外一个URL --> 
  <session-management invalid-session-url="/login.jsp" /> 
 
                <!-- 
                        增加一个自定义filter,与Acegi是不一样的,不能修改默认的filter,这个filter位于FILTER_SECURITY_INTERCEPTOR之前 
                --> 
                <custom-filter ref="resourceSecurityInterceptor" before="FILTER_SECURITY_INTERCEPTOR" /> 
        </http> 
 
 
 
    <!-- 自定义过滤器 --> 
        <beans:bean id="resourceSecurityInterceptor" 
                class="com.common.springsecurity.customfilter.FilterSecurityInterceptor"> 
                <!-- 认证管理器,实现用户认证的入口 --> 
                <beans:property name="authenticationManager" ref="MyAuthenticationManager" /> 
                <!-- 访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源  --> 
                <beans:property name="accessDecisionManager" ref="AccessDecisionManager" /> 
                <!-- 资源源数据定义,即定义某一资源可以被哪些角色访问 --> 
                <beans:property name="securityMetadataSource" 
                        ref="InvocationSecurityMetadataSourceService" /> 
                <!-- 每次请求都进行检查. 如果设为true,则只第一次检查,默认为true. 注:默认true时,用户访问权限仅拦截一次.  
                <beans:property name="observeOncePerRequest" value="false" />--> 
        </beans:bean> 
 
        <!-- 认证管理器 --> 
        <authentication-manager alias="MyAuthenticationManager"> 
                <authentication-provider ref="daoAuthenticationProvider"> 
                        <!-- 
                                <user-service>  
                                <user name="admin" password="admin" authorities="ROLE_USER, ROLE_ADMIN" />  
                                <user name="user" password="user" authorities="ROLE_USER" />  
                                </user-service> 
                                <jdbc-user-service data-source-ref="UserDetailService" /> 
                        --> 
                </authentication-provider> 
        </authentication-manager> 
 
        <!-- 
                访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源 
                ,AffirmativeBased表示只要有一个Voter通过权限要求,就可以访问 
        --> 
        <beans:bean id="accessDecisionManager" 
                class="org.springframework.security.access.vote.AffirmativeBased"> 
                <!-- 是否允许所有的投票者弃权,如果为false,表示如果所有的投票者弃权,就禁止访问 --> 
                <beans:property name="allowIfAllAbstainDecisions" 
                        value="false" /> 
                <beans:property name="decisionVoters"> 
                        <beans:list> 
                                <!-- 
                                        RoleVoter默认角色名称都要以ROLE_开头,否则不会被计入权限控制,如果要修改前缀,可以通过对rolePrefix属性进行修改 
                                --> 
                                <beans:bean class="org.springframework.security.access.vote.RoleVoter" /> 
                                <beans:bean 
                                        class="org.springframework.security.access.vote.AuthenticatedVoter" /> 
                        </beans:list> 
                </beans:property> 
        </beans:bean> 
        <!-- 国际化异常信息 --> 
        <beans:bean id="messageSource" 
                class="org.springframework.context.support.ReloadableResourceBundleMessageSource"> 
                <beans:property name="basename" 
                        value="WEB-INF/log/messages_zh_CN" /> 
        </beans:bean> 
         
