spring security 提供系统安全功能

最新推荐文章于 2023-05-26 14:33:46 发布
原创 最新推荐文章于 2023-05-26 14:33:46 发布 · 208 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Security #Spring #Bean #Servlet #SQL

本文介绍了一个使用Spring Security实现的安全系统案例,重点讲述了用户认证、会话管理、资源保护等功能的具体实现方式。

1.概述

     由于 spring security 是在权限系统开发关闭后补上去的所以只使用了 spring security 中的提供的一部分内容;

完成功能包括:用户校验、注销功能、Session 失效处理、防止一个用户同一时间内多次登录系统、保护系统资源(防止绕过登录访问资源)。

 

2.代码片段

 

<?xml version="1.0" encoding="UTF-8"?>

<beans:beans xmlns="http://www.springframework.org/schema/security"
		xmlns:beans="http://www.springframework.org/schema/beans"
		xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  		xsi:schemaLocation="
  			http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
            http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd">
	
	<!-- http安全配置 -->
	<http servlet-api-provision="true">
		<intercept-url pattern="/**/*.jpg" filters="none"/>
	    <intercept-url pattern="/**/*.png" filters="none"/>
	    <intercept-url pattern="/**/*.gif" filters="none"/>
	    <intercept-url pattern="/**/*.css" filters="none"/>
	    <intercept-url pattern="/**/*.js" filters="none"/>
		
		<intercept-url pattern="/servlet/CheckLoginCodeServlet" filters="none"/>
		<intercept-url pattern="/servlet/SessionImage" filters="none"/>
		<intercept-url pattern="/login/login.jsp" filters="none"/>
		<intercept-url pattern="/login/logout.jsp" filters="none"/>
		<intercept-url pattern="/**" access="ROLE_ADMIN"/>
		<form-login login-page="/login/login.jsp" 
			authentication-failure-url="/login/login.jsp" 
			default-target-url="/login.do"
			always-use-default-target="true"/>
		<logout/>
		<concurrent-session-control/>
	</http>
	
	<beans:bean id="jaasAuthenticationProvider"
	    class="org.springframework.security.providers.jaas.JaasAuthenticationProvider">
	    <custom-authentication-provider/>
	    <beans:property name="loginConfig" value="/WEB-INF/login.conf" />
	    <beans:property name="loginContextName" value="JAASTest" />
	    <beans:property name="callbackHandlers">
	        <beans:list>
	            <beans:bean class="org.springframework.security.providers.jaas.JaasNameCallbackHandler" />
	            <beans:bean class="org.springframework.security.providers.jaas.JaasPasswordCallbackHandler" />
	        </beans:list>
	    </beans:property>
	    <beans:property name="authorityGranters">
	        <beans:list>
	            <beans:bean class="com.hw.msds.login.businessimp.AuthorityGranterImpl" />
	        </beans:list>
	    </beans:property>
	</beans:bean>

	<beans:bean id="sessionTimeoutFilter" class="com.hw.msds.login.businessimp.SessionTimeoutFilter">
		<custom-filter before="CONCURRENT_SESSION_FILTER" />
	</beans:bean>
</beans:beans>
  
<form method="post" action="<%=basePath%>j_spring_security_check" onsubmit="return loginsubmit();">


用户名: <input id="j_username" name="j_username" type="text"  class="user" />
密&nbsp;&nbsp;码:<input id="j_password" name="j_password" type="password"  class="user" />

<input id="submitbtn" type="submit" value="登 录" class="btn_login"/>

</form>
  
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<%
String path = request.getContextPath();
String basePath = request.getScheme()+"://"+request.getServerName()+":"+request.getServerPort()+path+"/";
%>

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
  <head>
    <base href="<%=basePath%>">
    
    <title>登出</title>
    
	<meta http-equiv="pragma" content="no-cache">
	<meta http-equiv="cache-control" content="no-cache">
	<meta http-equiv="expires" content="0">    
	<script type="text/javascript">
		function init() {
			window.top.location.target="_top";
			window.top.location.href="j_spring_security_logout";
		}
		window.onload=init;
	</script>
  </head>
  
  <body>
  	session失效请 <a href="j_spring_security_logout" target="_top">重新登录</a>
  </body>
</html>
  
JAASTest {
    com.hw.msds.login.businessimp.LoginModuleImpl required
    driver="oracle.jdbc.driver.OracleDriver"
    url="jdbc:oracle:thin:msds/msds@192.168.1.154:1521:msds"
    db_username="msds"
    db_password="msds"
    debug="true";
};
  
import java.security.Principal;
import java.util.HashSet;
import java.util.Set;
import org.springframework.security.providers.jaas.AuthorityGranter;

public class AuthorityGranterImpl implements AuthorityGranter {
    public Set grant(Principal principal) {
        Set rtnSet = new HashSet();
        if (principal.getName().equals("TEST_PRINCIPAL")) {
            rtnSet.add("ROLE_ADMIN");
        }
        return rtnSet;
    }
}
  
import java.security.Principal;
import java.sql.Connection;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Map;

import javax.security.auth.Subject;
import javax.security.auth.callback.Callback;
import javax.security.auth.callback.CallbackHandler;
import javax.security.auth.callback.NameCallback;
import javax.security.auth.callback.PasswordCallback;
import javax.security.auth.callback.TextInputCallback;
import javax.security.auth.login.LoginException;
import javax.security.auth.spi.LoginModule;

import org.springframework.security.context.SecurityContextHolder;

import com.hw.msds.base.sys.Password;
import com.hw.msds.base.sys.SystemBuffer;
import com.hw.msds.base.util.DB;

public class LoginModuleImpl implements LoginModule {
	
	private Subject subject;
	private CallbackHandler callbackHandler;
	private Map sharedState;
	private Map options;
	
	private String url;
	private String driver;
	private String db_username;
	private String db_password;
	
    private String password;
    private String user;
    

    public boolean abort() throws LoginException {
        return true;
    }

    public boolean commit() throws LoginException {
        return true;
    }

    public void initialize(Subject subject, CallbackHandler callbackHandler, Map sharedState, Map options) {
        this.subject = subject;
        this.callbackHandler = callbackHandler;
        this.sharedState = sharedState;
        this.options = options;
        
        url = (String)options.get("url");
        driver = (String)options.get("driver");
        db_username = (String)options.get("db_username");
        db_password = (String)options.get("db_password");

        try {
            TextInputCallback textCallback = new TextInputCallback("prompt");
            NameCallback nameCallback = new NameCallback("prompt");
            PasswordCallback passwordCallback = new PasswordCallback("prompt", false);
            callbackHandler.handle(new Callback[] {textCallback, nameCallback, passwordCallback});
            
            password = new String(passwordCallback.getPassword());
            user = nameCallback.getName();
        } catch (Exception e) {
            throw new RuntimeException(e);
        }
    }

    public boolean login() throws LoginException {
    	System.out.println("driver " + driver);
    	System.out.println("url " + url);
    	System.out.println("db_username " + db_username);
    	System.out.println("db_password " + db_password);
    	
    	System.out.println("user " + user);
    	System.out.println("password " + password);
    	
    	String dpwd="";
    	String dtype="";
    	boolean flag=false;
    	
    	// 校验用户
    	String sql = "select tp.name, tps.secretcode, tc.type from tperson tp inner join tcorp tc on tp.corpid = tc.objid inner join tpersonpsw tps on tp.objid = tps.objid where tp.name = ?";
    	Connection conn = DB.getConnection(driver, url, db_username, db_password);
    	PreparedStatement stat = null;
		ResultSet rs = null;
		try {
			stat = conn.prepareStatement(sql);
			stat.setString(1, user);
			rs = stat.executeQuery();
			
			while (rs != null && rs.next()) {
				dpwd = rs.getString("secretcode");
				dtype = rs.getString("type");
				flag = true;
			}
		} catch (SQLException e) {
			e.printStackTrace();
		} finally {
			try {
				if (rs != null) {
					rs.close();
				}
				if (stat != null) {
					stat.close();
				}
			} catch (SQLException e) {
				e.printStackTrace();
			}
		}
    	DB.closeConnection(conn);
    	
		if (flag == false) {
			throw new LoginException("用户名不存在!");
		}
		
		if (!dpwd.equals(Password.createPassword(password))) {
			throw new LoginException("密码错误!");
		}
		SystemBuffer.userInfo.put(user + "_password", dpwd);
		SystemBuffer.userInfo.put(user + "_logintype", dtype);
		
		
		subject.getPrincipals().add(new Principal() {
			public String getName() {
				return "TEST_PRINCIPAL";
			}
		});
		return true;
    }

    public boolean logout() throws LoginException {
        return true;
    }
}
  
import java.io.IOException;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

import org.springframework.security.ui.AbstractProcessingFilter;
import org.springframework.security.ui.SpringSecurityFilter;
import org.springframework.security.ui.savedrequest.SavedRequest;
import org.springframework.security.util.PortResolver;
import org.springframework.security.util.PortResolverImpl;

public class SessionTimeoutFilter extends SpringSecurityFilter {
    private PortResolver portResolver = new PortResolverImpl();
    private String sessionTimeoutUrl;

    public void doFilterHttp(HttpServletRequest request,
        HttpServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        if (this.isSessionExpired(request)) {
        	System.out.println("!!!!!!!!!!!!!!!!!!!!!!!! session过期");
            this.processRequest(request, response);
        } else {
            chain.doFilter(request, response);
        }
    }