        <!-- DAO认证提供器  
Spring Security包含了一个产品级别的AuthenticationProvider实现,叫做DaoAuthenticationProvider。 
 这个认证提供器兼容所有生成UsernamePasswordAuthenticationToken的验证机制,它可能是框架里最常用到的提供器。  
 与其他认证提供器一样,DaoAuthenticationProvider通过一个UserDetailsService来获得用户名,密码和GrantedAuthority[]。 
  与其他认证提供器不同的是,这个认证提供器需要获得一个密码,它会根据认证请求对象里的密码来判断认证是否成功。  --> 
   <beans:bean id="daoAuthenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">   
      <beans:property name="userDetailsService" ref="UserDetailService" />  <!-- 必须实现的接口 --> 
      <beans:property name="hideUserNotFoundExceptions" value="false"/><!-- 是否隐藏用户没有找到的异常,默认为trye,即将不能准确地报告用户是否存在的异常 -->   
      <!-- [可选项]  PasswordEncoder为从配置好的UserDetailsService中返回的UserDetails对象里的密码,提供加密功能。  
      SaltSource使用盐值生成密码,这可以提升认证资源密码的安全性。  
      Spring Security支持MD5,SHA和纯文本编码的PasswordEncoder实现。  
      Spring Security提供了两种SaltSource实现:SystemWideSaltSource对所有密码都使用相同的盐值进行编码, 
      ReflectionSaltSource,使用返回的UserDetails对象的属性来获得盐值。   
      <beans:property name="saltSource" ref bean="saltSource"/>  
      <beans:property name="passwordEncoder" ref="passwordEncoder"/>  --> 
   </beans:bean>  
</beans:beans> 
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 详解
As_Yua的博客
07-31 1万+
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保证在会话中。会话就是系统为了保持当前用户的登录状态所提供的机制,常见的有基于session方式、基于token方式等。
springSecurity入门笔记(二)--认证、加密
Aizen_Sousuke的博客
03-19 420
spring security的类 Authentication接口: 表示用户认证信息 SecurityContextHolder: 保存SecurityContext 用户登录认证之前相关信息,封装到Authentication接口的具体实现类的对象 登录成功后将更全面的信息,封装到Authentication接口的具体实现类的对象,保存在SecurityContextHolder所持有的S...
SpringSecurity
Java 技术专栏,从入门到精通,熟悉企业级开发
04-20 1万+
一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。(1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问 该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认 证过程。通俗点说就是系统认为用户是否能登录。(2)用户授权指的是验证某个用户是否有权限执行某个操作。在一个系统中,不同用户 所具有的权限是不同的。
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 2万+
本文详细介绍了如何在SpringBoot项目中整合SpringSecurity实现用户身份认证和权限管理。首先,创建SpringBoot项目并导入相关依赖,包括Spring Security、Web、Fastjson、MySQL等。接着,通过自定义用户登录认证流程,使用UserDetailsService接口实现用户
Spring Security 原理
Flying_Fish_roe的博客
09-27 1960
Spring Security 通过其核心组件和灵活的架构提供了强大的安全保护能力。理解其核心原理,如、过滤器链和授权机制,可以帮助开发者更好地设计和实现安全可靠的 Java 应用程序。
springcloud集成Spring Security
youxmm的博客
07-21 3838
1.自定义配置类继承WebSecurityConfigurerAdapter配置类2.通过重写方法来定义安全规则和访问控制。通常用于测试或者开发环境中,因为它并不会对密码进行任何加密,而是将密码以明文的形式存储和验证。存在严重的安全风险,因为密码可以很容易地被窃取和滥用。建议不要在生产环境中使用类似的明文密码存储方式。@Bean//这里配置用户信息,这里暂时使用这种方式将用户存储在内存中//获取一个密码编码器对象@Bean//密码为明文方式//配置安全拦截机制@Override。
Spring Security配置
qq_46005551的博客
03-27 2546
2.LoginSuccessHandler(登录成功处理器)六、创建handler(处理器)与config(配置)层。1.LoginFailHandler(登录失败处理器)1.SecurityApplication(主方法)3.NoLoginHandler(未登录处理器)4.NoAuthHandler(无权限处理器)1.CorsConfig(处理跨域申请)四、配置.xml文件(维护SQL语句)七、配置handler(处理器)层。t_user(用户信息表)t_anth (角色表)八、配置congfig层。
SpringSecurity认证
小钟不想敲代码
05-28 5393
SpringSecurity认证
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
SpringSecurity笔记,编程不良人笔记
10-28
SpringSecurity是Java领域中一款强大的安全框架,主要用于Web应用程序的安全管理。它提供了全面的身份验证、授权、会话管理以及安全相关的功能,可以帮助开发者构建安全的Web应用。在本笔记中,我们将深入探讨Spring...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security in Action
11-22
Spring Security 实践指南 Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
二十四节气之霜降介绍.pptx
05-23
二十四节气之霜降介绍.pptx
整理PhotoShop美图的基础知识.doc
最新发布
05-23
整理PhotoShop美图的基础知识.doc
Qt开发上位机:固高八轴运动控制卡与多米诺喷码机的集成应用
05-23
内容概要:本文详细介绍了基于Qt框架开发的上位机软件,用于与固高八轴运动控制卡和多米诺喷码机进行通信与控制。主要内容涵盖硬件接口连接、喷码机功能实现、光学点定位、二维码读码与等级评测的技术细节,并展示了相关源码片段。此外,还讨论了多语言和多样式切换的功能实现,以满足不同用户的个性化需求。 适合人群:具有一定Qt开发经验的工程师和技术爱好者,尤其是从事工业自动化和机器视觉领域的专业人士。 使用场景及目标:适用于需要开发高效、稳定的上位机控制系统的企业和个人开发者。主要目标是掌握Qt框架在工业控制中的应用,提高系统的精度和稳定性,提升用户体验。 其他说明:文中提供的源码片段有助于读者理解和实践Qt与硬件设备的交互过程,进一步加深对Qt开发的理解。
力士乐伺服编程调试软件中文版使用指南:IndraWorks MTX13V16与driver Top详解,IndraWorks DS英文版操作须知 代码分析
05-23
内容概要:本文详细介绍了力士乐伺服编程调试三款软件——IndraWorks MTX13V16、driver Top 和 IndraWorks DS 的功能特点及其使用体验。这三款软件均适用于 Windows 7 和 Windows 10 系统,提供设备连接、参数设置、程序编写和调试等功能。IndraWorks MTX13V16 界面简洁,操作便捷,支持程序调试和优化;driver Top 注重用户体验,支持多种编程语言,提供丰富调试信息;IndraWorks DS 虽为英文版,但在中文说明书的帮助下易上手,响应速度快。所有软件均具备代码分析和仿真功能,提高编程调试工作的效率和准确性。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是对力士乐伺服编程调试感兴趣的用户。 使用场景及目标:① 提供详细的软件安装和使用指南,帮助用户快速上手;② 分享编程调试经验,提升工作效率;③ 探讨不同软件的特点,便于用户根据需求选择合适的工具。 其他说明:文中提到的三款软件均为力士乐公司产品,在工业自动化领域应用广泛,能够满足不同的编程调试需求。
Spring Security基础模板指南
在本例中,我们所谈论的“springSecurity模板”指的是一个基于Spring SecuritySpring MVC的项目模板,它为用户提供了快速搭建安全web应用的基础结构。 首先,我们来详细解析一下Spring SecuritySpring Security...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值