    protected String determineSessionTimeoutUrl(HttpServletRequest request) {
        return (sessionTimeoutUrl != null) ? sessionTimeoutUrl  : "/login/logout.jsp";
    }

    protected boolean isSessionExpired(HttpServletRequest request) {
        return (request.getRequestedSessionId() != null)
        && !request.isRequestedSessionIdValid();
    }

    protected void processRequest(HttpServletRequest request,
        HttpServletResponse response) throws IOException {
        HttpSession session = request.getSession();
        SavedRequest savedRequest = new SavedRequest(request, portResolver);
        session.setAttribute(AbstractProcessingFilter.SPRING_SECURITY_LAST_EXCEPTION_KEY, new RuntimeException("连接超时,如果需要继续操作请重新登录系统!"));
        session.setAttribute(AbstractProcessingFilter.SPRING_SECURITY_SAVED_REQUEST_KEY, savedRequest);
        String targetUrl = determineSessionTimeoutUrl(request);
        
        targetUrl = request.getContextPath() + targetUrl;
        response.sendRedirect(response.encodeRedirectURL(targetUrl));
    }

	public int getOrder() {
		return 0;
	}
}

 3.说明

a. 用户校验和用户信息加载

     我是用了JAAS进行用户名密码校验,所有校验成功的用户都被分配了ROLE_ADMIN角色,校验失败抛出异常。

     校验成功后我指定了程序跳转至login.do,login.do作用就是加载用户相关信息(包括用户所属部门、所属公司、可操作的模块以及对应的权限信息)

b. 系统注销

     login.do 判断如果是注销,清空当前用户session,并转向 j_spring_security_logout 。

c. Session 失效处理

     详见 SessionTimeoutFilter.java ,   判断是否有 sessionid 存在如果存在判断是否过期,如果过期则调整至登录页面并给出提示信息,如果没有sessionid说明用户未登录过不错任何处理。

d. 防止一个用户同一时间内多次登录系统

     spring security 提供的功能    详见<concurrent-session-control/>

e. 保护系统资源(防止绕过登录访问资源)

     详见 <http> 部分, 注意当用户身份校验成功后,就会被赋予ROLE_ADMIN角色,意味着这他就能够访问所有页面(给个用户访问权限内的所有页面)

 

4.标注

     上面是我在最近项目中web安全方面的的一点点经验,希望大家多提建议。

 

参考文献:

spring security 安全开发手册

http://www.family168.com/oa/springsecurity/html/index.html

 

springboot + security 自定义登陆校验Filter
mushuntaosama的博客
12-26 1万+
默认的登陆校验Filter是UsernamePasswordAuthenticationFilter,实现顺序是 AbstractAuthenticationProcessingFilter.doFilter->UsernamePasswordAuthenticationFilter.attemptAuthentication->ProviderManager.authenticate->Abst
SpringSecurity的作用
m0_56277423的博客
05-30 1877
/ 返回自定义的登录页面视图名称并创建一个名为login.html的视图文件,作为自定义登录页面。
Spring Security 之 AbstractAuthenticationProcessingFilter 源码解析
weixin_38982591的博客
05-27 6376
SpringSecuritySpring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的。 AbstractAuthenticationProcessingFilter 继承自 GenericFilterBean,而 GenericFilterBeanspring 框架中的过滤器类,实现了接口 javax.servlet.Filter。 public abstract class AbstractAuthentication.
源码解析:AbstractAuthenticationProcessingFilter
K10I
08-17 688
源码解析:AbstractAuthenticationProcessingFilter
系统安全与控制
m0_59432158的博客
08-23 511
前言 在互联网环境中,难免会因为一些操作,留下安全隐患,所以要对账号安全、系统引导和登录安全方面进行加强,并且还要构建和使用一些基于linux环境的安全工具,如弱口令检测、网络扫描等,帮助管理员查找安全隐患,及时采取针对性的防护措施。 一、账号安全控制 1、基本安全措施 1-1、系统账号清理 1-1.1、将非登录用户(随系统或程序安装过程而生成的其他大量账号,用来维护系统运 作、启动或保持...
SpringSecurity的认证原理及如何自定义认证结合MyBatis替换原数据源
写写平时的技术与感想
05-26 2549
对于在中自定义的认证规则,也就是所有的请求都必须要通过认证才可以访问。有些时候并不满足业务需求。比如有两个资源,一个是/index还有一个是/hello打算把/index作为一个公共的资源,/hello作为一个认证的资源。默认的认证规则就做不到这一点。所以,我们需要自定义,从上个小节中发现,如果需要默认的规则失效有两个条件。如果系统中存在或者是的话,默认的就会失效。这里,我们使用第一种方式,去继承类。需要和方法有区分,一般是对静态资源放行的配置。
Spring Security实现验证码登录功能
08-25
"Spring Security实现验证码登录功能" Spring Security是Java应用程序安全性框架,...Spring Security验证码登录功能是Spring Security框架中的一个重要组件,提供了一个安全、可靠的身份验证和访问控制解决方案。
(源码)基于Spring Security框架的安全认证与授权系统.zip
最新发布
11-18
本项目是一个基于Spring Security框架的安全认证与授权系统,旨在提供一个可复用的脚手架,帮助开发者快速实现认证授权机制。项目支持常见的认证、授权机制,如OAuth 2.0、JWT等,并提供了多种验证码功能(如图片...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
基于Spring Security框架的Java语言图书管理系统设计源码
10-04
系统采用了Java语言进行编程,并以Spring Security框架作为安全核心,实现了用户认证和访问控制等安全功能。通过该项目的源码,可以深入学习和理解Spring Security在实际应用中的运用,以及如何构建一个完整的图书...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
总的来说,将Spring Cloud Gateway与Spring Security相结合,可以构建出一套高效、安全的微服务认证系统,提高整体系统的稳定性和用户体验。这种整合不仅简化了微服务之间的交互,还增强了系统的安全性,是现代...
spring security学习笔记
哇哈哈
05-23 3684
spring security 配置过滤器 首先要在web.xml中配置过滤器,这样我们就可以控制对这个项目的每个请求了    springSecurityFilterChain    org.springframework.web.filter.Delegating
SpringSecurity系列 - 07 认证入口:AbstractAuthenticationProcessingFilter 过滤器
你今天真好看呀
09-14 2619
UsernamePasswordAuthenticationFilter 过滤器:SpringSecurity 中默认的是表单登录格式,即用户在表单中输入用户名和密码进行登录,登录参数的提取在 UsernamePasswordAuthenticationFilter 过滤器中完成,UsernamePasswordAuthenticationFilter 是AbstractAuthenticationProcessingFilter 针对使用用户名和密码进行身份认证而定制化的一个过滤器。
Fiddle使用||解决突然抓包失败问题
qq_43543920的博客
03-07 1万+
背景 fiddle突然抓不了包了,无论是尝试抓浏览器还是移动端,都失败。错误提示如下 20:17:41:8842 !SecureClientPipeDirect failed: System.IO.IOException 无法从传输连接中读取数据: 远程主机强迫关闭了一个现有的连接。。 < 远程主机强迫关闭了一个现有的连接。 for pipe (CN=.tianyancha.com, O=DO_NOT_TRUST, OU=Created by http://www.fiddler2.com) 20:1
记一次继承了AbstractAuthenticationProcessingFilter 的过滤器被执行了两次问题
m0_38089214的博客
11-04 7307
在项目中使用了为了使用spring security的token方式进行鉴权,继承了AbstractAuthenticationProcessingFilter来对请求拦截处理,如下: public class JwtAuthenticationTokenFilter extends AbstractAuthenticationProcessingFilter { private Sel...
AbstractAuthenticationProcessingFilter
凌晨12点,说出你的知心话
12-02 1万+
public abstract class AbstractAuthenticationProcessingFilter extends GenericFilterBean implements ApplicationEventPublisherAware, MessageSourceAware { public void doFilter(ServletRequest req, Servl...
spring security四种实现方式
热门推荐
不学习就淘汰
09-18 12万+
spring security实现方式大致可以分为这几种: 1.配置文件实现,只需要在配置文件中指定拦截的url所需要权限、配置userDetailsService指定用户名、密码、对应权限,就可以实现。 2.实现UserDetailsService,loadUserByUsername(String userName)方法,根据userName来实现自己的业务逻辑返回User...
fiddler-----Authentication.AuthenticationException 调用 SSPI 失败,请参见内部异常
rickyting
02-01 4497
System.Security.SecurityException Failed to negotiate HTTPS connection with server.fiddler.network.https> HTTPS handshake to http:*********** failed. System.Security.Authentication.AuthenticationException 调用 SSPI 失败, < 要求的函数不受支持\n"2,fiddler代理设置,也正常。
Spring Security小教程 Vol 3. 身份验证的入口-AbstractAuthenticationProcessingFilter
weixin_34352005的博客
03-25 3136
前言 结合上一期我们介绍的AuthenticationManager为入口的身份验证的核心模块,我们这次讨论的是为了使SpringSecuritySpring Web项目提供支持,作为验证请求入口的。 第三期 Authentication核心简介 本期的任务清单 AbstractAuthenticationProcessingFilter的依赖组件; AbstractAuthenticatio...
SpringSecurity权威安全权限管理手册
开发者通常不需要深入了解框架内部机制,只需要利用Spring Security提供的抽象和配置即可实现强大的安全功能。 ### 标签知识点: 1. **SpringSecurity标签**: 在文档或代码中,标签是一种标记或命名的元素,用于...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值